1、网站安全解决方案北京启明星辰信息安全技术有限公司二零壹零年网站安全解决方案北京启明星辰信息技术股份有限公司 ihttp:/目 录1 为何关注网站安全 11.1 网站的作用日益凸显 11.2 攻击给网站带来巨大损失 31.2.1 经济损失 31.2.2 名誉损失 31.2.3 政治风险 42 网站安全现状 42.1 安全威胁分析 42.1.1 网站攻击越来越密集 52.1.2 黑客为什么攻击网站 52.1.3 黑客如何攻击网站 52.2 现有安全措施分析 62.3 问题总结与解决思路 72.3.1 网站安全问题总结 82.3.2 网站安全问题解决思路 93 网站安全解决方案 103.1 主动的检
2、测机制 103.1.1 建立主动检查机制 133.1.2 实施对客户透明 133.1.3 节约网站运维成本 133.1.4 专业化的检查结果 133.2 完善的 Web 业务防护 143.2.1 为网站提供最佳防护 153.2.2 部署便捷不影响业务 163.2.3 充分保障 Web 业务连续性 163.3 响应修复 174 案例分析 175 方案总结 19网站安全解决方案北京启明星辰信息技术股份有限公司 第 1 页http:/ 1 为何关注网站安全WEB 应用的发展,使网站发挥了越来越重要的作用,与此同时,越来越多的网站也因为存在安全隐患而频繁遭受到各种攻击,导致网站敏感数据、页面被篡改、甚
3、至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。那么,网站到底发挥着多大的作用?网站被攻击后到底会带来什么样的损失呢?这两个问题的答案会告诉我们,为何人们会如此关注网站安全。1.1 网站的作用日益凸显人们的生活已经跟网站紧密相关,获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股(基金、期货) ,网站给人们带来的便利实在难以一一列举。据 CNNIC 统计,截至 2008 年 6 月底,中国网民数量达到 2.53 亿。中国网站数量也已达 191.9 万个,年增长率为 46.3%,继续保持快速增长的势头。现在平均每 132 个网民,就拥有一个互联网网站。62.7 66.9 67.8
4、 78.8 84.3131.2 150.4191.969.40501001502002502004.6 2004.12 2005.6 2005.12 2006.6 2006.12 2007.6 2007.12 2008.6网 站 数 量万 个, 2008.06图 1. 中国网站数量增长情况可以看出,网站正在对越来越多的人产生影响,作为个人,我们正享受着越来越多网站带来的生活便利,作为组织,我们也在不失时机的利用网站拓展着自己的业务。因此,不管对于个人,还是对组织,网站都已经非常重要。以下列举了一些我们熟知的事实,已不难说明网站的价值日益凸显: 政府网站网站安全解决方案北京启明星辰信息技术股份有
5、限公司 第 2 页http:/ 作为电子政务建设的最重要的内容之一,政府的门户网站目前普及率已经非常高,肩负着政务公开、信息发布、公众服务以及政民交互等重要任务,关乎政府形象。近几年,政府网站的电子化参与度不断上升,信息公开程度不断提高,公众决策参与水平也有显著提升。 金融网站银行、证券等机构的门户网站,提供的服务已不仅限于信息发布和业务咨询,而是更多的跟实际业务交易关联了起来,通过网上银行,可以方便实现以前要去营业厅排队才能完成的业务,也可以用网上银行进行理财投资,在线交易股票,基金等。据 CNNIC 的数据,网银用户增长率较快,目前的用户量已经超过 4000 万人,半年增长率达到 47.1
6、%,进行网上炒股的用户也已达到 4288 万。 电子商务网站提供在线购物,在线交易服务,电子商务网站的存在正在正在改变人们购物习惯,随着应用的普及,电子商务网站带来的经济影响也是不可估量的。拿一个例子来说:仅成立 5 年的淘宝,07 年的网络销售额达到 433亿,这一数字已超越家乐福和沃尔玛销售额之和。 企业门户展示企业产品、服务以及解决方案情况,开展跟合作伙伴以及客户的在线沟通(如客户关系管理等) ,能够拓展业务渠道,为客户和合作伙伴提供极大便利。 互联网公司网站我们对再它们熟悉不过了:Google、新浪、土豆、Facebook,这些网站提供的内容最丰富,搜索,新闻咨询,论坛,博客,视频分享
7、、游戏,已经成为我们生活的一部分。我们在享受这一切便利时,网站的所有者也在靠提供这些服务获取应得的利益。总之,网站已经被赋予太多的内容,也正在发挥着巨大的作用,一旦网站遭受到攻击,无疑会给个人和组织带来危害。而现实情况恰恰是人们所担心的有人在合法享受网站提供的服务,也有不少人对网站别有用心。网站安全解决方案北京启明星辰信息技术股份有限公司 第 3 页http:/ 1.2 攻击给网站带来巨大损失那些别有用心的攻击者,正是看中了网站的价值,为了博名获利,无时无刻不在对网站进行着攻击。随着 Web 应用技术的深入普及,网站攻击的技术门槛在不断降低,当攻击跟金钱、名誉甚至政治阴谋联系在一起的时候,我们
8、的网站很可能已经处于多个攻击者的视线之内。正因为如此,网页挂马、数据篡改等网站安全事件层出不穷,网站被攻击而遭受损失的媒体报道屡见不鲜,网站安全形势日益严峻。而网站被攻击后造成的巨大损失,也已经成为网站所有者和访问者不能承受之痛。1.2.1 经济损失虽然没有一个确切的统计数字说明网站被攻击造成的经济损失有多大,但仅从媒体报道的事件中我们就能体会到,这个经济损失不但不小,并且对某些网站所有者来说,来说可能是致命的。尤其对与银行,证券以及游戏类网站,攻击成功后黑客可修改敏感数据,实施网页挂马,也可窃取用户的帐户信息,直接划转资金或者虚拟游戏币,不仅给用户带来直接的经济损失,而且会降低用户使用网站服
9、务的信心,这对金融类企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。1.2.2 名誉损失网站代表着企业、政府机构等组织在互联网用户中的形象,试想一下,如果有一天,当你通过搜索引擎打开网站被提示有恶意代码,或者打开网站就看到防病毒程序报警,首页被篡改,甚至于留有一些侮辱性文字和图片,你会对这个网站的所有者产生什么样的质疑?组织的声誉将因此会受到多大影响?从不断翻新的媒体报道中,我们可以看到这种事件的主角不乏知名企业,甚至是知名的信息安全企业。以下是被媒体披露的一小部分:2006 年,河南省政府网主页遭篡改;2006 年,数字安徽网、中国银联、必胜客&肯德基网页挂马;2007 年,成都市档
10、案局网站主页篡改;2007 年 3 月,东方卫士网站网页挂马;网站安全解决方案北京启明星辰信息技术股份有限公司 第 4 页http:/ 2007 年 8 月,海尔官方网站网页挂马;2007 年 12 月,千千静听官方网站网页挂马;2008 年 4 月,酷狗网网页挂马;2008 年 5 月,中国红十字基金会首页被篡改2008 年 9 月,味多美网站被挂马;这样的媒体报道举不胜举,但这并非全部,而只是冰山一角,仍有很多组织的网站正遭受着攻击,造成持续的名誉损失而浑然不觉。1.2.3 政治风险尤其对于政府机构的网站,一旦被法轮功、藏独等反动势力入侵并利用网站散播反动言论,不仅将会严重影响政府形象,而
11、且会带来极大的政治风险,产生社会动荡,后果十分严重。2008 年 4 月,红心中国活动的发起网站“我赛网” ,不断遭受来自欧洲黑客的攻击。攻击的高峰出现在 4 月 20 日凌晨,平均一秒钟就会有两个黑客在攻击网站。网站的网页一度被篡改,出现藏独旗帜和大量反动语言,造成了非常严重的政治影响,最后工作人员不得不将服务器长时间关闭。2008 年 5 月,正当全国人们都在齐心协力抗震救灾时,有多个地方的地震局网站遭到入侵,攻击者发布虚假的地震消息,致使很多关注地震信息的人获知虚假信息并迅速传播,产生了极大社会恐慌,数十万人露宿街头,有家不敢回,这对已经深受震灾打击的人们来说无疑是雪上加霜。2 网站安全
12、现状由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须清晰认识得关键问题。接下来,我们就从客观的威胁环境以及主观的应对情况来分析一下目前网站安全的现状。2.1 安全威胁分析从客观方面看,如今网站所处的威胁环境已日益恶化,各种攻击事件层出网站安全解决方案北京启明星辰信息技术股份有限公司 第 5 页http:/ 不穷,在这些事件的背后,我们还要分析一下黑客为什么要攻击网站?他们主要已用什么方式攻击网站?这对我们采取针对性的安全措施是非常有帮助的。2.1.1 网站攻击越来越密集根据 CNCERT/C
13、C2007 年网络安全工作报告,2007 年中国大陆被篡改网站总数累积达 61228 个,比 2006 年增加了 1.5 倍,平均每天 168 个。而最新的数据显示,截止 2008 年 7 月底,我国大陆地区被篡改网站的数量已经达到 40664 个,同比增长 20%,平均每天更是达到 188 个。而且,以上统计数据只限网页或数据被篡改,其他数据窃取,未报案等事件尚不包含在其中。2.1.2 黑客为什么攻击网站攻击越来越容易,成本越来越低在 Internet 上,自动化技术使得网站攻击轻而易举就能成功,计算能力和网络带宽一天比一天廉价,可供攻击的目标主机在呈指数增长,这意味这几乎所有攻击付出的代价
14、很少,因此不论其成功率有多低,对黑客来说都值得一试。攻击的主要目的是获利黑客攻击网站的目的无外乎两种,一是为名,一是为利。只不过在市场经济时代,大多数黑客攻击网站的目的都是后者,获取利益。而要进行攻击并获得利益,自然是要中招的人越多越好,再就是每个中招的人带来的利益越大越好。因此,黑客在选取攻击网站时会考虑两个方面,一是网站的访问量,要选取访问量相对较大的网站;二是网站利益类型,选取特定类型的网站如电子商务、网络游戏、金融类网站等,这样获取的利益也会更大。2.1.3 黑客如何攻击网站Web 应用层攻击是主流由于针对网站的网络访问控制措施被广泛采用,且一般只开放 HTTP 等必要的服务端口,因此
15、黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web 应用程序漏洞的存在更加普遍,随着 Web 应用技术的深入普及,Web 应用程序漏洞发掘和攻击速度越来越块,网站安全解决方案北京启明星辰信息技术股份有限公司 第 6 页http:/ 基于 Web 漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对网站成功的攻击中,超过 7 成都是基于 Web 应用层,而非网络层。前不久 OWASP (Open Web Application Security Project)机构发布了“2007 年十大 Web 安全漏洞”,XSS 和 SQL 注入漏洞排名前两位
16、,是目前存在最为普遍,利用最为广泛,造成危害最为严重的两类 Web 漏洞。黑客获利的两种主要方式黑客通过 Web 应用程序安全漏洞攻击网站,一般会采取两种手段来达到博名、获利的目的:1、篡改网站数据通过 SQL 注入等漏洞获得网站权限后,可以进行网页挂马,网页篡改,修改数据等活动。例如,黑客可以通过网页挂马,利用被攻击的网站作为后续攻击的工具,致使更多人受害;也可以通过网页篡改,丑化网站所有者的声誉甚至造成政治影响;还也可以通过修改网站敏感数据,直接达到获取利益的目的。2、窃取用户信息利用网站漏洞,构造特殊网页或链接引诱网站管理员,普通用户点击,以达到窃取用户数据的目的。例如游戏、网银、论坛等
17、账号的窃取,大多是利用了网站的 XSS 漏洞实现的。总之,随着攻击技术的不断进步,越来越多的攻击者利用更容易被利用的、普遍存在的 Web 漏洞对网站进行攻击并频频得手,目前网站的生存环境已经日益恶化。部分网站的所有者已经遭受到攻击,并从攻击造成的损失中深刻认识到网站安全问题的紧迫性。但大多数网站的所有者仍然处在已经被攻击而浑然不觉,或者即将被攻击而无应对的巨大风险之中。2.2 现有安全措施分析诚如上节所说,网站面临的环境已经发生了很大变化,更多的威胁来自于Web 应用层,而大部分的网站的安全措施却仍然停留在原来对威胁认识的基础上,甚至于网站是否已经被入侵并实施网页挂马,也往往是在访问者投诉或被
18、监管部门查处时方才察觉,但此时损失已经造成,无法挽回。不少人会问:我网站安全解决方案北京启明星辰信息技术股份有限公司 第 7 页http:/ 的网站已经有了安全措施,仍然会发生这样的事情,到底是为什么呢?我们来分析一下现有的安全措施。防火墙、防病毒、漏洞扫描等都是已经被广泛采用的传统网站安全措施,尤其是防火墙的部署,使得网站阻挡了大部分来自网络层的攻击,发挥了重要作用。但是面对目前的新情况,这些传统的安全措施能够应对吗? 防火墙启用网络访问控制策略后,防火墙可以阻挡对网站其他服务端口的访问,而仅仅只开放允许访问 HTTP 服务端口,这样,基于其他协议、服务端口的漏洞扫描和攻击尝试都将被阻断。但
19、针对正在流行的 Web 应用层攻击攻击,其行为类似一次正常的 Web 访问,防火墙是无法识别和阻止的,一但阻止,将意味着正常的 Web 访问也会被切断。 防病毒不管在网关处还是网站服务器上部署,防病毒系统都可以有效的进行病毒检测和防护,但无法识别网页中存在的恶意代码,即网页木马。由于网页木马通常表现为网页程序中一段正常的脚本,只有在被执行的时候,才可能去下载有害的程序或者直接盗取受害访问者的隐私。同理,对于Web 应用程序中的漏洞,防病毒系统更难以识别。 漏洞扫描在查找和修补网站的操作系统漏洞、数据库漏洞、发布系统(如IIS,Apache)等漏洞时,漏洞扫描系统发挥了很大作用,但是作为通用的漏
20、洞扫描系统,它对 Web 漏洞的识别却及其有限,原因是 Web 应用程序漏洞并非某一特定软件或者服务上的漏洞,其形式复杂多样,通常需要在自动工具检查的基础上,通过人工审核才可准确定位。综上所述,识别并阻止基于 Web 漏洞的攻击,仅靠漏洞扫描、网络访问控制、病毒检测防护等传统的安全措施是难以做到的。针对新的网站安全威胁,我们应该保持足够的紧迫性,并采取有效措施积极应对。2.3 问题总结与解决思路通过以上网站安全现状的分析,我们了解到,就客观环境而言,网站所处网站安全解决方案北京启明星辰信息技术股份有限公司 第 8 页http:/ 的威胁环境已经日益恶化,就主观方面来讲,造成目前攻击事件不断发生
21、的局面,深层次的原因到底是什么?针对这些问题,我们要怎么应对呢?2.3.1 网站安全问题总结网站安全形势堪忧,究其原因,主要是因为存在以下几个方面的问题:1、大多数网站设计,只关注正常应用,未关注代码安全一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于 Web 应用程
22、序的 SQL 注入漏洞,有试验表明,通过搜寻 1000 个网站取样测试,检测到有 11.3%存在 SQL注入漏洞。2、黑客入侵后,未及时发现有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。可怕的是,通常黑客在获取网站的控制权限之后,并不暴露自己,而是持续利用所控制网站产生直接利益。如网页挂马就是一种利用网站,给访问者种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。被种植木马的人通常是在不知情的情况下,被黑客窃取了自身的机密信息。这样,网站成了黑客散布木马的一个渠道:网站本身虽然能够提供正常服务,但网站的访问者却遭受着持
23、续的危害。3、网站防御措施滞后,甚至没有真正的防御大多数防御传统访问控制,入侵防御设备,保护网站抵御黑客攻击的效果不佳。比如对应用层的 SQL 注入、XSS 攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基于特征匹配技术的入侵防御产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。因此,导致目前有很多黑客将 SQL 注入,XSS攻击作为入侵网站的首选攻击技术。网站防御不佳另一个原因是,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全网站安全解决方案北京启明星辰信息技术股份有限公司 第 9 页http:/ 防护措施认为得不偿失。而实
24、际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多拥有网站的组织和个人,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识网站安全问题的严重性。4、发现安全问题不能彻底解决网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,网站安全代码设计方面了解甚少,发现网站安全存在问题和漏洞,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中,曾经戏剧化的发
25、现,网站的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。2.3.2 网站安全问题解决思路亡羊补牢,为时未晚。事实表明,针对新形势下网站安全问题的考虑,需要变被动应对为主动关注,实施积极防御,这就需要以一个全面的视角看待网站安全问题,并依靠各个方面的相互配合,对网站安全做到心中有数,防护有方。具体的思路如下: 建立主动的安全检测机制面对 Web 应用的威胁,我们缺乏有效的检查机制,因此,首先要建立一个主动的网站安全检查机制,确保网站安全情况的及时获知是否已经遭到攻击,是否存还在被攻击的风险。 进行有效的入侵防护面对 Web 应用的攻击
26、,我们缺乏有效的检测防护机制,因此,需要部署针对网站的入侵防护产品,加强网站防入侵能力,能够对网站主流的应用层攻击(如 SQL 注入和 XSS 攻击)进行防护。 针对网站安全问题,建立及时响应机制面对 Web 应用程序漏洞和已经造成的危害,我们缺乏恢复的机制和足够的技术储备,因此,需要确立专业支持团队的外援保障,解决及时响应问题,在网站安全问题被验证后,能确保对网站进行木马清除以及针对网站安全解决方案北京启明星辰信息技术股份有限公司 第 10 页http:/ web 漏洞的安全代码审核修补等工作。只有通过以上 3 个环节有机结和,方可建立一套有检测,有防护,有响应的网站安全保障方案,确保在新威
27、胁环境下网站的安全运营。3 网站安全解决方案启明星辰一直非常关注网站安全问题,并针对不同时期的不同安全威胁提供相应的产品、服务和解决方案。从天榕网站防篡改与恢复系统、到天清入侵防御系统(以下简称“天清 IPS”) ,再到安星远程网站安全检查服务(以下简称“安星” ) ,相关产品和服务一直代表着启明星辰对网站安全持续关注。同时,启明星辰也在服务客户的过程中形成了完善的网站安全解决方案。此方案从结构性安全的角度考虑,分别从检测、防护和响应的角度为网站安全保障提供最佳支持。 检测:通过安星对网站的定期检查,建立一套有效的检查机制,及时掌握 Web 网页的安全状况 防护:通过部署天清 IPS,完善 W
28、eb 业务的防护功能,重点防御主流的 Web 应用攻击如 SQL 注入和 XSS 攻击 响应:通过启明星辰的网页安全修复服务,对安星远程网站安全检查服务发现的网站安全问题进行及时补救,防患与未然3.1 主动的检测机制Web 应用攻击成功的根本原因是 Web 程序存在安全漏洞,预防的一个有效途径是:在网站遭到持续危害之前,主动识别 Web 漏洞以及网页木马,并实施补救措施来避免攻击,减少损失。然而,Web 漏洞不可能在开发的时候就被完全发现并修复,因此在网站提供服务的过程中,会被黑客不断挖掘,造成攻击。大多数中小网站的所有者,由于缺乏足够的专业知识储备,无法建立一个 Web 程序的安全检查机制,
29、因此会对网站安全的实际情况浑然不知。解决这个难题,传统方案是:购买相关的Web 扫描工具,同时聘用专业安全人员,定期对网站进行扫描和检测。这种方案不仅昂贵费时,而且其实施效果会受到扫描工具的限制,存在较大局限。网站安全解决方案北京启明星辰信息技术股份有限公司 第 11 页http:/ 安星是一个创新的主动式服务解决方案,可使客户无需亲自关注网站安全检查的过程,即可及时、全面掌握网页木马和 Web 漏洞的情况,并根据专家级的建议实施补救行动。安星通过整合多种专业检查工具的自动化检测平台和专业安全服务团队提供网站安全检查服务,每次检查都先由自动化检测平台进行初筛,确保检查尽可能高效且没有遗漏;然后
30、再由专业安全服务专家对初筛结果进行逐一审核和修订,确保最终结果的准确性。安星通过完善的流程有效的将工具的效率和专家的质量很好的结合起来,确保服务的连续性和质量稳定性,其服务流程如下图所示。网站安全解决方案北京启明星辰信息技术股份有限公司 第 12 页http:/ 图 2. 安星远程网站安全检查服务检查流程采用安星进行网站的 Web 应用程序安全检查,具有以下优势:网站安全解决方案北京启明星辰信息技术股份有限公司 第 13 页http:/ 3.1.1 建立主动检查机制根据网站可能遭受攻击的风险,可选择每天、每周或每月执行定期检查,以此建立对于网站安全的主动关注机制,改变以往被动的事件应急状态,降
31、低安全事件爆发带来的损失。借助安星的定期检查报告,客户可及时、清晰掌握网站的 Web 安全风险情况 网站有没有被挂马,Web 页面是否存安全漏洞,以便采取进一步行动,清除网页木马,修补 Web 漏洞,采取防护措施,降低网站被攻击的风险,防患于未然。3.1.2 实施对客户透明安星的实施是远程进行,检查过程等同于正常的 Web 访问,只要网站能够正常提供服务,安星的检查即可顺利实施,而无需客户进行实时配合,做网络调整或者网络割接。3.1.3 节约网站运维成本相对于购买 Web 安全扫描工具以及定期请专业团队进行网站安全风险评估来讲,采用安星可以节约客户对于网站安全检查的投入。前者,不仅购买专业的
32、Web 安全扫描工具需要付出较高代价,而且雇佣专业人员使用工具进行检查同样需要付出高昂的成本;后者,请专业人员进行现场安全风险评估,每次都需要付出较高费用,虽然对网站的操作系统、Web 应用程序等可以进行较为全面的安全评估,但其检查的深度以及频率都不足以匹配当前环境下的网站安全风险变化情况;然而,相对于两者来说,安星可以较小的投入,避免单一 Web检查工具带来的结果片面性,又能够保证足够的网站安全检查频率以及 Web 安全检查的深度,可使客户无需亲自关注检查的过程,即可得到可以信赖的专业网站安全检查报告。 3.1.4 专业化的检查结果安星服务质量源自启明星辰 10 年来超过 2000 个服务客
33、户的经验积累,安星的服务水平源自启明星辰业界一流的 M2S、ADLAB 专业服务支撑团队,因此安星的专业化检查结果,是完全值得信赖的。网站安全解决方案北京启明星辰信息技术股份有限公司 第 14 页http:/ 3.2 完善的 Web 业务防护通过主动安全检查机制了解网站安全问题后,修复工作通常需要比较长的时间,尤其是对于比较大的网站。因此,针对实时变化的动态攻击,需采取有效的防护措施,在未完成修复的时间内,对网站进行保护。此防护措施应与防火墙不同,要能够对于主要的 Web 应用层攻击进行防护,如最流行的 SQL 注入、XSS 攻击,确保 Web 业务得到完善的保护。然而,对 Web 业务的保护
34、,不仅需要能够阻断攻击,又要不影响正常业务的访问,因此,Web 业务的防护首先需要能够精确识别常见的 Web 攻击,然后予以阻断。由于 SQL 注入攻击、XSS 攻击一样,都是利用了 Web 应用程序的编码疏漏,未对 Web 表单、 URL 等做合法性检查,所以每一次攻击所利用和针对的具体漏洞都不尽相同,这就给此类漏洞识别带来了困难:不可能以单一特征来概括所有 XSS 攻击。目前产业界有两种针对此类攻击的检测方法,但都有较大缺陷:1、基于攻击特征检测方法以 SNORT 为代表的这种检测方法,类似于传统的 IDS,通过抽取 SQL 注入、XSS 攻击中的关键字,构建攻击特征库,依据特征库进行比对
35、检测。由于黑客可以通过转义等方法容易的绕过特征,因此此类方法的漏报率很高,如果设置了过于严格的特征,又可能限制客户的 Web 业务体验,甚至产生误报。2、基于异常攻击检测方法此方法的核心思想是通过学习期的训练,为 Web 应用程序自动建立各参数的正常使用模型(URL/COOKIE) 。在此后的检测过程中依据此模型来判断实际网络中的各种行为是否异常。这种方法的优势在于能够不受限制的发现各种异常行为,但异常并不意味着攻击,其误报率相较高。另外,由于此类防护部署后需要一个学习期,此期间需要一个非常“干净”的数据来构造正常使用模型,但互联网上的访问一般都不符合这个要求,而且一旦内部的业务模型发生了变化
36、,这个学习过程又需要重新进行。因此,这种方法的误报率较高,实时性不够。天清 IPS 是启明星辰公司自主开发的入侵防御类安全产品,围绕深层防御、精确阻断的设计核心,通过对深层攻击行为进行准确的分析判断,在判定为攻网站安全解决方案北京启明星辰信息技术股份有限公司 第 15 页http:/ 击行为后立即予以阻断,主动而有效的保护网络的安全。尤其在针对 Web 应用攻击的防护上,具有独特创新的 VXID 防护技术,能够较好的避免业界目前两种方法的弊端,实现 Web 攻击的精确阻断。VXID 技术(包括针对 SQL 注入攻击的 VSID 技术、以及针对 XSS 攻击的VXSSD 等技术在内的 Web 应
37、用攻击防护技术统称)是启明星辰公司独创的Web 业务威胁检测算法,该算法分为两个个阶段,第一阶段是行为提取阶段,分析和提取 Web 攻击的行为特征而非数据特征,建立 Web 击行为特征库;第二阶段是实时分析网络数据,在入侵防御设备内部构建“轻型虚拟机” ,模拟攻击行为以观察其行为特征,正确判断攻击行为的发生。这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率,也避免了由于检测规则过于严苛造成的误报。其工作流程图如下:图 3. VXID 技术示意图采用天清 IPS 作为网站防护设备,有如下优势:3.2.1 为网站提供最佳防护天清 IPS 部署与网站前端,能够对网站提供有效的攻击防御,尤其
38、是提供针对 Web 漏洞攻击的精确阻断功能。除此之外,天清 IPS 还可以实现针对通用漏洞(操作系统,数据库,应用软件等)攻击的精确阻断以及企业违规应用的网站安全解决方案北京启明星辰信息技术股份有限公司 第 16 页http:/ 精确阻断,确保网站不受到网络层以及其他威胁的影响。天清 IPS 可精确阻断的攻击类型列表如下:天清 IPS 能精确阻断的攻击类型精确阻断 SQL 注入攻击基于 Web 漏洞的攻击精确阻断 XSS 攻击精确阻断溢出攻击精确阻断流行蠕虫攻击精确阻断数据库漏洞攻击精确阻断操作系统漏洞攻击精确阻断木马后门精确阻断间谍软件精确阻断僵尸程序精确阻断恶意代码基于通用漏洞的攻击精确阻
39、断扫描探测行为精确阻断即时通讯行为精确阻断网络游戏行为精确阻断异常协议行为精确阻断脆弱口令行为违规应用识别阻断精确阻断广告软件行为表 1. 天清 IPS 能精确阻断的攻击类型3.2.2 部署便捷不影响业务天清 IPS 可以透明方式部署于一个或者多个网站服务器之前,无需配置 IP地址,因此部署时,无需更改客户的原有网络拓扑,也无需更改用户原有网络配置,切换快捷,将产品实施给 Web 业务的影响降到最低。3.2.3 充分保障 Web 业务连续性作为串行的保护设备,天清 IPS 充分考虑了网站业务连续性保障措施,以有效避免单点故障:产品提供软、硬双 BYPASS 功能,保障业务链路在各种情况下的通畅
40、。软 BYPASS:在入侵防御引擎关键进程出现异常或需要重新启动(如软件升级,重置策略等)的情况下,确保链路通讯正常。硬 BYPASS:在入侵防御引擎出现硬件故障或掉电的情况下,确保链路通讯正常。网站安全解决方案北京启明星辰信息技术股份有限公司 第 17 页http:/ 3.3 及时的响应修复明确了具体的网站安全问题之后,就应当立即响应,以便将网站安全“未雨绸缪”的工作进一步落实,这样才能够形成检测修复再检测的动态循环机制,网页木马才能够被及时清除,Web 漏洞才能够逐一被修复,网站遭受攻击的风险就会维持在较低水平。安星的网站安全检查报告中,不仅精确定位了网页木马以及 Web 漏洞的具体位置,
41、并且给出了木马清除建议,以及针对每一类 Web 漏洞的修复方案。相关的补救工作可以由网站开发人员(客户的网站开发人员、网站开发的供应商等)依据安星报告的内容进行,在第一轮修复完成之后,可通过再次的安星检查,查漏补缺。启明星辰的 ADLAB 以及 M2S 提供专业的网页安全修复服务,其具体内容是:对网站应用程序存在的 Web 漏洞、网页木马进行彻底清除,同时以白盒测试、黑盒测试方式对网站相关的安全源代码进行审核,找出源代码方面存在的问题,通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务,该类服务由启明星辰国家级实验室的专业攻防技术团队提供支持。缺乏专业外援团队的重要网站,能够通过这个
42、专业团队的服务来强化网站系统的安全源代码设计,加强网站应用程序自身的安全性。4 案例分析阶段一:事前安星安全检查阶段。在部署防御措施之前的阶段,安星服务的作用体现在两个方面。在网站已经遭受攻击并挂马的情况下,单独部署其他安全产品也无法防止网站安全解决方案北京启明星辰信息技术股份有限公司 第 18 页http:/ 网站再次受到攻击:骇客可以利用已有的后门进入系统,这就需要在部署安全产品前,先对整个网站进行检查,找出骇客留下的后门并进行相应的修补。同时还需要检查网站存在哪些漏洞,在选择防御产品时需能对这些漏洞进行防御。阶段二:部署安全防御产品天清入侵防御产品采用基于攻击机理方式,而非攻击数据特征方
43、式来对Web 业务威胁进行防御。SQL 注入、XSS 攻击等 Web 威胁利用漏洞数量繁多,且变种多样,单独靠数据特征无法准确识别。只有通过攻击机理分析方式的安全产品才能实现对多变种 Web 威胁的防范。阶段三:再次进行安全检查安全防护措施是否落实到位,需要通过再次的检查才能验证,所以在部署完成网站防护措施后,需要使用安星服务来对已有的安全防护措施做检验。网站安全解决方案北京启明星辰信息技术股份有限公司 第 19 页http:/ 5 方案总结网站的价值在日益提升,其安全问题也变得愈加重要。作为网站所有者,组织虽然采取了一些传统的安全措施,但应对新的 Web 应用层威胁却显得力不从心,主要表现在
44、:缺乏 Web 应用安全的主动检查机制,简陋的防护不足与应对 Web 应用层攻击,以及未能采取及时有效的修复措施。这些问题使得组织仍持续遭受网站攻击事件的困扰。启明星辰以安星、天清 IPS 以及修复服务构成的网站安全解决方案,用360 度的视角审视了目前普遍存在的网站安全问题,并在此基础上建立了一个有检测、防护、响应三个环节相互促进的网站安全的保障机制:在检测环节,通过安星定期的检查,组织可及时掌握网站的安全状况;在防护环节,天清IPS 可精确检测和防御主要的 Web 应用层攻击,解决 Web 安全漏洞修复期间的攻击防护问题,并应对针对新的 Web 安全漏洞的攻击;在响应环节,具有专业Web 安全代码审查和修复技术的团队,能够根据安星检查的结果,对发现的Web 安全问题及时实施修复,降低网站被攻击的风险。在此机制可帮助组织可建立主动的网站安全保障机制,并以检测环节为起点,通过三个环节不断的循环促进,有效应对 Web 应用变化带来的新安全威胁,保障网站的持续正常运营。
