1、 中国铁建 Web 应用安全解决方案目 录一. 项目背景及必要性 31.1 项目背景 3二. 中国铁建 Web 应用安全风险分析 62.1 应用层安全风险分析 62.1.1 身份认证漏洞 .62.1.2 www 服务漏洞 .62.1.3 Web 网站应用漏洞 62.2 管理层安全风险分析 7三. 中国铁建 Web 网站安全防护方案 .83.1 产品介绍 93.1.1 WebGuard 网页防篡改保护系统解决方案 93.1.2 WebGuard-WAF 综合应用安全网关 123.2 系统部署 183.2.1 详细部署 .183.2.2 部署后的效果 .19四. 系统报价 .20中国铁建 Web
2、应用安全解决方案一. 项目背景及必要性1.1 项目背景近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对
3、技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决
4、网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于 B/S 架构,使用 Web 应用来运行核心业务,然而,Web 应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于 Web 应用:中国铁建 Web 应用安全解决方案图 1.1 信息安全事件分布图 1.2 Web 漏洞发展趋势中国铁建 Web 应用安全解决方案图 1.3 最新十大安全威胁从以上数据可以看出,随着 Web 应用的极速发展及大量使用, Web 应用漏洞在急剧增加,Web 安全威胁已成为当前信息安全的主要威胁。因此,在平台业务建设的同时,必须加强 Web 应用安全建设,通过全面有效的
5、 Web 安全防护,保障业务系统正常稳定运行。基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对 Web 网站做必要的安全防护。中国铁建 Web 应用安全解决方案二. 中国铁建 Web 应用安全风险分析2.1 应用层安全风险分析Web 应用系统主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上 WWW 服务,因此存在外网非法用户对内部网和服务器的攻击。 2.1.1 身份认证漏洞服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网
6、络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移动网络资源的非授权访问以及越权操作。 2.1.2 www 服务漏洞Web Server 目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的 BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏
7、能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS )之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。2.1.3 Web 网站应用漏洞Web 网站用于对外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web 网站应用在开发过程中,难免会出现一些漏洞,如: SQL 注入漏洞、跨站漏洞、敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,中国铁建 Web 应用安全解决方案对用户数据信息造成极大威胁。2.2 管理层安全风险分析再安全的网络设备离不开人的管理,再
8、好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。 移动系统应按照国家关于计算机和网络的一些安全管理条例,如计算站场地安全要求、 中华人民共和国计算机信息系统安全保护条例等,制订安全管理制度。 责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到
9、其它一些安全威胁时(如内部人员的违规操作等) ,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。 中国铁建 Web 应用安全解决方案三. 中国铁建 Web 网站安全防护方案根据上述需求分析,对当前 Web 安全风险分析,XX 科技应用安全团队通过对网站安全多年的研究、调研,针对 Web 应用安全提出了全新的安全防护方式,对 We
10、bServer 和AppServer 采用 Web 网站安全防护系统(WebGuard 网页防篡改保护系统,简称 WebGuard)+WAF 综合应用安全网关来对网站应用做全面的安全防护,WebGuard 采用系统底层文件驱动保护技术+增强型事件触发技术,对 Web 网站页面直接防护,防止黑客篡改网站页面。WAF 综合应用安全网关能够有效防止各类新型应用攻击,如:SQL 注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie 攻击等,还能有效防护给类 DDos 攻击,CC 攻击等主要的流量及应用型拒绝服务式攻击。设备一览表:产品名称 产品形态 产品职能 其他说明Web 网站安全防护系统(
11、WebGuard )软件 通过文件底层驱动技术+增强型事件触发技术,对 Web 网页文件进去全面有效的防护,防止黑客对 Web 页面的非法篡改攻击,有效保障 Web 应用安全。WebGuard-WAF 综合应用安全网关软件+硬件 针对当前主流的 Web 应用攻击做全面安全防护,可以防止各类应用攻击,包括SQL 注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie 注入攻击、其他变形的应用攻击。还能有效防止 DDoS 攻击,CC攻击等网络及应用类型的拒绝服务类攻击。中国铁建 Web 应用安全解决方案3.1 产品介绍3.1.1 WebGuard 网页防篡改保护系统解决
12、方案Web 网站安全防护系统由 XX 科技根据长期对 Web 站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应恢复速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有 web 系统架构、部署也不影响网站整体结构。经过广大用户实践表明,WebGuard 已经成为网站安全建设最佳解决方案。3.1.1.1 系统组成原理WebGuard
13、系统包含三个部分:监控代理客户端,管理中心服务器和管理客户端,各部分功能如下:1. 监控代理客户端(Monitor Client Setup)安装在 Web 站点服务器上,根据服务器数量购买客户端数量,主要用于监控站点状态,执行管理中心所配置的策略;2. 管理中心服务器(Center Server Setup)建议部署在独立 pc 服务器上,若所管理的web 服务器数量较少,也可以同时部署在管理客户端;主要用于用户管理,策略下发,日志监控,以及管理各代理客户端;3. 管理客户端(Console Setup)部署在网管员任意一台计算机,可以由单台 pc 机替代,主要用于登录管理中心服务器进行配置
14、管理 WebGuard 中心服务器;图 3.1 系统结构示意图各组建之间通信采取完全加密传输,包括数据传输,用户认证等,确保通信的保密性;中国铁建 Web 应用安全解决方案3.1.1.2 系统主要功能 基于驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本; 完全防护技术,支持大规模连续篡改攻击防护; 系统后台自动运行,支持断线状态下篡改监测; 驱动技术完全杜绝被篡改内容被外界浏览; 支持多站点分布式部署,统一集中管理功能; 支持大规模虚拟机、双机热备网站系统部署架构; 支持单独文件、文件夹及多级文件夹目录内容篡改保护; 支持网页格式类型分类,便于分类管理; 支持网页自动上传功能,无需
15、人工干涉; 支持异地文件快速同步功能和断点续传功能,极大的增加网站整体安全性和稳定性; 支持多用户管理功能,方便操作; 支持网页自动同步新增、修改、删除等功能; 自动检测文件攻击记录,并实时记入日志,支持导出报表; 支持服务器多种远程管理功能,如远程接管、远程唤醒、远程关机、远程用户注销等; 系统 C/S 结构,确保高可靠性; 支持多个策略管理,策略设置支持即时生效,无需重启; 支持服务器冗余双机及负载均衡分布部署; 支持多种告警方式,日志告警、声音告警、邮件告警或定制其他告警方式; 支持用户认证,采用加密传输,安全可靠; 系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统
16、初始配置,大大提高工作效率; 支持当前所有主流操作系统和 web 服务器 支持 SQL 注入攻击防护; 支持跨站脚本攻击防护; 支持对系统文件的访问防护; 中国铁建 Web 应用安全解决方案 支持特殊字符构成的 URL 利用防护; 支持对危险系统路径的访问防护; 支持构造危险的 Cookie 攻击防护; 各类攻击的变种防护; 支持自定义检测库; 规则库支持在线升级功能;3.1.1.3 技术特点介绍 完全基于事件触发机制,避免服务器资源额外开支; 文件驱动保护技术,确保系统稳定、安全、高效; 不限制网站发布服务器类型,实现高可用性和扩展性; 文件传输过程加密技术,防窃听和防篡改;3.1.1.4
17、部署模式简单部署模式图 3.2 简单部署集群冗余部署模式中国铁建 Web 应用安全解决方案图 3.3 集群冗余部署部署WebGuard 网页防篡改保护系统,对Web应用进行全面保护,即便黑客获得 Web目录操作权限,依然无法对Web页面进行篡改,保障Web网站安全。3.1.2 WebGuard-WAF 综合应用安全网关WEB 综合安全应用网关(以下简称 WAF)是 XX 科技自有知识产权,自主研发出品的高可靠性、高安全性、高易用性系统。WAF 是网络安全专家团针对“网站型”服务器量身定制的产业化产品,融合了我公司长期对网站系统进行的安全研究成果,应用多项专利技术,主要从网站平台系统可用性和信息
18、可信任的角度,解决 WEB 防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载均衡等核心需求,提供事前预警、事中防护、事后分析全周期安全防护解决方案。中国铁建 Web 应用安全解决方案图 3.4 WAF 工作原理示意图WAF 源于防护产品精品理念,致力于提高“网站型”服务器,应用服务系统的安全性和可靠性,保障网站应用服务系统的运行质量,提升网站应用系统运行质量,为网站应用服务系统的信息化规划部门、投资决策部门、运行维护部门提供具有参考意义的量化数据。事前,WAF 进行网站服务运行动态监视,实时监测服务能力和服务质量,建立隐患预警机制。事中,基于“无故障运行时间”理念,依托稳定高效安全的
19、系统内核以及先进全面的多维防护体系,从 WEB 应用威胁防御、 WEB 防篡改、抗拒绝服务攻击和 WEB 应用效能优化等多个角度,保障网站应用服务系统的运行质量。事后,WAF 提供多角度量化的决策支撑数据,为用户提供便捷的使用管理、有效的数据和简洁清晰的阶段性报表,帮助网络维护队伍了解网站的建设情况和运行情况,掌握网站应用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行报告等等多个角度的量化的决策支撑数据。帮助网站系统运行维护队伍从宏观环境、当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化的决策支撑数据
20、的高水平报表。3.1.2.1 产品功能3.1.2.1.1 WEB 应用威胁防御WEB 防护系统对 HTTP 数据流进行分析,应用了先进的多维防护体系,对 WEB 应用攻中国铁建 Web 应用安全解决方案击进行深入的研究,固化了一套针对 WEB 应用防护的专用特征规则库,对当前国内主要的WEB 应用攻击手段实现了有效的防护机制,可以有效应对黑客传统攻击如缓冲区溢出、CGI扫描、遍历目录、OS 命令注入等以及 SQL 注入和跨站脚本等攻击手段。系统对于 HTTP 内容有着完全的访问权和控制权,检查所有的 HTTP 内容,解释和建立规则。一旦某个会话被应用防火墙终止并被控制,WAF 就会对向内或向外
21、的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。可以指定各种策略对 URL、参数和格式等进行检查。 3.1.2.1.2 抗拒绝服务攻击拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源,使得目标服务器业务瘫痪,无法响应正常用户请求。近年来,拒绝服务攻击事件呈上升趋势,网站系统尤其要加强防范此类恶性攻击事件,避免系统瘫痪。WAF 集成了具有核心知识产权的抗拒绝服务攻击功能,能够防御迄今已知的所有种类的DDoS 攻击,如 SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等等。同时还
22、能防御未知攻击。 攻击指纹识别WAF 利用多种技术手段对网络数据包进行特征统计和发现,能够准确定位当前的攻击类型,并触发不同的防御机制,在提高效率的同时确保准确度。 异常流量识别WAF 创造性地提出了一种新的、基于数据挖掘的 DDoS 攻击盲检测技术,利用关联算法和聚类算法自适应的产生检测模型,任何偏离这些正常状态的流量特征都可以被捕获,从而能够实时地、自动地、有效地识别出异常流量。 攻击特征挖掘WAF 具备高效的攻击特征挖掘能力。通过对网络流量的显微分析,挖掘出攻击特征,把挖掘出的攻击特征交给规则执行机执行。 攻击流量过滤WAF 针对检测出的攻击流量,采用规则执行机,干净彻底地过滤攻击流量,
23、放过正常流量,保护正常服务的进行。中国铁建 Web 应用安全解决方案3.1.2.1.3 WEB 应用加速WAF 在对网站进行全面的安全防护的同时,通过连接池、缓存等机制,实现应用加速,优化网站的性能。WEB 应用加速功能通过高性能的硬件平台和软件加速算法,可以将用户的 WEB 请求响应速度提高数倍,对网站系统的可用性有巨大的提升。3.1.2.2 产品特色3.1.2.2.1 一流的产品设计理念 “三高”安全防护产品精品WAF 是 XX 科技自有知识产权,自主研发出品的高可靠性、高安全性、高易用性的信息安全防护系统。WAF 是网络安全专家针对“网站型”服务器量身定制的业化产品,源于安全防护产品精品
24、理念,致力于提高网站平台的可靠性和内容的可信性,保障网站应用服务系统的运行质量,提升网站应用系统服务效率,为网站应用服务系统的维护队伍提供具有参考意义的量化数据。 “一站式”安全管理产品理念WAF 提供“网站型”服务器的可用性问题、内容可信任问题的“一站式”解决方案,用“一个帐号,一次登录,一套界面,三次点击”解决安全问题。 “无故障运行时间提升”理念WAF 深入理解网站服务质量,首位提出网站“无故障运行时间”理念。WAF 从网站应用威胁防护、服务效率动态监视,服务带宽保护和服务质量保障等三个层面,提高网站应用服务系统的连续服务时间,保障网站应用服务系统的运行质量。3.1.2.2.2 领先的核
25、心关键技术 稳定高效安全的系统内核WAF 基于 XX 科技在操作系统内核以及对硬件电路设计方面多年的沉淀,结合我公司自有知识产权进行优化移植,内核精简、稳定、高效,安全。 先进全面的多维防护体系中国铁建 Web 应用安全解决方案WAF 通过宏观判断和微观分析、操作系统和应用分析、实时流量和历史特征等等多个角度的信息聚合,围绕 WEB 应用威胁防御、 WEB 防篡改、抗拒绝服务攻击和 WEB 应用效能优化等进行相关多元化组合分析,全方位构建多维防护体系。 主动式应用安全加固技术WAF 通过漏洞扫描、实时 WEB 威胁防护、WEB 应用架构协议规范化等多种手段相结合,动态发现 WEB 应用威胁,及
26、时提供相应的修复措施、解决方案,并进行主动修复。3.1.2.2.3 提供量化的决策支撑数据 多角度量化的决策支撑数据WAF 在安全防护的基础上,提供多角度量化的决策支撑数据,让网络维护队伍了解网站的建设情况和运行情况。从网站应用服务系统规划设计目标的满足程度、网站应用服务系统运行效能及负载、网站应用服务质量、运行报告等等多个角度提供量化的决策支撑数据。 提供多角色视角的数据展示WAF 从用户的角色、网站应用系统的服务类型、网站应用系统的服务对象三个层面,提供多种视角的数据展示,并支持展示界面的自定义。在网站 WAF 上,用户可以: 按照业务视角,将当前各类业务的运行状态和当前安全威胁等级列出;
27、 按照行业视角,将网站应用系统对服务对象的服务效能情况列出; 根据自身的角色,选择查看不同范围、不同明细粒度和不同侧重点的报表; 根据自身操作习惯和业务需要,自定义多套展示界面。WAF 致力于为用户提供便捷的使用管理和有效的数据。 提供简洁清晰的阶段性报表WAF 提供简洁清晰的阶段性报表。从宏观环境、当前建设现状、系统负载、异常行为过程等多个维度综合考虑安全问题,分角色提供既有清晰结论、又有多角度量化的决策支撑数据的高水平报表。3.1.2.3 产品系列根据设备性能的不同,WAF 分为如下四类产品: WAF-S2000:WAF 千兆增强型中国铁建 Web 应用安全解决方案 WAF-S800:WA
28、F 千兆基础型 WAF-S200:WAF 百兆基础型 WAF-E200:企业专用型WAF 系列产品都是功能完备的 WEB 安全防护设备,适用于透明串联、反向代理、单臂模式,提供 WEB 应用威胁防御、 WEB 防篡改、抗拒绝服务攻击、 WEB 应用加速等安全防护功能,并能为用户提供量化的决策支持数据等行业解决方案。3.1.2.4 部署方式WAF 提供贴合网站网络结构特点的多种部署方式支持,可以根据实际环境需求进行性灵活设计。3.1.2.4.1 透明串接部署透明模式是最便捷部署的方式,在已经交付使用的系统中需要快速部署 WEB 防护系统时,推荐使用此种部署方式。工作在透明方式时,网关工作在链路层
29、,不需要对服务器和其他的网络设备作任何改动。图 3.5 透明串接部署示意图中国铁建 Web 应用安全解决方案3.1.2.4.2 反向代理部署反向代理部署是 WEB 防护系统位于服务器的前端,所有与应用系统相关的网络流量都必须经过网关,该部署模式能对应用数据进行全面细致的检查。图 Error! No text of specified style in document.-1 反向代理部署示意图3.1.2.4.3 单臂部署以单臂方式部署时,WEB 防护系统将与 WEB 应用服务器位于同一个子网或者任意路由可达子网。WEB 应用服务器的网络设置无需任何更改。由于未更改应用服务器的任何设置,此种方式
30、非常适合不能中断运行的系统。3.2 系统部署3.2.1 详细部署在 DMZ 区的 WebServer 和 AppServer 服务器上部署网页防篡改监控客户端,用户保护网页文件免遭黑客篡改。在安全管理区部署防篡改管理中心及防篡改备份客户端,管理中心图 3.6 反向代理部署示意图中国铁建 Web 应用安全解决方案用于统一管理防篡改各客户端,备份客户端用于后期网站更新发布及 WebServer 端和APPServer 端的篡改恢复。在 DMZ 出口交行及 Web 服务器之间部署 WAF 综合应用安全网关,启动相应的安全防护策略,防止各类应用攻击 ,保障网站安全。3.2.2 部署后的效果网页防篡改系
31、统和 WAF 综合应用安全网关对 DMZ 去的 Web 网站进行全面安全防护,WebGuard 防止页面篡改攻击,WAF 防止 Web 应用类攻击,保护 Web 网站静态页面和动态数据库安全,从而实现对整个 Web 网站的防护。防止网页页面篡改及 Web 应用攻击,保障网站应用安全稳定运行。中国铁建 Web 应用安全解决方案四. 系统报价报价单位:元产品名称 产品型号 单位 数量 单价 总价Web 网站安全防护系统WebGuard V5.0 套 3 6.6 万 19.8 万WAF 综合应用安全网关WAF-S2000 台 1 18.8 万 18.8 万软件支持服务 WebGuard-UpdateWAF-Update年 3 0 0安装调试费 WebGuard-Install-ServiceWAF-Install-Service次 1 0 0总价 38.6 万
