智恒网安Web应用安全解决方案.docx

智恒网安Web应用安全解决方案.docx

《智恒网安Web应用安全解决方案.docx》由会员分享，可在线阅读，更多相关《智恒网安Web应用安全解决方案.docx（42页珍藏版）》请在冰点文库上搜索。

智恒网安Web应用安全解决方案

密级：

商密

文档编号：

20120220

智恒联盟-Web应用安全解决方案

©2018智恒科技

文档信息说明

文档名称

Web应用安全解决方案

保密级别

商密

文档版本编号

无前面版本

文档管理编号

文档细节编号

制作人

制作日期

2012年2月

复审人

复审日期

扩散范围

Web应用关负责人、智恒科技项目组成员

版本变更说明

日期

版本

说明

修改人

2012/02/05

1.0

初始版本

蒋朝福

2012/02/20

2.0

初稿

蒋朝福

版权说明

©版权所有2006-2012智恒科技。

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属智恒科技所有，受到有关产权及版权法保护。

任何个人、机构未经智恒科技的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

一.

项目背景及必要性

一.1项目背景

近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化，随着信息时代的到来，信息化发展也为移动工作带来了新的挑战和机遇。

近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。

在政府网中，网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代价的教训，政府网的管理者已经将安全因素看作网络建设、改造的关键环节。

　　国内政府行业网站的安全问题有其历史原因：

在旧网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。

而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。

　　随着网络规模的急剧膨胀，网络用户的快速增长，一方面政府网已从早先政府、科研的试验网的角色已经转变成政府、科研和服务并重的带有运营性质的网络，政府网在政府的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证政府网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题；因此，解决网络安全问题刻不容缓。

当前政府和企业业务系统大都居于B/S架构，使用Web应用来运行核心业务，然而，Web应用安全威胁已成为当前信息安全的主要威胁，从以下数据可以看出，80%以上的信息安全威胁来自于Web应用：

图1.1信息安全事件分布

图1.2Web漏洞发展趋势

图1.3最新十大安全威胁

从以上数据可以看出，随着Web应用的极速发展及大量使用，Web应用漏洞在急剧增加，Web安全威胁已成为当前信息安全的主要威胁。

因此，在平台业务建设的同时，必须加强Web应用安全建设，通过全面有效的Web安全防护，保障业务系统正常稳定运行。

二.Web应用安全风险分析

二.1应用层安全风险分析

Web应用系统主要存在以下安全风险：

用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；由于移动网络对外提供网上WWW服务，因此存在外网非法用户对内部网和服务器的攻击。

二.1.1身份认证漏洞

服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。

这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。

对移动系统的网上移动服务平台，必须加强用户的身份认证，防止对移动网络资源的非授权访问以及越权操作。

二.1.2www服务漏洞

WebServer目前正在成为移动系统对外宣传、开展业务的基地，但公开服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。

系统中的BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。

这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。

二.1.3Web网站应用漏洞

Web网站用于对外提供服务，作为对外展示的窗口，部分网站与用户还有相当部分的数据交互，Web网站应用在开发过程中，难免会出现一些漏洞，如：

SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等，这些漏洞很容易被黑客检测到并加以利用，达到篡改数据，截取数据信息等目的，黑客还可以利用漏洞提升权限，达到控制计算机，损坏数据信息等操作，对用户数据信息造成极大威胁。

二.2管理层安全风险分析

 再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。

因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。

 移动系统应按照国家关于计算机和网络的一些安全管理条例，如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等，制订安全管理制度。

 责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。

同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

三.

Web网站安全防护整体解决方案

根据上述分析，对当前Web安全风险分析，智恒科技应用安全团队通过对网站安全多年的研究、调研，针对Web应用安全提出了全新的安全防护方式，采用以下产品及设备对Web网站应用进行全面防护，防止来自外部及内部的一系列安全威胁，有效解决Web网站安全问题。

通过安全建设，防患于未然，可以从根本上解决Web网站所面临的安全隐患，保障网站安全、稳定的运行。

产品名称

产品形态

产品职能

其他说明

Webpecker网站安全统一检测及监控平台

软件+硬件

对Web应用进行全面有效的安全检测，包括脆弱性检测（各种Web漏洞，如SQL注入、跨站漏洞、第三方应用漏洞、开放服务漏洞等）、内容检测（挂马检测，篡改检测、暗链检测等）、Web应用详细信息检测（操作系统开放端口信息、端口对应的应用版本、维护应用漏洞等）、Web应用实时监控（对Web应用进行统一监控，实时获取网站访问情况，定期执行计划任务，对网站进行统一检测。

）

智恒科技舆情监测系统

软件

快速、有效、全面的收集整理舆情信息，加强对网络舆论的及时监测、有效引导，及对网络舆论危机进行积极化解。

WebGuard网页防篡改保护系统

软件

通过文件底层驱动技术+增强型事件触发技术，对Web网页文件进去全面有效的防护，防止黑客对Web页面的非法篡改攻击，有效保障Web应用安全。

WebGuard-WAF综合应用安全网关

软件+硬件

针对当前主流的Web应用攻击做全面安全防护，可以防止各类应用攻击，包括SQL注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie注入攻击、其他变形的应用攻击。

还能有效防止DDoS攻击，CC攻击等网络及应用类型的拒绝服务类攻击。

SAS运维安全审计系统

软件+硬件

集中管理所有资产及用户，所有用户对相关服务器、网络设备、安全设备、关键应用进行运维都必须统一使用SAS登录运维。

SAS系统通过录像模式对运维用户的所有操作进行全程录像，达到统一控制管理，防止管理混乱、越权操作、对第三方运维操作不可控等一系列问题产生。

从根本上解决运维管理问题。

三.1WebPecker网站安全统一监测平台

根据网站安全的现状及安全风险分析，智恒联盟应用安全团队通过对政府网站安全多年的研究、调研，针对政府网站安全提出了全新的安全解决方案，采用WebPecker网站啄木鸟检测系统对网站应用进行全面有效的安全测评，及早发现安全漏洞，包括Web应用自身安全漏洞，Web服务器自身漏洞，操作系统自身安全漏洞，CGI漏洞等可能对业务系统造成威胁的所有安全漏洞，针对漏洞提供全面的加固及解决方案，防患于未然，可以从根本上解决网站所面临的安全隐患，保障网站安全、稳定的运行。

三.1.1系统功能

系统底层核心功能：

●挂马检测

●SQL注入检测

●跨站脚本检测

●关键字检测

●跨站脚本漏洞检测

●后门、漏洞、配置错误等脆弱性检测

●ICP备案检测

●网站信息获取

三.1.2系统架构

图例：

WebPeckerV8系统架构

系统架构中层次功能如下：

●WWW接口负责和管理员进行交互

●监控任务会自动周期性被任务调度系统调度

●模块层提供具体的目标监控探测功能

●网络访问层为功能模块提供统一访问抽象，如爬虫功能等

●内部数据通过应用统一的“数据总线”接口进行通讯

●基础组建提供系统核心支撑部件

●升级服务器和升级系统通讯，保证系统随时处于最佳状态

●如果选购了高级挂马检测模块，配套的蜜罐服务器负责行为检测

三.1.3系统功能

三.1.3.1挂马检测

WebPecker系统挂马检测使用了3种技术：

1.纯静态特征检测

例如：

网页源码中发现“”，其中iframe属性发现display=none，表示此iframe不可见，网站被挂马时以前经常出现此情况，其中url1就是挂马网站一个源头。

根据此特征就能发现此网站具备一定挂马特征。

但当前这种挂马技术已经普遍不再使用，而是使用可见的iframe，页面自跳转js，js动态生成iframe等等技术，甚至大部分挂马JS都实现了自身加密功能。

因此基于纯静态特征识别技术误报率和漏报率极其高，准确性只有20%左右。

我们基于多年对挂马的研究，这方面准确率比其他公司高很多。

其他公司几乎所有产品所谓提供“挂马检测”功能，都全部采用此技术，而且他们特征误报特别多，为了冒充自己具备此功能，很多公司都提供“用户自定义”特征功能。

2.我们的特色技术：

基于“云特征”的挂马识别技术。

当前每天被挂马网站有几十万个，但他们具有一个显著的特点就是使用挂马源集中，网上存在几千个挂马源头URL，网上被挂马网站都被内嵌了指向这些URL的JS或IFRAME等。

如果一个新的网站被挂马，那么，也是这些犯罪团伙在作案，网页被修改，被加入指向这些挂马源头链接的JS或IFRAME。

3.利用智恒科技的云安全挂马检测中心

我们时刻知道互联网上的挂马源头数据，利用这些数据对一个新的站点进行检测，就能快速识别站点是否被挂马。

这一准确性非常高，约90%以上。

三.1.3.2SQL注入检测

1.WebPeckerV8使用的SQL注入检测技术包括：

●根据提交异常数据，判别返回页面中是否包含数据出出错信息判别。

此技术被所有厂商广泛使用，但如果目标网站关闭了出错数据输出就会导致漏报，如果目标网站本身页面里就存在这些信息则会导致误报。

●基于已知CGI路径存在注入漏洞检测。

比如已知/discuz/login.php存在注入，那么访问目标CGI是否存在进行判别。

●基于组合条件的识别技术。

排在前几位的WEB扫描厂商都使用了此技术，我们也重点使用此技术，并进行了一系列强化。

●WebPecker不同于传统的针对错误反馈判断是否存在注入漏洞的方式，而采用自主创新的状态检测来判断。

所谓状态检测，即：

针对某一链接输入不同的参数，通过对网站反馈的结果使用向量比较算法进行比对判断，从而确定该链接是否为注入点，此方法不依赖于特定的数据库类型、设置以及CGI语言的种类，对于注入点检测全面，不会产生漏报现象。

而常见的SQL注入扫描产品均不具备此项技术。

2.WebPeckerV8支持的数据库

●Oracle

●MicrosoftSQLServer

●MicrosoftAccess

●MySQL

●IBMDB2

●Informix

●PostgreSQL

●Sybase

●SQLite等

3.WebPeckerV8支持的Web/应用服务器

●Apache

●IIS

●Tomcat

●WebLogic

●WebSphere

●iPlanet

●RubyonRails

●Zope等

4.WebPeckerV8支持的应用程序语言环境

●Java/JSP

●PHP

●ASP

●ASP.NET

●Python

●Ruby等

三.1.3.3关键字检测

敏感关键字检测核心技术为中文分词技术。

WebPeckerV8中自带中文分词概率知识库和中文字典库。

原理如下：

1）中文字典库自带了数万字词的中文字典

2）分词知识库中记录了中文字典库中每个字词出现在另一个字词前及后的概率

3）当我们输入一个页面时，首先提出页面内容

4）将内容按照字典中单词进行切割

5）如果切割出现多种切割方案，那么通过查询分词概率知识库来裁决

6）将文章切割为单词后，将敏感关键字库中单词逐个进行查找，如果发现存在此单词就报警

三.1.3.4跨站脚本检测

跨站脚本检测技术基本同于SQL注入检测，包括对已知存在问题的URL检测，及组合提交参数，通过判别返回页面进行比较。

最常见情况是返回页面中包含提交的字串。

三.1.3.5ICP备案检测

WebPeckerV8对备案检测过程如下：

●通过与相关部门合作，智恒联盟获得了网站备案数据库，因此系统自带了一个全面的网站备案数据库。

●给定一个网站域名，通过在数据库中查询即可获得备案情况。

●同时WebpeckerV8也会从目标网站HTML中通过正则表达式获取ICP信息方式作为辅助。

三.1.3.6网站信息获取

WebPeckerV8会对目标网站每隔一天获取一下最新相关信息：

●端口开发情况（使用nmap）

●服务识别（使用nmap）

●whois信息查询

●Alex排名

●PageRank值

●WEB应用探测（我们特色技术，通过对已知几十种常见WEB第三方应用，如Discuzz，wordpress等的特征进行收集，我们能够准确的识别目标网站是否存在这些常见应用及版本号）

三.1.3.7后门、配置错误、WEB服务器漏洞、常见WEB应用漏洞检测

WebPeckerV8自带了一个500条左右的WEB漏洞知识库，用于识别这些情况。

这些漏洞识别WebPeckerV8主要通过2种策略处理：

●版本型：

扫描中会收集目标使用WEB服务器版本如：

Apache1.3.19mod_php5.1等信息，通过漏洞知识库中版本匹配可以获得目标是否存在某一漏洞。

●Fetch型：

一些漏洞特征是判别目标是否存在某个URL，或给目标URL发送特定数据，根据返回页面信息进行识别。

三.1.4系统部署

WebPeckerV8产品部署非常灵活，对网络无特殊要求，只要能够通过网络，对监控目标网站可访问。

需要在网关处做策略配置，允许WebPeckerV8系统进行远程网络扫描。

接入点可以在任意地方，包括但不限于：

●IDC机房部署

●教育单位内网部署，ADSL接入互联网

●公司内网部署，宽带专线接入互联网

管理员既可以在内网管理，也可以通过公网管理，只需能够通过浏览器连接上WebPeckerV8即可。

图例：

WebPeckerV8部署

典型监控配置下，推荐使用带宽：

10M，监控过程中，平均占用带宽2.5M。

增加带宽能够提高监控效率。

在信息中心部署一套WebPecker网站安全统一监控平台，可以定期对所有的服务网站提供全面的安全检测，WebPecker平台支持多任务、任务计划可以灵活定制，用户只需一次添加所有服务器用的URL信息，后期即可全面检测及监控。

同时WebPecker还可以实时检测Web网站状态，检测Web网站是否遭受篡改，是否被挂马，是否有新漏洞产生，同时可以配置报警，第一时间发现Web应用存在的问题。

三.2智恒科技舆情监测系统

三.2.1系统特点

一是采集灵活性，网页探索器作为全球领先的网页分析工具，可以按照网页视觉特征精确定位并分析网页任意一部分的源码结构，节点结构，CSS特性；对任何复杂的页面布局都可以灵活处理，内置几十种数据处理方式，轻松支持从任意半结构化数据中抽取结构化数据；

二是采集时效性，分布式搜索、元搜索、垂直搜索互为补充，搜索引擎采用分布式、并行负载平衡技术，当服务器出现运行负载失衡的状态，系统可根据事先设定的调节机制，自动调节服务器和网络设备的负载，充分利用既有资源，确保系统稳定运行，提高运行效率，从而达到我们快速搜索数据采集目标；

三是可定制性，即能够根据用户的自定义需求，对重点对象、话题进行聚焦监测；

四是持续性，即能追踪已知话题的后续各类互联网媒体相关报道、转载、评论数，掌握其发展范围、动态、趋势；

五是全面性，对于针对不同技术形态建立的系统数据进行整合、分析处理，确保管辖范围内数据的全面性；

三.2.2整体解决方案

三.2.2.1系统概述

针对互联网舆情监管的业务特点，提出了一个整体化的监管业务模型。

如下图所示的三个监管对象为目标：

以传播源头（论坛、微博等）、传播内容（舆情信息）和传播主体（网民）为监管对象。

通过快速准确的定位传播源头，以及对传播内容的采集、分析、追踪，并监控传播主体的网上行为，确保传播信息的合法性从而在整个的信息传播过程中，多层次多角度的进行有效的监管，并与实际工作业务紧密结合，使整个监管平台能有效的实现“发现传播源头、追踪传播内容、监控传播主体”的职能。

互联网舆情监管对象示意图

其次，从整个监管流程来说，实现一个“互联网舆情的全生命周期监管模型”。

保证整个互联网舆情信息及需要监管数据有一套端到端的闭环监控流程，如下图所示，从数据采集、数据汇总、数据处理、分析和挖掘、舆情导控、核查，使整个监管平台实现舆情监管与业务工作的有机结合。

互联网舆情的全生命周期监管模型

三.2.2.2系统架构图

互联网舆情综合管理系统软件模块主要包括分布式数据采集子系统、数据分析处理模块、功能模块与接口管理。

系统架构图见下图所示：

Ø数据采集子系统

负责对信息源头采集，采集子系统主要实现多线程、集群采集模式。

满足项目采集深度和广度要求，支持采集论坛、新闻、微博、博客、Twitter、QQ群、视频等各来源信息；同时支持广度进行全网搜索重点舆情；系统支持通用插件，快速增加站点板块；采集时效性可根据实际需求进行调配，最快速度达到分钟级数据采集；

Ø舆情信息数据仓库

按照系统制定的数据规范支持外围系统数据接入，数据仓库设计分布式架构，通过集群方式扩展项目的规模。

主要分为分布式储存与全文索引、关系数据库。

同时对外提供API访问接口。

数据入库经过数据的加工处理包括自动摘要、实体抽取、内容分类等操作为后续研判提供标准数据。

Ø舆情研判分析子系统

侧重业务需求根据各项指标综合计算舆情热点、负面信息、专题分析等。

系统创新设计了基于多层关键字不同权重的数据推送算法实现海量数据中自动推送用户真正关心的舆情线索。

Ø引导指挥评估子系统

实现重大、敏感舆情信息的逐级上报及领导审核；可通过系统下发导控任务且短信提醒功能，确保导控任务通知及时、到位；

在舆情信息的管理上提供基于业务流程、统一的信息报送、舆情导控任务下发等信息化工具平台；同时，实现对舆情导控工作的考核和效果评估，针对任务完成情况、导控情况、信息报送及在线等进行多角度考核，对网评员工作量和工作效果提供科学评估依据。

三.2.2.3系统运行环境要求

1．系统服务器能访问互联网，至少有1个公网IP地址，是web服务器使用的公网IP地址。

2．系统服务器操作系统选用：

Centos5.6、WindowsServer2003

管理终端选用：

WindowsXP。

系统数据库选用：

Mysql。

3．硬件最低要求

最低配置：

2台服务器

CPU：

最低至强双核2.0G,推荐四核2.13G或以上

内存：

最低8G；推荐16G或以上

硬盘：

根据实际需求定，存储短期数据300G，推荐1T；

三.2.3系统功能介绍

三.2.3.1总体功能架构图

三.3WebGuard网页防篡改保护系统解决方案

WebGuard网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。

主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。

该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。

网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应恢复速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。

经过广大用户实践表明，WebGuard已经成为网站安全建设最佳解决方案。

三.3.1系统组成原理

WebGuard系统包含三个部分：

监控代理客户端，管理中心服务器和管理客户端，各部分功能如下：

1.监控代理客户端（MonitorClientSetup）安装在Web站点服务器上，根据服务器数量购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略；

2.管理中心服务器（CenterServerSetup）建议部署在独立pc服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及管理各代理客户端；

3.管理客户端（ConsoleSetup）部署在网管员任意一台计算机，可以由单台pc机替代，主要用于登录管理中心服务器进行配置管理WebGuard中心服务器；

系统结构示意图

各组建之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性；

三.3.2系统主要功能

Ø基于驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本；

Ø完全防护技术，支持大规模连续篡改攻击防护；

Ø系统后台自动运行，支持断线状态下篡改监测；

Ø驱动技术完全杜绝被篡改内容被外界浏览；

Ø支持多站点分布式部署，统一集中管理功能；

Ø支持大规模虚拟机、双机热备网站系统部署架构；

Ø支持单独文件、文件夹及多级文件夹目录内容篡改保护；

Ø支持网