网站安全解决方案模板Word格式文档下载.doc
《网站安全解决方案模板Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《网站安全解决方案模板Word格式文档下载.doc(19页珍藏版)》请在冰点文库上搜索。
据统计75%的网络攻击和互联网安全侵害源于应用软件,网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。
未经过安全训练的程序员缺乏相关的网页安全知识;
应用部门缺乏良好的编程规范和代码检测机制等等。
解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装防火墙是远远不够的。
1.2面向应用层新型攻击特点简析
n隐蔽性强:
利用Web漏洞发起对WEB应用的攻击纷繁复杂,包括SQL注入,跨站脚本攻击等等,一个共同特点是隐蔽性强,不易发觉。
n攻击时间短:
可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制,以至于非常困难做出人为反应。
n危害性大:
目前几乎所有银行,证券,电信,移动,政府以及电子商务企业都提供在线交易,查询和交互服务。
用户的机密信息包括账户,个人私密信息(如身份证),交易信息等等,都是通过Web存储于后台数据库中,这样,在线服务器一旦瘫痪,或虽在正常运行,但后台数据已被篡改或者窃取,都将造成企业或个人巨大的损失。
据权威部门统计,目前身份失窃(identitytheft)已成为全球最严重的问题之一。
n造成非常严重的有形和无形损失:
目前,很多大型企业都是在国内外上市的企业,一旦发生这类安全事件,必将造成人心惶惶,名誉扫地,以至于造成经济和声誉上的巨大损失,即便不上市,其影响和损失也是不可估量的。
1.3现有的网络层防护产品面对应用层攻击束手无策
传统的防火墙或IDS产品存在以下不足:
n防火墙:
通过端口限制实现访问控制,但对于WEB应用而言,其HTTP/HTTPS端口是开放的。
因此,防火墙无法检测到WEB应用攻击的发生,更谈不上阻止攻击。
nIDS:
依靠特征库检测已知攻击,而对于WEB应用攻击,变形非常多(比如:
SQL注入、跨站脚本、恶意文件包含等),IDS无法穷尽所有的特征,当然,更加不可能预知未来的变形。
1.4我国网站被篡改情况
2008年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。
国家互联网
应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113个,同比增加了23.7%。
按月统计情况如图所示:
2008年上半年中国被篡改网站数量
2008年1月至6月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。
与去年上半年同期监测情况相比,增加了41%。
从中可以看出,每月被篡改的域名网站约占整个大陆地区被篡改网站的7%,而域名网站仅占.cn域名的2.3%,因此政府网站仍然是黑客攻击的重要目标。
具体比例如下图:
1.5被篡改原因分析
网页被篡改之所以如此的普遍,其存在有相关的客观原因。
1)复杂庞大的操作系统:
已公布超过1万多个系统漏洞。
2)操作系统漏洞的快速被利用:
系统漏洞从发现到被利用为5天,补丁的发布时间为47天。
3)应用系统漏洞:
越来越多的WEB系统开发出来,并且运行,由于系统开发者本身就安全代码层面没有做相关的工作,同时不同的系统一般都是不同的开发者,所以很多漏洞直接暴露在互联网下面,根本无法检查和防范,如SQL注入漏洞,跨站漏洞等等。
4)密码管理:
合格密码需要8位以上复杂字符并定期改变。
5)漏洞补丁的更新:
操作系统、中间件、应用系统的定期更新。
6)攻击泛滥:
越来越多的攻击软件、木马程序直接可以通过互联网触手可及,并且实现攻击非常简单容易。
2XXXX网站安全现状分析
2.1网站的重要性
据CNCERT/CC(国家互联网应急中心)发布的2007年网络安全工作报告显示,我国网站的安全问题十分严峻,大量网站被黑客入侵和篡改,甚至被植入木马攻击程序,成为黑客的得力工具。
利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等,黑客能够得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码(俗称“网页挂马”),使得更多网站访问者受到侵害。
网页挂马是黑客最喜欢的木马散播方式。
XXXX门户网站承担着“。
。
”等重要职能,是XXXX的服务窗口及服务网站,一旦受到黑客攻击,不仅影响XXXX的正常工作,降低网站的公信力,严重的情况下会导致重要信息的泄密,危及公司形象。
2.2网站存在的安全问题
根据XXXX年XXXX月对XXXX门户网站所做的安全评估报告显示,虽然XXXX门户网站的服务器本身没有直接可利用的远程安全问题,但部分WEB程序代码存在严重的安全隐患,参见下表:
XXXX门户网站的安全问题列表:
编号
程度
影响系统
漏洞名称
1
严重
SQL注入
2
中等
网站后台登陆地址
3
XSS跨站脚本
4
敏感信息泄漏
5
2.3问题信息描述
1、漏洞名称:
漏洞等级:
²
详细信息描述:
可能的危害:
l
加固建议:
2、漏洞名称:
上述安全隐患若不及时修复有可能导致网站页面被篡改、网页木马传播、后台数据库信息被篡改或盗窃,严重影响XXXX的正常业务运营,有损XXXX的公司形象。
为确保XXXX门户网站的安全健康运行,本期方案特给出如下安全建议。
3安全方案设计思想
3.1安全建设原则
网站安全是一项动态的、整体的系统工程。
从技术上来说,一个网站所应采用的相应安全技术主要包括:
防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、安全事件紧急响应体系等。
本期针对XXXX的门户网站安全解决方案主要遵循以下几个原则:
n应用安全产品符合信息系统安全的国际标准和国家标准;
n对安全产品要采取硬、软结合的方针;
n应用安全产品的部署不能成为信息系统运行的瓶颈;
n应用安全能覆盖XXXX相关的WEB应用;
n完整性:
应用安全建设必需保证整个防御体系的完整性。
一个较好的安全措施往往是多种方法适当综合的应用结果。
单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
n动态性:
随着WEB应用脆弱性的改变和威胁攻击技术的发展,使WEB应用安全变成了一个动态的过程,静止不变的产品根本无法适应WEB应用安全的需要。
所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
n专业性:
攻击技术和防御技术是信息安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。
n易用性:
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
3.2安全实施策略
本期安全方案重点是对XXXX门户网站的安全提出合理、有效的安全建议。
因此,拟从以下两个方面着手:
n从如何全面掌握XXXX门户网站的安全问题,制定合理的风险规避措施的角度出发;
n从如何确保XXXX门户网站的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险的角度出发;
通过以上的几个指导原则,我们在实际实施的时候采用如下策略:
n使用不同等级的安全产品进行集成,根据网站和应用系统的不同安全等级需求,选用合适的安全产品,可以有效的减少系统投资。
n在产品选型时,需要厂家可以提供客户化支持服务产品。
只有这样才能保证系统的安全是可以用户化的,才能有针对的为用户的应用和业务提供安全保证。
国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。
使产品更加适合用户的实际需要,而不是一般的通用性产品。
n采用可提供本地化服务的厂家的产品。
可以提供本地化服务产品对用户的安全至关重要,可以及时提供应急安全响应服务,如在黑客入侵事件发生的时候,可以在第一时间进行响应,最大程度的保护用户利益。
n在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。
n产品在使用上应具有友好的、全中文支持的用户界面,使用户在管理、使用、维护上尽量简单、直观。
4总体安全规划
根据上述安全方案设计思想,针对可能出现的安全漏洞,本期方案建议采用各类WEB应用防御设备或采用防御软件,对网站面临的安全威胁、安全漏洞进行实时监控,主动防御来自各个层面的恶意攻击,提升XXXX门户网站的可持续服务能力。
4.1门户网站安全防御建议
对于信息发布类栏目,确保网站信息的完整性与真实性是首要的任务;
对于网上互动类栏目,确保数据的真实性、完整性、保密性是首要任务。
据于上述分析,本期提出以下两种建议方案:
方案一:
建议部署一台明御WEB应用深度防御系统对网站服务器群进行保护,即对网站的访问进行7x24小时实时监控。
(注:
该系统已经使用于浙江省公安厅、浙江省教育考试院网上查分系统、浙江电信网上营业厅系统等)
通过WEB应用深度防御系统的部署,可以解决网站所面临的各类网站安全问题,如:
SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。
防止网页篡改、被挂木马等严重影响公司形象的安全事件发生。
方案二:
在每台门户服务器上部署安恒公司的明御网站卫士防御软件,对XXXX网站及票务网站实行7X24小时的实时监控,保护相关栏目的页面不被篡改,避免网页篡改给公司带来的形象损害;
解决网站面临的WEB攻击、网页挂马等安全问题。
4.2方案优势概述
通过明御WEB应用深度防御系统的部署,完全解决网站所面临的各类WEB应用攻击,包括已知攻击(如:
注入攻击、跨站攻击、表单绕过等)、变形攻击及未知攻击,同时可以达到实时监控和事后追溯准确分析的完整解决方案。
明御WEB应用深度防御系统的优势和功能在于:
n全方位的攻击防护:
防止各类对网站的恶意攻击和网页木马等,确保网站安全健康运行;
n不仅能够保护网站代码防止受到诸如跨站脚本、SQL注入、恶意文件包含等等已知及未知攻击,还可以限制未授权用户透过网站访问数据中心,防止不明入侵者的所有通信流程。
n采用智能异常引擎及关联引擎准确识别复杂攻击,有效遏制应用层DDOS攻击。
n高效力的事件追溯:
依靠高速环境下的线速捕获技术实现100%的数据捕获,通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据。
n对各类访问流量进行7x24小时监控;
n高性能:
该系统不影响任何目前的网站系统的性能,同时流量处理性能高;
n部署灵活:
可采取直连或者旁路部署模式,在无需更改现有网络结构及应用配置的情况下,可以对网站应用实时监控;
主要功能点:
序号
技术参数及规格要求
通过公安部检测并获得国家公安部计算机信息系统安全专用产品销售许可证;
具有自主知识产权及软件产品登记证书
省级以上应用案例不少于2个;
取得国内大型安全会议相关奖项,并且有公安网监部门的实际应用和推荐。
采用高性能应用架构设计,满足监控与防御的实时性要求:
旁路模式:
即非在线模式,重点体现监视作用,对现有网络和应用完全透明,支持与国内外主流交换机或防火墙连动的阻断工作模式;
直连模式:
即在线模式,重点体现完全的控制能力,支持亚毫秒级的延迟,能够实现实时阻断操作;
设备自身具备高可靠性保证,支持物理级Bypass,软件级WDT
编码支持:
系统至少支持中文简体和英文,UTF8三种编码的分析处理。
支持所有的WEB应用开发环境,
支持所有的ApplicatonServer,如:
IIS、Websphere、Weblogic、Apache等;
支持所有的WEB应用编程语言,如:
Asp、Jsp、.Net、J2EE、Php等;
支持所有典型数据库的注入攻击检测,包括商用数据库软件及免费数据库软件,如:
Oracle、MSSQLServer、DB2、Sybase、Informix、Mysql、Access等。
防御功能
6
常见WEB攻击防御:
可以自动、准确阻断以下常见的WEB应用层攻击:
跨站点脚本(XSS)、注入式攻击,包括SQL注入、命令注入、恶意编码、非法编码、已知弱点和错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、Cookie更改、输入信息控制、密码字典、弱密码、Routerdetours、MaliciousMorphig等“中间人”攻击、钓鱼
7
未知攻击防御:
双引擎技术智能识别已知攻击或未知攻击,除了有特征引擎对付各类常见的Web攻击,还有智能异常引擎对付未知的攻击或者0-天Web攻击及各类已知攻击的变形。
8
复杂攻击防御:
使用关联引擎对不明显的攻击行为进行关联攻击验证。
9
应用层DOS/DDOS防御:
使用异常统计分析引擎实现基于Web浏览行为的DOS/DDoS攻击防御。
10
网络访问控制:
提供动态更新的黑白名单管理,限制恶意或未授权用户访问WEB应用。
11
支持动态建模:
通过智能自学习,提供快速创建合法应用行为的正向安全模型。
自学习周期可以灵活配置;
自学习客户端可以灵活配置;
安全模型动态更新;
管理及审计功能
12
提供灵活的管理配置:
可以灵活支持对负载均衡工作模式下的服务器群组配置保护策略;
提供灵活的阻断设备配置与管理及引擎加载配置;
13
支持多种实时告警方式:
屏幕告警、邮件告警、短信告警、Syslog、SNMP
14
提供灵活的告警查询:
包括高危事件自动筛选查询、组合条件的自定义查询、定义显示列、任意列重新排序、支持CSV格式导出
15
提供基于console模式的参数配置,包括设备IP、路由、初始密码设置等
16
提供灵活的数据维护功能:
支持手动备份与自动备份两种工作模式;
备份策略可以自定义;
17
支持独立工作模式的事后追溯和审计:
18
报表方式:
提供可定制的多样化的统计分析报表,为网络安全监管提供决策支持。
支持Word、Excel、PowerPoint、Pdf、Html、Postscript格式的报表输出;
19
用户界面:
所有管理页面提供全中文支持;
在线帮助文档提供全中文支持;
设备自身提供严格的权限管理机制,所有操作必须通过鉴权登录方可执行;
大数据量的展现提供分页显示,每页的显示条目数允许管理自己设置;
20
管理方式:
支持HTTPS。
21
升级模式:
同时支持自动升级与手动升级。
通过网站卫士软件的部署,可以解决XXXX门户网站所面临的注入攻击、跨站攻击、网页挂马、页面被篡改等安全问题,
明御网站卫士软件的优势和功能在于:
n防攻击:
通过多层次的安全检测,大大增强了Web服务器的安全性,有效解决了注入攻击、钓鱼攻击、网站挂马等安全问题。
ü
全面遏制针对网站的各类WEB应用攻击;
多层次的安全分析:
通过对URL分析、文件扩展名分析、Cookie检测、用户帐号检测、浏览器头信息检测、提交内容检测等有效防御网站攻击;
对各类访问进行7x24小时监控,发现攻击行为及时阻断;
n实时的网站防篡改:
采用最先进的底层文件级保护技术实现对指定目录或文件的权限控制,实时阻断对网站文件的非法操作;
基于内置的安全模板、完全自定义的安全策略、线速过滤技术全面保护网站的静态/动态页面,防止站点文件被恶意篡改。
对网页内容进行实时的操作监控,发生非法操作及时告警或阻断;
n避免网站下线,降低无形资产损失,提升用户形象;
n确保业务可持续性、避免客户流失和交易纠纷;
WebProtector通过防攻击、防篡改两大子系统多个功能模块的组合为网站建立起全面、立体的防护体系:
防攻击:
采用专利级Web入侵检测技术对网站进行多层次的安全检测分析,有效保护网站静态/动态网页及后台数据库信息。
l识别、阻止SQL注入攻击
l识别、阻止跨站攻击
l识别、阻止钓鱼攻击
l识别、阻止表单绕过
l识别、阻止批量挂马
l识别、阻止其他已知/未知&
变形攻击
防篡改:
支持多种保护模式,防止静态和动态网站内容被非法篡改。
l新一代内核驱动级文件保护,确保防护功能不被恶意攻击者非法终止
l采用核心内嵌技术,支持大规模连续篡改攻击防护
l实时检测与内容恢复,完全杜绝被篡改内容被外界浏览
l支持断线/连线状态下篡改检测
l支持多服务器、多站点
l保护各种类型文件:
如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。
5厂商介绍
杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒”,核心成员来自美国硅谷、德国、加拿大及业内著名安全厂商、电信运营商、大型上市公司,国内总部设在杭州,并在北京、上海、山东、江西等地设有分支机构。
安恒核心团队拥有多年互联网应用安全攻防、WEB应用和数据库安全防御和审计的深厚技术背景与丰富安全实践经验,以全球领先具有完全知识产权的安全技术,致力于为客户提供WEB应用和数据库系统风险深度检测、防御审计、安全评估、安全加固及安全体系管理等全面解决方案。
公司拥有两大系列的自主研发产品:
明鉴、明御,即:
明鉴WEB应用弱点扫描器、明鉴数据库弱点扫描器、明御WEB应用深度防御系统、明御数据库审计与风险控制系统、明御网站卫士。
作为2008北京奥组委安全产品和服务提供商,2008年9月安恒信息被2008北京奥运会组委会授予08奥运安全保障杰出贡献奖。
5.1国际知名的安全研究专家团队
安恒在信息安全领域拥有一支强大技术实力和攻防经验的专家和研发团队。
公司的主要创始人都是国际知名的WEB应用与数据库安全专家,对信息安全技术研究极具创新能力。
n范渊:
杭州安恒信息技术有限公司CEO&
CTO
范渊先生,毕业于美国加州州立大学,计算机科学硕士。
国际著名安全公司十多年的技术研发和项目管理经验。
对在线安全,数据库安全和审计,Compliance(如SOX,PCI,ISO17799/27001)有极其深刻的研究。
由于他在信息安全领域的技术创新的成功实践,成为第一个登上全球顶级安全大会BLACKHAT(黑帽子)大会进行演讲的中国人,拥有CISSP、CISSA、GCIH、GCIA等证书。
目前是OWASP中国分会副会长、2008北京奥组委安全组成员、浙江省信息安全协会安全服务委员会主要发起人。
nAlexanderKornbrust:
杭州安恒信息技术有限公司首席科学家
Mr.Alexander是全球数据库安全领域的顶级专家之一,对数据库安全技术研究具有极其领先的技术实力。
每年提交几十个0-DAYBUG给ORACLE等主要数据库厂商。
公司拥有超过五十人具有丰富WEB应用和数据库安全扫描、防护开发经验的专业团队,从事产品的研发和安全研究。
5.2全球领先的专利技术
安恒目前拥有两项国际领先的完全自主知识产权的信息安全领域专利技术:
nWEB应用安全深度扫描(专利号:
US60/835471)
nWEB和数据库入侵异常检测(专利号:
US60/835472)
国内专利已经申请完毕。
5.3公司历程
2005年:
安恒(DBAPPSecurity)创始人范渊(Frank)在美国拉斯维加斯世界黑客大会(Blackhat)上发表网站深度防御演讲,成为第一个登上黑帽子大会的中国人。
2006年:
安恒(DBAPPSecurity)创始人范渊(Frank)在美国黑帽子大会发布全球首款具有网站深度风险扫描和审计渗透能力的Web应用风险扫描器。
2007年10月:
安恒发布国内首款真正意义上的WEB应用防火墙----WEB应用深度防御系统。
2007年11月:
安恒发布国内领先的数据库风险扫描器、数据库防御和审计系统。
2007年12月:
安恒发布全球首款既有深度网站风险扫描能力,又具备全面网页木马检测与溯源功能的Web风险深度扫描系统2.0版本。
2008年1月:
安恒发布业界首款集防攻击、防篡改为一体的新一代网站防篡改系统。
2008年5月:
安恒安全研究团队在应急响应中首次发现并处理了全球性的网站群注风暴攻击,并且在国内首家发布了红色预警。
2008年7月:
安恒推出国内首个基于SAAS模式的WEB应用安全服务平台。
2008年9月:
安恒荣获2008北京奥运会/残奥会信息网络安全保障杰出贡献奖。
5.4成功案例与典型客户
安恒公司以“专业的安全服务团队、自主知识产权的安全产品、长期的安全经验积累、实时响应的专家服务模式”赢得了国内/外众多客户的青睐,客户涵盖“政府、运营商、金融、公安、税务、工商、证券、期货、教育、能源、电子商务及企业”等各个领域,部分国内客户名单如下:
政府:
n 浙江省科技厅 浙江省人事厅
江苏省劳动和社会保障厅 江西省信息产业厅
浙江省教育考试院 浙江省广播电视局
……
运营商:
中国电信浙江公司 中国移动浙江公司
中国联通浙江公司 中国移动陕西公司
……
金融/证券/期货:
中信银行
浙江省农村信用社联合社
升级会员 