【51CTO.com 綜合消息】隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與普及，目前幾乎所有的高校甚至部分中小學，都采用各類信息系統(tǒng)對學校的各類數(shù)據(jù)包括圖書館管理系統(tǒng)、學生成績計分系統(tǒng)以及對外宣傳服務(wù)平臺等進行統(tǒng)一管理，給學校的數(shù)據(jù)管理帶來便利。然而，不管是在互聯(lián)網(wǎng)或者是校園網(wǎng)，黑客攻擊事件層出不窮，越來越多針對著名高校所進行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進行的數(shù)據(jù)篡改以及惡意掛馬等行為，嚴重危害學?；ヂ?lián)網(wǎng)和校園網(wǎng)安全。對于以名譽及教學質(zhì)量為重的學校而言，風險極大。

本文結(jié)合學校應(yīng)用系統(tǒng)自身的典型架構(gòu)，分析當前學校應(yīng)用系統(tǒng)存在的安全風險以及當前主流安全解決方案的局限性，針對學校應(yīng)用系統(tǒng)存在的安全風險，制定出完善實用的安全解決機制。

1 系統(tǒng)概述

1.1 學校應(yīng)用系統(tǒng)安全概述

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與普及，目前幾乎所有的高校甚至部分中小學，都采用各類信息系統(tǒng)對學校的各類數(shù)據(jù)包括圖書館管理系統(tǒng)、學生成績計分系統(tǒng)以及對外宣傳服務(wù)平臺等進行統(tǒng)一管理，給學校的數(shù)據(jù)管理帶來便利。

然而，人們在享受互聯(lián)網(wǎng)帶來的便捷的同時，也承受著層出不窮的網(wǎng)絡(luò)安全威脅。不管是在互聯(lián)網(wǎng)或者是校園網(wǎng)，黑客攻擊事件層出不窮，越來越多針對著名高校所進行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進行的數(shù)據(jù)篡改以及惡意掛馬等行為，嚴重危害學?；ヂ?lián)網(wǎng)和校園網(wǎng)安全。對于以名譽及教學質(zhì)量為重的學校而言，風險極大。

1.2 典型應(yīng)用架構(gòu)

學校應(yīng)用系統(tǒng)一般至少包括以下多個系統(tǒng)：對外服務(wù)網(wǎng)站、教務(wù)管理系統(tǒng)、圖書管理系統(tǒng)、財務(wù)管理系統(tǒng)以及教職員工信息管理系統(tǒng)等。 

圖一 武漢大學對外服務(wù)網(wǎng)站 

圖二 武漢大學教學管理系統(tǒng)

1.3 安全分析

1.3.1 安全現(xiàn)狀分析

近一段時間，針對學校WEB應(yīng)用系統(tǒng)進行的黑客攻擊行為以及掛馬事件層出不窮，帶了巨大損失。

“復(fù)旦大學”、“廈門大學”等網(wǎng)站被掛馬

“北京大學檔案館”、“中國政法大學社會學院”等網(wǎng)站被掛馬

1.3.2 典型安全措施

目前應(yīng)用系統(tǒng)典型安全防護措施主要通過SSL安全代理、防火墻、IDS/IPS 、軟件防火墻/防病毒四層防護。

1、 防火墻

（1） 只能檢測網(wǎng)絡(luò)層的攻擊

（2） 無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作

（3） 無法動態(tài)識別或自適應(yīng)地調(diào)整規(guī)則

（4） 對WEB應(yīng)用,端口80或443必須開放

2、 IDS/IPS

（1） 只檢測已知特征

（2） 對數(shù)據(jù)層的信息缺乏深度分析，誤報/漏報率很高

（3） 沒有對session/user的跟蹤，不能保護SSL流量

3、 軟件防病毒/防火墻

（1） 被動檢測機制，只檢測已知病毒或木馬

（2） 無法識別外部正常訪問請求

很多用戶認為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報文頭部的ACL）實現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。IDS，IPS通過使用深包檢測的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫進行匹配，從而識別出以知的網(wǎng)絡(luò)攻擊，達到對應(yīng)用層攻擊的防護。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護。

目前由于學校WEB應(yīng)用系統(tǒng)安全解決方案自身的局限性，導(dǎo)致學校WEB應(yīng)用系統(tǒng)無法應(yīng)對日新月異的安全攻擊，特別是目前主流基于WEB應(yīng)用的安全攻擊手段。#p#

2 WEB應(yīng)用威脅

2.1 WEB應(yīng)用安全概述

WEB應(yīng)用系統(tǒng)直接面向Internet，以WEB應(yīng)用系統(tǒng)為跳板入侵服務(wù)器甚至控制整個內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為最普遍的攻擊手段。據(jù)某搜索網(wǎng)站統(tǒng)計，目前70%以上的攻擊行為都基于WEB應(yīng)用系統(tǒng)。WEB應(yīng)用系統(tǒng)安全關(guān)系到整個網(wǎng)絡(luò)站點甚至內(nèi)部敏感信息安全。

目前，大多數(shù)WEB站點與學校內(nèi)部數(shù)據(jù)管理應(yīng)用結(jié)合在一起，特別是大部分學校對外服務(wù)網(wǎng)站都與其內(nèi)網(wǎng)系統(tǒng)相關(guān)聯(lián)，通過入侵WEB應(yīng)用系統(tǒng)，以應(yīng)用服務(wù)器為跳板實現(xiàn)對銀行內(nèi)部系統(tǒng)進一步入侵，由此引發(fā)的信息泄露，信息篡改及重要數(shù)據(jù)破壞等惡意攻擊行為極大著威脅著學校及學生信息安全。筑建網(wǎng)絡(luò)信息安全的第一道防線，基于WEB應(yīng)用系統(tǒng)的防護方法研究迫在眉睫。

2.2 WEB應(yīng)用威脅

2.1.1 WEB應(yīng)用威脅簡介

2008年，國際信息安全權(quán)威組織OWASP提出，目前最具危害性，利用率最高的十大安全漏洞如下：

安恒根據(jù)長期針對網(wǎng)上銀行業(yè)務(wù)系統(tǒng)的安全評估結(jié)果，就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三種網(wǎng)上銀行應(yīng)用系統(tǒng)主要存在問題進行詳細介紹。

2.1.2 SQL注入攻擊

SQL注入漏洞的產(chǎn)生原因是網(wǎng)站程序在編寫時，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，導(dǎo)致應(yīng)用程序存在安全隱患。SQL注入漏洞攻擊就是是利用現(xiàn)有應(yīng)用程序沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，將惡意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的黑客攻擊手段。

SQL注入攻擊技術(shù)就本質(zhì)而言，它利用的工具是SQL的語法，針對的是應(yīng)用程序開發(fā)者編程中的漏洞，當攻擊者能操作數(shù)據(jù)，向應(yīng)用程序中插入一些SQL語句時，SQL Injection攻擊就發(fā)生了。

實際上，SQL注入攻擊是存在于常見的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。  

圖一 SQL攻擊實例

2.1.3 XSS跨站攻擊

跨站腳本攻擊簡稱為XSS又叫CSS (Cross Site Script Execution)，是指服務(wù)器端的CGI程序沒有對用戶提交的變量中的HTML代碼進行有效的過濾或轉(zhuǎn)換，允許攻擊者往WEB頁面里插入對終端用戶造成影響或損失的HTML代碼。

跨站腳本漏洞攻擊不是對服務(wù)器的實際攻擊，而是利用服務(wù)器把訪問該站點的用戶作為攻擊目標。當用戶瀏覽該頁之時，嵌入其中WEB里面的HTML代碼會被執(zhí)行，從而達到惡意用戶的特殊目的，如獲取其他用戶Cookie中的敏感數(shù)據(jù)、屏蔽頁面特定信息、偽造頁面信息、拒絕服務(wù)攻擊、突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置、與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。

XSS漏洞很容易在學校WEB應(yīng)用系統(tǒng)中發(fā)現(xiàn)。XSS漏洞攻擊是最為常見的基于WEB應(yīng)用系統(tǒng)漏洞，面向客戶端的攻擊手段。  

某著名大學XSS跨站演示

2.1.4 表單繞過攻擊

WEB網(wǎng)站采用表單來收集訪問者的用戶名和密碼以確認其是否具有足夠權(quán)限訪問某些保密信息，然后該表單被發(fā)送到 Web 服務(wù)器進行處理。接下來，服務(wù)器端ASP腳本根據(jù)表單提供的信息生成SQL指令語句提交到SQL服務(wù)器，并通過分析SQL服務(wù)器的返回結(jié)果來判斷該用戶名/密碼組合是否有效。表單繞過攻擊就是指利用表單存在的安全漏洞，通過構(gòu)造一些畸形的特殊提交語句，繞過表單安全認證的一種攻擊手段。

例1：某大學分析測試中心后臺管理系統(tǒng)存在表單繞過漏洞，可直接獲取后臺管理權(quán)限。  

例2：某大學教務(wù)處后臺管理系統(tǒng)存在表單繞過漏洞，可直接獲取后臺管理權(quán)限。

#p#

3 多層防護系統(tǒng)建設(shè)

網(wǎng)站系統(tǒng)基本的組成為網(wǎng)站代碼和后臺數(shù)據(jù)，在系統(tǒng)結(jié)構(gòu)方面由WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器構(gòu)成，所以安全關(guān)注方面應(yīng)該涵蓋WEB服務(wù)器的安全及數(shù)據(jù)庫服務(wù)器的安全。

從整體的應(yīng)用安全防護角度出發(fā)，通過網(wǎng)站的整體安全檢測、主動防御、監(jiān)控審計三部分的全面部署，是網(wǎng)站系統(tǒng)的應(yīng)用安全配置達到比較高的水平，促使網(wǎng)站系統(tǒng)運行在比較安全的應(yīng)用環(huán)境。

所以整體多層防護系統(tǒng)由網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)、網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)、網(wǎng)站應(yīng)用安全審計子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫弱點掃描子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)總共7大子系統(tǒng)構(gòu)成，從各個層面和各個角度為網(wǎng)站系統(tǒng)建立立體防御體系。

網(wǎng)站的整體安全檢測由網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)和數(shù)據(jù)庫弱點掃描子系統(tǒng)來完成。首先由網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)通過掃描，快速檢測網(wǎng)站可能存在的SQL注入、跨站腳本、表單繞過、Cookie注入、程序后門等應(yīng)用弱點，根據(jù)檢測結(jié)果能夠針對性的采取有效的安全加固措施。通過數(shù)據(jù)庫弱點掃描子系統(tǒng)能夠有效檢測作為網(wǎng)站后臺支撐的數(shù)據(jù)庫系統(tǒng)，快速識別數(shù)據(jù)庫系統(tǒng)存在的補丁狀況、弱配置狀況等安全隱患，通過有效應(yīng)對，盡可能防范通過各種途徑對后臺數(shù)據(jù)的入侵。

主動防御由網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)共同來完成。防攻擊子系統(tǒng)通過實時檢測和分析所有的訪問請求，識別各類惡意訪問和攻擊，實行阻斷且快速報警，并形成日志。通過防篡改子系統(tǒng)的防護，可以保護網(wǎng)站相關(guān)頁面不被篡改，杜絕非法內(nèi)容的外流，防止由于網(wǎng)頁篡改給單位帶來的形象上及經(jīng)濟上的損失。

監(jiān)控審計通過網(wǎng)站應(yīng)用安全審計子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)實現(xiàn)。網(wǎng)站應(yīng)用安全審計子系統(tǒng)平臺通過深度檢測所有的HTTP訪問數(shù)據(jù)，實現(xiàn)對網(wǎng)站訪問進行7x24小時實時監(jiān)控，通過系統(tǒng)可以一目了了的了解網(wǎng)站被訪問的情況，一旦檢測到異常訪問和攻擊行為，系統(tǒng)會及時報警，并且以各種方式通知網(wǎng)站維護員，從而可以在第一時間采取相關(guān)安全應(yīng)急措施。系統(tǒng)的日志功能，為安全審計提供了基礎(chǔ)，日志信息包括詳細的訪問信息及訪問內(nèi)容，為對各類攻擊及異常訪問的完整追溯提供了基礎(chǔ)。網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)能夠檢視所有的針對數(shù)據(jù)庫服務(wù)器的訪問，除了日常的SQL，還包括通過FTP、TELNET等其他的訪問方式，可以實現(xiàn)后臺數(shù)據(jù)庫運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯。  

防護體系結(jié)構(gòu)圖

3.1 網(wǎng)站系統(tǒng)的安全檢測

3.1.1 網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)   

主要功能： 

◆深度掃描：以風險為導(dǎo)向?qū)EB應(yīng)用進行深度遍歷，獲得后臺數(shù)據(jù)庫信息及WEB應(yīng)用列表 

◆WEB漏洞檢測：對各類典型Web漏洞（如：SQL注入、Xpath注入、XSS、表單繞過、表單弱口令、各類CGI弱點等）進行深度檢測

◆網(wǎng)頁木馬檢測：對各種掛馬方式的網(wǎng)頁木馬進行全自動、高性能、智能化分析，并對網(wǎng)頁木馬傳播的病毒類型做出準確剖析和網(wǎng)頁木馬宿主做出精確定位 

◆滲透測試：通過當前弱點，完全模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對目標WEB應(yīng)用的安全性做出深入分析，并實施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù) 

◆配置審計：通過當前弱點，模擬黑客攻擊，實現(xiàn)數(shù)據(jù)庫的審計功能，獲得后臺數(shù)據(jù)庫連接信息、數(shù)據(jù)庫實例名、數(shù)據(jù)庫版本、數(shù)據(jù)字典等配置信息

系統(tǒng)特點： 

◆全面、深度、準確評估WEB應(yīng)用弱點，有效提高主動防御能力

支持的WEB應(yīng)用類型：

支持所有類型的動態(tài)頁面

支持HTTP 1.0和1.1標準的Web應(yīng)用系統(tǒng)

支持基于NTLM、Cookie、證書認證方式的Web應(yīng)用系統(tǒng)安全掃描

支持基于HTTPS應(yīng)用系統(tǒng)的檢測

支持的數(shù)據(jù)庫類型：

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access等

支持的弱點類型：

SQL注入檢測    XSS跨站腳本檢測   偽造跨站點請求檢測

網(wǎng)頁木馬檢測    隱藏字段檢測    第三方軟件誤配置檢測

表單繞過檢測    AJAX注入檢測    中間人攻擊檢測

弱配置檢測        敏感信息泄漏檢測   HI－JACK攻擊檢測

表單弱口令檢測       Xpath注入檢測    GOOGLE-HACK檢測

數(shù)據(jù)竊取檢測    Cookies注入檢測       其他各類CGI漏洞檢測

靈活可定義的掃描工作模式：

支持先爬行后檢測、只檢測現(xiàn)有URL、只爬行網(wǎng)站等多種掃描方式

掃描方式：簡單模式（單個域名）、批量模式（多個域名）

掃描范圍：當前URL、當前子域名、當前域名、任何URL

支持無人值守模式下的全模式自動掃描

工作方式：主動掃描、被動掃描(Proxy)

掃描深度：支持無限掃描深度

掃描過程可以隨時中斷/恢復(fù)

支持多任務(wù)、多線程掃描

支持任意掃描例外設(shè)置

深度智能掃描引擎：

全面支持SSL

自動過濾重復(fù)頁面

自動檢測所有參數(shù)

支持網(wǎng)頁大小寫敏感/不敏感

3.1.2 數(shù)據(jù)庫弱點掃描子系統(tǒng)

系統(tǒng)融合有權(quán)威數(shù)據(jù)庫安全專家數(shù)年的安全經(jīng)驗與技術(shù)積累，是全球首創(chuàng)、擁有自主知識產(chǎn)權(quán)、專門用于掃描數(shù)據(jù)庫弱點的產(chǎn)品，能夠掃描幾百種不當?shù)臄?shù)據(jù)庫配置或者潛在漏洞，具有強大的發(fā)現(xiàn)弱口令及數(shù)據(jù)庫潛藏木馬的功能。

主要功能

數(shù)據(jù)庫弱點掃描子系統(tǒng)由系統(tǒng)管理、項目管理、安全掃描、報表管理幾大模塊組成。

其中： 

◆風險趨勢管理：通過基線創(chuàng)建生成數(shù)據(jù)庫結(jié)構(gòu)的指紋文件，通過基線掃描發(fā)現(xiàn)數(shù)據(jù)庫結(jié)構(gòu)的變化，從而實現(xiàn)基于基線的風險趨勢分析 

◆弱點檢測與弱點分析：根據(jù)內(nèi)置自動更新的弱點規(guī)則完成對數(shù)據(jù)庫配置信息的安全檢測及數(shù)據(jù)庫對象的安全檢測 

◆弱口令檢測：依據(jù)內(nèi)嵌的弱口令字典完成對口令強弱的檢測 

◆補丁檢測：根據(jù)補丁信息庫及被掃描數(shù)據(jù)庫的當前配置，完成補丁安裝檢測 

◆項目管理：按項目方式對掃描任務(wù)進行增/刪/改管理 

◆報表管理：提供掃描報告的存儲、查看、多文件格式導(dǎo)入/導(dǎo)出功能 

◆掃描預(yù)通知：向被掃描的數(shù)據(jù)庫發(fā)送預(yù)掃描通知，及時提醒數(shù)據(jù)庫管理員 

◆系統(tǒng)管理：提供鑒權(quán)管理、許可管理、日志管理、升級管理及自身完整性檢測

系統(tǒng)特點 

◆權(quán)威的弱點規(guī)則庫：權(quán)威數(shù)據(jù)庫安全專家提供最全面、最準確和最新的弱點知識庫 

◆深度的弱點檢測：提供對數(shù)據(jù)庫“弱點、不安全配置、弱口令、補丁、木馬”深層次安全檢測及準確評估 

◆完備的類型支持：支持業(yè)界主流的數(shù)據(jù)庫類型，包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等 

◆獨特的木馬檢測：通過專用的基線掃描發(fā)現(xiàn)數(shù)據(jù)庫潛藏木馬 

◆優(yōu)異的掃描引擎：掃描引擎確保系統(tǒng)工作時對數(shù)據(jù)庫及服務(wù)器性能影響最小化 

◆豐富的掃描報告：掃描結(jié)果通過靈活的報表呈現(xiàn)給用戶，并提供弱點分級以及相應(yīng)加固建議方案 

◆方便的操作管理：充分考慮國內(nèi)用戶的使用習慣，提供全中文的操作界面，提供向?qū)Ｊ綆椭褂谜咻p松完成掃描項目的配置#p#

3.2 主動防御體系的建設(shè)

3.2.1 網(wǎng)站防攻擊子系統(tǒng)     

防攻擊子系統(tǒng)是安恒結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實踐經(jīng)驗積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI、等級保護、企業(yè)內(nèi)部控制規(guī)范等要求，以國內(nèi)首創(chuàng)的全透明部署模式全面支持HTTPS，在提供WEB應(yīng)用實時深度防御的同時實現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護，為Web應(yīng)用提供全方位的防護解決方案。   

系統(tǒng)功能： 

◆深度防御

防攻擊子系統(tǒng)基于安恒專利級WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等）： 

◆SQL注入 

◆命令注入 

◆Cookie 注入 

◆跨站腳本(XSS)  

◆敏感信息泄露 

◆惡意代碼  

◆錯誤配置 

◆隱藏字段  

◆會話劫持  

◆參數(shù)篡改  

◆緩沖區(qū)溢出  

◆應(yīng)用層拒絕服務(wù)  

◆弱口令  

◆其他變形的應(yīng)用攻擊 

◆Web應(yīng)用加速

系統(tǒng)內(nèi)嵌應(yīng)用加速模塊，通過對各類靜態(tài)頁面及部分腳本的高速緩存，大大提高訪問速度。 

◆敏感信息泄露防護

系統(tǒng)內(nèi)置安全防護策略，可以靈活定義HTTP/HTTPS錯誤返回的默認頁面，避免因為WEB服務(wù)異常，導(dǎo)致敏感信息（如：WEB應(yīng)用安裝目錄、WEB服務(wù)器版本信息等）的泄露。 

◆策略配置

自定義策略配置 

◆告警

實時告警，支持郵件、短信等多種方式告警。 

◆系統(tǒng)報表

支持自定義報表，支持各類導(dǎo)出格式（WORD、EXCEL、PDF、HTML等）。

系統(tǒng)特點 

◆專利級WEB入侵異常檢測引擎

獨有WEB入侵異常檢測引擎，能夠有效分析和識別各類已知和變形的應(yīng)用攻擊，為防御的準確性和高效性提供了基礎(chǔ)。 

◆支持全透明部署

業(yè)界首創(chuàng)支持全透明部署，無需更改原有的DNS或IP配置，對原有應(yīng)用不會造成任何影響。 

◆HTTPS支持

國內(nèi)首創(chuàng)全面支持HTTPS，實現(xiàn)各類高安全要求WEB應(yīng)用系統(tǒng)的深度實時防護（如網(wǎng)銀、證券交易等）。 

◆支持多保護對象  

◆支持多臺主機對象的保護，包括不同域名不同IP，不同域名相同IP的情況 

◆支持用戶自定義規(guī)則庫

用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則，來實現(xiàn)安全檢測及過濾 

◆統(tǒng)一日志平臺接口 

◆支持阻斷、告警、By-Pass等多種應(yīng)用模式

3.2.2 網(wǎng)站防篡改子系統(tǒng) 

網(wǎng)站防篡改子系統(tǒng)是業(yè)界首創(chuàng)的新一代網(wǎng)站防篡改系統(tǒng)，采用目前最新服務(wù)器核心內(nèi)嵌技術(shù)、內(nèi)核驅(qū)動級文件保護技術(shù)、基于事件觸發(fā)式監(jiān)測機制，高效實現(xiàn)網(wǎng)頁監(jiān)測、即時內(nèi)容恢復(fù)、杜絕了網(wǎng)站被非法篡改、用戶瀏覽非法內(nèi)容的可能。   

網(wǎng)站防篡改子系統(tǒng)的特點： 

◆新一代內(nèi)核驅(qū)動級文件保護，確保防護功能不被惡意攻擊者非法終止 

◆采用核心內(nèi)嵌技術(shù)，支持大規(guī)模連續(xù)篡改攻擊防護 

◆實時檢測與內(nèi)容恢復(fù)，完全杜絕被篡改內(nèi)容被外界瀏覽 

◆支持斷線/連線狀態(tài)下篡改檢測 

◆支持多服務(wù)器、多站點 

◆保護各種類型文件：如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等眾多網(wǎng)頁文件及其它各類文檔、圖片、多媒體文件。#p#

3.3 監(jiān)控審計體系的建立

3.3.1 網(wǎng)站應(yīng)用安全審計子系統(tǒng)

主要功能： 

◆全方位的攻擊告警：當網(wǎng)站（或其他Web 應(yīng)用程序）代碼受到WEB應(yīng)用層的已知及未知攻擊時，能夠提供多形式的實時告警。 

◆多協(xié)議的訪問監(jiān)控：提供對WEB應(yīng)用及WEB服務(wù)器的訪問實時監(jiān)控及回放功能，為安全事件的快速查詢、定位、成因分析、責任認定提供有力的證據(jù)。 

◆豐富的監(jiān)控審計：實現(xiàn)用戶訪問WEB應(yīng)用的統(tǒng)計分析，如：訪問時段統(tǒng)計、攻擊源統(tǒng)計、攻擊類型統(tǒng)計、受攻擊頁面統(tǒng)計、訪問頁面數(shù)、訪問流量、TOP10請求包長度等。

產(chǎn)品特性： 

◆零風險：旁路部署模式，無需改變現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)及應(yīng)用程序，實現(xiàn)應(yīng)用層的零風險部署。 

◆全方位：實現(xiàn)對各類WEB攻擊（已知攻擊、變形攻擊、未知攻擊）的全方位、多層次攻擊告警。 

◆高性能：基于硬件加速技術(shù)確保WebMonitor具備高吞吐、低延時，保證了2～7層深度過濾超越千兆性能。 

◆高可靠：提供多層次的物理保護、掉電保護、自我監(jiān)測及冗余部署，提升設(shè)備整體可靠性，達到99.9999%的可靠性。 

◆易操作：充分考慮國內(nèi)用戶的使用和維護習慣，自動實現(xiàn)規(guī)則的生成，彌補手工創(chuàng)建及維護安全規(guī)則的不足；依靠內(nèi)置的安全策略配合完全自定義策略，滿足不同層次使用人員的個性化需求。

3.3.2 網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)

數(shù)據(jù)庫安全審計子系統(tǒng)安恒自主研發(fā)完成的業(yè)界首創(chuàng)細粒度審計、精準化行為回溯、全方位風險控制的數(shù)據(jù)庫審計系統(tǒng)。

主要功能

細粒度審計： 

◆有別于傳統(tǒng)的簡單SQL語句還原，通過對不同數(shù)據(jù)庫的SQL語義分析，提取出SQL中相關(guān)的要素（用戶、SQL操作、表、字段…） 

◆全方位的實時審計：實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動。如：來自應(yīng)用程序發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)庫客戶端工具的操作請求等 

◆通過遠程命令行執(zhí)行的SQL命令也能夠被審計與分析 

◆完善的雙向?qū)徲嫞合到y(tǒng)不僅對數(shù)據(jù)庫操作請求進行實時審計，而且還可對數(shù)據(jù)庫系統(tǒng)返回結(jié)果進行完整的還原和審計

精準化行為回溯： 

◆一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫對象（用戶、表、字段及記錄內(nèi)容）的完全自定義審計查詢及審計數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫的黑盒狀態(tài)（快速掌握：安全事件發(fā)生前后誰對數(shù)據(jù)庫做了操作？做了什么操作？什么時候做的操作？通過什么方式做的操作？）

全方位風險控制： 

◆靈活的策略定制：根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫對象（分為數(shù)據(jù)庫用戶、表、字段）、操作時間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關(guān)聯(lián)表數(shù)量、SQL執(zhí)行結(jié)果、SQL執(zhí)行時長、報文內(nèi)容的靈活組合來定義客戶所關(guān)心的重要事件和風險事件 

◆多形式的實時告警：當檢測到可疑操作或違反審計規(guī)則的操作時，系統(tǒng)可以通過監(jiān)控中心告警、短信告警、郵件告警、Syslog告警等方式通知數(shù)據(jù)庫管理員 

◆多協(xié)議層的遠程訪問監(jiān)控：不僅對客戶端工具及應(yīng)用層JDBC、ODBC的訪問監(jiān)控，還支持對數(shù)據(jù)庫服務(wù)器的遠程訪問（如：ftp、telnet）實時監(jiān)控及回放功能，有助于安全事件的定位查詢、成因分析及責任認定

職責分離： 

◆SOX法案或者專業(yè)職責標準(如PCI)中明確提出對工作人員進行職責分離，系統(tǒng)設(shè)置了權(quán)限角色分離，如系統(tǒng)管理員負責設(shè)備的運行設(shè)置；規(guī)則配置員負責相關(guān)數(shù)據(jù)庫操作規(guī)則的設(shè)定；審計員負責查看相關(guān)審計記錄及規(guī)則違反情況；日志員負責查看整體設(shè)備的操作日志及規(guī)則的修改情況等。

友好真實的操作過程回放： 

◆對于客戶關(guān)心的操作可以回放整個相關(guān)過程，讓客戶可以看到真實輸入及屏幕顯示內(nèi)容

產(chǎn)品特點 

◆完整性：全方位審計所有的操作訪問行為。 

◆細粒度：細粒度的審計規(guī)則、精準化的行為回溯、全方位的風險控制 

◆有效性：獨有專利技術(shù)實現(xiàn)對數(shù)據(jù)庫安全的各類風險（攻擊風險、管理風險）的有效控制；靈活的、可自定義的審計規(guī)則滿足了各類內(nèi)控和外審的需求（有效控制誤操作、越權(quán)操作、惡意操作等違規(guī)行為） 

◆公正性：基于獨立監(jiān)控審計的工作模式，實現(xiàn)了數(shù)據(jù)庫管理與審計的分離，保證了審計結(jié)果的真實性、完整性、公正性 

◆零風險：采用旁路部署模式，無需改變現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)及數(shù)據(jù)庫配置，實現(xiàn)零風險部署 

◆高可靠：提供多層次的物理保護、掉電保護、自我監(jiān)測及冗余部署，提升設(shè)備整體可靠性，達到99.9999%的可靠性 

◆易操作：充分考慮國內(nèi)用戶的使用和維護習慣，提供Web-based全中文操作界面及在線操作提示 

 3.4 整體部署功能示意圖

鄭重聲明：此為功能結(jié)構(gòu)示意圖，而不是實際的物理網(wǎng)絡(luò)部署圖。  

多層防護體系功能結(jié)構(gòu)示意圖#p#

4 成功案例

浙江某著名大學

客戶面臨的問題：

該大學WEB應(yīng)用系統(tǒng)存在嚴重可利用安全漏洞，如SQL注入、跨站腳本以及表單繞過。惡意人員可輕松獲取該網(wǎng)站后臺管理權(quán)限，進行網(wǎng)頁篡改甚至進行網(wǎng)頁掛馬、提權(quán)等操作，最終獲取WEB服務(wù)器控制權(quán)限。同時，由于其內(nèi)部網(wǎng)絡(luò)之間各個業(yè)務(wù)系統(tǒng)，如WEB應(yīng)用系統(tǒng)與教務(wù)系統(tǒng)并未進行嚴格的邏輯隔離，導(dǎo)致惡意人員可在內(nèi)部局域網(wǎng)內(nèi)進行深度入侵，篡改教務(wù)系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)。

解決方案：

建立網(wǎng)站系統(tǒng)的安全檢測系統(tǒng)，對WEB應(yīng)用系統(tǒng)網(wǎng)站以及各個子網(wǎng)站進行定期的安全檢測掃描，在惡意人員進行安全攻擊前，提早發(fā)現(xiàn)可能存在的各類安全隱患，及時進行安全加固，防止存在可利用安全漏洞為惡意攻擊者利用。

在提供WEB應(yīng)用服務(wù)的服務(wù)器前端直連部署主動防御系統(tǒng)，包括明御WEB防火墻與明御網(wǎng)站衛(wèi)士，采用國內(nèi)首創(chuàng)全透明部署的WEB應(yīng)用防火墻硬件設(shè)備以及網(wǎng)站衛(wèi)士放篡改系統(tǒng)相結(jié)合的方式，對網(wǎng)站進行防攻擊、防篡改雙重保護，構(gòu)建安全的學校WEB應(yīng)用系統(tǒng)內(nèi)部環(huán)境。

明御WEB防火墻可以提供針對WEB應(yīng)用層攻擊防御和流量監(jiān)控，完全支持HTTPS加密協(xié)議的攻擊防御。例如：SQL注入攻擊、跨站腳本攻擊、應(yīng)用層DDOS攻擊、表單繞過、緩沖區(qū)溢出、惡意報文攻擊、網(wǎng)頁盜鏈、釣魚攻擊、Cookie注入等攻擊防御，并通過強大的緩存技術(shù)和負載均衡技術(shù)提高網(wǎng)站及網(wǎng)上銀行的訪問速度。

明御網(wǎng)站衛(wèi)士采用目前最先進的WEB入侵檢測技術(shù)、服務(wù)器核心內(nèi)嵌技術(shù)、內(nèi)核驅(qū)動級文件保護技術(shù)、基于事件觸發(fā)式監(jiān)測機制，高效實現(xiàn)網(wǎng)頁監(jiān)測、即時內(nèi)容恢復(fù)、動態(tài)WEB攻擊防護功能，杜絕了網(wǎng)站被非法篡改、非法入侵的可能。

對學校內(nèi)部教務(wù)信息、財務(wù)信息以及學術(shù)論文庫等數(shù)據(jù)庫服務(wù)器前端部署數(shù)據(jù)庫安全審計系統(tǒng)——明御數(shù)據(jù)庫審計及深度防御系統(tǒng)，對數(shù)據(jù)庫的操作進行細粒度、動態(tài)實時的安全審計，保護數(shù)據(jù)庫數(shù)據(jù)安全，并未事后追溯提供依據(jù)。

系統(tǒng)部署圖如下：