WEB安全防護解決方案
◆安全挑戰(zhàn)
隨著我國國民經濟和社會信息化進程的全面加快,互聯(lián)網已經成為人們工作和生活不可或缺的部分。越來越多的政府機關、銀行、企事業(yè)等單位為了適應社會的發(fā)展,樹立自身良好的形象,擴大社會影響,提升工作效率,均建立起自己的門戶網站。然而,由于網站是處于互聯(lián)網這樣一個相對開放的環(huán)境中,各類網頁應用系統(tǒng)的復雜性和多樣性導致系統(tǒng)漏洞層出不窮,病毒木馬和惡意代碼網上肆虐,黑客入侵和篡改網站的安全事件時有發(fā)生,甚至有的篡改網站的事件直接升級成政治事件,嚴重危及國家安全和人民利益。
總體而言,網站安全形勢與其重要性不相匹配,其安全性問題當前非常突出,主要面臨以下四大威脅:
■ SQL注入攻擊,導致網頁被篡改或破壞:通過利用SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執(zhí)行惡意的SQL命令,獲得系統(tǒng)或數據庫管理員權限,從而達到網頁篡改或破壞網頁的目的;
■ DOS、DDOS攻擊,導致業(yè)務癱瘓:攻擊在線業(yè)務,造成服務癱瘓,嚴重影響系統(tǒng)的可用性;
■ 跨站攻擊(XSS攻擊),導致信息被盜:攻擊者利用網站程序對用戶輸入過濾不足,輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式;
■ 網站掛馬,導致用戶形象被破壞:攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼,上網者在打開該頁面的時候,這段代碼被執(zhí)行,然后下載并運行某木馬的服務器端程序,進而控制上網者的主機。
◆解決方案
針對上述網站所面臨的安全挑戰(zhàn),天融信提出了"軟硬兼施,協(xié)調防范"的WEB安全防護解決方案,從事前的網站安全掃描、服務器和數據庫加固,事中的、WEB應用安全防護、網站安全監(jiān)測,到事后的應急響應服務,實現(xiàn)"全程"的檢測與控制,真正有效保障用戶網站安全運行。
天融信WEB安全防護解決方案,由以下幾部分組成:
■ WEB安全掃描、服務器和數據庫安全加固
在對網站實施保護之前,天融信安全服務人員采用天融信專業(yè)的安全檢查工具進行WEB掃描、主機操作系統(tǒng)和數據庫掃描等,根據掃描和評估的結果,對網站相關的主機操作系統(tǒng)、數據庫、網絡設備、安全設備等進行加固,確保網站處在安全基線之上;
■ WEB應用安全防護、網站安全監(jiān)控
通過事前的評估與分析,我們明確的對網站防護的重點,在網站運行過程中的安全防護如下:
1) 在用戶網絡接入邊界利用天融信防火墻在網絡層進行相應的安全訪問控制;
2) 在WEB服務區(qū)邊界,利用天融信WEB應用防火墻(WAF)的檢測引擎進行協(xié)議分析、模式識別、URL過濾技術、統(tǒng)計閥值和流量異常監(jiān)視等綜合技術手段來判斷入侵行為,可以準確地發(fā)現(xiàn)并阻斷各種網絡惡意攻擊,從而實現(xiàn)防SQL注入、防跨站攻擊的安全防護;
3) 在WEB服務器上安裝惡意代碼主動防御子系統(tǒng),通過利用信任鏈機制,對系統(tǒng)中所有裝載的可執(zhí)行文件代碼(例如EXE、DLL、COM等)進行控制,所有可執(zhí)行文件代碼在加載運行之間都需要先經過檢驗,只有通過驗證的代碼才可以加載,從而有效地阻止惡意代碼的運行。
4) 在WEB服務器上安裝網頁防篡改子系統(tǒng),采用對象相關(Object-Specific)保護方式來保護網頁不被篡改。即網站管理員可以自行選擇需要保護的網頁文件設定為受控對象,對于每一個受保護的對象,管理員為其設定一個對象相關授權碼,進行實時安全防護;
5) 通過天融信安全管理平臺TopAnalyzer或購買天融信的遠程監(jiān)測服務,進行全局監(jiān)控與分析,實現(xiàn)集中、統(tǒng)一管理。如:網站安全掛馬監(jiān)控、網站安全漏洞監(jiān)控、網站安全內容監(jiān)、網站安全狀態(tài)監(jiān)控、輿情分析等。
■ 應急響應與恢復
信息安全具有動態(tài)性,安全的風險不斷在變化,也就是說沒有100%的安全,如何去根據業(yè)務需求去保護我們的WEB安全,在基礎安全建設同時,我們更要重視對可能發(fā)生的事件要具有相應的應急相應計劃。從另一個角度提高網站的安全性,并確保能夠及時發(fā)現(xiàn)并處理安全事件,不斷地降低網站安全風險。
如下圖示:
圖表 11 天融信網站安全防護解決方案示意圖#p#
◆方案優(yōu)勢
■ 事前、事中、事后全方位防護
網站掛馬的防護是個系統(tǒng)性的工程,必須從全生命周期的角度來有效防范,天融信提出的解決方案也正是從事前、事中和事后三個角度,通過軟硬件結合、綜合管理的方式,對網站進行了全程化的監(jiān)控與響應,保障網站的安全。
■ 專業(yè)的團隊和先進的技術
天融信公司專業(yè)攻防實驗室通過與廠商和國家權威機構的合作,不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息,并將研究成果直接應用于產品,保障了網站防護系統(tǒng)檢測的全面、準確和及時有效,并且WEB應用防火墻基于先進的新一代并行處理技術架構,內置處理器動態(tài)負載均衡專利技術,實現(xiàn)了對網絡數據流的高性能實時檢測和防御。WEB應用防火墻采用基于目標主機的流檢測引擎,可即時處理IP分片和TCP流重組,有效阻斷各種逃逸檢測的攻擊手段。
■ 四大利器加實時監(jiān)測
在具體操作上,天融信網站防護系統(tǒng)的四大利器(惡意代碼主動防御子系統(tǒng)、網頁防篡改子系統(tǒng)、防火墻子系統(tǒng)、運維與監(jiān)控),解決了網站的SQL注入、DDOS攻擊、掛馬、跨站攻擊等四大威脅,充分為網站提供完善防護。針對當用戶網站面臨的主要安全威脅和合規(guī)需求,我們提供監(jiān)測服務,利用天融信網站安全監(jiān)控平臺,來不斷提高網站的安全性,并確保能夠及時發(fā)現(xiàn)安全事件,不斷地降低網站安全風險。
◆應用領域
天融信WEB安全解決方案適用于政府、金融、企事業(yè)單位的網站防護,從基礎防護到遠程安全監(jiān)控運維,均為用戶提供貼身及定制服務,滿足用戶的安全防護需求,如下:
政府:解決政府網站被全改問題,保障政府網站發(fā)布信息所特有的權威性。如天融信協(xié)助某省經信委在電子政務外網建立WEB安全監(jiān)控平臺,對外網中網篡改、網站內容、網絡輿情等進行監(jiān)測。
金融:解決金融網站SQL注入、DDOS攻擊問題,保護金融網站的高可用性和數據的完整性;
企業(yè):解決企業(yè)被掛馬問題,保護企業(yè)形象。