3 多层防护系统建设
网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。
从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。
所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。
网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。
主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。
监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过FTP、TELNET等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
防护体系结构图
3.1 网站系统的安全检测
3.1.1 网站WEB应用弱点扫描子系统
主要功能:
n 深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及WEB应用列表
n WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等)进行深度检测
n 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位
n 渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据
n 配置审计:通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息
系统特点:
n 全面、深度、准确评估WEB应用弱点,有效提高主动防御能力
支持的WEB应用类型:
支持所有类型的动态页面
支持HTTP 1.0和1.1标准的Web应用系统
支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描
支持基于HTTPS应用系统的检测
支持的数据库类型:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access等
支持的弱点类型:
SQL注入检测 XSS跨站脚本检测 伪造跨站点请求检测
网页木马检测 隐藏字段检测 第三方软件误配置检测
表单绕过检测 AJAX注入检测 中间人攻击检测
弱配置检测 敏感信息泄漏检测 HI-JACK攻击检测
表单弱口令检测 Xpath注入检测 GOOGLE-HACK检测
数据窃取检测 Cookies注入检测 其他各类CGI漏洞检测
灵活可定义的扫描工作模式:
支持先爬行后检测、只检测现有URL、只爬行网站等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全模式自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复
支持多任务、多线程扫描
支持任意扫描例外设置
深度智能扫描引擎:
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
3.1.2 数据库弱点扫描子系统
系统融合有权威数据库安全专家数年的安全经验与技术积累,是全球创新、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令及数据库潜藏木马的功能。
主要功能
数据库弱点扫描子系统由系统管理、项目管理、安全扫描、报表管理几大模块组成。
其中:
n 风险趋势管理:通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的变化,从而实现基于基线的风险趋势分析
n 弱点检测与弱点分析:根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测
n 弱口令检测:依据内嵌的弱口令字典完成对口令强弱的检测
n 补丁检测:根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测
n 项目管理:按项目方式对扫描任务进行增/删/改管理
n 报表管理:提供扫描报告的存储、查看、多文件格式导入/导出功能
n 扫描预通知:向被扫描的数据库发送预扫描通知,及时提醒数据库管理员
n 系统管理:提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测
系统特点
n 权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库
n 深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补丁、木马”深层次安全检测及准确评估
n 完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等
n 独特的木马检测:通过专用的基线扫描发现数据库潜藏木马
n 优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化
n 丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,并提供弱点分级以及相应加固建议方案
n 方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置
3.2 主动防御体系的建设
3.2.1 网站防攻击子系统
防攻击子系统是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内创新的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。
系统功能:
l 深度防御
防攻击子系统基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):
- ü SQL注入
- ü 命令注入
- ü Cookie 注入
- ü 跨站脚本(XSS)
- ü 敏感信息泄露
- ü 恶意代码
- ü 错误配置
- ü 隐藏字段
- ü 会话劫持
- ü 参数篡改
- ü 缓冲区溢出
- ü 应用层拒绝服务
- ü 弱口令
- ü 其他变形的应用攻击
Web应用加速
系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。
- 敏感信息泄露防护
系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
- 策略配置
自定义策略配置
- 告警
实时告警,支持邮件、短信等多种方式告警。
- 系统报表
支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。
系统特点
- 专利级WEB入侵异常检测引擎
独有WEB入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击,为防御的准确性和高效性提供了基础。
- 支持全透明部署
业界创新支持全透明部署,无需更改原有的DNS或IP配置,对原有应用不会造成任何影响。
- HTTPS支持
国内创新全面支持HTTPS,实现各类高安全要求WEB应用系统的深度实时防护(如网银、证券交易等)。
- 支持多保护对象
支持多台主机对象的保护,包括不同域名不同IP,不同域名相同IP的情况
- 支持用户自定义规则库
用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤
- 统一日志平台接口
- 支持阻断、告警、By-Pass等多种应用模式
3.2.2 网站防篡改子系统
网站防篡改子系统是业界创新的新一代网站防篡改系统,采用目前最新服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制,高效实现网页监测、即时内容恢复、杜绝了网站被非法篡改、用户浏览非法内容的可能。
网站防篡改子系统的特点:
- 新一代内核驱动级文件保护,确保防护功能不被恶意攻击者非法终止
- 采用核心内嵌技术,支持大规模连续篡改攻击防护
- 实时检测与内容恢复,完全杜绝被篡改内容被外界浏览
- 支持断线/连线状态下篡改检测
- 支持多服务器、多站点
- 保护各种类型文件:如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。
3.3 监控审计体系的建立
3.3.1 网站应用安全审计子系统
主要功能:
- 全方位的攻击告警:当网站(或其他Web 应用程序)代码受到WEB应用层的已知及未知攻击时,能够提供多形式的实时告警。
- 多协议的访问监控:提供对WEB应用及WEB服务器的访问实时监控及回放功能,为安全事件的快速查询、定位、成因分析、责任认定提供有力的证据。
- 丰富的监控审计:实现用户访问WEB应用的统计分析,如:访问时段统计、攻击源统计、攻击类型统计、受攻击页面统计、访问页面数、访问流量、TOP10请求包长度等。
产品特性:
- 零风险:旁路部署模式,无需改变现有网络体系结构及应用程序,实现应用层的零风险部署。
- 全方位:实现对各类WEB攻击(已知攻击、变形攻击、未知攻击)的全方位、多层次攻击告警。
- 高性能:基于硬件加速技术确保WebMonitor具备高吞吐、低延时,保证了2~7层深度过滤超越千兆性能。
- 高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性,达到99.9999%的可靠性。
- 易操作:充分考虑国内用户的使用和维护习惯,自动实现规则的生成,弥补手工创建及维护安全规则的不足;依靠内置的安全策略配合完全自定义策略,满足不同层次使用人员的个性化需求。
3.3.2 网站数据库安全审计子系统
数据库安全审计子系统安恒自主研发完成的业界创新细粒度审计、精准化行为回溯、全方位风险控制的数据库审计系统。
主要功能
细粒度审计:
有别于传统的简单SQL语句还原,通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段…)
- 全方位的实时审计:实时监控来自各个层面的所有数据库活动。如:来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等
- 通过远程命令行执行的SQL命令也能够被审计与分析
- 完善的双向审计:系统不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计
精准化行为回溯:
- 一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什么时候做的操作?通过什么方式做的操作?)
全方位风险控制:
- 灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件
- 多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员
- 多协议层的远程访问监控:不仅对客户端工具及应用层JDBC、ODBC的访问监控,还支持对数据库服务器的远程访问(如:ftp、telnet)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定
职责分离:
- SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离,系统设置了权限角色分离,如系统管理员负责设备的运行设置;规则配置员负责相关数据库操作规则的设定;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。
友好真实的操作过程回放:
- 对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容
产品特点
- 完整性:全方位审计所有的操作访问行为。
- 细粒度:细粒度的审计规则、精准化的行为回溯、全方位的风险控制
- 有效性:独有专利技术实现对数据库安全的各类风险(攻击风险、管理风险)的有效控制;灵活的、可自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)
- 公正性:基于独立监控审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性
- 零风险:采用旁路部署模式,无需改变现有网络体系结构及数据库配置,实现零风险部署
- 高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性,达到99.9999%的可靠性
- 易操作:充分考虑国内用户的使用和维护习惯,提供Web-based全中文操作界面及在线操作提示
3.4 整体部署功能示意图
郑重声明:此为功能结构示意图,而不是实际的物理网络部署图。
