一、产品概述
1.1 WEB安全背景
随着互联网建设的飞速发展,用户在体验互联网带来的无尽的共享资源的同时,网络威胁也随之而来,病毒感染,木马入侵,黑客攻击等时时刻刻都在进行着,对于网站来说,也存在同样的问题。据专业调查机构研究,发现站点目前存在最大的威胁是应用层的WEB攻击和网页篡改问题,很多政府网站的站点安全也越来越紧急。
在计算机网络应急技术处理协调中心(CNCERT/CC)每个月发布的《CNCERT互联网安全威胁报告》统计:2011年全年,中国大陆被篡改网站的数量为36612个、2011年全年,中国大陆被篡改网站的数量为35488个。且在2012年11月、12月,被篡改的网站数量大幅增加。
互联网日益庞大的使用人群,渗透到世界各个角落。上网已成为人类生活密不可分的一部分,网站逐渐成为政府和企业对外形象的第一窗口。网页篡改事件的屡屡发生,不仅会给政府的公信力和企业的形象造成不良影响,也会给人民群众带去不安定的因素。
另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。更重要的是,企业网站一旦被挂马,其权威性将会受到打击,最终给企业社会诚信度的带来重大影响。
计算机网络应急技术处理协调中心(CNCERT/CC)每个月发布的《CNCERT互联网安全威胁报告》统计:2012年6月到12月,共计有47145个网站被植入后门。(CNCERT/CC 之前发布的安全威胁报告中,没有关于被植入后门的网站数据)。
1.2 网页防篡改系统设计理念
网页防篡改系统在站点采用了两种防范方法,实现对静态区域文件和动态区域文件的保护。
防攻击模块:动态区域文件保护主要是在站点嵌入web防攻击模块,通过设定关键字、IP、时间过滤规则,对扫描,非法访问请求等操作进行拦截;
防篡改模块:静态区域文件保护主要是在站点内部通过防篡改模块进行文件实时监控,发现有对网页进行修改,删除等非法操作时,进行保护,并进行报警。
网页防篡改系统,采取了多层次、多方位、全智能化的安全防范机制,全面地保护站点的安全,自动监控、自动还原,为站点提供了高性能、高可靠的安全保护机制。
1.3 网页防篡改系统开发背景
针对网站的攻击是层出不穷,不仅仅攻击数量在上升,种类也在急剧增加,受攻击范围也在逐步增大,据统计95%以上的Web站点,均被黑客“光顾”过。虽然目前已有防火墙、入侵检测、防病毒等安全防范手段,但各类Web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵篡改页面的事件经常发生、频繁程度惊人。
网站由于建设初期较重视内容建设或可用性建设,往往忽视安全性方面,或是由于网站开发人员关注安全方面的较少,导致目前国内政务网站市场遭受篡改,影响较大。目前,在利益的驱动下,各种攻击形式发生了一定的转变,一方面是由不法分子利用僵尸网络发起拒绝服务攻击;此外,利用网站系统漏洞在网站上进行挂马攻击、SQL注入攻击、还有更多黑客是利用系统、网站程序漏洞进行篡改,以达到炫耀技术水平、窃取数据库信息取得不正当经济利益的目的。总结以上各种网站安全形势,网页被篡改的巨大危害后果:
(1) 反华势力宣扬法功、藏独,严重影响单位形象;
(2) 入侵、窃取机密信息等,严重危害单位业务和竞争力;
(3) 被监管部门勒令下线、整改;
(4) 被Google、百度等搜索引擎屏蔽;
(5) 成为木马传播的媒介,损害访问者的利益:盗取网银、游戏、及时通讯帐号、密码;
(6) 影响正常访问、遭遇客户抵制、投诉甚至起诉。
一般来说,网站安全防范是架设专业防火墙来进行网站保护,特别是对于应用层的攻击,四层防火墙基本上是起不了作用,所以需要专业的基于应用层防护的Web应用防护系统。网页防篡改系统正是针对Web应用安全威胁打造的高性能、高可靠的安全防护系统。
二、网页防篡改系统组成及部署
2.1 网页防篡改系统组成
网页防篡改系统由管理控制端(server)、监控端(agent)和发布端(push)三大模块组成。
管理控制端程序可安装在任何一台服务器上,主要用于配置、管理和查看监控端各种信息,并下发站点安全规则到监控端;监控端程序是安装在web服务器上的,主要是对站点进行保护备份和监测;发布端程序安装在更新服务器上,主要对站点文件进行实时更新。
管理控制端主要用来配置和下发安全策略,提供管理员管理操作监控端和发布端的Web管理界面,并通过传输服务模块和通讯模块负责和监控端的文件传输、日志报警、系统状态等数据。监控端主要包含文件防篡改模块和web防攻击模块。文件防篡改模块主要对站点网页文件或文件夹进行实时保护,实现的是站点静态区域文件的保护;web防攻击模块主要对网页访问进行保护,如防止非法网页请求和SQL注入攻击等,实现的是站点动态区域文件的保护。
2.2 网页防篡改系统部署
在部署网页防篡改系统时,首先需要架设管理控制端,然后,在Web服务器上安装监控端软件,通过在管理控制端的配置监控端认证信息,即可实现管理控制端和监控端之间的安全连接。站点管理员通过管理控制端可以查看监控端的运行情况及日志信息。发布端部署在更新服务器上,负责所有网页内容的更新。
根据用户状况、需求、提供环境的不同,网站卫士可采用不同的部署方式。
(1) 简单部署模式
简单部署方式如图1所示,即把网页防篡改系统的监控端、发布端和管理控制端软件仅部署在一台Web服务器上。Web服务器既接收网页发布,也对外提供Web服务。另外,如果网站管理员需要远程到Web服务器进行维护和更新,可以采用VPN或FTP的方式。这种部署环境比较适合哪些小型的、需要租用专门机构的Web服务器的机构。
在安全考虑上,由于Web服务器对外提供Web服务,需要暴露在外网中。因此,Web服务所在的网页目录更容易遭到攻击。这种部署方式能够在一定程度上防止对网页的直接篡改。但是,由于发布目录和Web服务目录都在Web服务器上(虽然在不同目录上),手段极其高明的黑客有可能找到这个目录并加以篡改。因此,这种部署方式并不能完全发挥网页防篡改系统的安全防护作用。一般情况下,并不建议这种部署方式。
(2) 基本部署模式
基本部署模式图2所示,需要两台服务器。即把网页防篡改系统的监控端软件安装在一台Web服务器上,发布端和管理控制端软件安装在另一台服务器上,用来发布、更新站点文件的内容。
一般来说,发布服务器位于内网中,处于相对安全的环境中。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布端进行,启用监控端的自动发布功能,发布服务器上的任何文件/目录的变化都会自动和立即反映到Web服务器上的相应位置。因此,这种方式具有很好的Web安全防护效果。另外,如果网站管理员需要远程到Web服务器进行维护和更新,可以采用VPN或FTP的方式。这样,发布服务器会自动对前段站点进行更新,同时也保证了数据传输的安全性。
基本部署方式既可以实现具有统一网站编辑部门的组织或机构的集中发布,也可以满足具有多个下属部门独立制作,需要通过互联网远程发布的组织或机构的分布式发布要求。
(3) 扩展模式
扩展模式如图3所示,这种部署方式是基本部署方式的扩展,它把网站卫士系统的发布端和管理控制端软件分别装到了两台独立服务器上。
(4) 标准部署模式
由于现今大多数网站都使用了内容管理系统(CMS)进行网页的编辑、审核、签发和合成等工作,为了满足这些机构组织的需求,安恒提供了这种环境的标准部署方式。如图4所示,该部署方式把 网页防篡改系统的监控端软件安装在一台Web服务器上,发布端和管理控制端直接安装在CMS上,把CMS发布的目录作为发布端的发布目录,这样,无需更改CMS的端口,即可实现发布端对Web服务器文件/目录的更新。
(5) 多WEB服务器部署模式
多Web服务器部署方式适合大型的门户网站,它具有多台独立的Web服务器,它们的网络地址、网络内容是不一样的,甚至操作系统也不一样。它们可以使用一套内容管理系统,也可以使用不同的内容管理系统。部署方式如图5所示,在CMS上 网页防篡改系统的发布端和管理控制端,用于更新主站点Web服务器上的内容;在主站点的Web服务器上安装发布端和监控端,其上的发布端主要用来更新分站点上Web服务器上的内容;另外,需要在各个分站点安装网站卫士系统的监控端。
(6) 多CMS部署模式
部署方案六适合大型的门户网站,其具有多个CMS和多个独立、异构的Web服务器。部署方式如图6所示,在各个CMS上分别网页防篡改系统的发布端和管理控制端软件,多个发布端合成并更新主站点Web服务器上的内容;在主站点的Web服务器上安装发布端和监控端软件,主站点Web服务器上的发布端主要用来更新分站点上Web服务器上的内容;另外,需要在各个分站点网页防篡改系统的监控端。
三、网页防篡改系统实现原理
用户访问网站时,首先要经过WEB防攻击模块的检测,对非法请求,恶意扫描及数据库注入攻击等进行拦截,只有合法的请求被正常响应,然后,由Web站点进行网页文件请求,防篡改模块也会开始工作,对访问网页进行实时规则检查,对网页的篡改及删除等操作进行拦截,并且,产生日志及报警。合法的请求被通过后,最终返回给用户。
四、网页防篡改系统功能
4.1 网页文件保护
通过web防攻击模块、防篡改模块(系统内核层的文件驱动),可对动态和静态网页文件进行完美的保护。按照用户配置的进程及路径访问规则,设置网站目录、文件的读写权限,限制文件目录的增、删、改操作行为,确保网页文件不被非法篡改。
4.2 网络攻击防护
web防攻击模块对每个请求进行合法性检测,只允许规则内合法的访问请求,对非法请求或恶意扫描请求,则立即进行屏蔽,防止SQL注入式攻击。防攻击模块的安全特征库会定期升级,保障其强大的检测和防御能力。
4.3 集中管理
通过管理端集中管理多台Web服务器,监测多主机实时状态,制定保护规则,接收Web服务器的报警和日志信息,并可对Web服务器的日志和报警情况做统计分析。
4.4 网站安全发布
使用传输模块从监控端的镜像站点直接更新受保护的网站目录,数据通过SSL加密传输,杜绝传输过程的被篡改的可能。
4.5 篡改恢复
网页防篡改系统带有同步端程序,在一般情况下WEB服务器保护路径下的网页文件不会被非法篡改,如果WEB服务器上保护路径的见面文件被非法篡改,同步端程序会及时把被篡改的文件同步到WEB服务器上,确保网站内容正常展示。
4.6 实时告警
对非法篡改行为,系统会自动记录报警日志,并通过手机短信、电子邮件、syslog,SNMPTrap等多种方式通知管理员。能对网站攻击做到快速响应,及时应变。
4.7 管理员权限分级
网页防篡改系统权限分为:系统管理员,监控端管理员和日志管理员。
系统管理员:权限最高,可以操作防篡改系统的所有功能。
监控端管理员:只能操作创建用户时赋予权限的监控端。
日志管理员:主要权限是操作网页防篡改系统的日志界面功能。
4.8 系统信息检测
管理控制端机器能记录所有监控端Web服务器的CPU、内存、硬盘,系统的运行时长等应用情况,方便管理员根据提供的硬件信息做升级和维护调整。
业务咨询:159-9855-7370