WEB安全防护新思路:双重保护、立体防御

据中国互联网应急中心最新统计显示,2008年我国大陆地区政府网页遭篡改事件呈大幅增长趋势,仅2009年3月我国大陆地区被篡改网站的数量就达到2225个。随着企业和政府越来越多的业务系统采用基于WEB服务方式,互联网在为用户提供方便快捷的同时,针对WEB业务的攻击亦在迅猛增长。

一方面,基于新技术的突破和应用, WEB技术提供的快捷性、交互性和通用性被越来越多的业务系统所采用;而另一方面,病毒、木马蠕虫、钓鱼软件等却又通过WEB服务的方式大肆在互联网上传播,严重威胁到了WEB服务的业务系统。对于用户而言,WEB即敞开了便捷的大门,也让诸如网页篡改、密码盗窃、数据泄漏等安全隐患无处不在。

更为严重的是网站作为政府、企业等部门对外的窗口和实施电子政务、电子商务的重要平台,其安全问题直接关系政府和企业形象,在很大程度上决定了电子政务和电子商务的效率。尤其是,政府网站作为一级政府发布重要新闻、重大方针政策以及法律、法规等的重要渠道,一旦被黑客篡改,将严重损害政府的形象,影响社会稳定。甚至有的篡改将直接导致事件升级成政治事件,严重危及国家安全和人民利益,其安全性问题不容忽视。

当前典型的WEB攻击手段主要有以下几种:

1、利用病毒、蠕虫、木马和间谍软件等恶意代码,破坏WEB系统;

2、利用系统漏洞,使用缓冲区溢出方式获得管理员权限,从而任意修改WEB网站内容,窃取信息;

3、XSS攻击,即跨站脚本攻击。恶意攻击者往WEB页面里插入恶意html代码,当用户浏览该页之时,嵌入其中WEB里面的html代码会被执行,从而达到恶意用户的特殊目的;

4、利用DOS、DDOS等方式,造成服务瘫痪;

5、利用网站应用程序漏洞,采用SQL注入或跨站攻击等方式,获得系统或数据库管理员权限,从而任意修改数据库,达到网页篡改或破坏网页的目的。

在日趋复杂的WEB安全威胁面前,天融信公司推出的集WEB防护网关和网页防篡改系统双重防护能力的天融信网站防护系统,实现了对WEB服务器端和访问WEB服务器的应用层数据流的深度分析。

图 网站安全防护示意图

其中,网页防篡改系统,对基于OS(Windows、Linux、Unix)的WEB服务器、数据库支持系统和特定的中间件处理服务器进行底层加固、上层过滤,控制系统中进程的运行类别以及权限,对进程启动所需要的exe、dll、sys等文件进行完整性度量。如符合策略标准,则允许其正常启动,否则阻止该程序的启动。

当应用程序请求访问某些文件时,需要通过度量模块进行度量,判断是否满足访问权限。这样在权限控制合理的前提下,应用程序只拥有最小权限,即使其被攻击者利用,对系统的威胁也是有限的。

同时,网页防篡改系统会限制WWW服务、FTP服务等访问与WEB无关的其他任何目录及文件,有效的实现了WWW服务和系统中其他应用的逻辑隔离,从而降低WWW服务受攻击的概率。当终端用户的HTTP请求被WWW服务解析之前,过滤引擎首先将其捕获,并与策略规则库中进行特征匹配,如果确定该请求有攻击性质,则丢弃。这样就可以有效防御诸如SQL注入、跨站脚本漏洞、CGI等流行攻击,利用文件过滤驱动技术保护网页和动态脚本不被非法纂改,从而从源头上杜绝各类非法篡改行为。

硬件方面,WEB防护网关借助过滤引擎,实现对基于WEB服务访问攻击的阻挡,从而形成立体防御。

总体来说,本解决方案可以实现以下功能:

1、对未知病毒具备免疫能力

针对市场上传统反病毒产品无法满足机构用户业务安全需求现状,天融信网站防护系统提供了更加积极主动的安全防御措施,不仅可以防范已知的病毒、木马等威胁,而且对未知恶意代码同样具备有效的防范能力。

2、牢固的动态网页防护

天融信网站防护系统通过文件过滤驱动技术对脚本进行检测,从而避免网页和网站结构被篡改。另外还可以对SQL注入和跨站攻击进行有效防护,防止动态网站的数据库被黑客篡改。

3、更有效的网页防篡改技术

不同于市场上常见的网页防篡改技术(外挂轮询技术、核心内嵌技术、事件触发技术),天融信网站防护系统,不再完全依托备份服务器,不仅让安全性能得到提升,同时可以更有效禁止任何非法的网页修改行为。

4、采用内核性能优化和安全加固技术

天融信网站防护系统特有的与上层应用程序无关的安全设计,除了为文件资源提供强制型存取控制、以及特权管理外,还能防止关键应用程序被篡改并且能为关键应用程序定制灵活的保护策略,做到"量体裁衣"。针对网站防护系统中的服务模块,采用多种内核性能优化技术,大大提高了网站防护系统的工作效率以及系统本身的健壮性。

5、更简便的布署与管理过程

目前常见的防止SQL注入的方式,多为在网页代码中加入过滤语句,这样做不仅需要针对不同的网页作不同处理,而且通用性差。为此,天融信网站防护系统采用网络中间层驱动(NDIS)进行过滤,可以支持所有的网站服务。

毫无疑问,今天的WEB已经成为政府和企事业用户所面临的最严重的安全威胁之一,在复杂的攻击形态以及层出不穷的新安全威胁面前,传统的安全防护手段已显得捉襟见肘。作为国内信息安全领域的领导厂商,天融信网站防护系统不仅集恶意代码主动防御、网页文件过滤驱动保护、跨站攻击防护、防SQL注入、抗网络攻击等多个安全功能于一身,而且全面兼顾服务器终端与网络流量的深度检测,实现了用户WEB业务的 "双重保护、立体防御"。