网站防护方案--通用

1保险协会查询网站安全防护方案©Jan.2020上海天泰网络技术有限公司-2-目录一、网站的安全现状............................................................................................................................................3二、WEB应用成为最大的安全盲点..................................................................................................................4三、保险协会查询网站安全需求分析................................................................................................................53.1、保险协会查询网站的作用............................................................................................................................53.2、网站安全中的薄弱环节................................................................................................................................53.3、网站的安全现状............................................................................................................................................53.4、WEB安全漏洞分析.......................................................................................................................................6四、WEB安全网关防护网站系统......................................................................................................................94.1、设计目标及需求分析....................................................................................................................................94.2、在设备选型时，需要考虑以下几个因素：................................................................................................94.3、WEB安全网关部署的目标和范围..............................................................................................................94.4、WEB安全网关的选型及产品功能一览表.................................................................................................104.5、WEB安全网关的主要功能.......................................................................................................................11附件防火墙的不足..............................................................................................................................................14-3-一、网站的安全现状近年来，国内被入侵的网站多为XX、学校、信息综合门户、知名企业等影响力高、受众面广的网站，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在被入侵的网站中，XX网站成了重灾区。XX网站的比例大于20%，对电子政务构成严重威胁。国家计算机网络应急技术处理协调中心（CNCERT/CC）统计的XX网站被黑客入侵的情况，被入侵的.org.cn网站近1万个，占到大陆网站总体被入侵量的6.25%，这个数字是远远大于.org.cn网站在大陆网站总数内占的比例，可见，黑客对XX类网站的破坏是明显有针对性的。也就是说，一年来，五个XX网站中就有一个被入侵，这个数字实在令人堪忧。而且，近年来，网站被入侵的数目仍以每年2-3倍的速度在不断递增。-4-二、Web应用成为最大的安全盲点根据新近公布的一份现实威胁分析报告，Web应用正成为最大的安全盲点。OWASP最新发布的WEB脆弱性10大排名，给出的各类应用攻击列表中，排在最前面的是跨站脚本攻击，这类攻击通常占针对Web应用的所有攻击的30%至50%。目前黑客攻击所用到的技术一般有以下几类：SQL注入、网络钓鱼、跨站攻击、溢出漏洞、拒绝服务攻击、社会工程学等。目前恶意Web攻击呈指数形式增长，对抗类似威胁的有效方法之一，就是对Web系统进行主动的安全防御：WEB安全网关应运而生。Web安全网关诞生于2006年，经过近两年的发展，已经解决了性能跟不上、功能与检测准确度不够、部署比较复杂、维护难度较高等难题。XXXXX门户网站作为电子政务的窗口和基本服务平台，经过多年的建设，已初具影响。现在系统配置了网络防火墙，但网站系统没有得到有效的防护，随时都有被攻击和篡改的可能。因为防火墙是针对网络层的防护，无法对应用层的攻击进行有效的防护。因此对网站的应用层防护非常迫切。-5-三、保险协会查询网站安全需求分析3.1、保险协会查询网站的作用3.2、网站安全中的薄弱环节目前的信息安全事件还主要局限于篡改网页和直接攻击，当然也不排除更大更严重的安全威胁，如利用网站漏洞侵入后台窃取信息；散播病毒进入系统，使系统瘫痪；干扰XX网站的正常服务等。如黑客通过网页隐蔽地传播木马程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比，更像一个威力强大的“看不见的敌人”，可以暗中控制攻击系统进行很多破坏活动，而且这种攻击将越来越专业化。如此看来，电子政务安全建设一刻都不能放松，尤其是XX门户网站的信息安全问题要纳入电子政务安全体系建设范畴。电子政务信息安全管理不是一成不变的，它是一个动态的过程，但又是一个必须“长抓不懈”的系统过程。随着安全攻击和防范技术的发展，电子政务的安全策略、技术和管理也在不断地发展。通过建立良好的应用安全防范机制，做到技术和管理的良好配合，是实现XXXXX市劳动和社会保障局电子政务信息系统WEB安全风险防范长期有效的重要途径。3.3、网站的安全现状“Web网站使用了防火墙，所以很安全”无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙所能应对的了。“Web网站使用了IDS，所以很安全”通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。“漏洞扫描工具没发现问题，所以很安全”当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。-6-针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如：最为常见的SQL注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所以，一些简单的SQL注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。令人惊诧的是，几乎所有关注Web安全领域的人都会存在着上面我们阐述的误区，而当前Web的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS是主要安全手段，SSL保证了安全性，…”与之相对的是：互联网发展到今天，75％的安全问题竟然是出现在应用程序本身。正如上面介绍的SQL注入攻击一样，这是防火墙、SSL、入侵检测系统无法预防、解决和应对的！如下图所示，目前安全投资中，只有10％花在了如何防护应用安全漏洞，而这却是75％的攻击来源――10％Vs75％，这是多么大的差距！这也是造成当前Web站点频频被攻陷的一个重要因素。当前安全现状统计分析图：3.4、Web安全漏洞分析一个完整的Web防护不仅仅包含了常见的AV、Firewall等防护手段，更需要针对应用本身做好安全防护，这也是解决75％安全漏洞的手段。那么什么样的攻击是防火墙、IDS、或者SSL无法应对的呢，他们又是如何利用应用本身的漏洞进行攻击的呢？下面我们将做详细的阐述。我们通过SQL注入缺陷（InjectionFlaws，排名第二的攻击）对攻击原理进行一下说明。在网站的应用中需要应用到大量的数据库查询检索等功能，例如最简单的例子是网站登陆，用户需要输入登陆名称和密码进行登陆认证。在早期的开发中通常使用最为简单-7-的select语句实现此功能，即select*fromuserswhereusername=“XXXX”andpassword=“XXXX”(假设数据库user表名称为users，用户名和密码字段名称为username和password)。通过截取用户在文本框中录入的字符串，再进行拼接，形成select语句，最终如果表users中有符合此条件的记录（即该用户名和密码），系统将会返回有效记录，从而允许登陆系统中。然而，此开发方法隐藏了一个巨大的漏洞，黑客可以通过SQL注入攻击攻入网站。黑客在登陆界面录入的不是用户名，而是一串字符串(’or1=1--)。黑客的目的是在原本应该录入用户的地方录入了一串字符串，导致整个select语句发生了变化：select*fromuserswhereusername=’’or1=1。熟知Select语句的人知道，在条件语句中，无论用户名称是否正确，由于1＝1永远是正确的，所以select将会将所有users表中的数据返回。最终的结果是，黑客登陆到这个系统中。通过SQL注入攻击，黑客可以轻松的敲入一些sql语句登陆进网站、对隐秘数据进行查询等等。除了注入缺陷攻击，常见的应用攻击还有跨网站脚本攻击、恶意文件执行攻击、不安全直接对象应用攻击、跨站点请求伪造攻击、信息泄漏以及利用错误处理机制展开攻击等等。每种攻击都类似SQL注入攻击，根据应用程序本身的漏洞，对系统进行破坏工作，例如：获取系统权限、获取机密信息、模拟合法用户等等。综上所述，这些利用Web应用漏洞的攻击是Web安全最主要的威胁来源，75％的攻击来源于此，只有使用应用层的防护才能够对网站进行有效的防护。-8-WEB服务的网络拓扑结构在WEB系统的网络出口处虽然部署了网络防火墙，但防火墙也有其自身的弱点。(见附件：防火墙的弱点)-9-四、WEB安全网关防护网站系统4.1、设计目标及需求分析针对目前日益增多的应用层网络攻击