安全起航WEB应用金钟罩解决方案(软件版)剖析.docx

安全起航WEB应用金钟罩(软件版)互联网WEB应用安全解决方案WEB安全目前形势国家计算机网络应急技术处理协调中心（CNCERT/CC）统计的2012年3月我国国内网站被攻击者篡改的网站就多达2035多个，政府网站257个，这是一个非常惊人的数字。在2012年的两会期间，全国人大代表、工信部部长李毅中接受采访时称统计显示，2011年中国平均每天有45个政府网站被攻击者篡改。这也从一个侧面反映了我国的Web安全形势的严峻性。自公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布《信息安全等级保护管理办法》以来，各级公安网监部门把调查信息系统的定级对象、确定系统的安全保护等级作为重要工作，对网站系统安全按照1到3级标准，在网页防篡改、防止DDoS攻击、防挂马、防入侵等方面提出了具体的要求，规范了政府、企事业单位网站的安全建设。?随着B/S模式应用开发的发展，企业资源逐渐向数据中心转移并集中，Web平台承载了越来越多的核心业务，Web的开放性给工作方式带来了高效、方便的同时也使业务重要信息完全暴露在危险中。Web应用的威胁主要来自于以下几个部分：WEB开发者安全意识薄弱Web应用程序和服务的增长已超越了当初程序开发人员所接受的安全培训和安全意识的范围，给攻击者留下大量可乘之机。有些已运行的WEB应用系统由于难以更改、或更改成本过高，或系统已加密、或版权问题等原因无法更改也是WEB安全问题的重要原因。网站管理者安全知识薄弱WEB服务器的管理者大多未经过正式的信息安全知识培训，大多数管理者只是比较熟悉WEB服务器的管理以及WEB应用的假设，甚至一部分WEB应用程序的假设都由第三方公司假设。因而导致WEB应用留下大量安全问题，以至于攻击事件源源不断发生。第三方内容存在风险威胁第三方内容是现在网站编程里面经常采用的一个技术，网站的制作者会把本身网页里面嵌入一些第三方网站内容的“指针”。这些网页被客户端浏览器打开的时候，浏览器会根据这些指针去采第三方网站上面的内容，包括图片、文字、flash和一些动态脚本等等。攻击者利用这些内容源对目标进行攻击。攻击者篡改、盗取WEB数据攻击者通过SQL注入等门户网站应用程序漏洞获得网站系统权限后，可以进行网页挂马、网页篡改、修改数据等活动。攻击者可以通过网页挂马，利用被攻击的网站作为后续攻击的工具，致使更多人受害；也可以通过网页篡改，丑化门户网站的声誉甚至造成政治影响；还也可以通过修改网站系统敏感数据，直接达到获取利益的目的。通过WEB应用作为跳板攻击内网攻击者通过获取WEB应用服务器权限作为跳板，并且悄无声息的对内网任意主机发起攻击，可导致内网主机资料被盗、信息泄露等信息安全事件，并且还不能及时发现主机被攻击。传统防护技术的局限性??网站的安全防护解决方案建设，已经成为网络安全建设中的重要和关键任务之一，而传统的防护技术由于历史及产品定位原因有其不可避免的局限性。事实上，很多企业已经部署了防火墙、IPS甚至传统的网页防篡改系统。但为何Web应用攻击事件不断发生，且呈上升趋势？根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上，而现有的IPS、防火墙等安全产品对其未能做到有效的防御。同时，数据也显示超过三分之二的Web站点都存在Web安全漏洞或配置问题，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证 Web 业务本身的安全，才给了攻击者可乘之机。很多用户认为，在网络中部署多层的防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，就可以保障网络的安全性，就能全面立体的防护Web应用了，但是为何基于Web应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。究其根源主要有以下：防火墙目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层是无法检测出来的。防火墙主要通过分析检测IP数据包，基于TCP/IP报文的头部信息，例如源地址、目的地址、源端口、目的端口以及MAC等实现OSI三层至四层的访问控制。防火墙设计之初，无需理解应用层的语言，例如HTML、JavaScript等，也无需理解应用层面的交互与会话，不需要检测URL参数、Cookie内容、表单输入以及其他交互信息等。恶意攻击可通过封装为HTTP请求，从80或443等防火墙开放的应用端口顺利通过防火墙的检测。目前，产品功能定位丰富的安全网关设备，例如UTM等，也具备了攻击检测能力，但基本上都是类似IPS式的攻击防御。入侵检测技术IPS入侵防御系统可看