云数据中心网页安全解决方案

栏目:网络信息安全 发布时间:2014-07-31

应用背景

国家互联网应急中心发布《2012年我国互联网网络安全态势综述》,该报告显示:去年我国网络基础设施运行总体平稳,但安全形势不容乐观,面临的境外攻击威胁依然严重。据监测,去年我国境内被篡改网站数量为16388个,据监测,其中政府网站1802个,分别同比增长6.1%和21.4%。

去年3016个政府网站被植入后门,安卓平台成恶意程序攻击重灾区

网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益。2012年,国家互联网应急中心共监测发现针对我国境内网站的钓鱼页面22308个,接收到网络钓鱼类事件投诉9463起,约占总接收事件数量的一半。

大数据和云平台技术发展将引入新安全风险:

与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是,2012年,黑客倾向于通过隐蔽的危害更大的后门程序,获得经济利益和窃取网站内存储的信息。据不完全统计,2012年,约有50余个我国网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖,其中已证实确为真实信息的数据近5000万条。

恶意代码和漏洞技术不断演进,针对“高价值”目标的高级可持续攻击风险持续加深,严重威胁网络空间安全;信息窃取和网络欺诈将继续成为黑客攻击的重点;移动互联网恶意程序数量将持续增加并更加复杂;大数据和云平台技术的发展引入新的安全风险,面临数据安全和运行安全双重考验。

 

 

 

为此,我司为各云数据中心,云服务提供商(政府,门户网站,公司企业等)提供更快速,更安全,更可靠的网页安全解决方案。

网站是网络中被访问最多的一种服务,也是最容易遭受攻击的。网站直接代表着政府、企业的形象,一旦页面被篡改,将导致企业、政府形象和无形资产的巨大损失。这种攻击方式和攻击后果屡见不鲜。

根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层,2/3的 Web 站点都相当脆弱,易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。

即使部署了层层的应用安全防护设备,网页还是被篡改了!这是因为安全防护并不能百分之百的确保所有攻击都被拦截,因为也不能确保网页不被篡改。聪明的黑客甚至会利用最新的“0”day漏洞获取服务器权限,篡改网页。

  一、网页篡改的途径分析

  (1)SQL注入后获取Webshell:

  (2)XSS漏洞引入恶意HTML界面:

  (3)控制了Web服务器

  (4)控制了DNS服务器

  (5)遭遇了ARP攻击:

二.用户需求

基于网页篡改的现象和问题,某私有云服务提供商提出了具体的安全性要求,对于网站的安全防护主要需要解决的问题和具备的防篡改措施如下:

1、具备防护篡改网站各类攻击的完整安全防御体系。包括针对web应用程序的web攻击;针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等;针对网站服务器群的系统漏洞利用攻击等攻击手段。防止网页篡改需要具备从网络到系统再到应用层面的各类安全威胁的防护能力;

2、具备事后验证网页内容发布合法性的检查。一切发布于互联网或者内网用户的网页内容需要经过篡改与否的合规性检验,防止绕过防御体系潜入网站篡改网页的风险和管理员账号被窃取后正常发布的非法内容发布;

3、具备篡改后应急处理机制。网页被篡改后,需要有良好的善后保障措施和业务承接能力。以便于网站用户访问网站的连续性。

因此网页篡改防护需要能够提供动态防护L2-L7层的攻击,被攻击了也有篡改判定机制做到事后补偿的保护手段,确保网页不被篡改;同时需要具备篡改后应急响应的机制,即使网页内容被篡改了也不会发布与众。

4、避免攻击者对网站的域名服务器进行渗透,获取了域名的解析权限,改变了解析地址以达到篡改的效果;例如:百度被黑事件;

据此4点,设计拓扑如下:

 


三.具体实施功能实现

1.DNS域名解析负载均衡设备,负责公网的域名解析工作,防止DNS的DDoS攻击,预防百度事件的再次发生,避免攻击者对网站的域名服务器进行渗透,获取了域名的解析权限,改变了解析地址以达到篡改的效果;

2.网页服务器集群区域部署WAF网页防护防火墙,具体实现内容如下:

(1)深度内容检测技术,可解析网站交互流量中隐藏的威胁

(2)典型的Web攻击防护,防止Owasp十大web安全威胁

(3)基于应用的漏洞防御,有效防止服务器漏洞利用攻击

(4)多种篡改应急处理机制,确保用户访问网站连续性

1.指定网页

检测到篡改事件时,可将用户的访问重定向引导到预先编辑的显示提示页面。该页面可由管理员预先设定,防止用户访问到被篡改的页面。

2.web服务器

用户可搭建一个备份服务器实现关键页面的实时备份。系统检测到篡改事件后,也可将用户的访问请求重定向到备份的web服务器上,保证用户访问业务的永续性,防止用户访问到被篡改的页面。

(5)快速及时的报警方式,便于应急响应并及时修复