Web安全防护,何去何从.doc

Web安全防护，何去何从？Web安全威胁形势严峻随着国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注： “1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站，近年来各种Web网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体Web安全威胁形势日益严峻，Web安全防护该何去何从？Web安全威胁的根源分析Web网站的安全事件频频发生，究其根源，关键原因有二：一是Web网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层，底层是操作系统，中间层是Web服务程序、数据库服务等通用组件，上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁，而很不幸的是，这三层架构中任何一层都不可避免地存在安全漏洞，底层的操作系统（不管是Windows还是Linux）都不时会有黑客可以远程利用的安全漏洞被发现和公布；中间层的Web服务器（IIS或Apache等）、ASP、PHP等也常会有漏洞爆出；上层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。另一方面，目前很多Web网站的防护设备和防护手段不够完善，虽然大部分网站都部署了防火墙，但针对Web网站漏洞的攻击都是应用层的攻击，都可以通过80端口完成，所以防火墙对这类攻击无能为力；另外，有些网站除了部署防火墙外还部署了IDS，但IDS无法实时阻断攻击，并且检测精度有限，仅能起到一定的事后查看作用。基于以上两个原因，Web网站事故频发也就不足为奇了，如图1所示。图1 Web网站安全威胁的根源分析基于以上分析，要提高Web网站的安全性，一方面要尽量减少网站的安全漏洞，如通过及时给网站进行补丁更新，或通过网页代码检视来减少网页漏洞，但这方面的作用还是有限的，因为获得补丁的时间往往会迟于漏洞发现的时间，并且Web网站有时还会因为业务连续性或兼容性而不方便打补丁，另外，很多网站的网页程序开发工作量大，很难通过代码检视来避免漏洞。所以，要提高Web网站的安全性，还必须同时从增强防御手段入手，当前主流的应用层安全产品IPS是保护Web网站安全的有效设备。IPS：Web网站安全守护者有别于防火墙网络层的基础安全，IPS可以深入应用层，会检测从报文头到报文负载的每一个字节，将数据流与攻击特征进行比对，从而有效发现隐藏在正常数据流里的攻击报文；同时，有别于旁路部署的IDS，在线部署的IPS检测到攻击报文后，可以实施阻断攻击，确保目标系统的安全。IPS可以防范包括漏洞利用、SQL注入、跨站脚本、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁。IPS实现Web网站安全防护的两项关键技术是：一是入侵防御引擎技术；二是漏洞/攻击特征库技术。利用这两项技术，IPS可以针对Web网站的三层架构的每一层都提供防护。H3C IPS采用华三公司自主知识产权的FIRST（注：FIRST，Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎，FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，其数据流程图如图2所示。图2 H3C IPS的FIRST引擎H3C还有一套完善的漏洞/攻击特征库提取机制，H3C组建有一支由40多位资深专家组成的攻防研究团队，在北京、杭州建立了两个攻防实验室，同时与微软、卡巴斯基、Commtouch等业界知名厂商建立了攻防研究方面的合作关系。H3C攻防研究团队会通过多种途径第一时间发掘、获得最新的漏洞信息和最新的攻击手法，并会马上投入研究和分析，提取出攻击特征规则，经验证发布后自动分发到H3C IPS上，以确保H3C IPS能防范最新的漏洞和攻击手法。H3C IPS的特征库研究、提取、发布流程如图3所示。图3 H3C IPS的特征库研究、提取、发布流程利用H3C IPS的以上两项核心技术，H3C IPS可以针对Web网站的三层架构的每一层都提供防护。针对Web网站的底层操作系统层面的防护，H3C攻防研究团队分析跟踪了常见操作系统的每一个可以被远程利用的系统漏洞，分析了漏洞的成因和利用该漏洞的报文在结构和时序上的各种条件，提取出了相应的攻击特征规则，从而可确保部署在Web网站前端的IPS可以实时防范利用底层操作系统漏洞的攻击。尤其，针对微软的Windows操作系统漏洞，因为H3C通过了微软的MAPP认证（/security/msrc/collaboration/mapppartners.aspx），可以提前获得微软的漏洞信息，确保了H3C IPS可以领先一步提供漏洞防护。针对Web网站中间层的Web服务器（IIS或Apache等）、ASP、PHP、数据库服务等组件的防护，H3C攻防研究团队分析跟踪了Web服务器常用中间层组件的大部分漏洞，在IPS上提供了相应的防护措施。H3C IPS在漏洞防护方面通过了国际权威安全组织CVE（Common Vulnerabilities & Exposures，通用漏洞披露）的兼容性认证（/compatible/compatible.html ），确保了H3C IPS在漏洞防护方面的专业性和全面性。针对Web网站的上层的内容和业务相关的网页程序防护，IPS产品会分析防护网页程序的每一个HTTP请求，根据常见网页漏洞（如SQL注入漏洞、XSS跨站脚本漏洞）原理对每个客户端提交的HTTP请求进行攻击特征匹配，可以将攻击报文实时阻断。图4是H3C IPS防范SQL注入漏洞和XSS跨站脚本漏洞相关的特征规则截图。图4 H3C IPS的Web服务器的上层网页程序漏洞相关的特征规则截图H3C IPS每检测和阻断一个针对Web网站的安全威胁之后，都会记录一条安全日志，安全日志里包含了攻击源地址、目的地址、攻击名称等信息，为Web网站的安全审计和安全优化都提供了全面、方便的依据。H3C IPS：中国IPS第一品牌H3C IPS在各行业的Web网站获得了广泛应用，如政府行业的门户网站、证券行业的交易网站、银行的网银、运营商的网上营业厅和手机支付平台等，部署了H3C IPS的Web网站安全性显著提升，在H3C IPS全面、持续更新的应用层安全防护下，这些网站未发生过网页篡改、网页挂马、信息失窃、非法控制等安全事件。在陕西地震局门户网站使用时，客户评价：“在我局特别关心的安全防护方面，设备上线后，IPS设备在测试期间累计检测到5000条攻击，全部实现了在线阻断，使我局网站没有再发生被非法更改的情况。”；在中国工商银行网银使用时，客户评价：“H3C SecPath IPS在网银出口千兆负载下，一直稳定运行，成功地为工行网银系统、内网网络安全稳定保驾护航。”。在奥运期间H3C IPS为20多家证券、基金机构的交易网站提供安全保障，出色完成奥保任务，获得了券商和证券系统集成商的高度评价；H3C IPS为包括中国工商银行、中国银行在内的10多个网银Web网站提供安全防护，为10多家省级运营商的Web网上营业厅或Web手机支付平台提供了安全防护。H3C IPS自从2005年推出以来，已在5000多家各行业的用