1概述
网站是各个政府及企事业单位的门面,暴露在互联网上,是黑客或不法分子
最喜欢攻击的目标。
随着越来越多的行业逐渐向“云”端迁移,适用于不同行业的“私有云”或者
“公有云”解决方案层出不穷,随之而来的挑战就是大数据的集中存储和集中
分析。特别是随着办公信息化、企业信息化的普及,很多政务系统、OA系统
以及其他对外信息发布系统的上线,也产生了日益庞大的数据。这些数据中
不仅仅包含了正常业务数据同时也包含大量的网络攻击行为。大数据作为
“未来的新石油”,为我们提供了很多信息的金矿。未来的网站安全服务市场,
一定是一个基于云服务的安全运维管理平台。在云计算、IT服务化日渐普
及的今天,企业及成员单位网站迫切需要专业的、综合型的网站安全保护服
务。
1
2网站面临的安全威胁
2.1网站被恶意篡改
由于网站是最重要的信息发布平台,故其真实性的准确表达至关重要。网站
被篡改,会严重损害政府及企事业单位的形象、影响信息准确的表达。相关
的网站主管负责人也要承担相应的管理责任。所以防止网站被攻击者恶意篡
改是最主要的防范工作。
2.1.1篡改形式
网站的篡改主要分为以下三种形式:
1.反动言论式篡改:此类篡改主要是一些对政府政策或现状不满的人,进
行情绪的宣泄或政治主张的表达,此类篡改对类网站的影响最为恶劣,
严重影响了的政府及事业单位的形象和公信力。特别是比较活跃影响比
较广泛的“反共黑客”等政治组织依仗一定的技术先进性和相关势力的资
金支持,对网站安全威胁较大。
2.钓鱼网站式的篡改:主要以插入看似和主站风格相似的钓鱼页面,诱骗
用户使用其功能,来获取经济利益,此类威胁对有着在线交易类的企业
威胁较大。
3.暗链式篡改:暗链”是指看不见的网站链接。它和友情链接有相似之处,
可以有效地提高PR值。因此围绕着搜索引擎优化的“暗链”也成为了危
害网站安全的重要风险。由于网站具有高社会关注度,高访问量,高PR
值的特点,因此对于攻击者而言,针对网站进行“挂暗链”攻击有着非常
高的经济回报。此类篡改主要在网站里插入一些博彩类,色情类的网站
链接,以获取经济利益或炫耀技能。
2.1.2篡改原因
从技术角度分析,网站被篡改通常可能通过如下几类途径:
1.SQL注入攻击获取网站后台权限:
2
如果用户网站存在SQL注入漏洞、SQL盲注漏洞、命令注入漏洞等漏洞的化,则攻击者可以通过使用手工渗透探测,或使用工具诸如啊D、明小子、穿山甲、SQL Map等工具提交非法的SQL执行语句到数据库中,从而对数据库进行暴库。攻击者可以获得存放在数据库中的网站管理员用户名、口令等敏感信息,配合扫描工具扫描到网站管理后台地址。攻击者通过获取网站后台的控制权限或者服务器权限,来使用合法的管理员账户登录并进行篡改。
2.XSS跨站攻击插入HTML代码:
如果用户网站存在跨站脚本漏洞,则攻击者可以通过构造特定的JS脚本、HTML脚本等并将其插入到用户网站中去,没当有用户访问网站,就会自动弹出或这行攻击者构造好的跨站代码,进行执行存储型跨站脚本攻击。
3.通过网站上传漏洞上传木马
如果网站存在文件上传功能并且又没有对上传文件做文件类型、文件内容等方面的安全监测,那么攻击者就可以根绝网站类型直接上传准备好的ASP木马、PHP木马、JSP木马等木马,这些木马往往具有各种控制功能,可以对服务器进行控制,进而对网站进行篡改。
攻击者除了可以通过上传文件型木马外还可以在网站和用户做文字交互的功能位置上传一句话木马,如果服务器未能对上传内容做检测则可能导致木马的上传成功,攻击者可以结合中国菜刀等工具对木马进行连接,并继续后续的攻击,在获取到网站管理员权限后,就可以实现对网站的篡改。
4.弱口令
很多网站管理员为了便于密码记忆,往往对网站管理后台设置弱口令,或者看似口令强度较高,但仍然属于弱口令的密码。攻击者往往可以通过使用人工猜解或者使用字典工具自动猜解的方式获取网站后台的密码,进而对网站进行篡改。
5.CMS建站系统自身的漏洞
网站可能部分使用免费的或收费的CMS建站系统,在这些系统的基础上填充相应的页面内容,主要的建站系统如下:Discuz、Dedecm、Phpwind、Ecshop、PHPCMS、Anwsion、Shopxp、Modoer、WordPress、AspCMS、PhpWeb、PHP168、KingCMS、FCKEditor、Joomla、phpMyadmin、Dvbbs、帝国cms、HDWiki、ESPCMS。而上述建站系统自身的安全得不到保障,从而导致互联网上各种建站系统漏洞被频频爆出,攻击者在获取到网站所使用的建站系统信息后,就可以利用现成的方法对网站进行攻击获取网站后台管理员权限,并对网站进行篡改。
3
6.旁注攻击
管理者往往对门户网站比较重视,对门户网站进行层层防护,而忽视了其他
二级域名网站,甚至单位内部人员私搭乱建一些网站也无法发现。攻击者往
往通过对未做防护的网站进行攻击,获取服务器控制权限。现在很多网站网
站往往共用相同服务器,这样攻击者就可以在获取服务器控制权限后,直接
对服务器上的其他网站进行篡改。
2.2网站敏感信息泄露
网站敏感信息泄露主要包括两个方面。一方面是服务器及网站的敏感信息的
泄露,这个主要是攻击者在攻击渗透的过程中就可以获取,比如数据库的类
型、数据库的表名、数据库列名、数据库中存储的各级网站管理员的用户名
密码、服务器的类型、服务器所使用的语言、服务器Web容器的版本等信息。
攻击者通过获取这些敏感信息继而进一步对网站、服务器、网络进行攻击。
另一方面是用户业务数据,也可能存在多个网站共享数据库的情况,这就导
致攻击者在进行攻击时获取业务数据成为可能,特别是涉及到国家机密及企
业机密信息的数据,危害极其重大。
由于保护措施缺失或失效,最近也引发了一些信息泄露时间,比如###网站
信息泄露事件导致用户的身份证、手机、购票等信息泄露。比如2015年4
月由360补天平台发布的“30余个省份的社保、户籍查询、疾控中心等系统
存在高危漏洞;仅社保信息安全漏洞涉及数据就达5279.4万条,包括身份
证、社保参保信息、财务、薪酬、房屋等敏感信息”。此类信息泄露事件的
发生往往对公民权益和单位公信力造成巨大的负面影响。
2.3网站被插入木马后门
攻击者对网站挂马主要通过两种形式。一种是通过对网站的攻击上传Web
Shell木马后门、一句话木马等以达到获取网站管理权限和控制服务器甚至
进一步对网络进行渗透入侵的目的,这种木马主要是攻击的手段。另外一种
是获取网站或服务器控制权限后在页面挂网马,当用户在访问到挂马网站时
就会执行网站页面的木马程序,弹出色情类、博彩类的页面或者其他页面,
更有甚着会自动下载木马程序到用户本地进而危害用户。
4
2.4网站拒绝服务
由于网站的社会关注度较高,影响力较大,故网站也是攻击者特别是有组织
有预谋的国外攻击者的重点攻击目标。但是由于近年来随着对网站安全的重
视和安全投入的提高,网站的安全建设有了很大的进步。如果攻击者无法找
到网站漏洞并成功实施各种入侵攻击时,就可以通过流量攻击来消耗服务器
的资源,导致网站服务器无法响应正常访问用户的访问请求,而拒绝服务。
特别是在重要会议重要活动期间,网站要实时做信息发布,如果此时网站遭
受拒绝服务攻击,就无法在第一时间向社会传递信息。
拒绝服务主要分为两种,一种是网络层的DDoS攻击,即攻击者通过使用工
具或僵尸网络对网站发动SYN Flood攻击、TCP Flood攻击、ICMP Flood
攻击、UDP Flood攻击、Smurf攻击、Land攻击等大流量的攻击方式,
堵死用户网站出口带宽,导致用户和网站服务器间无法进行请求和响应的交
换,网站无法访问。或者攻击者针对网站的DNS商发动DNS Flood攻击、
DNS放大攻击、DNS缓存投毒、DNS域名劫持等攻击使得DNS服务器无法做
正常的域名解析而导致网站拒绝服务。最具代表性的是今年2016年10月
21日美国最主要DNS服务商Dyn遭遇大规模DDoS攻击导致美国半国家断
网事件。
另外一种拒绝服务是应用层的CC攻击,黑客只需要通过工具或者僵尸网络
模拟正常用户请求方式,发送少量的网站访问请求,就会导致网站服务器进
行大量的响应,从而消耗网站服务器的CPU、内存、端口、连接等资源,资
源消耗殆尽时,就无法对正常的访问用户提供服务。
5
3网站安全防护需求分析
3.1服务范围
完整的网站安全防护方案应该考虑到网站的物理安全、服务器安全、接入控
制安全、Web应用安全、攻击防范、数据安全、安全服务等方面做分析规划。
根据网站安全建设现状,本方案着重对网站攻击防范、网站数据安全两个部
分做分析介绍,网站可以对照本方案查漏补缺。
3.2功能需求分析
3.2.1网站攻击的防护
网站被攻击的根源在于网站开发人员由于未做到安全编码而存在各种漏洞,
通过漏洞扫描器扫描、代码审计、配置核查可以对网站的代码漏洞和配置漏
洞进行很好的管理和修复,通过对后门的清除可以确保网站保持干净的环境,
不被攻击者控制。但是网站管理员受限于网络安全知识、网络安全意识、网
络安全制度、网络安全投入、网络安全技术等方面的不足,往往无法做到上
述对漏洞的检查、管理、和修复。所以对网站漏洞有建立一种常态化的机制
性的防护就显得至关重要。在现实的网站安全管理中安全防护也是最重要的
一个环节。
3.2.2网站篡改防护
网站内容篡改是网站面临的主要安全威胁,网站篡改事件有篡改网站页面传
播速度快、阅读人群多,复制容易,事后消除影响难,预先检查和实时防范
较难,网络环境复杂难以追查责任等特点。特别是一些政治类的篡改对网站
声誉影响非常大,故网站的防篡改工作至关重要。
网站虽然可以做漏洞管理漏洞防护,但如果上述工作未做到位,网站被篡改
是大概率事件,即使做好了上述工作,随着新式网站漏洞的爆发,新式攻击
6
方式的出现,网页篡改也会发生。网站需要在重要的会议及重要事件期间有
响应的网站防篡改的重保措施。
3.2.3网站拒绝服务防护
网站的拒绝服务攻击主要分为两大类,一类是主要针对网络层的DDoS攻击,
一类是针对应用层数据的CC攻击。
DDoS攻击主要特点是分布式、大流量。如果只通过本地流量清洗设备进行
防护,当攻击流量远高于用户带宽时,无论流量清洗设备在防火墙后端如何
进行清洗,用户的带宽已经被打满,站点无法接受正常请求。如果通过网站
安全云防护系统进行安全防护,在DDoS攻击到达网站前就通过全国的负载
分担进行流量清洗,同时通过云防护平台中心的流量建模算法进行流量过滤,
就可以实现全面防御DDoS攻击的目标,是一种非常适合网站安全的可用性
防护方案。
由于是黑客特别是有组织的黑客在重保会议期间重点关注的对象,而对网站
服务的连续性必须做到万无一失,故在日常采用云端防护服务,在重要会议
期间引入运营商协助防护至关重要。
3.2.4网站域名解析的防护
对于网站的安全性保障不仅仅需要保证网站自身漏洞不被利用攻击,网站域
名的安全也不容忽视。现在网民基本是根据域名对网站进行访问,当攻击者
在无法有效查找并使用网站自身漏洞时,可能会对网站域名服务商进行攻击,
使得域名无法解析或者解析到其他错误的或恶意的网站。所以需要对域名解
析的可靠性、可用性和准确性进行保障。
最近发生的美国断网事件就是因为美国最大的域名服务商遭受到了DDoS攻
击而导致无法继续提供域名解析服务而导致的,后果极其严重。
对域名的保护需要域名服务商提供高防DNS能力,要能够防范针对域名解析
服务器发起的DNS Flood攻击、DNS反射放大攻击、DNS缓存投毒、DNS
域名劫持等攻击,现实中很多中小型的域名服务商不具有这类安全防护能力,
故选择具有高防DNS能力的域名服务商或具有高防DNS能力的安全厂商至
关重要。
7
84网站安全总体设计方案
4.1设计思路和原则
4.1.1设计目标
建立根据近期国家相关法规的要求以及等级保护的要求,对网站进行全方位的应用层安全防护,确保不出现网站被篡改、网站敏感信息泄露、网站被挂马控制、网站遭受拒绝服务攻击而停止服务等信息安全事件的发生。本项目要为重点保护的网站建立以下能力:
●
网站Web 攻击防护的能力。●
网站DDoS 拒绝服务攻击防护的能力。●
网站DNS 安全防护的能力。●重要时期网站能正常访问的能力。
网站安全模型:
保密性:确保网站不发生敏感信息泄露事件。
完整性:确保网站不发生页面篡改事件。
可靠性:确保网站不发生DDoS/CC 攻击事件而导致拒绝服务。
4.1.2设计思路和原则
网站是因为有有漏洞所以才会被攻击者利用攻击利用,如果网站不存在漏洞
或者不存在可以用的漏洞,那么攻击者就很难通过漏洞完成对网站的攻击,
基于以上逻辑,要先对漏洞改进行漏洞扫描检查(由于本方案是防护方案,
故此部分不再详述),检查出网站的安全漏洞特别是可利用的高危漏洞比如
SQL注入漏洞、命令注入漏洞等。如果有漏洞修复能力则通过代码层修复,
从根本上解决网站漏洞的威胁,如果没有修复能力则通过安全防护设备进行
漏洞攻击的防护。
由于不同安全工具的能力不同,其不可能百分之百的监测到所有安全漏洞和
安全问题,而且随着技术的不断进步新的漏洞又会被暴露出来,而且拒绝服
务攻击随时都可能发生,所以常态化的防护是网站安全建设的核心。
在对网站进行应用层防护时,需要能够对攻击者针对网站的Web攻击的防护
比如SQL注入攻击、命令注入攻击、跨站脚本攻击、strutes2漏洞攻击等。
需要对攻击者的恶意篡改通过技术手段进行防护。需要要能够准确的识别攻
击者上传的Web Shell木马后门,要能够识别一句话木马、网马、大马、
小马等各种形式的木马内容上传。需要能对DDoS攻击、CC攻击、DNS Flood
攻击等各种拒绝服务攻击进行有效应对。需要对高级持续性威胁保持警惕。
需要建立常态化的应急演练机制,来验证漏洞检测系统、攻击防护系统、网
站威胁监测系统、以及人员制度在网络攻击检测、防护、监测上的有效性和
稳定性。
需要有专业的技术支持团队,当出现网站安全威胁事件时能够提供及时的应
急支撑响应,可以第一时间收集现场证据信息,快速的对信息安全事件进行
处理并对网站系统进行恢复。
同时网站安全建设要遵循以下原则:
●业务保障原则:网站安全服务是为网站能够安全、稳定、高效的运营而
设置的保护性措施,安全措施不应该改变用户网站的响应速度、交互体
验、使用习惯等。
●立体协防原则:网站安全防护是一个立体的工程,事前检测、事中防护、
事后检测、安全服务等环节应该紧密耦合,随意缺少都会导致防护效果
的缺失,避免出现木桶理论中的短板。
●等级保护原则:根据等级保护对不同等级业务系统的要求,将网站纳入
业务单位的整体网络信息安全内综合考虑,进行分类综合防护。
9
●可扩展性原则:当有新的网站建立、接入、运行时要确保很容易接入现
有信息系统,现有安全防护措施不会对其形成制度上或技术上的阻碍。
●可管理性原则:应当采用集中化、自动化、智能化的安全管理手段,减
轻安全的负担,同时减小因为管理上的疏漏而对系统安全造成的威胁。
4.1.3设计依据
●中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工
作的意见》
●中网办发文[2014]1号《关于加强网站安全管理工作的通知》
●公信安[2015]2562号《政府单位、企事业单位和国有企业互联网网
站安全专项整治行动方案》
●GB/T20271-2006信息安全技术信息系统通用安全技术要求
●GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
●GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
●GB/T31506-2015《信息安全技术政府门户网站系统安全技术指南》
●教育部办公厅[2017]3号文《教育行业网络安全综合治理行动方案》
●教育部教技司[2017]179号文《关于做好高考及招生录取期间网络安全
保障工作的通知》
4.2防护框架设计
从网站安全防护的角度出发,集合了智能安全DNS、异常流量云清洗、WEB
攻击防护、安全分析管理及报表等功能,提供基于分布式的云安全防护综合
解决方案。系统防护框架设计如下图所示:
图4-1网站安全防护整体框架
10
4.2.2智能安全云DNS
以CNAME或NS方式接入到解析系统中,提供安全、可靠、智能的DNS服务,
同时可支持对IPv6的解析。该解析服务由分布式解析节点组成,可有效防
止针对DNS的DDoS攻击,提升DNS安全性。
4.2.3异常流量云清洗
通过分布式防护节点提供异常流量清洗服务,可抵御常规的DDoS攻击、CC
攻击防护,节点的防护能力总计不低于2Tb,单点防护能力10G-500G不等。
4.2.4漏洞攻击防护
通过分布式防护节点,访问请求经异常流量云清洗后,对应用层的攻击提供
防护,可提供5000+种漏洞的攻击,包含常见的19大类漏洞类型。因为采
用SaaS方式提供服务,防护响应时间不超过一小时。
4.2.5静态资源加速
通过分布式加速节点,链路覆盖联通、电信、移动、铁通、BGP多线的方式
对接入域名的静态资源进行缓存加速,提升网站访问速度,降低源站及数据
中心链路负载。
4.3防护流程说明
安域部署成功后,整个防护流程如下图所示。将访问者的请求及网络流量通
过DNS方式就近牵引到防护节点,在该节点进行相应的安全防护、流量清洗
后将干净的流量发送到源站,源站再返回正确的值,完成整改访问、防护的
流程。
11
图4-2访问防护流程
访问流程说明如下:
1.DNS查询:访问者访问WEB系统的域名,域名解析请求就近分发到DNS
系统中、
2.DNS应答:依据访问者的IP地址信息及DNS系统自身的最佳路线选择
机制为访问者返回最优的访问节点IP。
3.WEB请求:用户根据返回的最优IP地址向防护节点发送访问流量。
4.回源请求:经防护节点清洗、阻断之后,将真实的访问请求发往源站,
等待源站处理。
5.源站响应:源站响应访问请求结果。
6.WEB响应:防护节点将源站返回的结果向访问者响应,完成整个数据访
问、防护、响应流程。
4.4主要建设内容
针对网站针对网站安全防护主要可以做如下事项。
12
4.4.1网站安全防护
Web漏洞攻击防护
通过部署云端网站安全防护系统对Web攻击进行拦截,防止数据库被拖库、
网页被恶意篡改、网站被挂马、被挂链接、网站敏感信息泄露等网站安事件
的发生。
抗拒绝服务
●DDoS攻击防护:通过云端防护的方式对DDoS攻击进行防护,防止攻击
者通过使用工具或僵尸网络对网站发动SYN Flood攻击、TCP Flood
攻击、ICMP Flood攻击、UDP Flood攻击、Smurf攻击、Land攻
击等大流量的攻击方式,堵死用户网站出口带宽,导致网站服务器无法
对外提供服务。
●CC攻击防护:通过本地或云端方式防止黑客通过CC攻击的方式对网站
服务器的应用层资源进行消耗而导致网站拒绝服务。
●高防DNS:通过云端接管DNS域名服务商的网站域名解析权限,提供高
防DNS能力,防止域名服务商无法抵御DNS攻击而导致网站域名无法正
常解析。
威胁情报
需要对僵尸网络IP地址、攻击IP地址、网吧等高风险场合IP、扫描IP
地址等恶意IP地址的访问或攻击进行有效阻断。
4.4.2网站安全加速
针对静态资源:HTML、JS、CSS、图片等资源进行加速。通过遍布全国的
CDN节点,对这类资源缓存,当访问者访问源站时,就近节点可获取到所需
的静态资源,无需再向源站去获取资源,提升访问速度,降低源站的带宽利
用及源站服务器负载。
4.4.3网站安全管理
通过综合安全能力的提供,通过管理平台可统一管理WEB攻击防护、CC攻
击防护、网站加速优化及设置、一键处置网站(一键关停服务)、攻击日志导
出、报表管理及导出等管理功能。
13
4.5系统部署
根据网站安全防护逻辑示意图,如下图所示。
图4-3网站安全建设系统拓扑图
无论用户是本地建设网站、IDC托管网站、公有云托管网站、私有云托管网
站都能使用360安域Web应用安全云防护系统提供防护,用户只需要修改
器DNS指向即可完成接入。DNS解析可提供两种类型的解析方式:NS和
CNAME。
4.5.1NS方式接入
需要修改域名解析DNS服务器为安域的,修改为以下地址:
https://www.doczj.com/doc/b53133836.html,及https://www.doczj.com/doc/b53133836.html,。在DNS服务器修改前,所有
的域名解析记录均需在安域平台进行完整配置,不能遗漏,而原域名DNS解
析面板的所有解析将在DNS授权缓存到期后失效,各地解析因缓存问题可能
会陆续失效,失效后将自动以安域的DNS解析为准。缓存时间大约为0-72
小时。
4.5.2CNAME方式接入
接入时需要在权威DNS处(一般为域名注册商),把需要接入的子域名修改
解析记录,做CNAME记录指向提供的记录值(见附件)(如DNS服务器有
bind规则,请在记录值最后加一个点),然后等待生效。即把原有域名对应
的DNS A记录删除,新建指向安域的CNAME记录值(如果DNS解析商支
持直接修改A记录为CNAME记录也可以)。
14
4.5.3接入认证测试
工具/命令:nslookup
通过nslookup命令查看待测域名的ns记录,成功接入后可看到如下图所
示的带有360关键字的name server。命令格式:nslookup-qt=ns待
测具体域名
工具/命令:ping
。
在cmd命令行ping待测域名,可以看到解析的ip已非源站ip
4.5.4IP加白
该IP列表为安域的防护节点IP,接入安域之后,这些IP将与源站进行交
互。当源站服务器或源站服务器所在的机房存在WAF及防火墙设备(包括安
全软件)时,在相应安全设备(安全软件)上加白所用,接入安域后源站会
收到来自相同IP的大量请求,会触发拦截规则,为避免安域的节点IP被源
站设备拦截,导致节点回源站服务器取数据失败,产生快照或者502报错页
面。
安域IP段列表(包含重保镜像功能的爬虫IP)获取方式:登录安域平台,
从添加网站处的提示信息中点击:查看安域节点IP段,或向安域实施人员
获取。
15