【51CTO.com 综合消息】1 存在问题及安全需求
由于赵明所在企业主要业务是依托网站的,当网站不能正常访问或是,影响公众访问,将给公司带来很大负面影响,甚至可能直接影响到公司的生存问题,因此建设好赵明所在公司的安全具有战略意义,也是迫在眉睫的事情。
从现状看,赵明所管理的网站安全现状不容乐观,目前并没有统一的安全防护措施,甚至没有部署基本的防病毒系统。安全还处于空白阶段,因此存在很多安全隐患,主要有:
1.1 网络边界安全脆弱
在整个网络架构中,没有设置任何边界访问控制手段。这对于其他外部网络来说,没有边界访问控制相当于整个网络不设防,可以任意访问甚至入侵。
Web服务器承载公司关键业务,一旦被非法入侵可能造成不可估量的损失。也给黑客和不法分析入侵创造了条件,因此Web服务器面临着严重的安全威胁,概括这些威胁数据流主要有:恶意攻击和病毒传播两类类威胁。
◆恶意攻击
外部恶意进入网络后的攻击行为和内部员工的恶意攻击行为一般都是以重要服务器作为攻击目标,以应用层攻击为主,也有个别的网络层攻击,一般以窃取、修改或者试图破坏内部的资源为目的,Web服务器就可能成为被攻击的目标。为了保护Web服务器需要对恶意攻击进行阻止和审计。
应当在赵明所在企业的数据中心进行网络边界安全建设,阻止安全风险任意扩散。
1.2 数据防篡改
赵明所在公司在线的关键业务等最重要数据,存在以下风险:
◆篡改数据
篡改数据威胁包括对数据的恶意修改。 例如,黑客或者间谍对网站页面进行未经授权的更改(如网站毁坏),或者对数据库中的信息或者两台计算机之间在开放网络上流动的数据进行未经授权的更改。
需要对在赵明所在企业网站上部署网页防篡改系统,并能对网页等重要数据和信息进行有效加密,避免黑客篡改数据。
1.3 需要监控内网
服务器非常容易成为黑客和蠕虫病毒攻击的主要目标,这也就意味着服务器的安全风险等级较高。特别是在B/S模式流行的今天,大量采用PC终端,PC终端的漏洞是安全管理最大的隐患。总结计算区域的安全风险主要包括以下几个方面:
◆应用系统自身的漏洞
应用系统自身由于设计或程序上的缺陷,可能存在各种漏洞,例如WEB应用服务的安全漏洞,可能导致WEB服务器容易被黑客攻击,篡改网页,使得WEB服务器无法提供正常WEB应用访问服务,最严重的事篡改和窃取金融数据,会导致不可估量的损失。
1.4 需求分析总结
序号 需求总结 解决方案
1 针对Web服务器 需要在Web服务器前部署IPS
2 网页等数据防篡改 部署网页防篡改系统#p#
2 方案
2.1 入侵防御系统方案
2.1.1 什么是入侵防御系统
入侵防护系统(Intrusion Prevention System,以下简称“IPS”)是继“防火墙”、“信息加密”、入侵检测等传统安全保护方法之后的新一代安全保障系统。IPS 串行部署在网络关键节点,监视计算机系统或网络中发生的事件,并进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并主动进行有效拦截。
专业IPS 所具有的实时性、动态检测和主动防御等特点,弥补了防火墙等静态防御工具的不足。入侵防护系统现在已经发展到第三代产品:“第一代”IPS 在入侵检测基础上增加了主动拦截的功能;“第二代”IPS 引入了硬件加速技术,大大提高了IPS 的检测性能;而“第三代”IPS是在“第二代”的基础上丰富完善了上网行为管理功能。
2.1.1.1 入侵防御功能分析
联想网御IPS 采用具有自主知识产权的VSP(Versatile Security Platform)通用安全平台,集成了流状态跟踪、协议分析、深度内容解析、异常检测、关联分析等多种分析、检测技术,配合实时更新的事件特征库,可拦截蠕虫、病毒、木马、间谍软件、DDoS/DoS、SQL 注入、XSS 跨站脚本等各种网络攻击行为,有效净化网络流量。
同时提供丰富的上网行为管理功能,可对P2P 下载、IM 聊天软件、在线视频、网络游戏、炒股软件、加密隧道等网络应用按用户和时间进行阻断或精确到1Kbps 的带宽限流,合理优化网络流量。从而,很好地弥补了防火墙、入侵检测等产品的不足,提供了动态、主动、深度的安全防护。
联想网御 IPS 作为业内首款“内外兼修”的入侵防护系统,通过访问控制、入侵防护功能,可以有效拦截外网攻击;绿色上网、带宽管理等功能,可以合理管控内网应用。
◆入侵防护
可检测扫描、DoS/DDoS、缓冲区溢出、SQL 注入、XSS跨站脚本、木马、蠕虫、间谍软件、网络钓鱼、IP poofing等攻击,并实时主动阻断,使网络系统免受攻击。
在MAC Layer中检测及响应,提高系统效率。
◆访问控制
支持基于网络接口、IP 地址、服务、时间等参数自定义访问控制规则,以保证网络资源不被非法使用和非法访问。
◆绿色上网
绿色上网提供基于软件行为和数据内容而不是端口的软件应用检测机制,可对聊天软件、P2P 下载、流媒体、在线游戏、股票软件等进行管控,以提高企业工作效率,降低内部机密信息泄露及病毒传播的机率。
◆带宽管理
支持基于网络行为(主要是P2P、流媒体)、IP 地址、协议、等,进行带宽限流,以提高网络带宽利用率。
2.1.1.2 入侵防御性能分析
◆检测精准
联想网御IPS 采用Smart Filter 行为跟踪分析技术,跟踪应用层行为特征,应对端口变形、隧道加密等各种规避手段,从而准确识别各种应用:
SQL 注入、跨站脚本等各种应用层攻击检测;
P2P、IM、在线游戏等应用软件的检测;
◆可靠性高
联想网御 IPS 具有多层次的冗余功能,能提供最高等级的高可用性,并方便用户灵活配置。
1. 高端设备标配可热插拔的冗余双电源
确保任一电源失效时可自动由备用电源供电,不停机即可修复,避免电源硬件故障时设备失去作用。
2. 内置软/硬件BYPASS 功能
在设备出现硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。此外不管是因为硬件或是软件的因素,当检测引擎出现死锁状况,内置BYPASS 也会自动切换到直通状态,用户无须担心设备的可靠度。内置BYPASS 功能可通过远程管理实现启动或关闭管理。
3. 支持HA、集群部署
采用 MRP(Multi-Layers Redundant Protocol)多重冗余协议技术,在并发连接数达到数百万时亦可有效地在联想网御IPS 设备之间实现同步。相较于一般采用Linux ct_sync模块或是FreeBSD pfsync 模块的产品,联想网御的同步技术仅需要5.8%的数据量,不会因为HA 的数据影响侦测引擎的速度。
◆部署灵活
联想网御IPS 支持透明、交换、路由、混合、HA 集群部署等多种部署方式,适应各种复杂网络环境的需求。
【图1部署拓扑】
◆带宽管理
联想网御IPS 与内网安全管理产品的协同防护减轻了IPS 的网络负担,可最终确定威胁点进行阻断。其次,响应的手段有通知、断网、锁定,可强制、准确的对发生威胁的终端计算机进行修复。联想网御IPS 与内网安全管理产品的协同防护是完全的流程管理(无人值守),预策略的制定、执行,减轻了网管人员网络维护的压力,最终对企业的内部网络进行全方位的安全保护。#p#
2.1.1.3 典型部署
◆外网防护解决方案
联想网御 IPS 均内置了USE 统一安全引擎,无论是 DoS/DDoS、Flooding attck 、Worm Virus 、Trojan 亦或是各种黑客入侵手法,联想网御IPS 均可提供有效的防御保护。
在【图 2】外网防护解决方案的网络拓朴中将IPS 部属于防火墙之前,主要目的是防御来自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点,一旦防火墙遭到攻击后,将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能,对于利用七层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS 的保护,除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外,对于所有进出的封包均进行详细的七层分析,黑客利用合法方式进行非法存取的攻击将无所遁形。
【图 2】外网防护解决方案拓扑图
◆服务器保护解决方案
将联想网御 IPS 部属于防火墙之前可以保护来阻止来自外网的攻击,但是仍有可能遇到来自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA 的普及,来自于内网的攻击威胁也随之增加。对于提供重要数据服务的服务器群组仍有可能遭受到来自内网的攻击威胁。
【图 3】服务器保护解决方案拓扑图
2.1.2 入侵防护系统IPS的部署
本次部署的网络入侵防护系统位于Web主备服务器之前,Web服务器区的数据是最安全敏感的数据,安全级别最高,所以部署IPS首先考虑服务器区。
入侵检测系统解决的安全问题包括:
阻止漏洞攻击:针对黑客入侵,联想网御IPS 采用USE 统一安全引擎,具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对Windows、Unix、Linux 等操作系统漏洞的攻击进行阻止,漏洞类型包括了Stack and Heap Buffer overflow、Format string error、Memoryaccess error、Memory corruption、 Access control and Design weakness 等等。
阻止木马传播:可检测基于ActiveX、XML、VML、MDAC 等的漏洞,可阻止访问者在浏览网站时被诱使植入木马的攻击;可检测利用Dropper 技术隐藏木马的Microsoft Office 文件,可阻止下载并启动这些文档;如 Rootkit 的木马,它们被黑客植入系统后也会跟外界通讯或进行扫描等,联想网御IPS 可以侦测这些特殊的行为。
阻止间谍软件:大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX 插件来诱使不够小心谨慎的用户安装的。联想网御IPS 内置如Gator、180solutions、Internet Optimizer Spyware 等相关的特征,通过检测下载可执行程序、ActiveX、Java applet 等可疑的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX 插件等渠道实现安装。
抗 DoS/DDoS:联想网御IPS 提供独特的DoS/DDoS 检测及预防机制,可以辨别合法数据包以及DoS/DDoS 攻击数据包,支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMPSmurfing 等类型的DoS/DDoS 攻击。
异常流量管理:联想网御IPS 会将每秒所纪录的数据包,依据不同的来源作统计。先通过数据转换,给予正规化,然后再与标准模式(baseline)作比较。如果实际的网络流量统计结果与标准模式偏离到达某一定的水平,便会产生警报。此作法的优点为,由于网络流量已经正规化,单纯因为流量大而产生误判的情形得以避免;而标准模式的采用也来自学术研究的成果,可以符合大部分的网络环境状况。
绿色上网功能:联想网御IPS 不仅具有精准的入侵检测和防护功能,同时还具有丰富的上网行为管理功能。可以根据不同的时间、群组,来对即时聊天软件、P2P 软件、非法隧道等下达严格的管理策略。
产品部署网络拓扑图如下:
【图 4】 入侵防御部署图 #p#
2.2 网页防篡改解决方案
2.2.1 网页防篡改系统设计
根据对赵明所在的网站需求分析,系统需在主备两个Web服务器区域分别部署UnisGurard网页防篡改保护系统,保证网站内容不会恶意篡改,完善网站安全防护体系。
本次方案建议采用的UnisGurard网页防篡改产品需为赵明的网站提供完整保护,采用目前最先进的系统驱动级文件保护技术,基于事件触发式监测机制,高效实现了网页监测与实时内容恢复功能,彻底杜绝了网站被非法篡改的可能。其性能、灵活性以及安全性远远高于传统类防护技术,恢复时间达到毫秒级,支持各类网页格式,占用系统资源极少,低于2%,无需增加额外设备,不改变现有网络架构。
操作系统类型支持windows/Linux/Unix等。采用基于文件过滤驱动保护技术和事件触发机制相结合方式。控制台与客户端之间的管理方式,分为一对一(即一个控制台仅可管理一个客户端)、一对多(即一个控制台可同时管理多个客户端)和多对多模式。
2.2.2 产品选型及服务器配置
◆UnisGuard系统组成
UnisGuard网页防篡改保护系统由四个关联使用的子系统构成,分别是:
管理中心(简称MC)
监控代理(简称WA)
网络事件监控引擎(简称WSP)
文件客户端(简称FC)
系统的总体结构图如下图:
WA(监控代理)
部署:运行在站点服务器上,一台web服务器(指物理服务器,非逻辑服务器、虚拟服务器)需要且只需要部署一套WA。WA是一个后台进程,系统启动以后自动运行,不需要人为干预。
功能:WA设定的安全保护策略对本服务器上的站点(一个或多个,多个为虚拟站点)及数据库进行保护,验证客户端系统用户身份的合法性,防止非授权用户对站点文件、目录及数据库进行非法操作和篡改;一旦网页被篡改,与MC端合作实时恢复被篡改的网页;系统为所有需保护的网页计算出具有唯一性的数字水印。公众每次访问网页/主页时,系统都将访问网页与数字水印进行对比计算,一旦发现网页/主页被非法修改,则立即进行自动恢复,保证非法网页/主页内容不被公众浏览;
WSP(网络事件监控引擎)
部署:运行在站点服务器上,一台web服务器(指物理服务器,非逻辑服务器、虚拟服务器)需要且只需要部署一套WSP。
功能:MC同时可以根据设置的关键词对网站访问者通过HTTP POST提交的信息进行匹配,如果命中关键词,则可进行报警和阻止POST提交,保证非法信息不被发布;
MC(管理中心)
软件版部署:根据维护工作需要,可运行在任意远程网站维护终端上。
硬件版部署:B/S架构。
功能:对用户进行合法身份认证,对服务器端系统进行安全保护策略设定,与服务器端系统执行通讯保护,负责管理监控代理和备份文件,以及监控信息、报警信息的审计、处理等工作。
FC(文件客户端)
部署:该工具可以在任意一台windows系统上安装运行;
功能:主要负责对监控网站进行远程维护,进行网页文件的上传、删除和修改。
◆UnisGuard功能介绍
网页文件保护:服务器端保护系统模块采用动态访问控制技术,对网页文件提供实时、动态保护,未经授权的非法访问行为一律进行拦截,从而防止非法人员篡改、删除受保护的文件,确保网页文件的完整性。具有实时报警和记录详细日志等其他功能。支持监控保护动态网页文件,如符合JSP、ASP、PHP、Servlet 等技术规范的文件。
网络攻击防护:系统实现基于内嵌于各种Web服务器中的插件,这些插件可以截获每个访问被监控网页的Http请求,访问请求进行入侵检测规则匹配,可以防止SQL注入等常见网页攻击。并实时报警、并且记录详细日志,在入侵企图的情况下,将自动通过E-MCil、SMS等多种方式报警,通知网站服务器管理员。
通过中心端进行站点的管理:可以通过中心端直接对各个站点进行运行状态监控和管理。包括站点的状态查看,对各个站点进行远程关闭,禁用和启用。下发报警和安全保护策略,接收客户端的报警信息,对控管信息和报警信息进行统计分析。
网站发布:用户通过MC系统发布页面将网页上传到MC上, MC使用安全散列函数计算出网页的数字水印,作为网页篡改鉴别的依据。MC与WA进行相互的身份鉴别,然后MC将用户上传的网页传到Web服务器上相应的站点目录中。
网站的备份还原:系统提供了站点数据的备份还原的功能,可对站点目录文件和数据库进行完整的备份,必要时可以即时还原,从多层面保障网站数据的安全。
非法网页内容屏蔽:在网页因为意外原因被篡改的情况下,系统自动屏蔽“非法网页”,确保这些非法网页不被客户访问,避免造成不良影响。针对不同种类的Web服务器、同一种Web服务器的不同版本编制不同插件;这个功能对每个访问被监控网页的Http请求都要进行校验。
网站及论坛信息自动收集:对网站服务器上的发布的信息内容包括论坛信息内容进行自动收集,并将其存储到MC系统数据库中。
敏感信息自动预警和处置:系统实现基于内嵌于各种Web服务器中的插件,这些插件可以截获每个post请求,检测,如果发现这些网页提交或发贴内容中包含预先设置的敏感关键词,则会对相应的post请求终止处理,避免造成不良影响。
同时UnisGuard还提供实时报警、用户管理、日志管理等多项功能。
3 整体方案优势
◆消除Web服务器的安全威胁
通过部署IPS,消除了Web服务器面临的安全威胁,具有抵御各种Web攻击的能力,并根据赵明网站特点,能够及时阻断来自外部的各种威胁。
◆重点数据和信息得以重点保护
部署防篡改系统保护重点网页和Web服务器免受黑客篡改。
◆功能强大、性能卓越
联想网御IPS采用USE统一安全引擎,具备协议异常分析、会话状态识别、动态异常流量管理和七层应用行为识别等功能,同时配合零时差更新的特征库和自定义检测特征功能,可检测阻断各种网络攻击行为,包括病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等。
