KSGWAwp网页防篡改.docVIP

KSG-W-A Web安全防护系统 冠群金辰有限公司 目 录 1. 背景 - 2 - 2. 层次化的网页主动防篡改 - 3 - 3. 系统组成及主要功能 - 4 - 4. 系统技术规范 - 8 - 背景 据国家计算机网络应急技术处理协调中心（CNCERT/CC）《2007年网络安全工作报告》，我国网站的安全问题十分严峻，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序，成为黑客的得力工具。2007年，CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，比上一年增加了1.5倍，其中中国大陆政府网站被篡改数量达3407个。黑客入侵手段包括恶意代码感染、操作系统级漏洞（如缓冲区溢出类漏洞）攻击、应用级漏洞攻击（如SQL注入/跨站攻击）、弱口令攻击等。 除了篡改网页内容之外，黑客还通过破坏Web服务器窃取重要内部数据，更为严重的则是在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。 根据CNCERT/CC掌握的资料来看，黑客的分布情况比较复杂。这些黑客中既有个人，也有带宗教色彩的团队，或者带有邪教性质的社会团体。其攻击动机也多种多样，或出于政治目的、或出于诈财、或出于炫耀、或出于攻击练习等。 然而，在政府和企业网站面临着如此一个不安全的互联网环境中，今天的信息安全市场却缺乏能真正有效保护Web安全的技术措施和手段。 基于“文件指纹”技术的网页防篡改技术是目前最主要的Web安全防护技术，但是其功能单一，而且只能对静态网页有一定的保护作用，在很多被攻击的政府和企业网站中，实际上早已部署了这类没有实际安全作用的产品；另一方面，基于目前病毒防范和入侵检测技术的一些安全措施对恶意代码以及溢出类攻击也经常显得无能为力，对新病毒和新攻击更是束手无策；此外，某些厂商针对DoS/DDoS攻击也提供了一些技术方案，但是这些安全方案却不能满足网站对Web内容 安全要求。 公司从网站的关键安全要求出发，提出了层次化的Web主动防护技术方案，并提供相应的技术产品。所谓层次化的Web主动防护技术是指从网络、操作系统和应用等层面出发，结合防护、检测和安全恢复等技术手段对网站进行综合主动防护，为用户提供网站服务器安全、网站服务安全和网站内容安全多层保证。层次化的Web主动防护技术可以克服传统网站安全保护技术中的被动、滞后、误判等缺点，将网页内容安全防护水平实现显著性提高。 层次化的网页主动防篡改 常见的网页篡改攻击方式主要有以下几种： 利用Web应用漏洞，对Web服务进行SQL注入或跨站脚本攻击； 通过恶意代码对网站系统进行破坏； 利用操作系统漏洞，通过溢出类攻击获得网站管理员权限，从而篡改网页内容，窃取网站重要数据； 通过弱口令攻击，获取操作系统或数据库系统管理员口令，进而对网站服务进行破坏。 层次化的Web主动防护技术是指从网络、操作系统和应用等层面出发，结合防护、检测和安全恢复等技术手段对网站进行综合主动防护，其好处还包括：支持用户已有应用及应用模式、兼容用户现有网络拓扑、支持网站远程维护和安全管理。 层次化的Web主动防护结构可以从网站服务器、网站服务和网站内容等多个层面综合保护网站的安全性。 层次化的Web主动防护结构如图1所示： 图1：网站安全防护系统主动防护结构 网站安全防护系统安全防护结构描述如下： 应用层：对SQL注入/跨站攻击进行识别和过滤，阻止SQL注入/跨站攻击；对网页内容进行自动扫描检测、报警，并根据管理要求自动对被篡改网页内容进行自动恢复。 OS层：基于密码技术，通过“可执行代码白名单”机制禁止非法代码在系统中运行；通过“职责分离”、“最小特权”和基于密码的安全访控隧道机制，保护网页内容和系统重要资源，防止由于系统漏洞（如溢出类漏洞）带来的系统破坏；对系统的运行状态进行监控和审计。 网络层：阻止非法网络连接，减少由于网络攻击给网站带来的破坏；支持网站系统的远程维护。 硬件：支持双机冗余备份，支持设备故障旁路机制，从而提高系统可用性。 集中安全管理：支持多点B/S安全管理，兼容用户现有网站服务模式。 系统组成及主要功能 网站安全防护系统遵循层次化的Web主动防护结构，在系统构成上主要有三个部分组成： Web安全前置机 Web主动防护系统软件 管理平台 其中，Web安全前置机主要完成图1中的硬件功能、网络层功能和应用层安全功能，Web主动防护系统软件主要完成图1中的OS层安全功能，而管理平台则实现基于B/S的Web安全管理功能。 层次化Web主动防护系统目前支持基于Windows和Linux操作系统平台之上的Apache和IIS等Web服务系统。 网站安全防护系统在管理上支持内网管理和互联网管理两种模式。所谓内网管理和互联网管理模式是指Web安全管理平台相对于Web服务器的网络位置而言：内网管