（网站策划）网站系统安全防护体系建设方案

三、WEBWebWEBCDNCDN5.25.3WebWebDBWEBWEBWEBDOS防篡改体系除了Web服务器外，另外需部署‘发布服务器’： 发布服务器： 位于内网中，本身处于相对安全的环境中，其上部署发布服务器软件。所有网页的合法变更（包括增加、修改、删除、重命名）均于发布服务器上进行。发布服务器上具有和Web服务器上的网页文件完全相同的目录结构，发布服务器上的任何文件/目录的变化均会自动和🖂即地反映到Web服务器的相应位置上，文件/目录变更的方法能够是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等。网页变更后，“发布服务器软件”将其同步到Web服务器上。 Web 位于Internet/DMZWeb服务器端防篡改模块及内容同步软件模块。防篡改系统的运行原理：防篡改防窃听任何通信实体（Web）之间采用工业标准的SSL3.0/TLS1.0（RFC2246，确保网页元素文件和数字水印数据流于通信过程中不被黑客窃取和分析。身份鉴别通信实体间进行强身份鉴别。首先，WebWeb目前，大部分网站均使用内容管理系统（CMS）来管理网页产生的全过程，包括网页的编辑、审核、签发和合成等。于网站的网络拓扑中，发布服务器部署于原有的内容管理系统和Web服务器之间，下图表明三者之间的关系。发布服务器上具有和Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化均会自动映射到Web服务器的相应位置上。网页的合法变更（包括增加、修改、删除、重命名）均于发布服务器上进行，变更的手段能够是任意方式的（FTP、SFTP、RCP、NFS、文件共享等。网页变更后，发布服务器将其同步到Web服务器上。无论什么情况下，不允许直接变更Web服务器上的页面文件。下图为防篡改系统的逻辑部署图。若无多余服务器可供使用，则发布服务器可和内容管理服务器建构于同壹服务器上：从逻辑上，防篡改系统由页面保护子系统、自动发布子系统和监控管理子系统组页面保护子系统页面保护子系统是系统的核心，内嵌于Web服务器软件里（即前述的核心内嵌模块，包含应用防护模块和篡改检测模块。应用防护模块对每个用户的请求进行安全性检查：如果正常则发送给服务器软件；如果发现有攻击特征码，即刻中止此次请求且进行报警。篡改检测模块对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，且依照壹定策略进行报警和恢复。Windows系统，页面保护子系统仍包括壹个增强型事件触发式检测模块，该模块驻留于操作系统内核，阻止大部分常规篡改手段。自动发布子系统自动发布子系统负责页面的自动发布，由发送端和接收端组成：发送端位于发布服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件水印，且进行SSL发送；接收端位于Web服务器上，称之为同步服务器，它接收到网页和水印后，将网页存放于文件系统中，将水印存放于安全数据库里。所有合法网页的增加、修改和删除均通过自动发布子系统进行。监控管理子系统负责篡改后自动恢复，也提供系统管理员的使用界面。其功能包括：手工上传、查见警告、检测系统运行情况、修改配置、查见和处理日志等。日志记录所有系统、发布、篡改检测和自动恢复等信息，能够分类分日期查见，且根据管理员的要求实现转储。日志记录仍支持syslog，以实现和安全管理平台的接口。Web够有多台安装了防篡改模块和同步服务软件的Web服务器，也能够有俩发布服务Web服务器多机和集群发布服务器支持164WebWeb的操作系统、Web服务器系统软件、应用脚本及网页内容既能够相同也能够不同。本案提供的解决方案将可实现异种系统架构下对不同内容的统壹管理。发布服务器双机支持发布服务器双机协同工作，即壹台主发布服务器和壹台热备发布服务器。于这种部署情形下，内容管理系统（CMS）需要将内容同时发布到俩台发布服务器上。正常状态下，主发布服务器工作时，由它对所有Web务器进行内容同步。如果热备发布服务器运行失效（不影响网站系统运行），壹旦于它修复后能够从主发布服务器恢复数据，进入正常热备状态。主发布服务器如果失效（即不发心跳信号，热备发布服务器会接管工作，由热备服务器对所有Web服务器进行内容同步。当主发布服务器修复后，俩机同时工作，经过壹段时间的数据交接时间，热备发布服务器重新进入热备状态。支持安全散列检测方法；可检测静态页面/动态脚本/二进制实体；支持对注入式攻击的防护；网页发布同时自动更新水印值；网页发送时比较网页和水印值；支持断线/连线状态下篡改检测；支持连线状态下网页恢复；网页篡改时多种方式报警；网页篡改时可执行外部程序或命令；能够按不同容器选择待检测的网页；支持增强型事件触发检测技术；加密存放水印值数据库；支持各种私钥的硬件存储；支持使用外接安全密码算法。自动检测发布服务器上文件系统任何变化；文件变化自动同步到多个Web服务器；支持文件/目录的增加/删除/修改/更名；支持任何内容管理系统；支持虚拟目录/虚拟主机；支持页面包含文件；支持双机方式的冗余部署；断线后自动重联；上传失败后自动重试；使用SSL安全协议进行通信；保证通信过程不被篡改和不被窃听；通信实体使用数字证书进行身份鉴别；所有过程有详细的审计。三、WEB越来越多的案例表明，网站的安全问题随着各类网络技术手段的不断进步而显现出来。截止到目前，以跨站脚本攻击、SQL注入攻击为代表的攻击方式对传统的‘防火墙+入侵防护’所组成的网站安全防线带来了极大的冲击；同时由于新的攻击方式的出现，壹旦网站被入侵，轻则网站被植入恶意连结或对象，导致访问用户的个人电脑中毒或被植入木马；严重的话，通过网页的接口导致客户的信息或交易纪录被入侵，从而面对的是漫长的调查、赔偿、法律责任、甚至诉讼。如果被媒体披露的话，更会严重影响企事业单位的声誉。网站安全风险分析：没有适当机制确认目前的当黑客利用时下WebAPCrossSiteScriptSQLInjection机制能够🖂敏感信息显示于网页接口时，需进行屏蔽，避免会然而现有的系统已经运作多年，需要逐壹检视且且修IDS/IPS和防火墙，Web原本期望通过IDS/IPS测系统或者修补程序能够阻挡的「网络型攻击」或者70%成功的黑客攻击，都是针对『Web应用程序』的弱点而不是操作系统的弱点，而且循着合法身份从WebSSL从网络端实施入侵检查和易的过程中信息被从中窃听，而实施HTTPS/SSL制，SSL加密后的流量就会无法进行检查，或者要改变SSL于软件开发流程中，拟规划壹套系统化的安全设计流程，确保网络应用程序的安全。系统发展生命周期(SystemsDevelopmentLifeCycle,简称SDLC)是大部分信息应用系统设计的参考模型，即壹套应用程序软件的发展需要历经「分期就是系统发展生命周期。安全系统发展生命周期(SecuritySystemsDevelopmentLifeCycle)便是泛指于软件开发生命周期中，应考虑的信息安全措施及注意事项。建议导入自动化网页应用程序源代码安全检测体系。不可否认的，早期所开发的应用程序，皆以「功能性」着眼，欠缺「安全性」的安全认识和危机意识，因此于程序编写中较少考虑到「安全性」的问题，因此不小心便导致所开发的Web应用系统漏洞百出，导致SQLInjection、缓冲区溢出（Buffer-Overflow）、跨网站脚本攻击（Cross-SiteScripting）等等Web序开发人员的专业领域，因此如何快速有效地针对单位内现有和未来开发建设Web应用系统进行定期或者不定期检验其可能的源代码弱点和漏洞，需要壹套有系统有效率的「Web评估风险，提早进行源代码改写和修补动作。Web应用系统原代码自动检测系统所提供的服务特色为 针对程序源代码检测结果和方案，提供程序源代码「弱点深度分析」和针对程序源代码检测结果和方案，提供程序源代码「弱点深度分析」和「弱点严重性分析」等风险高低评估计分和图表，协助程序开发人员规划安排程序源代码弱点安全问题修复的优先级。清楚标明程序源代码弱点安全问题的结果和源头，协助开发和项目管理人员了解程序源代码弱点安全问题之发生程序行数和弱点来源，必须包含下列信息：可和本案「Web应用系统安全防火墙」的安全访问策略联动，解决复杂的应用防火墙配置问题。开放网页应用程序安全计划(OpenWebApplicationSecurityProject,以下简称OWASP)致力协助企业和政府机关(构)能够理解和提高网页应用程序的安全性，且关注最严重的漏洞。OWASP2010年最新公布的十大信息安全漏洞(OWASPTop10)是壹个需要🖂刻处理的应用程序安全漏洞。这些安全漏洞包括：Cross-SiteScripting（跨站脚本攻击。网页应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可撷取使用者的CookieSession数据而能直接登入成使用者。InjectionFlaw：网页应用程序执行来自外部包括数据库于内的恶意指令，SQL注入,命令注入等攻击包括于内。MaliciousFileExecution：网页应用程序引入来自外部的恶意档案且执行档案内容。InsecureDirectObjectReference：攻击者利用网页应用程序本身的档案读取功能任意存取档案或重要数据，案例包括http://example/read.php?file=../../../../../../../c:\boot.iniCross-SiteRequestForgery(CSRF):已登入网页应用程序的合法使用者执行HTTP指令，但网页应用程序却当成合法需求处理，使得恶意指令被正常执行，案例包括社交网站分享的QuickTime、Flash影片中藏有恶意HTTPInformationLeakageandImproperErrorHandling：网页应用程序的执行错误讯息包含敏感数据，案例包括:系统档案路径BrokenAuthenticationandSessionManagement：网页应用程序中自行编写的身份验证关联功能有缺陷。InsecureCryptographicStorage：网页应用程序没有对敏感性数据使用加密、使用较弱的加密算法或将密钥储存于容易被取得之处。InsecureCommunication：没有于传送敏感性数据时使用HTTPS或其它加密方式。FailuretoRestrictURLAccess：某些网页因为没有权限控制，使得攻击者可通过网址直接存取，案例包括允许直接修改Wiki或Blog网页内容。归咎这些安全漏洞的根本原因，乃于于网页应用程序本身存于安全漏洞，忽略应该注意的函数处理和防范来自使用者的恶意攻击。倘若这些安全漏洞于开发和部署过程没有被检测出来，则日后就会发生信息安全事件。利用‘Web系统原代码自动检测系统’所提供的检测服务可事先发现网站所潜藏的上述安全漏洞。Web导入网页应用程序防火墙系统的好处于于 于修补源代码中存于的安全隐患之前（可能因为开发团队变更、服务无法暂停等原因暂时无法对安全隐患进行修补，则依靠网页应用程序防火墙系统提供Web应用安全防护，从而保证网站应用的安全性；能够将网页应用程序源代码安全检测系统检测出的安全问题自动直接生成网页应用程序防火墙系统所需使用的安全防护规则（AccessPolicy）得网页应用程序源代码安全检测系统和网页应用程序防火墙系统产生互相联动，从而做到网站应用安全的自动化防护。通过网页应用程序防火墙的部署，让访问者对网站的请求，以及网站预计响应给访问者的显示网页，均经过「Web应用系统安全防火墙」全程检查和检视其行为」或者「重置合法和合适的响应」，让「使用者」和「系统管理者」均能够继续「安心」的运作。「Web应用系统安全防火墙」部署架构如下图：WEB同壹解决方案除了提供硬件式应用防护设备外，可依实际需求选择将软件式应用防火墙系统安装于Web服务器主机上，不需要调整网络和系统架构。支持【集中丛集控管(ClusterManagement)】方式，通过统壹集中管理接口，同时管理和安全防护规则部署多台「Web应用系统软件式防火墙支持集群内各台「Web应用系统软件式防火墙系统」运行状态，如有异常，🖂即显示。具备多管理者、多网站群组的权限管理能力，提供让特定管理者管理特定网站群组安全防护规则的能力内建「Web应用系统软件式防火墙系统」纪录查询和查见工具，方便实时分析，提供多重条件过滤查询功能，无须额外购置审计报表分析工具。提供符合法规遵循角度需求的审计纪录，详细纪录系统的操作和变更，方便审计人员查验。提供统计报表能力，提供多种预设统计图表，支持自定义设定分析范围和时间区段，产生满足单位需求和法规遵循要求的报表。提供直接过滤防护SSL加密网页的机制，安装部署时，不需要更改密钥存放位置，避免密钥管理的额外问题。可防御下列1910,000页攻击方法。支持下列OWASPTop10十大网页应用程序弱点的攻击模式。提供「输入验证(InputValidation)」处理机制，提供黑名单或者白名单方式验证使用者输入内容数据的类型、范围、格式和长度。提供「客户端浏览器存取权限」的管理能力，能够限制存取网站的客户IP地址、使用的浏览器版本、网页开放存取的时间范围以及SSL密的强度等等存取条件。提供「网页存取身份验证(Authentication)」处理机制，让缺乏账号密码等权限管理的网页具备身份验证能力。提供「网页存取安全会话(SecureSession)」处理机制，保护客户端浏览器Cookie的安全使用，降低Cookie外泄的机率。提供「网页上传下载双向过滤保护」功能，通过关键词过滤网站恶意内容或不当文字，或是防止机敏数据外泄。针对网页敏感信息，例如：信用卡信息、身份证号等隐私数据，提供「自动屏蔽(AutoMask/XXX)」功能机制，避免单位机密数据或者个人隐私外泄。提供「反钓鱼(Anti-Phishing)」功能，可通过黑、白或灰名单方式限制钓鱼网站引用主网站的内容。通过ReferenceChecking强制网站的使用方式，防止网站内容遭受未经合法授权的「强迫浏览」或者「盗连」。内建「安全防护规则设定」向导，根据实际需求和环境提供弹性和自定义安全防护规则的设定功能。提供安全防护规则集的「版本管理」机制，且且支持「版本回溯(Rollback)」功能。支持人工智能安全防护规则「学习模式」，提供网站系统安全防护规则设定的建议。支持下列操作系统：Windows、LinuxUnix-Like作业系统可和「Web应用系统源代码自动检测系统」所生成的安全防护规则联动。通过「Web应用系统安全防火墙」和「网站源代码弱点检测」的部署和导入，预期达到的效益和目标：。对于线运作的网站应用程序进行防护，降低被黑风险：给使用者的显示网页，均经过「Web于网站程序漏洞被黑客利用前，即可进行修补，以治本方式根除漏洞：培养开发团队编写高安全性的网页程序代码和安全网站能力：藉由网站源代码的扫描方案解读和程序代码修正程序。让开发团队的程序开发人员，熟悉高安全性的网页程序的编写方法，进而养成良好的编写和测试习惯。内容分发网络（CDN,ContentDistributionNetwork）服务=智能的网站镜像+页面缓存+流量导流。CDN所做的，就是为互联网上的内容提供EMS服务，于最正确的时间用最正确的手段，把最正确的内容，推送到最正确的地点（访问客户，能够帮助用户解决分布式存储、负载均衡、网络请求的重定向和网站内容管理等问题。其目的是通过于现有的Internet中增加壹层新的网络架构，将网站的内容发布到最接近用户的网络“边缘”，使网站访问用户能够就近取得所需的网页内容，解决Internet网络拥塞情况、提高用户访问网站的响应速度。从技术全面解决由于网络带宽小、用户访问量大、网点分布不均而产生的用户访问网站响应速度慢的根本原因。CDN网络营造了壹个网络运营环境，不仅能够提供以网络加速为基础的系列服务，包括针对网页、流媒体、文件传输、文件播放等内容提供加速，仍能提供壹些关联的增值服务以更有效地满足客户于这些应用方面的需求。CDN众所周知，互联网的访问速度取决于众多的因素，包括Internet网络传输质量、国内南北互联互通问题、网站服务器性能、网站出口带宽、网页程架构和网页内容类型等等。CDN网页加速产品采用全球智能域名解析系统和高速缓存等专业技术，通过遍布全球的CDN网络把网页内容分发到离网民最近的边缘节点用户能够从最适合的节点上获得所需的内容，从而提高网站的访问速度和质量。CDN网页加速产品支持SSL加密，网页压缩，防盗链等功能：网页压缩功能：支持网站本身的压缩功能，同时能够帮助未实现压缩功能的网站提供压缩服务，通过压缩数据大小的改变，减少数据传输的时间，节省传输的带宽，使页面显示速度自然提高。防盗链功能：IPURL地域化内容服务功能：CDN安全的分发内容CDNDDoS整个分发网络中除了网络层有加密校验机制，分发的文件会携带特定的加密码，于传送到最终目的地后进行校验完毕后确认文件于传输过程中没有缺失和修改，返回给中央分发服务系统安全到达的信息，且服务器采用专有OS构，即使遭到攻击黑客也无法篡改用户内容，保证分发内容的安全性和完整性。完善的日志分析完善的日志分析功能，能够根据用户个性需求，制定多重样式的日志分析方案，包括用户访问行为分析、用户来源地分析、网站点击率分析等。且能够提供自动报表生成。网站流量及时方案网站异常告警网站镜像网站页面访问性能优化CDN服务为访问用户提供更快的网站访问速度，且降低源站的访问压力。而源站本地则能够采用服务器负载均衡（SLB,ServerLoadBalance）技术方案进壹步降低源站的访问中断风险。更完善的负载均衡方案是采用广域负载均衡（GLSB,GlobalServerLoadBalance）技术为应用网站提供不同地域的主用/备用站点架构，如上图示，假设于Internet上提供俩个服务，分别为WorldWideWeb服务()和E-commerce服务()，而今我们于防火墙和交换机之间加入了SLB，此设备于OSI/ISO七层架构中属于三到七层的设备，因此能够整合不同平台、新旧不同的服务器，另外、服务器也由壹台增加至三台，我们称为服务器农场(ServerFarm),且且将原本属于服务器的IP地址移到SLB备上，对使用者而言依然是存取此IP上的服务，没有改变。因此，必须指定另外壹个网段的IP给原来的服务器使用。此时，SLB设备除对外提供服务，对内做到下列的功能：网络地址转换(利用此技术将内部的虚拟IP对应到外部的真实IP(视提供的服务而定，于此例中有二个IPNAT)，如此壹来便能够解决用壹个IP来代替许多不同的IP的问题。有效分配负载流量：如何将由Internet上的流量分配到后端的服务器上，其中包含了那壹台服务器该负责较多的工作，或是壹视同仁的照次序分配而不考虑效能等因素，我们称为负载平衡模式(LoadBalanceMode)。Healthcheck机制：SLB设备能够有效掌控后端服务器的情况，必须定期自动检查服务器的运作情形，以免发生将使用者数据请求引导至发生故障或是过于忙碌的服务器上的情形。Fail-Over机制：SLB架构建置完成，SLB设备便成为非常重要的壹个网络节点。壹旦发生故障，整个服务便会中断，因此备援是非常重要的课题，理想的备援机制是于完全不影响使用者的前提下完成取代故障设备且提供服务的工作，壹般我们也称之为高可靠度(HighAvailability)。广域负载均衡（GSLB，GlobalServerLoadBalance）是壹种将SLB的概念扩展到广域范围的技术，和SLB于壹个单独的节点上为壹组服务器提供负载均衡服务不同，GSLB提供了壹种对多个不同地域的服务器群(多个节点)提供负载均衡的服务，于实现上能够分为俩个方面，壹方面是如何实现将用户的请求指向到选定的节点上，壹方面是研究如何确定最佳的站点。GSLB服务能够对分布于不同地域的多个源站服务器群提供广域负载均衡服务，采用DNS解析的方式来实现用户访问重定向，同时采用智能策略确定最佳源站点，提高了服务的可用性和系统性能。原理说明：广域负载均衡于DNS解析阶段实现：客户端针对壹个域名（Domain）发送壹个DNS 广域负载均衡由壹系列算法返回壹个最优siteIP（延时最小、距离最近等。客户端向此IP发起连接请求。当客户端向某IP发起访问连接请求时，执行（本地）服务器负载均衡（SLB，负载均衡设备根据最优算法选择服务器和相应的服务转发请求，如上图所示。Web完全支持URLURLHTTP信息分配流量。每个URL定向到某服务器，或于多个服务器之间进行负载均衡，从而提供优化的WebURL文本中包含的信息，能够保持客户持续性，从而保证内容的个性化。通过负载均衡优化服务器资源 轮询 最少用户数 最少数据包数 最少字节数 最快回应时间 SNMP健康情况检查能够监视服务器于IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，访问用户即被透明地重定向到正常工作的服务器上。完全的容错和冗余双机备援架构方式提供设备间的完全容错，以确保网络最大的可用性。俩个设备通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于‘主用-备用’模式或‘主用-主用’模式，于‘主用-主用’模式下，因为俩个设备均处于工作状态，从而最大限度地保护了投资。且且所有的访问会话信息均可于设备间进行镜像，从而提供透明的冗余和完全的容错，确保于任何时候用户均能够获得网站访问的最佳服务。通过正常退出服务保证稳定运行当需要进行服务器升级或系统维护时，负载均衡设备可保证稳定的服务器退出服务以避免网站访问中断。当选定某台服务器要退出负载均衡服务后，新的访问连接将不会被指向该服务器。应用安全 DDoS保护：识别和保护应用基础架构不受DoS/DDoS攻击。这种保护已超越了其他供应商采用的传统SYNcookie技术所提供的保护。 入侵过滤：通过于恶意蠕虫和病毒进入应用服务器前进行识别且拒绝，保护应用服务器不受侵袭。包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定政策来保护系统不受这些攻击。 SSL加密：应用内容于传输过程中均受加密保护，通过卸载服务器复杂的加密任务将应用处理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜于威胁。旁路建构方式，保障原有网络结构负载均衡设备可选择以旁路方式连接至网站系统，降低Web应用交付使用的延宕风险。事件的分类分级，用于信息安全事件的防范和处置，为事前准备、事中应对、事后处理提供壹个整体事件防范和处置的基础。根据信息安全事件发生的原因、表现形式等，可将各种信息安全事件归纳为六大类。恶意程序事件：7网络攻击事件：7信息内容安全事件：2设备设施故障：灾害性事件：其他信息安全事件：5度、系统损失和社会影响。系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织和国家所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。重大事件（较大事件（壹般事件（透过网站内、外网自动监控手段且辅以人工测试方式，可将前文所列的各类事件进行严重等级划分，说明如下：Ⅰ级DDoS属安全隐患性的较大SQL扫描发现的系统及估方案及解决方案提交网站管理属壹般告警事件，此类事件发生时，对网站系统运行的影响较应急响应服务体系由上海络安的上海世博会信