雲數據中心網頁安全解決方案
欄目:網絡信息安全 發布時間:2014-07-31

應用背景

國家互聯網應急中心發布《2012年我國互聯網網絡安全態勢綜述》,該報告顯示:去年我國網絡基礎設施運行總體平穩,但安全形勢不容樂觀,麵臨的境外攻擊威脅依然嚴重。據監測,去年我國境內被篡改網站數量為16388個,據監測,其中政府網站1802個,分別同比增長6.1%和21.4%。

去年3016個政府網站被植入後門,安卓平台成惡意程序攻擊重災區

網絡釣魚日漸猖獗,嚴重影響在線金融服務和電子商務的發展,危害公眾利益。2012年,國家互聯網應急中心共監測發現針對我國境內網站的釣魚頁麵22308個,接收到網絡釣魚類事件投訴9463起,約占總接收事件數量的一半。

大數據和雲平台技術發展將引入新安全風險:

與以往通過明顯篡改網頁內容以表達訴求或炫耀技術不同的是,2012年,黑客傾向於通過隱蔽的危害更大的後門程序,獲得經濟利益和竊取網站內存儲的信息。據不完全統計,2012年,約有50餘個我國網站用戶信息數據庫在互聯網上公開流傳或通過地下黑色產業鏈進行售賣,其中已證實確為真實信息的數據近5000萬條。

惡意代碼和漏洞技術不斷演進,針對“高價值”目標的高級可持續攻擊風險持續加深,嚴重威脅網絡空間安全;信息竊取和網絡欺詐將繼續成為黑客攻擊的重點;移動互聯網惡意程序數量將持續增加並更加複雜;大數據和雲平台技術的發展引入新的安全風險,麵臨數據安全和運行安全雙重考驗。

 

 

 

為此,我司為各雲數據中心,雲服務提供商(政府,門戶網站,公司企業等)提供更快速,更安全,更可靠的網頁安全解決方案。

網站是網絡中被訪問最多的一種服務,也是最容易遭受攻擊的。網站直接代表著政府、企業的形象,一旦頁麵被篡改,將導致企業、政府形象和無形資產的巨大損失。這種攻擊方式和攻擊後果屢見不鮮。

根據 Gartner 的調查,信息安全攻擊有 75% 都是發生在 Web 應用層,2/3的 Web 站點都相當脆弱,易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業務行為中,導致傳統防火牆、入侵防禦係統無法發現和阻止這些攻擊。

即使部署了層層的應用安全防護設備,網頁還是被篡改了!這是因為安全防護並不能百分之百的確保所有攻擊都被攔截,因為也不能確保網頁不被篡改。聰明的黑客甚至會利用最新的“0”day漏洞獲取服務器權限,篡改網頁。

  一、網頁篡改的途徑分析

  (1)SQL注入後獲取Webshell:

  (2)XSS漏洞引入惡意HTML界麵:

  (3)控製了Web服務器

  (4)控製了DNS服務器

  (5)遭遇了ARP攻擊:

二.用戶需求

基於網頁篡改的現象和問題,某私有雲服務提供商提出了具體的安全性要求,對於網站的安全防護主要需要解決的問題和具備的防篡改措施如下:

1、具備防護篡改網站各類攻擊的完整安全防禦體係。包括針對web應用程序的web攻擊;針對承載網站應用的發布服務器漏洞攻擊、數據庫應用的漏洞利用攻擊等;針對網站服務器群的係統漏洞利用攻擊等攻擊手段。防止網頁篡改需要具備從網絡到係統再到應用層麵的各類安全威脅的防護能力;

2、具備事後驗證網頁內容發布合法性的檢查。一切發布於互聯網或者內網用戶的網頁內容需要經過篡改與否的合規性檢驗,防止繞過防禦體係潛入網站篡改網頁的風險和管理員賬號被竊取後正常發布的非法內容發布;

3、具備篡改後應急處理機製。網頁被篡改後,需要有良好的善後保障措施和業務承接能力。以便於網站用戶訪問網站的連續性。

因此網頁篡改防護需要能夠提供動態防護L2-L7層的攻擊,被攻擊了也有篡改判定機製做到事後補償的保護手段,確保網頁不被篡改;同時需要具備篡改後應急響應的機製,即使網頁內容被篡改了也不會發布與眾。

4、避免攻擊者對網站的域名服務器進行滲透,獲取了域名的解析權限,改變了解析地址以達到篡改的效果;例如:百度被黑事件;

據此4點,設計拓撲如下:

 


三.具體實施功能實現

1.DNS域名解析負載均衡設備,負責公網的域名解析工作,防止DNS的DDoS攻擊,預防百度事件的再次發生,避免攻擊者對網站的域名服務器進行滲透,獲取了域名的解析權限,改變了解析地址以達到篡改的效果;

2.網頁服務器集群區域部署WAF網頁防護防火牆,具體實現內容如下:

(1)深度內容檢測技術,可解析網站交互流量中隱藏的威脅

(2)典型的Web攻擊防護,防止Owasp十大web安全威脅

(3)基於應用的漏洞防禦,有效防止服務器漏洞利用攻擊

(4)多種篡改應急處理機製,確保用戶訪問網站連續性

1.指定網頁

檢測到篡改事件時,可將用戶的訪問重定向引導到預先編輯的顯示提示頁麵。該頁麵可由管理員預先設定,防止用戶訪問到被篡改的頁麵。

2.web服務器

用戶可搭建一個備份服務器實現關鍵頁麵的實時備份。係統檢測到篡改事件後,也可將用戶的訪問請求重定向到備份的web服務器上,保證用戶訪問業務的永續性,防止用戶訪問到被篡改的頁麵。

(5)快速及時的報警方式,便於應急響應並及時修複


AG亚游电玩 官方AG赌场APP AG网址视讯 AG娱乐游戏 AG亚洲集团