ｅeb數(shù)據(jù)安全安全一體化

1、PAGE10青蓮Web數(shù)據(jù)安全一體化解決方案 北京青蓮時代科技有限公司BEIJING CYANLOTUS TIMES TECHONOLOGIES CO,.LTD適用范圍本文檔為北京青蓮時代科技有限公司合作伙伴了解、使用青蓮Web數(shù)據(jù)安全一體化參考文檔；僅供適青蓮合作伙伴、最終用戶在進(jìn)行技術(shù)學(xué)習(xí)、產(chǎn)品選型時參考。版權(quán)聲明本文檔版權(quán)歸北京青蓮時代科技有限公司（以下簡稱“青蓮科技”或“Cyanlotus”）所有，并對本文檔的內(nèi)容保留一切權(quán)利。未經(jīng)本公司書面許可，文檔中的任何部分不得以任何形式或手段復(fù)制、拷貝、傳播給其它第三方?！癈yanlotus”是青蓮科技注冊商標(biāo)，不得侵犯。所有其它商標(biāo)及注冊商標(biāo)

2、均屬有關(guān)公司所有。免責(zé)聲明本文檔為青蓮科技提供給代理商、合作伙伴的學(xué)習(xí)參考性文檔，只作為參考說明，不作為合同要約。如因文檔使用不當(dāng)造成的直接或間接損失，本公司不承擔(dān)任何責(zé)任。本文檔為內(nèi)部文檔，無意侵犯其他公司的任何權(quán)利，如有不妥之處，歡迎指正。信息反饋對本文檔有何疑問或建議，請反饋到文檔更新青蓮科技將不定期對本文檔內(nèi)容進(jìn)行修訂，可以與青蓮科技聯(lián)系及時獲取最新版本。文檔由北京青蓮時代科技有限公司于 2011年3月1日最后修訂。目 錄 TOC o 1-3 h z u HYPERLINK l _Toc4 HYPERLINK l _Toc5 第一章：背景 PAGEREF _Toc5 h 3 HYPER

3、LINK l _Toc6 第二章：安全現(xiàn)狀 PAGEREF _Toc6 h 4 HYPERLINK l _Toc7 前臺安全 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 后臺安全 PAGEREF _Toc8 h 5 HYPERLINK l _Toc9 第三章：青蓮Web數(shù)據(jù)安全一體化 PAGEREF _Toc9 h 5 HYPERLINK l _Toc0 拓?fù)鋱D PAGEREF _Toc0 h 5 HYPERLINK l _Toc1 前臺安全保障青蓮Web應(yīng)用防火墻 PAGEREF _Toc1 h 6 HYPERLINK l _Toc2 事前預(yù)防 PAGEREF _

4、Toc2 h 6 HYPERLINK l _Toc3 事中防護(hù) PAGEREF _Toc3 h 7 HYPERLINK l _Toc4 事后補(bǔ)救 PAGEREF _Toc4 h 7 HYPERLINK l _Toc5 后臺安全保障青蓮內(nèi)控堡壘主機(jī) PAGEREF _Toc5 h 7 HYPERLINK l _Toc6 帳戶管理 PAGEREF _Toc6 h 7 HYPERLINK l _Toc7 認(rèn)證 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 授權(quán) PAGEREF _Toc8 h 8 HYPERLINK l _Toc9 審計 PAGEREF _Toc9 h 8

5、HYPERLINK l _Toc0 第四章：綜述 PAGEREF _Toc0 h 8第一章：背景據(jù)中國互聯(lián)網(wǎng)應(yīng)急中心最新統(tǒng)計顯示，2008年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，僅2009年3月我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到2225個。隨著企業(yè)和政府越來越多的業(yè)務(wù)系統(tǒng)采用基于WEB服務(wù)方式，互聯(lián)網(wǎng)在為用戶提供方便快捷的同時，針對WEB業(yè)務(wù)的攻擊亦在迅猛增長。 一方面，基于新技術(shù)的突破和應(yīng)用， WEB技術(shù)提供的快捷性、交互性和通用性被越來越多的業(yè)務(wù)系統(tǒng)所采用；而另一方面，病毒、木馬蠕蟲、釣魚軟件等卻又通過WEB服務(wù)的方式大肆在互聯(lián)網(wǎng)上傳播，嚴(yán)重威脅到了WEB服務(wù)的業(yè)務(wù)系統(tǒng)。對于用戶而

6、言，WEB即敞開了便捷的大門，也讓諸如網(wǎng)頁篡改、密碼盜竊、數(shù)據(jù)泄漏等安全隱患無處不在。 更為嚴(yán)重的是網(wǎng)站作為政府、企業(yè)等部門對外的窗口和實(shí)施電子政務(wù)、電子商務(wù)的重要平臺，其安全問題直接關(guān)系政府和企業(yè)形象，在很大程度上決定了電子政務(wù)和電子商務(wù)的效率。尤其是，政府網(wǎng)站作為一級政府發(fā)布重要新聞、重大方針政策以及法律、法規(guī)等的重要渠道，一旦被黑客篡改，將嚴(yán)重?fù)p害政府的形象，影響社會穩(wěn)定。甚至有的篡改將直接導(dǎo)致事件升級成政治事件，嚴(yán)重危及國家安全和人民利益，其安全性問題不容忽視。第二章：安全現(xiàn)狀對于我們?nèi)粘５脑L問網(wǎng)站、網(wǎng)頁這類五彩繽紛的網(wǎng)絡(luò)世界，實(shí)際是后臺數(shù)據(jù)庫以網(wǎng)頁的對客戶進(jìn)行呈現(xiàn)的，青蓮對于這些We

7、b數(shù)據(jù)區(qū)分成了前臺安全和后臺安全，前臺安全是客戶以網(wǎng)頁形式訪問Web數(shù)據(jù)庫，后臺安全是公司內(nèi)部維護(hù)人員和Web的研發(fā)人員，現(xiàn)在我們就來分析一下Web數(shù)據(jù)都有哪些安全隱患 前臺安全客戶日常瀏覽網(wǎng)頁、網(wǎng)站都是以Web頁面進(jìn)行訪問數(shù)據(jù)的，這類數(shù)據(jù)屬于前臺安全，在前臺安全我們會遇見哪類安全隱患：1、利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞WEB系統(tǒng)2、利用系統(tǒng)漏洞，使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改WEB網(wǎng)站內(nèi)容，竊取信息3、XSS攻擊，即跨站腳本攻擊。惡意攻擊者往WEB頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中WEB里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目

8、的4、利用DOS、DDOS等方式，造成服務(wù)癱瘓5、利用網(wǎng)站應(yīng)用程序漏洞，采用SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫管理員權(quán)限，從而任意修改數(shù)據(jù)庫，達(dá)到網(wǎng)頁篡改或破壞網(wǎng)頁的目的 后臺安全1、黑客在攻擊進(jìn)入Web數(shù)據(jù)庫可能會發(fā)現(xiàn)維護(hù)人員使用的遠(yuǎn)程維護(hù)端口，黑客可以從后臺進(jìn)入Web數(shù)據(jù)庫進(jìn)行數(shù)據(jù)修改2、第三方廠商、運(yùn)維人員、研發(fā)人員在進(jìn)行Web數(shù)據(jù)維護(hù)和更新時，有可能會出現(xiàn)誤操作導(dǎo)致設(shè)備的宕機(jī)或?qū)е戮W(wǎng)絡(luò)數(shù)據(jù)丟失，造成不必要的損失3、不管是企業(yè)內(nèi)部維護(hù)人員、還是第三方廠商維護(hù)人員在進(jìn)行維護(hù)設(shè)備時，企業(yè)并不清楚他們具體在Web數(shù)據(jù)上做了哪些操作，往往很多內(nèi)部數(shù)據(jù)都是從維護(hù)人員手中泄露出去的，但是傳

9、統(tǒng)的日志無法進(jìn)行記錄4、企業(yè)內(nèi)部不單單只有Web數(shù)據(jù)需要維護(hù)，服務(wù)器、網(wǎng)絡(luò)設(shè)備、中件間都需要維護(hù)，維護(hù)人員需要在這些設(shè)備之間進(jìn)行頻繁的登錄，這種現(xiàn)象促使維護(hù)人員工作效率低第三章：青蓮Web數(shù)據(jù)安全一體化 拓?fù)鋱D Web數(shù)據(jù)服務(wù)器基本都在放在DMZ區(qū)域內(nèi)，在DMZ區(qū)域的網(wǎng)絡(luò)出口放置兩臺Web應(yīng)用防火墻，Web應(yīng)用防火墻支持Web負(fù)載均衡和雙機(jī)熱備，所有的訪問Web數(shù)據(jù)的必須都要通過Web應(yīng)用防火墻進(jìn)行檢測和數(shù)據(jù)過濾，只要正常安全的訪問才可以放行。 很多第三方運(yùn)維人員通常維護(hù)的時候，都是通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入Web數(shù)據(jù)后臺，青蓮內(nèi)控堡壘主機(jī)放置在核心交換的旁邊，在公司內(nèi)部的運(yùn)維的，還是第三方遠(yuǎn)程運(yùn)維，或

10、是分支機(jī)構(gòu)的人員都必須先進(jìn)入堡壘主機(jī)，通過內(nèi)控堡壘主機(jī)的身份認(rèn)證后再去進(jìn)入Web數(shù)據(jù)，青蓮內(nèi)控堡壘主機(jī)把所有人的行為進(jìn)行記錄，并可以進(jìn)行場景還原。 前臺安全保障青蓮Web應(yīng)用防火墻青蓮Web應(yīng)用防火墻在前臺安全方面，劃分成三個事段：事前預(yù)防、事中防護(hù)、事后補(bǔ)救。 事前預(yù)防在事前，青蓮Web應(yīng)用防火墻給客戶提供了Web數(shù)據(jù)掃描模塊，針對研發(fā)人員對WEB安全意識差的特點(diǎn)進(jìn)行特殊掃描。Web數(shù)據(jù)掃描模塊主要是針對OWASP（開放式Web應(yīng)用程序安全項(xiàng)目）的前TOP10類主流攻擊方式進(jìn)行掃描，其中包括漏洞檢查、木馬檢測、WEB安全檢測和敏感信息檢查，在被攻擊前就對客戶的Web數(shù)據(jù)進(jìn)行整體評估，從根本上

11、先了解自己的弱點(diǎn)，知己知彼，方能百戰(zhàn)百勝。事中防護(hù)在事中，青蓮Web應(yīng)用防火墻為客戶提供了防護(hù)能力，其中包括防DDOS攻擊、WEB安全防護(hù)。WEB安全防護(hù)是青蓮Web應(yīng)用防火墻在事中的主體功能，青蓮Web應(yīng)用防火墻內(nèi)置了特征庫，其中包括了SQL注入、防爬蟲等特征庫和Web合規(guī)性檢查，當(dāng)Web數(shù)據(jù)被攻擊時，如果攻擊方式和特征庫匹配，青蓮Web應(yīng)用防火墻會對Web數(shù)據(jù)進(jìn)行保護(hù)，保證數(shù)據(jù)不會被攻擊到。DDOS攻擊屬于傳統(tǒng)攻擊方式，對于常見的7種DDOS攻擊方式，青蓮Web 應(yīng)用防火墻可以有效防止大流量攻擊，并且青蓮Web應(yīng)用防火墻使用了VRRP負(fù)載均衡技術(shù)，當(dāng)大流量攻擊時，可以把流量進(jìn)行分擔(dān)，不會造

12、成單點(diǎn)故障。 事后補(bǔ)救在事后，黑客一旦攻擊進(jìn)入網(wǎng)站后，對網(wǎng)站的數(shù)據(jù)被客戶篡改后，青蓮Web應(yīng)用防火墻的防篡改功能就會啟動，把黑客篡改的數(shù)據(jù)進(jìn)行還原，保證了數(shù)據(jù)無法被篡改，青蓮Web應(yīng)用防火墻使用的是第四代防篡改技術(shù)（文件過濾驅(qū)動+事件觸發(fā)），對Web數(shù)據(jù)進(jìn)行實(shí)時自動檢測，整個恢復(fù)過程毫秒級，使得公眾無法看到被篡改的內(nèi)容。 后臺安全保障青蓮內(nèi)控堡壘主機(jī)青蓮內(nèi)控堡壘主機(jī)在后臺安全方面，提出4A理論，帳戶管理、認(rèn)證、授權(quán)、審計 帳戶管理青蓮內(nèi)控堡壘主機(jī)把服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等設(shè)備的帳號儲存在堡壘主機(jī)里面，這些原始帳戶我們叫做從帳號，青蓮內(nèi)控堡壘主機(jī)分配給客戶的帳號叫做主帳號，當(dāng)架設(shè)了青蓮內(nèi)控堡壘

13、主機(jī)后，用戶只有青蓮內(nèi)控堡壘主機(jī)的帳號，從帳戶客戶就不知道了，直接點(diǎn)擊青蓮內(nèi)控堡壘主機(jī)的服務(wù)器等網(wǎng)絡(luò)圖標(biāo)就可以進(jìn)入設(shè)備進(jìn)行維護(hù)，在登錄下一臺還是同樣的操作就可以。避免了維護(hù)人員的反復(fù)登錄造成的工作效率低下等問題。 認(rèn)證青蓮內(nèi)控堡壘主機(jī)內(nèi)嵌了RADUIS認(rèn)證系統(tǒng)，每個用戶登錄青蓮內(nèi)控堡壘主機(jī)都要使用第三方認(rèn)證，不管是第三方運(yùn)維人員還是內(nèi)部維護(hù)人員都要做身份認(rèn)證。確保身份以后青蓮內(nèi)控堡壘主機(jī)才可放行，青蓮內(nèi)控堡壘主機(jī)就是網(wǎng)絡(luò)中一道門禁系統(tǒng)，對于從網(wǎng)絡(luò)進(jìn)入的任何人員都要進(jìn)行指紋等第三方認(rèn)證識別?？蛻裘看芜B接設(shè)備都有加密安全保證，當(dāng)黑客對數(shù)據(jù)進(jìn)行攔截后，模仿內(nèi)控堡壘主機(jī)去訪問服務(wù)器，服務(wù)器是拒絕接受請

14、求的。對于整個連接過程進(jìn)行全球唯一性的加密方式進(jìn)行加密。保證了數(shù)據(jù)的保密性、完整性。 授權(quán)傳統(tǒng)的授權(quán)就是給客戶一個用戶名和密碼，這個用戶名和密碼是否可以登錄這臺網(wǎng)絡(luò)設(shè)備。傳統(tǒng)授權(quán)只能授權(quán)客戶是否有進(jìn)入這臺設(shè)備的權(quán)利，青蓮內(nèi)控堡壘主機(jī)可以把授權(quán)細(xì)?；?，青蓮內(nèi)控堡壘主機(jī)使用正則匹配技術(shù)，雖然客戶使用的是同一權(quán)限帳戶進(jìn)入設(shè)備，但是他們對于命令是有具體限制的。青蓮內(nèi)控堡壘主機(jī)不單單對操作命令進(jìn)行細(xì)顆化，對登錄時間、登錄IP地址、密碼都有具體詳細(xì)的安全策略制度。把傳統(tǒng)的單一細(xì)?；阶钚?。 審計所有設(shè)備的日志審計都是只記錄登錄和退出的時間記錄，但是對于人員的操作記錄，傳統(tǒng)的日志審計是無法記錄的，青蓮內(nèi)控堡壘主機(jī)使用屏幕捕捉和鍵盤捕捉兩種技術(shù)對操作進(jìn)行記錄，當(dāng)客戶進(jìn)行事故追查時，我們還原當(dāng)時場景，并提供所有操作命令的具體細(xì)節(jié)。方便客戶第一時間排除故障，青蓮內(nèi)控堡壘主機(jī)也有傳統(tǒng)日志審計和命