SANGFORAF網頁篡改防護解決方案V1

深信服科技版權所有聯系方式/p>

深信服網頁篡改防護解決方案深信服科技有限公司20XX年XX月XX日目錄深信服網頁篡改防護解決方案 -1-1 應用背景 -3-2 需求分析 -3-3 深信服網頁篡改防護解決方案 -4-3.1 方案概述 -4-3.2 解決方案 -5-3.2.1 網關型的網頁防篡改，對服務器零消耗、零影響 -5-3.2.2 深度內容檢測技術，可解析網站交互流量中隱藏的威脅 -5-3.2.3 典型的Web攻擊防護，防止Owasp十大web安全威脅 -6-3.2.4 基于應用的漏洞防御，有效防止服務器漏洞利用攻擊 -6-3.2.5 多種匹配方式，靈活適合動靜態(tài)網頁篡改防護 -6-3.2.6 網站防護深度自定義，適應各行業(yè)網站特點 -7-3.2.7 豐富的篡改類型識別，可防護黑客的任意篡改形式 -7-3.2.8 獨立的網站更新通道，實現安全管理與業(yè)務更新兩權分立 -8-3.2.9 網站更新通道短信認證，提升網站更新通道的安全性 -8-3.2.10 多種方式的篡改快照，可清晰界定網頁內容合法性 -8-3.2.11 多種篡改應急處理機制，確保用戶訪問網站連續(xù)性 -8-3.2.12 快速及時的報警方式，便于應急響應并及時修復 -9-4 關于深信服 -9-

應用背景 近年來，網站安全事件數量不斷攀升，網站成為了主要目標，國家互聯網應急中心(CNCERT/CC)《2011年我國互聯網網絡安全態(tài)勢綜述》顯示“網站安全類事件占到61。7%；境內被篡改網站數量為36612個，較2010年增加5.1%；4月—12月被植入網站后門的境內網站為12513個。CNVD接受的漏洞中，涉及網站相關的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。 而網站安全問題進一步引發(fā)網站用戶信息和數據的安全問題。2011年底，CSDN、天涯等網站發(fā)生用戶泄露事件引起社會廣泛關注，被公開的疑似泄露數據庫26個,涉及賬號、密碼信息2。78億條，嚴重威脅互聯網用戶的合法權益和互聯網安全."需求分析 網站是網絡中被訪問最多的一種服務，也是最容易遭受攻擊的。網站直接代表著政府、企業(yè)的形象,一旦頁面被篡改,將導致企業(yè)、政府形象和無形資產的巨大損失.這種攻擊方式和攻擊后果屢見不鮮. 根據Gartner的調查,信息安全攻擊有75%都是發(fā)生在Web應用層，2/3的Web站點都相當脆弱，易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業(yè)務行為中，導致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現和阻止這些攻擊. 即使部署了層層的應用安全防護設備，網頁還是被篡改了！這是因為安全防護并不能百分之百的確保所有攻擊都被攔截，因為也不能確保網頁不被篡改。聰明的黑客甚至會利用最新的“0”day漏洞獲取服務器權限，篡改網頁。 基于此類現象和問題,按照各行業(yè)對網站及發(fā)布業(yè)務安全性的要求,對于網站的安全防護主要需要解決的問題和具備的防篡改措施如下： 1、具備防護篡改網站各類攻擊的完整安全防御體系。包括針對web應用程序的web攻擊；針對承載網站應用的發(fā)布服務器漏洞攻擊、數據庫應用的漏洞利用攻擊等；針對網站服務器群的系統(tǒng)漏洞利用攻擊等攻擊手段。防止網頁篡改需要具備從網絡到系統(tǒng)再到應用層面的各類安全威脅的防護能力； 2、具備事后驗證網頁內容發(fā)布合法性的檢查.一切發(fā)布于互聯網或者內網用戶的網頁內容需要經過篡改與否的合規(guī)性檢驗，防止繞過防御體系潛入網站篡改網頁的風險和管理員賬號被竊取后正常發(fā)布的非法內容發(fā)布； 3、具備網站更新人員的強認證通道，也便于網站更新業(yè)務的正常運轉。由于網站更新人員和安全設備管理人員通常不會是同一個部門,為了方便網站更新業(yè)務的正常運轉，需要給網站內容維護人員一個專門的通道用于界定更新網站內容、界定網站內容是否為篡改行為.同時為了增強該通道的安全性，需要增加強認證機制，比如短信認證、2次認證等手段以保證網站更新人員的合法性. 4、具備篡改后應急處理機制。網頁被篡改后，需要有良好的善后保障措施和業(yè)務承接能力.以便于網站用戶訪問網站的連續(xù)性。 因此網頁篡改防護需要能夠提供動態(tài)防護L2-L7層的攻擊，被攻擊了也有篡改判定機制做到事后補償的保護手段，確保網頁不被篡改;同時需要具備篡改后應急響應的機制，即使網頁內容被篡改了也不會發(fā)布與眾。深信服網頁篡改防護解決方案方案概述 深信服網頁防篡改解決方案是網站的守護者，針對網站提供雙重的防御體系。 深信服網頁防篡改解決方案提供針對L2-L7層網站攻擊的完整安全防御能力。其攻擊防護部分功能解決方案解決了傳統(tǒng)防火墻不能防護應用層安全威脅的問題，彌補了IPS入侵防護系統(tǒng)無法防護web攻擊的弱點,彌補了基于web應用的WAF無法防止底層漏洞攻擊的缺陷，為用戶提供完整的網站應用層安全防護方案; 此外深信服網頁防篡改解決方案提供的一種事后補償防護手段,即使黑客繞過安全防御體系修改了網站內容,其修改的內容也不會發(fā)布到最終用戶處，從而避免因網站內容被篡改給組織單位造成的形象破壞、經濟損失等問題,保護網站的完整性。解決方案網關型的網頁防篡改，對服務器零消耗、零影響 深信服網頁防篡改解決方案無需在服務器上裝任何插件,對服務器性能無任何損耗，對服務器本身的生產環(huán)境無需做任何修改，是通過集成在設備中的防篡改技術的完整解決方案?？蛇m用于各種復雜的網站建設場景，可通過路由、網橋部署于網絡中，不改變網絡及網站服務器的原有環(huán)境，對于網站已經建設完成需要增強安全防御能力以及防篡改能力的網站尤為適合，針對安裝于服務器上的防篡改軟件或需要在服務器上安全插件的防篡改系統(tǒng)，具有很明顯的優(yōu)勢。 深信服防篡改解決方案只需要管理員預先在控制臺設置好需要防護的網站，設置后,系統(tǒng)會向該網站請求頁面并且緩存到設備.當用戶訪問網站的時候,數據經過防篡改系統(tǒng)，防篡改系統(tǒng)會根據預先緩存的頁面與用戶訪問的頁面進行比對,如有變動，則判斷為篡改,跳轉到指定頁面并且通知管理員。 深信服防篡改系統(tǒng)的樣本采樣模塊會將首次獲取到的防護頁面作為基準頁面，通過一定時間反復或者通過手動更新輪詢方式更新采集網站的樣本，再次之后獲取的頁面為輪詢頁面.采樣得到的基準頁面與輪詢頁面將通過模塊中的檢測算法進行輪詢的檢測與匹配。若經過算法計算的基準頁面與輪詢頁面出現不一致時，則判定網頁存在篡改的風險，通過提交管理員審核的方式判定更新內容是合法更新還是非法篡改.深度內容檢測技術，可解析網站交互流量中隱藏的威脅 深信服防篡改解決方案具備深度的內容檢測技術，通過該技術可以解析用戶端到服務端完整的http請求,可解析在網站交互流量中隱藏的威脅并予以防御。相對于純軟件的防篡改系統(tǒng)具有防攻擊特性的優(yōu)勢，防止黑客入侵服務器獲取服務器權限后，可隨意將防篡改軟件關閉,或者修改的風險。 深度內容檢測技術實現對HTTP/HTTPS協議的深入解析，精確識別出協議中的各種要素，如cookie、Get參數、Post表單等，并對這些數據進行快速的解析，以還原其原始通信的信息，根據這些解析后的原始信息，可以精確的檢測其是否包含威脅內容。而傳統(tǒng)的IPS基于DPI深度數據包解析技術，只能實現在網絡層數據包層面進行重組還原及特征匹配,無法解析基于HTTP協議的內容分析，很難有效檢測針對web應用的攻擊.而具備簡單web攻擊防護的IPS,僅僅是基于簡單的特征檢測技術，存在大量的漏報誤報的信息。 作為web客戶端與服務器請求與響應的中間人，能夠有效的避免web服務器直接暴露在互聯網之上，雙向內容檢測技術可檢測過濾HTTP雙向交互的數據流包括response報文，對惡意流量，以及服務器外發(fā)的有風險信息進行實時的清洗與過濾。典型的Web攻擊防護,防止Owasp十大web安全威脅 該方案有效結合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制,實現雙向的內容檢測,提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊.(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護電子政務網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題.基于應用的漏洞防御，有效防止服務器漏洞利用攻擊 該方案漏洞防御功能可有效防止利用web服務器、數據庫服務器、中間件服務器等網站服務器本身應用程序、操作系統(tǒng)、應用軟件的漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用層攻擊,使黑客獲取更高的服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題.多種匹配方式,靈活適合動靜態(tài)網頁篡改防護 深信服網頁篡改防護解決方案可能實現動態(tài)、靜態(tài)網頁的篡改檢測,通過兩種匹配方式對網頁篡改進行檢測與匹配。一般情況下純靜態(tài)網頁，則選擇[精確匹配]，全動態(tài)頁面的網站選擇[模糊匹配—靈敏度低］，靜/動態(tài)網頁都有的網站可選擇［模糊匹配-靈敏度高]或者[模糊匹配-靈敏度中］. 方式一：精確匹配 精確匹配模式適用于首頁或者前幾級更新內容較少、用戶訪問次數最多需要進行嚴格保障的頁面。通過精確匹配的識別方式，網站框架、文字、圖片等網站任何一個元素的變化均被判定為被非法篡改. 方式二：模糊匹配 模糊匹配適用于內容更新頻發(fā)的動態(tài)更新的頁面，網頁中的文字會隨著動態(tài)發(fā)布進行更新,而網站的整體框架不允許被篡改,否則被認定為是一種篡改事件。網站防護深度自定義，適應各行業(yè)網站特點 網站防護的深度可靈活自定義，充分保護關鍵頁面同時提高網頁防篡改檢測的效率，保證用戶訪問的高效性。防護深度默認值為5。當設定起始URL后，設備會請求該URL并且緩存該URL頁面，如果該URL里有一個URL鏈接B，那么設備也會請求鏈接B并且緩存B頁面，依此類推，設備也會請求鏈接B里面的鏈接并且繼續(xù)緩存.防護深度范圍為1—20。豐富的篡改類型識別，可防護黑客的任意篡改形式 深信服網頁篡改防護解決方案可識別各種類型的篡改方式，覆蓋黑客篡改網頁的各種形式,達到嚴密防護的效果。其主要的幾種篡改形式如下： 1、替換整個網頁 可識別黑客對整個網頁進行替換的篡改事件。 2、插入新/黑鏈接 若攻擊者篡改頁面插入其他網站鏈接打廣告，則可以通過檢測外鏈的功能進行檢驗。 3、替換網站圖片文件 若攻擊者更改了網頁中某些圖片內容，可根據圖片的特征精確識別圖片的更改與否，防止攻擊者替換網頁中的圖片信息. 4、小規(guī)模編輯網頁(僅精確模式使用） 在精確檢測模式下，則可識別小規(guī)模的網頁編輯，如小部分文字內容的修改實現嚴格的網頁篡改防護要求。 5、因網站運行出錯導致結構畸變 可實現網站更新、訪問出錯導致的網站結構發(fā)生畸變的篡改防護,保證網頁不會因為出錯使得網站結構與框架發(fā)生改變.獨立的網站更新通道，實現安全管理與業(yè)務更新兩權分立 為了方便網站內容更新人員更新網站內容，防篡改系統(tǒng)為網站內容更新人員提供了單獨維護的更新確認界面。該界面不同于系統(tǒng)管理界面，用于網站內容更新人員管理更新網站。實現業(yè)務更新人員與安全管理人員的維護的安全分離，實現兩權分立。通過網站內容更新人員更新通道界面，可實現網站內容更新是否合法的判定，且能夠實現通過該維護界面實現合法圖片更新的還原。網站更新通道短信認證，提升網站更新通道的安全性 為了增強該通道的安全性，深信服防篡改解決方案增加更新通道強認證機制。所有網站更新通道的授權需要經過短信進行二次認證，通過認證的人員才能正常的訪問和更新網站的內容，從而增強了網站更新通道的安全性，確保網站內容發(fā)布真實、準確、合法。多種方式的篡改快照，可清晰界定網頁內容合法性 系統(tǒng)提供多種方式查看篡改快照，可幫助管理員快速清晰的界定網頁內容篡改與否及其合法性. 1、通過登錄系統(tǒng)可以查看實時的篡改快照,系統(tǒng)會提供更改前以及更改后的界面快照，管理員對于篡改或更新信息一目了然,輕松界定網頁合法性； 2、通過網站內容更新通道亦可查看實時的篡改快照,通道界面會提供更改前以及更改后的界面快照，網站更新人員對于篡改或更新信息一目了然，輕松界定網頁合法性； 3、為了增強網頁篡改快照的快速有效傳遞，系統(tǒng)還提供郵件、短信的方式發(fā)布快照內容，方便管理員確認網頁內容的合法性。多種篡改應急處理機制,確保用戶訪問網站連續(xù)性 為了提升用戶訪問網站的連續(xù)性,深信服網頁篡改防護解決方案提供網站篡改重定向的功能。當檢測到篡改發(fā)生后，系統(tǒng)阻止用戶訪問到被篡改的頁面，同時能夠提供兩種重定向的方式，避免用戶訪問到被篡改的頁面。 一、指定網頁 檢測到篡改事件時，可將用戶的訪問重定向引導到預先編輯的顯示提示頁面。該頁面可由管理員預先設定，防止用戶訪問到被篡改的頁面. 二、web服務器 用戶可搭建一個備份服務器實現關鍵頁面的實時備份。系統(tǒng)檢測到篡改事件后，也可將用戶的訪問請求重定向到備份的web服務器上，保證用戶訪問業(yè)務的永續(xù)性，防止用戶訪問到被篡改的頁面?？焖偌皶r的報警方式，便于應急響應并及時修復 系統(tǒng)檢測到篡改發(fā)生后，可以通過郵