网站系统安全防护体系建设方案
目录
一、需求说明... 2
二、网页防篡改解决方案... 4
2.1 技术原理... 4
2.2 部署结构... 5
2.3 系统组成... 6
2.4 集群与允余部署... 8
2.5 方案特点... 9
2.5.1 篡改检测和恢复... 9
2.5.2 自动发布和同步... 9
三、WEB应用防护解决方案... 11
3.1 当前安全风险分析... 11
3.2 防护计划... 12
3.2.1 开发流程中加入安全性验证项目... 12
3.2.2 对网站程序的源代码进行弱点检测... 13
3.2.3 导入网页应用程序漏洞列表作为审计项目... 13
3.2.4 部署Web应用防火墙进行防御... 14
3.3 WEB应用防火墙功能... 15
3.3.1 集中管控功能... 15
3.3.2 防护功能... 15
3.4 预期效益... 16
四、内容分发网络解决方案... 18
4.1 内容分发网络简介... 18
4.2 CDN服务功能... 18
4.3 CDN服务特点... 20
五、负载均衡解决方案... 21
5.2 广域负载均衡... 23
5.3 关键功能和特点... 24
六、应急响应服务体系... 26
6.1 事件分类与分级... 26
6.1.1 事件分类... 26
6.1.2 事件分级... 26
6.1.3 预警服务事件严重等级... 27
6.2 应急响应服务体系... 28
一、需求说明
针对Web应用防护安全需能实现以下功能:
一、针对网站主页恶意篡改的监控,防护和快速恢复:
(1)支持多种保护模式,防止静态和动态网页内容被非法篡改。
(2)能够防止主页防护功能被恶意攻击者非法终止。
(3)具备核心内嵌技术,能实现高效快速实现大规模的网页攻击防护。
(4)支持实时检测和快速恢复功能。
(5)支持多服务器、多站点的主页防护
(6)支持对常见的多种网页文件类型的保护。
(7)支持网页快照功能,根据需要即时提供快照页面,以满足客户端的访问。
二、 对Web网站进行多层次检测分析与应用防护:
(1)有效保护网站静动态网页以及后台DB信息,实现多方位攻击防护。
(2) 灵活的策略设置,能够针对各个WEB应用的特点,设置个性化的防护策略。
(3)不反射保护网站(或WEB应用)程序代码防止受到各种已知攻击(如SQL注入,跨站脚本,钓鱼攻击等)和未知攻击;并能限制未授权用户透过网站访问数据中心,防止入侵者的通信流程。
(4)能够根据操作系统、应用平台及评估渗透工具等特征,形成完备的特征库。综合并发连接、并发请求及流量限制,阻断攻击探测或扫描; 同时能够对访问数据流进行协议检查,防止对WEB应用的恶意信息获取和特征收集。
三、行为审计:
(1)能够记录和有效统计用户对WEB应用资源的访问,包括页面点击率、 客户对端地址、客户端类型、访问流量、访问时间及搜索引擎关键字信息;并实现有效的用户行为访问统计分析,如基于区域的访问统计,便于识别WEB应用的访问群体是否符合预期,为应用优化提供依据。
(2)对攻击来源和攻击行为支持分类记录探测,数据处理结果形成详细的统计及排序,支持依据威胁的级别生成防护策略。
(3)提供多种审计报表,为系统的安全审计提供详细的数据并作为可靠的决策依据。
四、支持多种WEB 应用加速技术,减轻服务器负载:
(1)支持URL 级别的流量管理和负载均衡,提供对页面访问的并发连接与速率进行控制,提高应用系统在资源紧张时的可用性。
(2)具备访问过载保护能力,缓解WEB 服务因访问量过大而造成的拒绝服务攻击, 提高系统承受应用层DOS攻击的服务能力。
(3)及时发现WEB 应用状态异常,迅速反馈应用服务活动状态,并选择最优秀服务连接。
(4)支持轮询、最小负载、请求URL 及加权等多种均衡策略,满足各种应用环境下的均衡要求。
(5)网站主页和WEB应用防护系统,需能分别以独立方式及互备方式部署在不同机房。
二、网页防篡改解决方案
Web网站和Web应用系统除了采用常见的网络安全设备进行防护外,需要更有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。
2.1 技术原理
防篡改体系除了Web服务器外,另外需部署‘发布服务器’:
‐ 发布服务器:
位于内网中,本身处在相对安全的环境中,其上部署发布服务器软件。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相应位置上,文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,“发布服务器软件”将其同步到Web服务器上。
‐
Web服务器:
位于Internet/DMZ中,本身处在不安全的环境中,其上部署Web服务器端防篡改模块及内容同步软件模块。
防篡改系统的运行原理:
n 防篡改
对所有网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体)在发布时进行128位密钥的HMAC-MD5(RFC2104)计算,生成唯一的、不可逆转的和不可伪造的数字水印。
浏览者请求访问任一网页元素时,篡改检测模块(作为Web服务器软件的一部分)读出网页元素的内容重新计算数字水印,并与之前存储的数字水印进行比对,网页元素的任何篡改都能够被可靠地计算出来。
n 防窃听
任何通信实体(包括发布服务器和Web服务器和控制台)之间采用工业标准的SSL3.0/TLS1.0安全通讯协议(RFC2246),确保网页元素文件和数字水印数据流在通信过程中不被黑客窃取和分析。
n 身份鉴别
通信实体间进行强身份鉴别。首先,Web服务器要确保上传文件的发布服务器的身份真实性,不能接受伪造的发布服务器上传的文件;其次,发布服务器要确保是在与Web服务器通信,确保发送的文件能够到Web服务器上。因此,双方彼此都进了身份鉴别。亦即:发布服务器采用客户端数字证书与Web服务器通讯,同时也验证Web服务器数字证书的真实性。
2.2 部署结构
目前,大部分网站都使用内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中,发布服务器部署在原有的内容管理系统和Web服务器之间,下图表明三者之间的关系。
发布服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,发布服务器将其同步到Web服务器上。无论什么情况下,不允许直接变更Web服务器上的页面文件。
下图为防篡改系统的逻辑部署图。若无多余服务器可供使用,则发布服务器可与内容管理服务器建构在同一服务器上:
2.3 系统组成
从逻辑上,防篡改系统由页面保护子系统、自动发布子系统和监控管理子系统组成,三部分的关系如下图所示。
n 页面保护子系统
页面保护子系统是系统的核心,内嵌在Web服务器软件里(即前述的核心内嵌模块),包含应用防护模块和篡改检测模块。
应用防护模块对每个用户的请求进行安全性检查:如果正常则发送给Web服务器软件;如果发现有攻击特征码,即刻中止此次请求并进行报警。
篡改检测模块对每个发送的网页进行即时的完整性检查:如果网页正常则对外发送;如果被篡改则阻断对外发送,并依照一定策略进行报警和恢复。
对于Windows系统,页面保护子系统还包括一个增强型事件触发式检测模块,该模块驻留于操作系统内核,阻止大部分常规篡改手段。
n 自动发布子系统
自动发布子系统负责页面的自动发布,由发送端和接收端组成:发送端位于发布服务器上,称之为自动发布程序,它监测到文件系统变化即进行计算该文件水印,并进行SSL发送;接收端位于Web服务器上,称之为同步服务器,它接收到网页和水印后,将网页存放在文件系统中,将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。
n 监控管理子系统
负责篡改后自动恢复,也提供系统管理员的使用界面。其功能包括:手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。
日志记录所有系统、发布、篡改检测和自动恢复等信息,可以分类分日期查看,并根据管理员的要求实现转储。日志记录还支持syslog,以实现与安全管理平台的接口。
2.4 集群与允余部署
Web站点运行的稳定性是最关键的,防篡改系统支持所有部件的多机工作和热备,可以有多台安装了防篡改模块和同步服务软件的Web服务器,也可以有两发布服务器,避免单点失效问题,如下图所示。
n Web服务器多机和集群
发布服务器支持1对多达64台Web服务器的内容同步,这些Web服务器的操作系统、Web服务器系统软件、应用脚本及网页内容既可以相同也可以不同。本案提供的解决方案将可实现异种系统架构下对不同内容的统一管理。
n 发布服务器双机
支持发布服务器双机协同工作,即一台主发布服务器和一台热备发布服务器。在这种部署情形下,内容管理系统(CMS)需要将内容同时发布到两台发布服务器上。正常状态下,主发布服务器工作时,由它对所有Web服务器进行内容同步。如果热备发布服务器运行失效(不影响网站系统运行),一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。主发布服务器如果失效(即不发心跳信号),热备发布服务器会接管工作,由热备服务器对所有Web服务器进行内容同步。当主发布服务器修复后,两机同时工作,经过一段时间的数据交接时间,热备发布服务器重新进入热备状态。
2.5 方案特点
2.5.1 篡改检测和恢复
n 支持安全散列检测方法;
n 可检测静态页面/动态脚本/二进制实体;
n 支持对注入式攻击的防护;
n 网页发布同时自动更新水印值;
n 网页发送时比较网页和水印值;
n 支持断线/连线状态下篡改检测;
n 支持连线状态下网页恢复;
n 网页篡改时多种方式报警;
n 网页篡改时可执行外部程序或命令;
n 可以按不同容器选择待检测的网页;
n 支持增强型事件触发检测技术;
n 加密存放水印值数据库;
n 支持各种私钥的硬件存储;
n 支持使用外接安全密码算法。
2.5.2 自动发布和同步
n 自动检测发布服务器上文件系统任何变化;
n 文件变化自动同步到多个Web服务器;
n 支持文件/目录的增加/删除/修改/更名;
n 支持任何内容管理系统;
n 支持虚拟目录/虚拟主机;
n 支持页面包含文件;
n 支持双机方式的冗余部署;
n 断线后自动重联;
n 上传失败后自动重试;
n 使用SSL安全协议进行通信;
n 保证通信过程不被篡改和不被窃听;
n 通信实体使用数字证书进行身份鉴别;
n 所有过程有详细的审计。
三、WEB应用防护解决方案
从网页应用程序层面进行安全防护机制:
第一项计划是,通过网页程序代码的安全检测,找出潜在应用程序的编写漏洞,提供开发团队修补建议,并据以改写修补。同时为网页应用层防火墙提供防护规则,做到内外共同防护;
第二项计划是,通过网页应用层防火墙软件的部署,与网页程序代码的安全检测互相联动,为在线运营的网站立即建立防护,针对各种应用层的攻击进行阻挡,建立起网站从内而外的安全防护体系。
3.1 当前安全风险分析
越来越多的案例表明,网站的安全问题随着各类网络技术手段的不断进步而显现出来。截止到目前,以跨站脚本攻击、SQL注入攻击为代表的攻击方式对传统的‘防火墙+入侵防护’所组成的网站安全防线带来了极大的冲击;同时由于新的攻击方式的出现,一旦网站被入侵,轻则网站被植入恶意连结或对象,导致访问用户的个人电脑中毒或被植入木马;严重的话,通过网页的接口导致客户的信息或交易纪录被入侵,从而面对的是漫长的调查、赔偿、法律责任、甚至诉讼。如果被媒体披露的话,更会严重影响企事业单位的声誉。
网站安全风险分析:
项次 | 大纲 | 说明 |
1 | 没有适当机制确认目前的网页程序存在哪些漏洞 | 目前已在线执行的网页系统,是几年来不断开发与累积的结果。然而新兴的以网页应用程序为攻击目标的攻击模式不断被发现,因此当前面临的困难在于: l 现有的开发团队并非全职的安全专家,难以保证编写出来的程序代码绝对不会存在漏洞。 l 在线的程序代码为数众多,如果要逐条人工检视,绝对力有未逮,且现有的开发能力用于全力开发新的服务与流程改善,无法投入足够的资源用于检测旧的系统漏洞。 l 经常性的发生信息安全事件,会让团队疲于奔命。也花费大量的资源来进行调查与修复。更不用说后续延伸出来的商誉损失、法律责任、甚至诉讼与赔偿事宜。 |
2 | 网站的运营者往往都在网站遭受入侵与恶意攻击后通过外界反应才知道 | 当黑客利用时下Web AP的攻击手法,如Cross Site Script或SQL Injection等方式攻击网站,而网站又刚好有未知的漏洞被利用,那么不仅缺乏适当的机制可以立即发现攻击,更无法达到防御的效果。 |
3 | 法律责任的冲击 | 企事业单位有责任妥善保管的客户个人信息,若因网站被入侵而导致客户信息外泄,则有可能必须面对法律责任的问题。 |
4 | 敏感信息显示于网页接口时,需进行屏蔽,避免会员信息外泄 | 针对如信用卡卡号或身分证字号等敏感信息,如果需要在网页中显示响应给使用者,则需要进行屏蔽,将中间字符内容取代为x或*等符号,避免使用者的计算机存在木马或传输过程被窃听,而造成信息外泄。 然而现有的系统已经运作多年,需要逐一检视并且修改,需花费大量的资源与时间。 |
5 | 传统IDS/IPS与防火墙,挡不住也看不懂 Web攻击 | 原本期望通过IDS/IPS与防火墙来抵御黑客的攻击。然而现在的黑客,不再「硬碰硬」的进行防火墙、入侵侦测系统或者修补程序可以阻挡的「网络型攻击」或者「作业平台的攻击」。目前超过 70% 成功的黑客攻击,都是针对『 Web 应用程序』的弱点而不是操作系统的弱点,而且循着合法身份从Web 应用系统管道进入,因此原先的防火墙与入侵侦测系统也束手无策。 |
6 | SSL加密后的流量,无法从网络端实施入侵检查与过滤 | 因为运营的是电子商务服务,因此为避免使用者进行交易的过程中信息被从中窃听,而实施HTTPS/SSL加密,保障传输过程的安全。 然而,这也造成部署网页防入侵机制时的限制与困扰。因为如果使用的使网络型的Web Application Firewall机制,SSL加密后的流量就会无法进行检查,或者要改变现有SSL加密的处理流程。 |
3.2 防护计划
3.2.1 开发流程中加入安全性验证项目
在软件开发流程中,拟规划一套系统化的安全设计流程,确保网络应用程序的安全。系统发展生命周期(Systems Development Life Cycle,简称SDLC)是大部分信息应用系统设计的参考模型,即一套应用程序软件的发展需要历经「分析」、「设计」、「建构」、「测试」、「系统维护」至下一次的需求产生,这一周期就是系统发展生命周期。安全系统发展生命周期(Security Systems Development Life Cycle )便是泛指在软件开发生命周期中,应考虑的信息安全措施及注意事项。
3.2.2 对网站程序的源代码进行弱点检测
建议导入自动化网页应用程序源代码安全检测体系。
不可否认的,早期所开发的应用程序,皆以「功能性」着眼,欠缺「安全性」的安全认识与危机意识,因此在程序编写中较少考虑到「安全性」的问题,因此不小心便导致所开发的 Web 应用系统漏洞百出,导致 SQL Injection、缓冲区溢出(Buffer-Overflow)、跨网站脚本攻击(Cross-Site Scripting)等等 Web攻击。信息安全的相关领域知识包含「操作系统」、「开发工具」、「网站平台」、「程序逻辑」、「程序编译」、「程序执行」以及种种通讯协议原理,并非程序开发人员的专业领域,因此如何快速有效地针对单位内现有与未来开发建设的 Web 应用系统进行定期或者不定期检验其可能的源代码弱点与漏洞,需要一套有系统有效率的「Web 应用系统原代码自动检测系统」,有助于提早发现并评估风险,提早进行源代码改写与修补动作。
Web 应用系统原代码自动检测系统所提供的服务特色为:
l 针对程序源代码检测结果与报告,提供程序源代码「弱点深度分析」与「弱点严重性分析」等风险高低评估计分与图表,协助程序开发人员规划安排程序源代码弱点安全问题修复的优先级。
l 清楚标明程序源代码弱点安全问题的结果与源头,协助开发与项目管理人员了解程序源代码弱点安全问题之发生程序行数与弱点来源,必须包含下列信息:
l 可与本案「Web 应用系统安全防火墙」的安全访问策略联动,解决复杂的应用防火墙配置问题。
3.2.3 导入网页应用程序漏洞列表作为审计项目
开放网页应用程序安全计划(Open Web Application Security Project, 以下简称OWASP)致力协助企业和政府机关(构)能够理解和提高网页应用程序的安全性,并关注最严重的漏洞。OWASP于2010年最新公布的十大信息安全漏洞(OWASP Top 10)是一个需要立刻处理的应用程序安全漏洞。这些安全漏洞包括:
l Cross-Site Scripting(跨站脚本攻击)。网页应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可撷取使用者的Cookie或Session数据而能直接登入成使用者。
l Injection Flaw:网页应用程序执行来自外部包括数据库在内的恶意指令,SQL注入,命令注入等攻击包括在内。
l Malicious File Execution:网页应用程序引入来自外部的恶意档案并执行档案内容。
l Insecure Direct Object Reference:攻击者利用网页应用程序本身的档案读取功能任意存取档案或重要数据,案例包括http://example/read.php?file=../../../../../../../c:\boot.ini
l Cross-Site Request Forgery (CSRF): 已登入网页应用程序的合法使用者执行到恶意的HTTP指令,但网页应用程序却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。
l Information Leakage and Improper Error Handling:网页应用程序的执行错误讯息包含敏感数据,案例包括:系统档案路径
l Broken Authentication and Session Management:网页应用程序中自行编写的身份验证相关功能有缺陷。
l Insecure Cryptographic Storage:网页应用程序没有对敏感性数据使用加密、使用较弱的加密算法或将密钥储存在容易被取得之处。
l Insecure Communication:没有在传送敏感性数据时使用HTTPS或其它加密方式。
l Failure to Restrict URL Access:某些网页因为没有权限控制,使得攻击者可通过网址直接存取,案例包括允许直接修改Wiki或Blog网页内容。
归咎这些安全漏洞的根本原因,乃在于网页应用程序本身存在安全漏洞,忽略应该注意的函数处理与防范来自使用者的恶意攻击。倘若这些安全漏洞在开发与部署过程没有被检测出来,则日后就会发生信息安全事件。利用‘Web 应用系统原代码自动检测系统’所提供的检测服务可事先发现网站所潜藏的上述安全漏洞。
3.2.4 部署Web应用防火墙进行防御
导入网页应用程序防火墙系统的好处在于:
n 网站源代码检测阶段:
在修补源代码中存在的安全隐患之前(可能因为开发团队变更、服务无法暂停等原因暂时无法对安全隐患进行修补),则依靠网页应用程序防火墙系统提供Web应用安全防护,从而保证网站应用的安全性;
n 网站安全加固阶段:
可以将网页应用程序源代码安全检测系统检测出的安全问题自动直接生成网页应用程序防火墙系统所需使用的安全防护规则(Access Policy),使得网页应用程序源代码安全检测系统与网页应用程序防火墙系统产生互相联动,从而做到网站应用安全的自动化防护。
通过网页应用程序防火墙的部署,让访问者对网站的请求,以及网站预计响应给访问者的显示网页,都经过「Web 应用系统安全防火墙」全程检查与检视其「安全性」、「合法性」与「正确性」,如有任何「非法行为」,自动「阻断非法行为」或者「重置合法与合适的响应」,让「使用者」与「系统管理者」都可以继续「安心」的运作。
「Web 应用系统安全防火墙」部署架构如下图:
3.3 WEB应用防火墙功能
3.3.1 集中管控功能
l 同一解决方案除了提供硬件式应用防护设备外,可依实际需求选择将软件式应用防火墙系统安装于Web服务器主机上,不需要调整网络与系统架构。
l 支持【集中丛集控管(Cluster Management)】方式,通过统一集中管理接口,同时管理与安全防护规则部署多台「Web 应用系统软件式防火墙系统」。
l 支持集群内各台「Web 应用系统软件式防火墙系统」运行状态,如有异常,立即显示。
l 具备多管理者、多网站群组的权限管理能力,提供让特定管理者管理特定网站群组安全防护规则的能力
l 内建「Web 应用系统软件式防火墙系统」纪录查询与查看工具,方便实时分析,提供多重条件过滤查询功能,无须额外购置审计报表分析工具。
l 提供符合法规遵循角度需求的审计纪录,详细纪录系统的操作与变更,方便审计人员查验。
l 提供统计报表能力,提供多种预设统计图表,支持自定义设定分析范围与时间区段,产生满足单位需求与法规遵循要求的报表。
l 提供直接过滤防护 SSL加密网页的机制,安装部署时,不需要更改 SSL 密钥存放位置,避免密钥管理的额外问题。
3.3.2 防护功能
l 可防御下列19大类(含)以上网页攻击型态,超过10,000种(含)以上网页攻击方法。
l 支持下列OWASP Top 10十大网页应用程序弱点的攻击模式。
l 提供「输入验证(Input Validation)」处理机制,提供黑名单或者白名单方式验证使用者输入内容数据的类型、范围、格式与长度。
l 提供「客户端浏览器存取权限」的管理能力,可以限制存取网站的客户端IP地址、使用的浏览器版本、网页开放存取的时间范围 以及SSL加密的强度等等存取条件。
l 提供「网页存取身份验证(Authentication)」处理机制,让缺乏账号密码等权限管理的网页具备身份验证能力。
l 提供「网页存取安全会话(Secure Session)」处理机制,保护客户端浏览器Cookie的安全使用,降低 Cookie 外泄的机率。
l 提供「网页上传下载双向过滤保护」功能,通过关键词过滤网站恶意内容或不当文字,或是防止机敏数据外泄。
l 针对网页敏感信息,例如:信用卡信息、身份证号等隐私数据,提供「自动屏蔽(Auto Mask/XXX)」功能机制,避免单位机密数据或者个人隐私外泄。
l 提供「反钓鱼(Anti-Phishing)」功能,可通过黑、白或灰名单方式限制钓鱼网站引用主网站的内容。
l 通过 Reference Checking 强制网站的使用方式,防止网站内容遭受未经合法授权的「强迫浏览」或者「盗连」。
l 内建「安全防护规则设定」向导,根据实际需求与环境提供弹性与自定义安全防护规则的设定功能。
l 提供安全防护规则集的「版本管理」机制,并且支持「版本回溯(Rollback)」功能。
l 支持人工智能安全防护规则「学习模式」,提供网站系统安全防护规则设定的建议。
l 支持下列操作系统:Windows、Linux 与 Unix-Like 作业系统
l 可与「Web 应用系统源代码自动检测系统」所生成的安全防护规则联动。
3.4 预期效益
通过「Web应用系统安全防火墙」与「网站源代码弱点检测」的部署与导入,预期达到的效益与目标:。
n 对在线运作的网站应用程序进行防护,降低被黑风险:
通过网页应用程序防火墙的部署,让使用者对网站的请求,以及网站预计响应给使用者的显示网页,都经过「Web 应用系统安全防火墙」全程检查与检视其「安全性」、「合法性」与「正确性」,如有任何「非法行为」,自动「阻断非法行为」或者「重置合法与合适的响应」,让「使用者」与「系统管理者」都可以继续「安心」的运作。
n 在网站程序漏洞被黑客利用前,即可进行修补,以治本方式根除漏洞:
利用「网站程序的源代码弱点检测系统」,可例行对在线运作的网站程序源代码进行扫描与检测,以清楚存在哪些已知的弱点与漏洞,并计划性的依据严重度进行修补改写,以根除这些漏洞,提高网站的安全性。
n 培养开发团队编写高安全性的网页程序代码与安全网站能力:
藉由网站源代码的扫描报告解读与程序代码修正程序。让开发团队的程序开发人员,熟悉高安全性的网页程序的编写方法,进而养成良好的编写与测试习惯。
四、内容分发网络解决方案
4.1 内容分发网络简介
内容分发网络(CDN, Content Distribution Network)服务=智能的网站镜像+页面缓存+流量导流。
CDN所做的,就是为互联网上的内容提供EMS 服务,在最正确的时间用最正确的手段,把最正确的内容,推送到最正确的地点(访问客户),能够帮助用户解决分布式存储、负载均衡、网络请求的重定向和网站内容管理等问题。其目的是通过在现有的Internet 中增加一层新的网络架构,将网站的内容发布到最接近用户的网络“边缘”,使网站访问用户可以就近取得所需的网页内容,解决 Internet网络拥塞状况、提高用户访问网站的响应速度。从技术全面解决由于网络带宽小、用户访问量大、网点分布不均而产生的用户访问网站响应速度慢的根本原因。
CDN 网络营造了一个网络运营环境,不仅能够提供以网络加速为基础的系列服务,包括针对网页、流媒体、文件传输、文件播放等内容提供加速,还能提供一些相关的增值服务以更有效地满足客户在这些应用方面的需求。
4.2 CDN服务功能
众所周知,互联网的访问速度取决于众多的因素,包括Internet网络传输质量、国内南北互联互通问题、网站服务器性能、网站出口带宽、网页程架构和网页内容类型等等。CDN网页加速产品采用全球智能域名解析系统和高速缓存等专业技术,通过遍布全球的CDN 网络把网页内容分发到离网民最近的边缘节点上,绕过国内以及跨国的传输拥塞影响,突破源站出口带宽和性能屏障,访问用户可以从最适合的节点上获得所需的内容,从而提高网站的访问速度和质量。CDN 网页加速产品支持SSL 加密,网页压缩,防盗链等功能:
n 网页压缩功能:
支持网站本身的压缩功能,同时能够帮助未实现压缩功能的网站提供压缩服务,通过压缩数据大小的改变,减少数据传输的时间,节省传输的带宽,使页面显示速度自然提高。
n 防盗链功能:
基于时间或者用户IP 对URL 进行加密和验证,帮助网站防止盗链现象。
n 地域化内容服务功能:
根据访问用户的地域不同,将用户的访问请求分配到相应的CDN 节点上进行响应,从而为来自不同地域用户提供针对该地域投放的特色内容,使得网站内容更加有针对性,实现个性化服务。
4.3 CDN服务特点
n 安全的分发内容
CDN 节点前端都有可以抵御几十万级别DDoS 攻击的设备,智能的全域负载均衡系统会根据攻击路线改变用户访问目的地,保障用户访问不受攻击影响。在整个分发网络中除了网络层有加密校验机制,分发的文件会携带特定的加密码,在传送到最终目的地后进行校验完毕后确认文件在传输过程中没有缺失和修改,返回给中央分发服务系统安全到达的信息,且服务器采用专有OS 架构,即使遭到攻击黑客也无法篡改用户内容,保证分发内容的安全性和完整性。
n 完善的日志分析
完善的日志分析功能,可以根据用户个性需求,制定多重样式的日志分析报告,包括用户访问行为分析、用户来源地分析、网站点击率分析等。并可以提供自动报表生成。
n 网站流量及时报告
提供在线的浏览访问量接口,使用户随时了解网站运转状况。
n 网站异常告警
当网站发生非正常访问量激增或网站源不可达时,会及时发送EMAIL到用户信箱告知状况并及时电话通知,使得网站安全可靠。
n 网站镜像
可以提供用户网站异地镜像功能,保证源站发生状况后,可以借用CDN节点上的网站为用户提供暂时的页面访问服务。
n 网站页面访问性能优化
降低源站对高带宽的需求,并减低源站服务器的访问压力。
五、负载均衡解决方案
CDN服务为访问用户提供更快的网站访问速度,并降低源站的访问压力。而源站本地则可以采用服务器负载均衡(SLB, Server Load Balance)技术方案进一步降低源站的访问中断风险。更完善的负载均衡方案是采用广域负载均衡(GLSB, Global Server Load Balance)技术为应用网站提供不同地域的主用/备用站点架构,
5.1 服务器负载均衡
如上图示,假设在Internet 上提供两个服务,分别为World Wide Web 服务(192.168.10.1)与E-commerce 服务(192.168.10.2),而今我们在防火墙与交换机之间加入了SLB,此设备在OSI/ISO 七层架构中属于三到七层的设备,因此可以整合不同平台、新旧不同的服务器,另外、服务器也由一台增加至三台,我们称为服务器农场(Server Farm), 并且将原本属于服务器的IP 地址移到SLB 设备上,对使用者而言依然是存取此IP 上的服务,没有改变。因此,必须指定另外一个网段的IP 给原来的服务器使用。此时,SLB 设备除对外提供服务,对内做到下列的功能:
n 网络地址转换(Network Address Translation, NAT):
利用此技术将内部的虚拟IP 对应到外部的真实IP(视提供的服务而定,在此例中有二个IP 需做NAT),如此一来便可以解决用一个IP 来代替许多不同的IP 的问题。
n 有效分配负载流量:
如何将由Internet 上的流量分配到后端的服务器上,其中包含了那一台服务器该负责较多的工作,或是一视同仁的照次序分配而不考虑效能等因素,我们称为负载平衡模式(Load Balance Mode)。
n Health check 机制:
为了使SLB 设备可以有效掌控后端服务器的状况,必须定期自动检查服务器的运作情形,以免发生将使用者数据请求引导至发生故障或是过于忙碌的服务器上的情形。
n Fail-Over 机制:
一旦SLB 架构建置完成,SLB 设备便成为非常重要的一个网络节点。一旦发生故障,整个服务便会中断,因此备援是非常重要的课题,理想的备援机制是在完全不影响使用者的前提下完成取代故障设备并提供服务的工作,一般我们也称之为高可靠度(High Availability)。
5.2 广域负载均衡
广域负载均衡(GSLB,Global Server Load Balance)是一种将SLB的概念扩展到广域范围的技术,与SLB在一个单独的节点上为一组服务器提供负载均衡服务不同,GSLB提供了一种对多个不同地域的服务器群(多个节点)提供负载均衡的服务,在实现上可以分为两个方面,一方面是如何实现将用户的请求指向到选定的节点上,一方面是研究如何确定最佳的站点。GSLB服务可以对分布在不同地域的多个源站服务器群提供广域负载均衡服务,采用DNS解析的方式来实现用户访问重定向,同时采用智能策略确定最佳源站点,提高了服务的可用性和系统性能。
原理说明:
广域负载均衡在DNS解析阶段实现:
1)客户端针对一个域名(Domain)发送一个DNS请求。
2)广域负载均衡由一系列算法返回一个最优site的IP(延时最小、距离最近等)。
3)客户端向此IP发起连接请求。
4)当客户端向某IP发起访问连接请求时,执行(本地)服务器负载均衡(SLB),负载均衡设备根据最优算法选择服务器和相应的服务转发请求,如上图所示。
5.3 关键功能和特点
n Web交换
完全支持URL交换,根据URL和HTTP信息分配流量。每个 URL 都可以重定向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的Web交换性能。根据URL文本中包含的信息,可以保持客户持续性,从而保证内容的个性化。
n 通过负载均衡优化服务器资源
支持的负载均衡演算法至少包含,
‐ 轮询 (Cyclic)
‐ 最少用户数 (Least users)
‐ 最少数据包数 (Least packets)
‐ 最少字节数 (Least bytes)
‐ 最快回应时间 (Fasted Response Time)
‐ SNMP定制 (SNMP customized)
n 健康状况检查
可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障,访问用户即被透明地重定向到正常工作的服务器上。
n 完全的容错与冗余
双机备援架构方式提供设备间的完全容错,以确保网络最大的可用性。两个设备通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。它们可工作于‘主用-备用’模式或‘主用-主用’模式,在‘主用-主用’模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。并且所有的访问会话信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得网站访问的最佳服务。
n 通过正常退出服务保证稳定运行
当需要进行服务器升级或系统维护时,负载均衡设备可保证稳定的服务器退出服务以避免网站访问中断。当选定某台服务器要退出负载均衡服务后,新的访问连接将不会被指向该服务器。
n 应用安全
‐ DDoS保护:识别和保护应用基础架构不受DoS/DDoS攻击。这种保护已超越了其他供应商采用的传统SYN cookie技术所提供的保护。
‐ 入侵过滤:通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝,保护应用服务器不受侵袭。包检测和过滤功能(包括对加密流量进行检测)可支持管理员制定政策来保护系统不受这些攻击。
‐ SSL加密:应用内容在传输过程中都受加密保护,通过卸载服务器复杂的加密任务将应用处理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全,使其摆脱被窃取及被滥用的潜在威胁。
n 旁路建构方式,保障原有网络结构
负载均衡设备可选择以旁路方式连接至网站系统,降低Web应用交付使用的延宕风险。
六、应急响应服务体系
6.1 事件分类与分级
事件的分类分级,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个整体事件防范与处置的基础。
6.1.1 事件分类
根据信息安全事件发生的原因、表现形式等,可将各种信息安全事件归纳为六大类。
1) 恶意程序事件:
包括 计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。
僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,
2) 网络攻击事件:
包括 拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。
3) 信息内容安全事件:
包括 网页篡改、伪造网站等2个第二层分类。
4) 设备设施故障:
是指由于网站系统自身故障、外围保障设施故障或人为使用非技术手段而导致的信息安全事件。
5) 灾害性事件:
是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
6) 其他信息安全事件:
指不能归为以上5个基本分类的信息安全事件。
6.1.2 事件分级
对信息安全事件的分级可参考下列三个要素:信息系统的重要程度、系统损失和社会影响。系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织和国家所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。
1) 重大事件(Ⅰ级)
指能够导致严重影响或破坏的信息安全事件,使重要信息系统遭受重大的系统损失,即造成系统长时间中断或瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,对于事发组织是无可承受的;或使重要信息系统遭受特别重大的系统损失。
2) 较大事件(Ⅱ级)
指能够导致较严重影响或破坏的信息安全事件。使重要信息系统遭受较大的系统损失,即造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是可以承受的;或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失。
3) 一般事件(Ⅲ级)
一般事件是指能够导致较小影响或破坏的信息安全事件,会使重要信息系统遭受较小的系统损失,即造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
6.1.3 预警服务事件严重等级
透过网站内、外网自动监控手段并辅以人工测试方式,可将前文所列的各类事件进行严重等级划分,说明如下:
等级 | 分类等级说明 | 相关事件 | 事件通告时效要求 |
Ⅰ级 | 属于重大安全事件 | 1.挂马 2.恶意代码 3.跨站脚本 4.病毒事件 5.网页篡改 6.域名挟持 7.DDoS攻击 8.钓鱼/伪造网站 9.长时间网站无法访问 | 立即通报网安办,并配合网站管理员及运营商进行事件紧急响应处理及追踪。 |
Ⅱ级 | 属安全隐患性的较大事件 | 1.可疑开放端口 2.SQL注入漏洞 3.扫描发现的系统及Web应用漏洞。 | 一个工作日内完成详细安全风险评估报告及解决方案提交网站管理员,并配合网站管理员对漏洞进行安全加固服务。 |
Ⅲ级 | 属一般告警事件,此类事件发生时,对网站系统运行的影响较小或影响性是短暂的 | 1.网站出现瞬间中断 2.域名解析故障 | 持续观察并记录发现问题的时间与不同症状,每日以文档记录形式发送通报网站管理员。 |
6.2 应急响应服务体系
应急响应服务体系由上海络安的上海世博会信息安全保障应急响应技术处置组专家成员、各网站管理员、现场维护人员及第三方网站开发人员组成。
网站应急响应流程主要分为:分析确认、启动应急运行,故障修复、恢复运行、详细备案。
1、分析确认:
网站故障可分为4大类:主机设备不可用、系统不可用、遭受黑客攻击、网页被篡改。分析判断网站故障属于哪一类。
2、启动应急运行:
切换网站到应急运行状态。避免停止服务。
对于主机设备不可用、启动备用服务器。
对于软件系统不可用、停止故障网站应用,启动备份网站内容。
遭受黑客攻击、网页被篡改,停止故障网站应用,启动备份网站内容。
3、故障修复:
确认故障原因后,迅速制定故障修复方案,判断故障的严重程度和恢复时间。
对于故障原因为主机设备不可用,在1小时内能修复的,联系设备服务商协同修复。如果发生故障的服务器在2小时内不能修复,启用备用服务器。
对于故障原因为软件系统不可用,在1小时内能修复的,安全管理员协同系统管理员、数据库管理员进行系统修复;如果发生故障的服务器在2小时内不能修复,启用备用服务器。
对于故障原因为遭受黑客攻击,采用以下步骤处理:
- 首先告知网络与信息安全管理员、相应的主机系统管理员和应用软件系统管理员。网络与信息安全管理员、主机系统管理员、应用软件系统管理员应详细记录有关现象和显示器上出现的信息,将被攻击的服务器等设备从网络中隔离出来,保护现场。
- 网络与信息安全管理员负责分析攻击现象,提供解决方法,主机系统管理员和应用软件系统管理员负责被攻击或破坏系统的恢复与重建工作。
- 适时解除被攻击设备的隔离。
- 由网络与信息安全管理员牵头,会同主机系统管理员和应用软件系统管理员共同追查黑客攻击来源。
- 网络与信息安全管理员、主机系统管理员和应用软件系统管理员会商后,将有关情况汇报。
- 如认为事态严重,则立即向公安部门或上级机关报警。
对于故障原因为网页被篡改采用以下步骤处理:
- 将出现网页被篡改的页面抓屏,保存所抓取的屏幕信息。
- 打印屏幕信息后修复网页内容、删除网站上的非法言论。
- 网页修复后,对网站全部内容进行一次查看,确保没有被篡改的或非法的言论后解除站点服务器的隔离。
- 配合网站管理员及运营商共同追查非法篡改、非法言论来源,尽可能确定信息发布者。
4、恢复运行:
在确认故障排除之后,可恢复系统运行,如果启动了备用服务器,应将服务器切换到原来的数据库服务器。
5、详细备案:
系统恢复运行后,网络与信息安全管理员应会同站点管理员将本次网站故障的处置过程,包括故障发生时的现象、处理过程及所采取的技术手段、结果等做出详细的文字记录。
6、演练及维护
为了提高应急处理的速度,提高应急响应工作组成员对蠕虫处理的熟练程度,应定期对预案进行演练。