SANGFORAF網(wǎng)頁篡改防護(hù)解決方案V1

深信服科技版權(quán)所有聯(lián)系方式/p>

深信服網(wǎng)頁篡改防護(hù)解決方案深信服科技有限公司20XX年XX月XX日目錄深信服網(wǎng)頁篡改防護(hù)解決方案 -1-1 應(yīng)用背景 -3-2 需求分析 -3-3 深信服網(wǎng)頁篡改防護(hù)解決方案 -4-3.1 方案概述 -4-3.2 解決方案 -5-3.2.1 網(wǎng)關(guān)型的網(wǎng)頁防篡改，對服務(wù)器零消耗、零影響 -5-3.2.2 深度內(nèi)容檢測技術(shù)，可解析網(wǎng)站交互流量中隱藏的威脅 -5-3.2.3 典型的Web攻擊防護(hù)，防止Owasp十大web安全威脅 -6-3.2.4 基于應(yīng)用的漏洞防御，有效防止服務(wù)器漏洞利用攻擊 -6-3.2.5 多種匹配方式，靈活適合動(dòng)靜態(tài)網(wǎng)頁篡改防護(hù) -6-3.2.6 網(wǎng)站防護(hù)深度自定義，適應(yīng)各行業(yè)網(wǎng)站特點(diǎn) -7-3.2.7 豐富的篡改類型識(shí)別，可防護(hù)黑客的任意篡改形式 -7-3.2.8 獨(dú)立的網(wǎng)站更新通道，實(shí)現(xiàn)安全管理與業(yè)務(wù)更新兩權(quán)分立 -8-3.2.9 網(wǎng)站更新通道短信認(rèn)證，提升網(wǎng)站更新通道的安全性 -8-3.2.10 多種方式的篡改快照，可清晰界定網(wǎng)頁內(nèi)容合法性 -8-3.2.11 多種篡改應(yīng)急處理機(jī)制，確保用戶訪問網(wǎng)站連續(xù)性 -8-3.2.12 快速及時(shí)的報(bào)警方式，便于應(yīng)急響應(yīng)并及時(shí)修復(fù) -9-4 關(guān)于深信服 -9-

應(yīng)用背景 近年來，網(wǎng)站安全事件數(shù)量不斷攀升，網(wǎng)站成為了主要目標(biāo)，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)《2011年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示“網(wǎng)站安全類事件占到61。7%；境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè)，較2010年增加5.1%；4月—12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接受的漏洞中，涉及網(wǎng)站相關(guān)的漏洞占22.7%，較2010年大幅上升，排名由第三位上升至第二位。 而網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個(gè),涉及賬號(hào)、密碼信息2。78億條，嚴(yán)重威脅互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全."需求分析 網(wǎng)站是網(wǎng)絡(luò)中被訪問最多的一種服務(wù)，也是最容易遭受攻擊的。網(wǎng)站直接代表著政府、企業(yè)的形象,一旦頁面被篡改,將導(dǎo)致企業(yè)、政府形象和無形資產(chǎn)的巨大損失.這種攻擊方式和攻擊后果屢見不鮮. 根據(jù)Gartner的調(diào)查,信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層，2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊. 即使部署了層層的應(yīng)用安全防護(hù)設(shè)備，網(wǎng)頁還是被篡改了！這是因?yàn)榘踩雷o(hù)并不能百分之百的確保所有攻擊都被攔截，因?yàn)橐膊荒艽_保網(wǎng)頁不被篡改。聰明的黑客甚至?xí)米钚碌摹?”day漏洞獲取服務(wù)器權(quán)限，篡改網(wǎng)頁。 基于此類現(xiàn)象和問題,按照各行業(yè)對網(wǎng)站及發(fā)布業(yè)務(wù)安全性的要求,對于網(wǎng)站的安全防護(hù)主要需要解決的問題和具備的防篡改措施如下： 1、具備防護(hù)篡改網(wǎng)站各類攻擊的完整安全防御體系。包括針對web應(yīng)用程序的web攻擊；針對承載網(wǎng)站應(yīng)用的發(fā)布服務(wù)器漏洞攻擊、數(shù)據(jù)庫應(yīng)用的漏洞利用攻擊等；針對網(wǎng)站服務(wù)器群的系統(tǒng)漏洞利用攻擊等攻擊手段。防止網(wǎng)頁篡改需要具備從網(wǎng)絡(luò)到系統(tǒng)再到應(yīng)用層面的各類安全威脅的防護(hù)能力； 2、具備事后驗(yàn)證網(wǎng)頁內(nèi)容發(fā)布合法性的檢查.一切發(fā)布于互聯(lián)網(wǎng)或者內(nèi)網(wǎng)用戶的網(wǎng)頁內(nèi)容需要經(jīng)過篡改與否的合規(guī)性檢驗(yàn)，防止繞過防御體系潛入網(wǎng)站篡改網(wǎng)頁的風(fēng)險(xiǎn)和管理員賬號(hào)被竊取后正常發(fā)布的非法內(nèi)容發(fā)布； 3、具備網(wǎng)站更新人員的強(qiáng)認(rèn)證通道，也便于網(wǎng)站更新業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。由于網(wǎng)站更新人員和安全設(shè)備管理人員通常不會(huì)是同一個(gè)部門,為了方便網(wǎng)站更新業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，需要給網(wǎng)站內(nèi)容維護(hù)人員一個(gè)專門的通道用于界定更新網(wǎng)站內(nèi)容、界定網(wǎng)站內(nèi)容是否為篡改行為.同時(shí)為了增強(qiáng)該通道的安全性，需要增加強(qiáng)認(rèn)證機(jī)制，比如短信認(rèn)證、2次認(rèn)證等手段以保證網(wǎng)站更新人員的合法性. 4、具備篡改后應(yīng)急處理機(jī)制。網(wǎng)頁被篡改后，需要有良好的善后保障措施和業(yè)務(wù)承接能力.以便于網(wǎng)站用戶訪問網(wǎng)站的連續(xù)性。 因此網(wǎng)頁篡改防護(hù)需要能夠提供動(dòng)態(tài)防護(hù)L2-L7層的攻擊，被攻擊了也有篡改判定機(jī)制做到事后補(bǔ)償?shù)谋Ｗo(hù)手段，確保網(wǎng)頁不被篡改;同時(shí)需要具備篡改后應(yīng)急響應(yīng)的機(jī)制，即使網(wǎng)頁內(nèi)容被篡改了也不會(huì)發(fā)布與眾。深信服網(wǎng)頁篡改防護(hù)解決方案方案概述 深信服網(wǎng)頁防篡改解決方案是網(wǎng)站的守護(hù)者，針對網(wǎng)站提供雙重的防御體系。 深信服網(wǎng)頁防篡改解決方案提供針對L2-L7層網(wǎng)站攻擊的完整安全防御能力。其攻擊防護(hù)部分功能解決方案解決了傳統(tǒng)防火墻不能防護(hù)應(yīng)用層安全威脅的問題，彌補(bǔ)了IPS入侵防護(hù)系統(tǒng)無法防護(hù)web攻擊的弱點(diǎn),彌補(bǔ)了基于web應(yīng)用的WAF無法防止底層漏洞攻擊的缺陷，為用戶提供完整的網(wǎng)站應(yīng)用層安全防護(hù)方案; 此外深信服網(wǎng)頁防篡改解決方案提供的一種事后補(bǔ)償防護(hù)手段,即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容,其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題,保護(hù)網(wǎng)站的完整性。解決方案網(wǎng)關(guān)型的網(wǎng)頁防篡改，對服務(wù)器零消耗、零影響 深信服網(wǎng)頁防篡改解決方案無需在服務(wù)器上裝任何插件,對服務(wù)器性能無任何損耗，對服務(wù)器本身的生產(chǎn)環(huán)境無需做任何修改，是通過集成在設(shè)備中的防篡改技術(shù)的完整解決方案?？蛇m用于各種復(fù)雜的網(wǎng)站建設(shè)場景，可通過路由、網(wǎng)橋部署于網(wǎng)絡(luò)中，不改變網(wǎng)絡(luò)及網(wǎng)站服務(wù)器的原有環(huán)境，對于網(wǎng)站已經(jīng)建設(shè)完成需要增強(qiáng)安全防御能力以及防篡改能力的網(wǎng)站尤為適合，針對安裝于服務(wù)器上的防篡改軟件或需要在服務(wù)器上安全插件的防篡改系統(tǒng)，具有很明顯的優(yōu)勢。 深信服防篡改解決方案只需要管理員預(yù)先在控制臺(tái)設(shè)置好需要防護(hù)的網(wǎng)站，設(shè)置后,系統(tǒng)會(huì)向該網(wǎng)站請求頁面并且緩存到設(shè)備.當(dāng)用戶訪問網(wǎng)站的時(shí)候,數(shù)據(jù)經(jīng)過防篡改系統(tǒng)，防篡改系統(tǒng)會(huì)根據(jù)預(yù)先緩存的頁面與用戶訪問的頁面進(jìn)行比對,如有變動(dòng)，則判斷為篡改,跳轉(zhuǎn)到指定頁面并且通知管理員。 深信服防篡改系統(tǒng)的樣本采樣模塊會(huì)將首次獲取到的防護(hù)頁面作為基準(zhǔn)頁面，通過一定時(shí)間反復(fù)或者通過手動(dòng)更新輪詢方式更新采集網(wǎng)站的樣本，再次之后獲取的頁面為輪詢頁面.采樣得到的基準(zhǔn)頁面與輪詢頁面將通過模塊中的檢測算法進(jìn)行輪詢的檢測與匹配。若經(jīng)過算法計(jì)算的基準(zhǔn)頁面與輪詢頁面出現(xiàn)不一致時(shí)，則判定網(wǎng)頁存在篡改的風(fēng)險(xiǎn)，通過提交管理員審核的方式判定更新內(nèi)容是合法更新還是非法篡改.深度內(nèi)容檢測技術(shù)，可解析網(wǎng)站交互流量中隱藏的威脅 深信服防篡改解決方案具備深度的內(nèi)容檢測技術(shù)，通過該技術(shù)可以解析用戶端到服務(wù)端完整的http請求,可解析在網(wǎng)站交互流量中隱藏的威脅并予以防御。相對于純軟件的防篡改系統(tǒng)具有防攻擊特性的優(yōu)勢，防止黑客入侵服務(wù)器獲取服務(wù)器權(quán)限后，可隨意將防篡改軟件關(guān)閉,或者修改的風(fēng)險(xiǎn)。 深度內(nèi)容檢測技術(shù)實(shí)現(xiàn)對HTTP/HTTPS協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，可以精確的檢測其是否包含威脅內(nèi)容。而傳統(tǒng)的IPS基于DPI深度數(shù)據(jù)包解析技術(shù)，只能實(shí)現(xiàn)在網(wǎng)絡(luò)層數(shù)據(jù)包層面進(jìn)行重組還原及特征匹配,無法解析基于HTTP協(xié)議的內(nèi)容分析，很難有效檢測針對web應(yīng)用的攻擊.而具備簡單web攻擊防護(hù)的IPS,僅僅是基于簡單的特征檢測技術(shù)，存在大量的漏報(bào)誤報(bào)的信息。 作為web客戶端與服務(wù)器請求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，雙向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過濾。典型的Web攻擊防護(hù),防止Owasp十大web安全威脅 該方案有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制,實(shí)現(xiàn)雙向的內(nèi)容檢測,提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊.(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護(hù)電子政務(wù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題.基于應(yīng)用的漏洞防御，有效防止服務(wù)器漏洞利用攻擊 該方案漏洞防御功能可有效防止利用web服務(wù)器、數(shù)據(jù)庫服務(wù)器、中間件服務(wù)器等網(wǎng)站服務(wù)器本身應(yīng)用程序、操作系統(tǒng)、應(yīng)用軟件的漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊,使黑客獲取更高的服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲(chǔ)等資源被攻擊的問題.多種匹配方式,靈活適合動(dòng)靜態(tài)網(wǎng)頁篡改防護(hù) 深信服網(wǎng)頁篡改防護(hù)解決方案可能實(shí)現(xiàn)動(dòng)態(tài)、靜態(tài)網(wǎng)頁的篡改檢測,通過兩種匹配方式對網(wǎng)頁篡改進(jìn)行檢測與匹配。一般情況下純靜態(tài)網(wǎng)頁，則選擇[精確匹配]，全動(dòng)態(tài)頁面的網(wǎng)站選擇[模糊匹配—靈敏度低］，靜/動(dòng)態(tài)網(wǎng)頁都有的網(wǎng)站可選擇［模糊匹配-靈敏度高]或者[模糊匹配-靈敏度中］. 方式一：精確匹配 精確匹配模式適用于首頁或者前幾級(jí)更新內(nèi)容較少、用戶訪問次數(shù)最多需要進(jìn)行嚴(yán)格保障的頁面。通過精確匹配的識(shí)別方式，網(wǎng)站框架、文字、圖片等網(wǎng)站任何一個(gè)元素的變化均被判定為被非法篡改. 方式二：模糊匹配 模糊匹配適用于內(nèi)容更新頻發(fā)的動(dòng)態(tài)更新的頁面，網(wǎng)頁中的文字會(huì)隨著動(dòng)態(tài)發(fā)布進(jìn)行更新,而網(wǎng)站的整體框架不允許被篡改,否則被認(rèn)定為是一種篡改事件。網(wǎng)站防護(hù)深度自定義，適應(yīng)各行業(yè)網(wǎng)站特點(diǎn) 網(wǎng)站防護(hù)的深度可靈活自定義，充分保護(hù)關(guān)鍵頁面同時(shí)提高網(wǎng)頁防篡改檢測的效率，保證用戶訪問的高效性。防護(hù)深度默認(rèn)值為5。當(dāng)設(shè)定起始URL后，設(shè)備會(huì)請求該URL并且緩存該URL頁面，如果該URL里有一個(gè)URL鏈接B，那么設(shè)備也會(huì)請求鏈接B并且緩存B頁面，依此類推，設(shè)備也會(huì)請求鏈接B里面的鏈接并且繼續(xù)緩存.防護(hù)深度范圍為1—20。豐富的篡改類型識(shí)別，可防護(hù)黑客的任意篡改形式 深信服網(wǎng)頁篡改防護(hù)解決方案可識(shí)別各種類型的篡改方式，覆蓋黑客篡改網(wǎng)頁的各種形式,達(dá)到嚴(yán)密防護(hù)的效果。其主要的幾種篡改形式如下： 1、替換整個(gè)網(wǎng)頁 可識(shí)別黑客對整個(gè)網(wǎng)頁進(jìn)行替換的篡改事件。 2、插入新/黑鏈接 若攻擊者篡改頁面插入其他網(wǎng)站鏈接打廣告，則可以通過檢測外鏈的功能進(jìn)行檢驗(yàn)。 3、替換網(wǎng)站圖片文件 若攻擊者更改了網(wǎng)頁中某些圖片內(nèi)容，可根據(jù)圖片的特征精確識(shí)別圖片的更改與否，防止攻擊者替換網(wǎng)頁中的圖片信息. 4、小規(guī)模編輯網(wǎng)頁(僅精確模式使用） 在精確檢測模式下，則可識(shí)別小規(guī)模的網(wǎng)頁編輯，如小部分文字內(nèi)容的修改實(shí)現(xiàn)嚴(yán)格的網(wǎng)頁篡改防護(hù)要求。 5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變 可實(shí)現(xiàn)網(wǎng)站更新、訪問出錯(cuò)導(dǎo)致的網(wǎng)站結(jié)構(gòu)發(fā)生畸變的篡改防護(hù),保證網(wǎng)頁不會(huì)因?yàn)槌鲥e(cuò)使得網(wǎng)站結(jié)構(gòu)與框架發(fā)生改變.獨(dú)立的網(wǎng)站更新通道，實(shí)現(xiàn)安全管理與業(yè)務(wù)更新兩權(quán)分立 為了方便網(wǎng)站內(nèi)容更新人員更新網(wǎng)站內(nèi)容，防篡改系統(tǒng)為網(wǎng)站內(nèi)容更新人員提供了單獨(dú)維護(hù)的更新確認(rèn)界面。該界面不同于系統(tǒng)管理界面，用于網(wǎng)站內(nèi)容更新人員管理更新網(wǎng)站。實(shí)現(xiàn)業(yè)務(wù)更新人員與安全管理人員的維護(hù)的安全分離，實(shí)現(xiàn)兩權(quán)分立。通過網(wǎng)站內(nèi)容更新人員更新通道界面，可實(shí)現(xiàn)網(wǎng)站內(nèi)容更新是否合法的判定，且能夠?qū)崿F(xiàn)通過該維護(hù)界面實(shí)現(xiàn)合法圖片更新的還原。網(wǎng)站更新通道短信認(rèn)證，提升網(wǎng)站更新通道的安全性 為了增強(qiáng)該通道的安全性，深信服防篡改解決方案增加更新通道強(qiáng)認(rèn)證機(jī)制。所有網(wǎng)站更新通道的授權(quán)需要經(jīng)過短信進(jìn)行二次認(rèn)證，通過認(rèn)證的人員才能正常的訪問和更新網(wǎng)站的內(nèi)容，從而增強(qiáng)了網(wǎng)站更新通道的安全性，確保網(wǎng)站內(nèi)容發(fā)布真實(shí)、準(zhǔn)確、合法。多種方式的篡改快照，可清晰界定網(wǎng)頁內(nèi)容合法性 系統(tǒng)提供多種方式查看篡改快照，可幫助管理員快速清晰的界定網(wǎng)頁內(nèi)容篡改與否及其合法性. 1、通過登錄系統(tǒng)可以查看實(shí)時(shí)的篡改快照,系統(tǒng)會(huì)提供更改前以及更改后的界面快照，管理員對于篡改或更新信息一目了然,輕松界定網(wǎng)頁合法性； 2、通過網(wǎng)站內(nèi)容更新通道亦可查看實(shí)時(shí)的篡改快照,通道界面會(huì)提供更改前以及更改后的界面快照，網(wǎng)站更新人員對于篡改或更新信息一目了然，輕松界定網(wǎng)頁合法性； 3、為了增強(qiáng)網(wǎng)頁篡改快照的快速有效傳遞，系統(tǒng)還提供郵件、短信的方式發(fā)布快照內(nèi)容，方便管理員確認(rèn)網(wǎng)頁內(nèi)容的合法性。多種篡改應(yīng)急處理機(jī)制,確保用戶訪問網(wǎng)站連續(xù)性 為了提升用戶訪問網(wǎng)站的連續(xù)性,深信服網(wǎng)頁篡改防護(hù)解決方案提供網(wǎng)站篡改重定向的功能。當(dāng)檢測到篡改發(fā)生后，系統(tǒng)阻止用戶訪問到被篡改的頁面，同時(shí)能夠提供兩種重定向的方式，避免用戶訪問到被篡改的頁面。 一、指定網(wǎng)頁 檢測到篡改事件時(shí)，可將用戶的訪問重定向引導(dǎo)到預(yù)先編輯的顯示提示頁面。該頁面可由管理員預(yù)先設(shè)定，防止用戶訪問到被篡改的頁面. 二、web服務(wù)器 用戶可搭建一個(gè)備份服務(wù)器實(shí)現(xiàn)關(guān)鍵頁面的實(shí)時(shí)備份。系統(tǒng)檢測到篡改事件后，也可將用戶的訪問請求重定向到備份的web服務(wù)器上，保證用戶訪問業(yè)務(wù)的永續(xù)性，防止用戶訪問到被篡改的頁面?？焖偌皶r(shí)的報(bào)警方式，便于應(yīng)急響應(yīng)并及時(shí)修復(fù) 系統(tǒng)檢測到篡改發(fā)生后，可以通過郵