一、引言
(一)政府网站安全现状
政府和重要行业网站系统面向社会公众提供网络信息服务和基础社会服务,容易成为黑客及境外敌对组织的攻击目标。2016年12月,《互联网安全威胁报告》发布境内被篡改政府网站116个,境内被植入页面数量为126个,针对境内网站的仿冒页面数量为7904个,绝大多数页面仿冒我国金融机构和社会机构。从网站漏洞类型上看,异常页面导致服务器物理路径泄露、跨站脚本攻击(XSS)漏洞、SQL注入漏洞等是检测出数量最多的漏洞类型。另外,网站作为APT攻击入口造成了数据大量泄露,重要服务器被控,内网遭到渗透,重要行业信息系统遭到有组织、有预谋的网络攻击屡见不鲜。因此,加强重要行业信息系统的安全防护措施,全面做好网站安全建设,是我国信息安全行业的当务之急。
(二)传统安全防御优缺点分析
目前,政府网站安全防护方法主要包括硬件WAF防护方式、软件防护法和域名导流法从上述的三种防护方式的对比来看,硬件WAF方式不支持加密协议,同时更新防护规则困难;域名导流的防护方式必须基于域名,如果黑客直接攻击网站IP,则域名导流的防护失效;软件防护方式的防护能力最强,但应对流量攻击时比较困难。总的来说,当前国内网站的安全基本上都是基于上述三种方式进行防护的,但考虑到政府网站普遍为高带宽、低访问量,同时前端部署有大量安全防护设备的应用场景,软件防护方式成为更好的防护选择。
本文提出的政府网站综合防护系统(以下简称网防G01)采用网站集群,云平台管理模式,对网站的服务器进行后台统一集中管理,以及防止网站后台暴力猜测,这样就解决传统防护模式下部署困难、防护机制存在绕过漏洞,以及安装复杂的部署才能对操作系统行为、Web中间件状态和用户访问过程监测的传统防护方式缺陷。
二、技术方案及整体架构
(一)网防G01技术方案
网防G01以解决网站系统在各个数据处理单元的安全风险为目标,通过软件防护的模式,在主机上采用纵深防御的思想,从操作系统加固、Web中间件防护、网站内容保护、网络流量防护、全局安全态势感知等多个维度进行设计,实现了一个一站式、立体化纵深防御体系的网站安全防护平台。
1. 操作系统加固
运用操作系统内核编程技术,对服务器操作系统安全涉及的控制点,如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范和资源控制等,进行改造和重写,解决操作系统层面面临的恶意代码执行、越权访问、数据泄露的问题,对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护。通过操作系统安全加固,可实现的防护功能有:
(1)安全管理:禁止将非管理员组账户添加到管理员组;禁止在系统目录下对可执行类型文件进行写操作;禁止修改host文件;禁止添加启动项;禁止磁盘低级操作;禁止加载没有数字签名的驱动。
(2)登录防护:针对Windows及Linux操作系统的远程登录进行限制及防护,用户可对用户名、IP地址范围、时间范围进行具体设置,并通过选择允许登录、禁止登录等相应的处理方式进行防护。
(3)网站权限控制:可限制Web服务器对系统资源的访问能力,以降低网页木马等恶意代码对系统安全的威胁。它通过限制Web服务器进程的某些危险操作,禁止Web服务器执行某些系统命令,达到对系统资源的访问控制。
(4)重启系统和网站:可对受保护的网站服务器系统进行重启操作,同时,可对网站服务器的IIS或Apache服务进行重启操作。
2. Web中件间防护
通过研究不同类型、不同版本、不同平台下的Web服务软件,利用其内部的Web服务机制、访问请求流转机制、文件权限及读写的控制机制等,对Web服务的环境进行监测、对用户访问请求进行过滤、对文件读写进行控制,同时结合外部漏洞库,对Web中间件的漏洞进行检测和修复,可实现的网站防护功能有:
(1)网站漏洞防护:包括SQL注入防护、XSS跨站脚本防护、漏洞利用攻击防护、Web服务器溢出攻击防护、Web服务器文件名解析漏洞防护、禁止除Get及Post之外的HTTP请求、禁止浏览畸形文件、禁止下载特定类型文件等。
(2)网站浏览实时防护:自定义设置网页木马的文件类型,进行基于行为的木马实时检测。
(3)HTTP相应内容保护:针对自定义列表中的错误页面返回类型进行错误页面的替换与跳转,以防止因HTTP错误页面泄露系统、数据库等重要敏感信息。
(4)网站后台防护:通过将网站真实后台地址重定向至网站自定义后台地址,以防止网站后台地址被暴力猜测,当原网站后台地址(网站真实后台地址)被访问时,系统将禁止该访问并进行报警提示。
(5)文件上传防护:允许网站用户将指定类型的文件上传至受保护的网站目录,可防止重要文件的篡改和丢失。
3. 网络流量防护
设计上是通过监测外部访问频次以及服务本身的运行效率来间接的监测来自网络的CC攻击和DDOS流量攻击。实现的防护功能有:
(1)抗CC攻击功能:通过攻击记录,可追溯攻击源头,同时减少对服务器资源的损耗和带宽的占用;还可通过禁止web进程向外发送tcp/udp数据包保护服务器不被恶意利用。可设定开启抗CC攻击功能并设置触发条件,超过则触发CC防护策略,将访问IP冻结20分钟。抗CC攻击功能还可防止利用Web进程通过特定端口向外发送udp/tcp数据包攻击其它服务器,防止服务器变成肉鸡。
(2)监测DDOS攻击功能:通过设计DDOS攻击下的主机效能变化的监测模型,对网站服务器的CPU消耗、内存使用、网络性能等进行实时监测,从中发现DDOS攻击行为,及时发出报警。
4. 网站内容防护
通过对网站所在的文件、目录进行读写控制、权限检查、内容过滤、安全扫描等,以实现内容防篡改保护、敏感词过滤保护、恶意代码检测清除等。实现的防护功能有:
(1)网站内容扫描与检查:针对网站系统的目录及文件进行全面扫描检测,对服务器和网站存在的安全隐患进行检查并修复,发现隐蔽在网站系统中的病毒、恶意代码、后门,修复不合规的系统策略和配置,清除网页木马、网站挂马和网站暗链。
(2)敏感词汇过滤:对网站用户浏览和提交的内容进行检查与匹配,对匹配了敏感词汇库中敏感词汇的文件内容进行星号替换,以此防止用户提交和浏览反动、暴力、色情类敏感词汇。
(3)网页防篡改:保护网站目录下的文件不被黑客恶意篡改,禁止非授权用户对被保护文件的创建、删除、修改等操作。
5. 安全态势感知
通过上述的多维度的防护措施,在保障单个网站安全的同时,可收集所拦截的网站攻击信息,在大规模部署的前提下,获得丰富的具有高真实性、高覆盖率、多角度的、全局性的网站攻击的各类防护日志信息、威胁情报信息、木马样本库信息、暗盗链样本库信息、漏洞库信息等海量数据信息。通过在后端建设大数据分析平台,以该海量实时数据集为基础数据源,对所拦截的攻击数据进行深度挖掘分析,实现我国重要政府、央企、事业单位等互联网网站的安全态势感知。
(二)网防G01系统的整体架构
网防G01的特点是全面优化防护策略和实现机制,重新定义安全事件与安全边界,并新增网络拓扑发现、安全事件回溯等功能,形成集应用防护、威胁感知、攻击事件回溯、服务器安全加固、风险跟踪、自动化风险识别、威胁情报、资产管理、网络状态与性能监测为一体的立体化、全方位的纵深防御体系。系统由防护客户端、单用户管理监测系统、级联用户管理监测系统、实时监测与展示系统、对外数据服务接口、安全事件日志库、木马样本库、暗倒链样本库等。
网防G01部署在服务器操作系统上,能够自动化学习并识别业务的风险点,通过防御模块减少风险面,在检测到未知威胁和业务资产变更时,自动调整安全策略。发生安全事件后,能自动回溯攻击过程,并形成事件分析报告,为用户提供入侵取证及攻击源分析的能力。
(三)网防G01系统的关键技术与应用优势
1. 攻击事件回溯
网防G01系统从网站的服务器网络层,系统层,内核层获取威胁入侵针对应用的每一步攻击痕迹,记录成日志,并且通过攻击日志分析算法对一次攻击进行提取和关联分析,最终回溯出完整的攻击事件。通过运用互动式应用程序安全测试技术获取安全漏洞日志,和运行时应用程序自我保护技术获取网络攻击日志,以及内核加固技术获取操作系统日志。
攻击日志分析算法是对具有网络攻击日志和操作系统日志进行分析和提取事件。从安全漏洞日志验证攻击事件的角度出发,以此来减少系统的误报率和漏报率,最终分析出完整的攻击事件路径、危害程度以及防护措施。这样遭受到攻击的每个步骤都能获取日志,把日志串起来连成相应的事件;最后通过攻击日志分析算法决定了最后事件呈现的准确性。
2. 应用权限微隔离
微隔离是指利用软件或者硬件的技术手段,在云计算或虚拟化环境中,划分更多逻辑上的安全域,形成逻辑的安全边界,实现访问控制、威胁检测与阻断、监控和审计等安全功能,提供小到虚机级的防护。云计算时代的微隔离实现有几种方式:用物理安全设备隔离虚拟化环境、主机代理、虚拟交换机隔离、基于Hypervisor的控制等。
网防G01系统采用使用主机代理的方式实现对政府网站群的综合防护。主机代理采用Agent探针程序实现,从操作系统和Web应用两层进行展开,操作系统层采用内核强制访问控制进行流量过滤;Web应用层分别针对Tomcat、IIS、Apache等中间件做反向代理、访问规则过滤和安全模块配置来实现应用访问控制。
3. 未知Webshell的检测
通过采用RASP、ASVE、沙盒三大基于异常行为的检测技术,可有效检测并防御未知Webshell的检测。RASP技术对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞。独创虚拟化安全域技术(ASVE),通过将应用进程放入虚拟化安全域内,限制应用进程权限,防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作。基于脚本虚拟机(沙盒)的无签名Webshell检测技术,有效检测各种加密、变形的Webshell。
在网站内容防护的层面上,网防G01防护核心技术是通过对网站的未知Webshell进行行为特征分析和总结,进行基于行为的Webshell的检测。通过Waf探针监测用户的输入行为,内核探针监控应用与系统的交互行为,以及本地的行为监控确定可疑的Webshell行为,并结合云中心的脚本虚拟机来验证Webshell行为。倘若检测有异常行为的Webshell,网防G01会将样本上传回云中心沙盒,基于脚本虚拟机的无签名Webshell检测技术,可以有效检测各种加密、变形的Webshell。
4. 数据支撑安全风险监测平台
攻击数据实时安全风险监测平台通过机器学习和大数据建模能力,分析和发现实时攻击行为,以及监控是否有即将到来的针对性网络攻击。并根据溯源功能准确识别攻击者身份,包含攻击IP、攻击时间、攻击类型等详情信息,从而快速定位风险点,阻断黑客攻击。而此平台建立的基础正是网防G01采集到的大量数据,通过对数据进行深度应用,不仅可以为检测平台提供参考,更能提供风险预警和实时测评。
三、防护效果评估
截止到2016年12月31日,网防G01上线以来拦截攻击数约1800万次,拦截木马攻击约20万次,维护了政府单位与企业形象,保障了网站安全。随着政府网站防护系统在全国范围内的进一步推广、网站部署规模的不断扩大,多维度立体化的政府网站防护平台,在保护我国重在网站系统,维护党政机关、事业单位和国有企业互联网网站等国家重要行业信息系统的安装稳定运行,保障网络安全和国家安全上有着深远的影响和意义。