1概述
1.1黑客攻击由网络层转向应用层
随着互联网技术的迅猛发展,许多政府、企业及高校的关键业务活动越来越多地依赖于WEB应用,在向公众及学生提供通过浏览器访问高校信息功能的同时,高校所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
然而与之形成鲜明对比的却是:现阶段的安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时,传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用,许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。
据统计75%的网络攻击和互联网安全侵害源于应用软件,网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装防火墙是远远不够的。
2008年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。国家互联网
应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113个,同比增加了23.7%。按月统计情况如图所示:
2008年上半年中国被篡改网站数量
2008年1月至6月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。与去年上半年同期监测情况相比,增加了41%。从中可以看出,每月被篡改的gov.cn域名网站约占整个大陆地区被篡改网站的7%,而gov.cn域名网站仅占.cn域名的2.3%,因此政府网站仍然是黑客攻击的重要目标。具体比例如下图:
1.2面向应用层新型攻击特点简析
隐蔽性强:利用Web漏洞发起对WEB应用的攻击纷繁复杂,包括SQL注入,跨站脚本攻击等等,一个共同特点是隐蔽性强,不易发觉。
攻击时间短:可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制,以至于非常困难做出人为反应。
危害性大:目前几乎所有银行,证券,电信,移动,政府以及电子商务企业都提供在线交易,查询和交互服务。用户的机密信息包括账户,个人私密信息(如身份证),交易信息等等,都是通过Web存储于后台数据库中,这样,在线服务器一旦瘫痪,或虽在正常运行,但后台数据已被篡改或者窃取,都将造成企业或个人巨大的损失。据权威部门统计,目前身份失窃(identitytheft)已成为全球最严重的问题之一。
造成非常严重的有形和无形损失:目前,很多大型企业都是在国内外上市的企业,一旦发生这类安全事件,必将造成人心惶惶,名誉扫地,以至于造成经济和声誉上的巨大损失,即便不上市,其影响和损失也是不可估量的。
1.3现有的网络层防护产品面对应用层攻击束手无策
传统的防火墙或IDS产品存在以下不足:
防火墙:通过端口限制实现访问控制,但对于WEB应用而言,其HTTP/HTTPS端口是开放的。因此,防火墙无法检测到WEB应用攻击的发生,更谈不上阻止攻击。
IDS:依靠特征库检测已知攻击,而对于WEB应用攻击,变形非常多(比如:SQL注入、跨站脚本、恶意文件包含等),IDS无法穷尽所有的特征,当然,更加不可能预知未来的变形。
1.4数据库面临的安全挑战
数据库是信息系统核心业务开展过程中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,高校中的校园一卡通系统的重要组成部分――电子钱包,关系着每位师生在校园活动的记录,对核心的数据库信息资产也面临严峻的挑战,概括起来主要表现在以下三个层面:
管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
技术层面:
为保护数据库信息的安全性,制定了相应的管理制度,但没有相应的技术手段进行控制。
数据库安装部署时,使用数据库厂商默认配置、缺省口令、默认权限等现象普遍存在。
现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。
1.5数据库用户的客观需求
针对目前的数据库用户概括来说主要是三个方面的需求:一是确保数据的完整性,避免因管理缺位造成数据丢失;二是让管理者全面了解数据库的潜在风险,以及实际发生的情况;三是在可疑行为发生时可以自动启动预先设置的告警流程,防范数据库风险的发生。因此对数据库的安全性方面要求就特别高。任何一种遗漏关键活动的行为,都会导致数据库安全上的错误判断,并且干扰数据库在运行时的性能。
1.6现有的数据库安全解决方案的不足
现有的数据库安全解决方案,都把注意力集中在以下几个方面:
硬件层面:常见的方案包括在线存储RAID、多数据库服务器的集群工作、离线备份、异地容灾等;
软件层面:被及时发现的误操作,通过数据库软件本身的回滚或通过备份文件来恢复;数据库软件本身的问题,完全依赖于数据库厂商的补丁升级来解决;
而对于数据库的安全防护与风险控制,几乎都是通过防火墙或IDS/IPS进行简单的端口隔离及访问策略控制,来实现外部风险的控制,而对于内部人员的违规操作则更加缺乏有效的控制手段,主要原因是:
传统网络安全方案:网络防火墙只能实现对IP地址、端口及协议的访问控制,无法识别特定用户的具体数据库活动(比如:某个用户使用数据库客户端删除某张数据库表);而IPS虽然可以依赖特征库有限识别数据库软件已知漏洞的攻击,但他同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。
数据库安全操作:需要数据库软件本身开启审计功能,通过采集数据库系统日志信息的方法形成审计报告,这样的审计方案受限于数据库的审计日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。同时,开启数据库审计功能,一方面会增加数据库服务器的资源消耗,严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。
其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式,均只能记录有限的信息,更加无法提供细料度的数据库操作审计。
1.7本方案解决的数据库安全问题
安恒公司针对数据库面临的风险及行业客户的实际需求,结合其数据库安全的深入研究及安全服务团队的实践经验积累,推出本数据库安全整体解决方案,该方案主要从以下几个方面入手,力求从多个层面解决数据库面临的管理风险、技术风险及审计风险:
管理风险:协助企业建立完善的数据库安全管理体系,规范内部人员的职责及流程;
技术风险:
通过专用的数据库安全审计设备部署,对重要数据、敏感信息设置细粒度的风险控制策略及审计规则,使得相应的管理制度能够得到有效的贯彻与落实。
通过数据库的静态审计(即风险评估),实现对数据库不安全配置、潜在弱点、弱口令、默认口令、软件补丁等多方面的安全评估及加固,消除默认配置、默认权限等不安全隐患,实现对数据库攻击风险的有效控制。
通过灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作、记录内容的灵活组合来定义客户所关心的重要事件和风险事件,实现内部人员操作的透明化,控制误操作、违规操作及恶意操作事件的发生;
通过专用的数据库安全审计设备部署,实时监控来自各个层面的所有数据库活动(比如:来自业务系统的、来自管理员远程登录的、来自数据库客户端软件的等),营造安全的数据库运行环境。
审计风险:
通过专用的数据库安全审计设备的部署,实现安全审计与日常数据库管理分离,确保审计信息的真实性、完整性、公正性;
部署独立的、专用数据库安全审计设备的部署,确保审计工作不影响数据库本身的性能;
通过专用的数据库安全审计设备的部署,提供细粒度的行为检索及安全事件回放,辅助安全事件的成因分析与责任认定。
2安全方案设计思想
2.1安全建设原则
网站安全是一项动态的、整体的系统工程。从技术上来说,一个网站所应采用的相应安全技术主要包括:防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、安全事件紧急响应体系等。本期针对房地产管理局网站安全解决方案主要遵循以下几个原则:
应用安全产品符合信息系统安全的国际标准和国家标准;
对安全产品要采取硬、软结合的方针;
应用安全产品的部署不能成为信息系统运行的瓶颈;
应用安全能覆盖房地产管理局相关的WEB应用;
完整性:应用安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
动态性:随着WEB应用脆弱性的改变和威胁攻击技术的发展,使WEB应用安全变成了一个动态的过程,静止不变的产品根本无法适应WEB应用安全的需要。所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
专业性:攻击技术和防御技术是信息安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。
易用性:安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
2.2安全实施策略
本期安全方案重点是对某高校校园网站及一卡通系统的安全提出合理、有效的安全建议。因此,拟从以下两个方面着手:
从如何全面掌握某高校校园网站及一卡通系统的安全问题,制定合理的风险规避措施的角度出发;
从如何确保某高校校园网站及一卡通系统的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险的角度出发;
通过以上的几个指导原则,我们在实际实施的时候采用如下策略:
使用不同等级的安全产品进行集成,根据网站和应用系统的不同安全等级需求,选用合适的安全产品,可以有效的减少系统投资。
在产品选型时,需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的,才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要,而不是一般的通用性产品。
采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要,可以及时提供应急安全响应服务,如在黑客入侵事件发生的时候,可以在第一时间进行响应,最大程度的保护用户利益。
在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。
产品在使用上应具有友好的、全中文支持的用户界面,使用户在管理、使用、维护上尽量简单、直观。
3建设内容
3.1WEB应用弱点检测
随着WEB应用脆弱性的改变和威胁攻击技术的发展,使WEB应用安全变成了一个动态的过程,静止不变的产品根本无法适应WEB应用安全的需要。根据高校WEB应用系统的特性,应建立WEB应用风险的定期检测评估机制。通过部署安恒明鉴WEB应用弱点扫描器对某高效校园网、对外网站及其它WEB应用系统进行检测评估,并对发现的问题及时进行加固,提高应用系统的抗风险能力。
明鉴WEB应用弱点扫描器优势:
品牌优势:该产品已被公安部第一研究所、公安部第三研究所、浙江省电子产品检验所等众多等级保护测评机构采用作为WEB应用系统唯一等级保护测评工具;
功能优势:能够检测众多WEB应用层漏洞(如:SQL注入、跨站点脚本攻击、伪造跨站点请求、网页木马、弱配置、第三方软件的误配置、检测隐藏字段、CGI缺陷、表单弱口令、Cookie注入、URL重定向检测、单表逃逸、恶意代码、数据窃取、GOOGLE-HACK、中间人攻击、oracle密码爆力破解、WebServiceXPath注入、Web2.0AJAX注入、HI-JACK及其他各类CGI弱点,如:LDAP注入、CFS跨域攻击、敏感文件、目录遍历、远程文件包含、应用层拒绝服务等各类漏洞种类。)
其它优势:支持任意深度(可配置)的扫描层次。支持HTTPS检测;支持验证码检测等。
3.2应用安全防御
对于信息发布类栏目,确保网站信息的完整性与真实性是首要的任务;对于网上互动类栏目,确保数据的真实性、完整性、保密性是首要任务。
据于上述分析,在所需要保护的WEB服务器前端部署安恒公司的明御WEB应用防火墙,对所保护的WEB服务器实行7X24小时的实时监控防御,保护WEB服务器不受互联网的应用层攻击。
明御WEB应用防火墙优势:
全透明直连部署:国内首创全透明部署的WEB应用防火墙硬件设备,无需改变用户现有的网络结构和DNS配置,安装部署方便简单;
HTTP/HTTPS支持:全面支持HTTPS,实现各类高安全要求WEB应用系统的深度实时防护(如网银、证券交易等)。
深度防御体系:采用专利级WEB入侵异常检测引擎,能够有效防御日益盛行的WEB应用黑客攻击如SQL注入、钓鱼攻击、敏感信息泄露、表单绕过、缓冲区溢出、CGI扫描、遍历目录等。
Web应用加速:系统内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓存,大大提高访问速度。
3.3数据库安全审计
现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。针对目前数据库系统存在的人为因素及软件漏洞风险,迫切需要专门针对于数据库的安全进行整体的审计,以实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
主要内容:
全方位的实时审计:实时监控来自各个层面的所有数据库活动(也包括通过远程命令行方式运行的SQL命令)。如:来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等。
细粒度的行为检索:一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什么时候做的操作?通过什么方式做的操作?)
灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、记录内容的灵活组合来定义客户所关心的重要事件和风险事件。
多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、SYSlog告警等方式通知数据库管理员
友好真实的操作过程回放:对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容
多协议的远程访问监控:提供对数据库服务器的远程访问(如:ftp、telnet)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定。
网友评论