層次化防御保證企業(yè)門戶網(wǎng)站安全
目前,針對(duì)Web的攻擊手段日益增多,拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚、SQL注入等等層出不窮,而企業(yè)門戶網(wǎng)站是企業(yè)的“臉面”,如何保證其安全是運(yùn)維人員、安全管理人員、CIO等需要深思熟慮的問題。本文將針對(duì)這個(gè)問題,首先對(duì)企業(yè)門戶Web系統(tǒng)進(jìn)行詳細(xì)的安全威脅分析,然后給出相應(yīng)解決方案的原則和技術(shù),并根據(jù)原則來提供具體實(shí)施的網(wǎng)絡(luò)拓?fù)浜筒渴鹨c(diǎn)。
一、企業(yè)門戶網(wǎng)站系統(tǒng)面臨的威脅
企業(yè)門戶網(wǎng)站系統(tǒng)在運(yùn)行安全和數(shù)據(jù)安全方面面臨著非常大的威脅,主要包括運(yùn)行安全威脅和數(shù)據(jù)安全威脅。
(1)運(yùn)行安全威脅
主要是指企業(yè)門戶網(wǎng)站在提供對(duì)外服務(wù)的過程中,惡意用戶(黑客)可以通過一些公開的服務(wù)端口、公開的服務(wù)信息等來組織和實(shí)施攻擊,從而使得企業(yè)門戶網(wǎng)站服務(wù)不可用,導(dǎo)致其運(yùn)行安全問題。
主要的攻擊行為包括:惡意用戶采用黑客工具構(gòu)造惡意報(bào)文對(duì)暴露在公網(wǎng)的網(wǎng)上系統(tǒng)進(jìn)行拒絕服務(wù)攻擊,甚至是利用多個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)形成的僵尸網(wǎng)絡(luò),構(gòu)成分布式拒絕服務(wù)攻擊;并且,面臨在遭受攻擊后,由于服務(wù)器側(cè)網(wǎng)絡(luò)架構(gòu)劃分和隔離措施不嚴(yán)謹(jǐn),黑客可能利用這個(gè)部署上的漏洞,導(dǎo)致整個(gè)服務(wù)器機(jī)群的癱瘓,比如,由于Web服務(wù)器癱瘓,黑客以Web服務(wù)器為跳板,從而攻擊后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器等內(nèi)網(wǎng)關(guān)鍵資源等。
(2)數(shù)據(jù)安全威脅
主要是指企業(yè)門戶網(wǎng)站在服務(wù)中涉及的用戶數(shù)據(jù)、通信數(shù)據(jù)等由于黑客的竊聽、重定向等,導(dǎo)致的數(shù)據(jù)非法泄露。
主要的攻擊行為包括:惡意用戶通過Web瀏覽器的登陸界面對(duì)合法用戶的用戶名和密碼進(jìn)行猜測(cè),從而冒充合法用戶進(jìn)行網(wǎng)頁(yè)訪問和系統(tǒng)使用;惡意用戶通過構(gòu)造非法的、可能被網(wǎng)上系統(tǒng)錯(cuò)誤識(shí)別和執(zhí)行的代碼嵌入在提交的表單中,引起不正常的信息泄露,甚至系統(tǒng)崩潰;惡意用戶可能在傳輸網(wǎng)絡(luò)中通過非法竊取合法用戶的通信報(bào)文,從而獲得本不應(yīng)該獲得的敏感信息;用戶被引導(dǎo)進(jìn)入其他的非法網(wǎng)站,如現(xiàn)在流行的釣魚網(wǎng)站(phishing)等等,從而在不知情的情況下泄露個(gè)人機(jī)密信息,造成經(jīng)濟(jì)損失等。
二、層次化防御方案
2.1 設(shè)計(jì)安全網(wǎng)絡(luò)拓?fù)?/strong>
設(shè)計(jì)安全的拓?fù)洌潜WC企業(yè)門戶網(wǎng)站安全的第一步,它可以有效地從網(wǎng)絡(luò)層和應(yīng)用層來抵御外來的攻擊,從而保證運(yùn)行安全。
其中主要包括如下幾個(gè)層面:
(1)網(wǎng)絡(luò)層防御
部署防火墻可以有效地進(jìn)行網(wǎng)絡(luò)層防御,阻止外來攻擊,包括拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊,重點(diǎn)過濾惡意流量、突發(fā)流量等。更為重要的是:在防火墻上通過有效地使用DMZ(demilitarized zone,非軍事化區(qū)),可以將外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)進(jìn)行有效地隔離,從而達(dá)到即使DMZ區(qū)域被攻擊,也不會(huì)影響到內(nèi)網(wǎng)資源安全的目的。
在部署過程中,建議采用異構(gòu)的二路防火墻方式。也就是,使用不同廠家不同型號(hào)的兩種防火墻,分別來作為企業(yè)的內(nèi)部和外部防火墻,這樣,能夠很好地達(dá)到分離內(nèi)外網(wǎng)以及安全增強(qiáng)的目的,這樣即使一路防火墻被攻擊,也很難影響到二路防火墻,因?yàn)楹诳托枰嗟鼐韺?duì)不同的防火墻進(jìn)行分析和實(shí)施攻擊行為。如下圖所示的異構(gòu)二路防火墻部署方式:
(2)應(yīng)用層防御
在防火墻的后面,加入應(yīng)用層防御的設(shè)備,如IPS(Intrusion Prevention System,入侵防御系統(tǒng))、WAF(Web Application Firewall,Web應(yīng)用防火墻)、UTM(Unified Threat Management,統(tǒng)一威脅管理)等,對(duì)來自外部企業(yè)門戶的網(wǎng)站從應(yīng)用層(包括URL鏈接、網(wǎng)頁(yè)內(nèi)容等)進(jìn)行細(xì)粒度的過濾和檢測(cè),出現(xiàn)惡意內(nèi)容等及時(shí)進(jìn)行阻斷。并且,對(duì)于SQL注入攻擊、緩沖區(qū)溢出攻擊、篡改網(wǎng)頁(yè)、刪除文件等也有很好的抑制和阻斷作用。
(3)負(fù)載均衡
企業(yè)門戶網(wǎng)站系統(tǒng)服務(wù)器側(cè)需要具備負(fù)載均衡及負(fù)載保護(hù)機(jī)制。因?yàn)椋到y(tǒng)面臨著巨大的服務(wù)量,服務(wù)器端的設(shè)備基本上都需要有多臺(tái)服務(wù)器進(jìn)行業(yè)務(wù)分擔(dān),這樣才能提高性能,避免處理瓶頸的出現(xiàn),因此,需要采用合理的負(fù)載均衡和負(fù)載保護(hù)機(jī)制對(duì)各服務(wù)器的業(yè)務(wù)流量進(jìn)行有效地分擔(dān),可按照Round Robin、LRU(Least Recently Used)等方式來進(jìn)行負(fù)載均衡;另外,負(fù)載保護(hù)機(jī)制需要實(shí)時(shí)地對(duì)每臺(tái)服務(wù)器的CPU資源、內(nèi)存資源等進(jìn)行評(píng)估,如果一旦超過設(shè)定的閾值(80%或者以上),將馬上進(jìn)行過載保護(hù),從而保證服務(wù)器自身的安全。
通常,有2種實(shí)現(xiàn)方式。一種是購(gòu)買成熟的硬件負(fù)載均衡產(chǎn)品,如F5等來對(duì)網(wǎng)站的流量進(jìn)行控制和分流,以保證后臺(tái)各服務(wù)器的流量均衡以及高可用,不過花費(fèi)較高;一種是通過使用開源系統(tǒng)軟件LVS(Linux Virtual Server,Linux虛擬服務(wù)器)、Nginx(Engine X)等負(fù)載均衡軟件來構(gòu)建應(yīng)用,這樣可以節(jié)約一定的資金。#p#
2.2 強(qiáng)化用戶訪問控制
設(shè)計(jì)好的訪問控制策略和手段,可以從很大程度上避免非法用戶的訪問,從而保護(hù)企業(yè)門戶網(wǎng)站安全。目前適合企業(yè)門戶網(wǎng)站的認(rèn)證方式如下,可以采用一種或者結(jié)合幾種方式:
用戶名+密碼:最為傳統(tǒng)的驗(yàn)證方式;
數(shù)字證書:對(duì)于重要的Web系統(tǒng)應(yīng)用,需要根據(jù)PKI(Public Key Infrastructure,公鑰體制)機(jī)制,驗(yàn)證用戶提供的證書,從而對(duì)用戶身份認(rèn)證(通常情況下是服務(wù)器對(duì)客戶端認(rèn)證,也可以建立雙向認(rèn)證,即用戶對(duì)服務(wù)器進(jìn)行認(rèn)證,以防止假冒的非法網(wǎng)站),并確保交易的不可抵賴性。證書的提供可以采用兩種方式:
1)文件證書:保存在用戶磁盤和文件系統(tǒng)上,有一定的安全風(fēng)險(xiǎn);
2)USB設(shè)備存儲(chǔ)的證書:保存在USB設(shè)備上,安全性很高。
2.3 加密通信數(shù)據(jù)
可以采用成熟的SSL(Secure Socket Layer,安全套接字層)機(jī)制,來保證Web系統(tǒng)數(shù)據(jù)的加密傳輸和用戶對(duì)Web系統(tǒng)服務(wù)器的驗(yàn)證。對(duì)于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用,采用SSL+數(shù)字證書結(jié)合的方式(即HTTPS協(xié)議),保證通信數(shù)據(jù)的加密傳輸,同時(shí)也保證了用戶端對(duì)服務(wù)器端的認(rèn)證,避免用戶被冒充合法網(wǎng)站的“釣魚網(wǎng)站”欺騙,從而泄露機(jī)密信息(用戶名和密碼等),造成不可挽回的經(jīng)濟(jì)損失。
在使用SSL的過程中,首先需要申請(qǐng)好相應(yīng)的數(shù)字證書。一般來說,有兩種處理方法。
1)一種是申請(qǐng)權(quán)威機(jī)構(gòu)頒發(fā)的數(shù)字證書,如VeriSign,GlobalSign等機(jī)構(gòu)頒發(fā)的數(shù)字證書,這需要一定的費(fèi)用,好處是當(dāng)前幾乎所有的主流瀏覽器都能夠很好地支持,也就是只需要在企業(yè)門戶網(wǎng)站的服務(wù)器上部署該證書即能在客戶端和服務(wù)器端建立SSL加密通道;
2)另一種是由企業(yè)使用OpenSSL等開源工具來生成相應(yīng)的根證書和服務(wù)器證書,這樣能夠節(jié)約一大筆費(fèi)用,但是缺點(diǎn)是主流瀏覽器并不能很好地支持,需要在客戶端和服務(wù)器端分別部署根證書和服務(wù)器證書,這樣在客戶端非常多的時(shí)候不好處理,同時(shí)用戶體驗(yàn)也很差。
2.4 做好風(fēng)險(xiǎn)控制
風(fēng)險(xiǎn)控制是在攻擊發(fā)生前對(duì)企業(yè)門戶網(wǎng)站使用滲透測(cè)試等技術(shù)手段來挖掘、分析、評(píng)價(jià),并使用打補(bǔ)丁、實(shí)施安全技術(shù)和設(shè)備的辦法來解決網(wǎng)站可能存在的各種風(fēng)險(xiǎn)、漏洞。這需要周期性、自發(fā)地對(duì)Web系統(tǒng)的漏洞進(jìn)行自我挖掘,并根據(jù)挖掘的漏洞通過各種安全機(jī)制和補(bǔ)丁等方式進(jìn)行防護(hù),以有效地避免“零日攻擊”等。
目前,企業(yè)門戶網(wǎng)站可以通過使用端口掃描、攻擊模擬等方式來對(duì)企業(yè)門戶網(wǎng)站的開放端口、服務(wù)、操作系統(tǒng)類型等進(jìn)行獲取,并利用其相關(guān)漏洞進(jìn)行攻擊測(cè)試。并根據(jù)測(cè)試的結(jié)果來通過各種方式加固該系統(tǒng)的安全,以避免被黑客等利用來進(jìn)行攻擊。
2.5 健全訪問日志審計(jì)
企業(yè)門戶網(wǎng)站作為開放門戶,且基于HTTP協(xié)議,因此在用戶訪問時(shí)會(huì)產(chǎn)生大量的訪問日志。網(wǎng)站管理者需要對(duì)這些日志進(jìn)行詳細(xì)地記錄、存儲(chǔ),并以備日后的分析取證。實(shí)踐證明,很多的拒絕服務(wù)攻擊以及其他攻擊方式都會(huì)在系統(tǒng)中留下日志,比如IP地址信息、訪問的URL鏈接等,這都可以作為網(wǎng)站管理員的審計(jì)素材,為阻斷黑客的下一次進(jìn)攻,保證網(wǎng)站安全打下基礎(chǔ)。
2.6 事前災(zāi)難備份
任何系統(tǒng)都不能說100%的安全,都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作,需要著重考慮如下幾點(diǎn):
1)選擇合適的備份策略,做好提前備份,包括全備份、差分備份、增量備份等等
2)選擇合適的備份介質(zhì),包括磁帶、光盤、RAID磁盤陣列等
3)選擇合適的備份地點(diǎn),包括本地備份、遠(yuǎn)程備份等等
4)選擇合適的備份技術(shù),包括NAS、SAN、DAS等等
5)做好備份的后期維護(hù)和安全審計(jì)跟蹤
2.7 統(tǒng)籌安全管理
企業(yè)門戶網(wǎng)站系統(tǒng)一般功能復(fù)雜,業(yè)務(wù)數(shù)據(jù)敏感,保密級(jí)別比較高,并且對(duì)不同管理人員的權(quán)限、角色要求都不盡相同,為了保證安全管理,避免內(nèi)部管理中出現(xiàn)安全問題,建議作如下要求:
1)嚴(yán)格劃分管理人員的角色及其對(duì)應(yīng)的權(quán)限,避免一權(quán)獨(dú)攬,引起安全隱患;
2)做好服務(wù)器機(jī)房的物理?xiàng)l件管理,避免電子泄露、避免由于靜電等引起的故障;
3)做好服務(wù)器管理員的帳號(hào)/口令管理,要求使用強(qiáng)口令,避免內(nèi)部人員盜用;
4)做好服務(wù)器的端口最小化管理,避免內(nèi)部人員掃描得出服務(wù)器的不必要的開放端口及其漏洞,實(shí)行內(nèi)部攻擊;
5)做好服務(wù)器系統(tǒng)軟件、應(yīng)用軟件的日志管理和補(bǔ)丁管理工作,便于審計(jì)和避免由于安全漏洞而遭受到內(nèi)部人員的攻擊;
6)根據(jù)業(yè)務(wù)和數(shù)據(jù)的機(jī)密等級(jí)需求,嚴(yán)格劃分服務(wù)器的安全域,避免信息泄露。
