陳國(guó)良

新疆人民廣播電臺(tái)，新疆烏魯木齊 830000

Web系統(tǒng)的網(wǎng)絡(luò)安全分析及應(yīng)對(duì)方式

陳國(guó)良

新疆人民廣播電臺(tái)，新疆烏魯木齊 830000

隨著基于web環(huán)境的應(yīng)用類型的日益豐富，而其Web應(yīng)用系統(tǒng)多處于互聯(lián)網(wǎng)這樣一個(gè)相對(duì)開放的環(huán)境中，使得網(wǎng)絡(luò)安全問題變得愈發(fā)凸顯。本文針對(duì)基于WEB系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)并結(jié)合新疆人民廣播電臺(tái)的部署情況，分析了Web應(yīng)用系統(tǒng)受到的安全威脅，并詳述了如何針對(duì)安全威脅進(jìn)行多層次、全面安全防護(hù)的方式。

Web安全；WAF；防篡改

1 WEB系統(tǒng)面臨的典型網(wǎng)絡(luò)安全威脅

近年來，我臺(tái)的Web 應(yīng)用系統(tǒng)功能日趨豐富，但網(wǎng)站網(wǎng)站安全保障能力還相對(duì)薄弱，多次成為網(wǎng)絡(luò)攻擊的目標(biāo)，造成網(wǎng)站服務(wù)中斷，主頁(yè)內(nèi)容被篡改，系統(tǒng)數(shù)據(jù)丟失等安全事件。針對(duì)各類WEB系統(tǒng)的攻擊（如DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用等）正在日趨泛濫，使得我們?cè)谝韵聨讉€(gè)方面的安全威脅日趨嚴(yán)峻。

1.1 頁(yè)面被篡改

廣播電臺(tái)網(wǎng)站作為本地媒體信息對(duì)外發(fā)布的交互平臺(tái)，代表了廣播電臺(tái)自身的社會(huì)形象，如果網(wǎng)站頁(yè)面被篡改，如出現(xiàn)反動(dòng)言論、不良畫面或者造假數(shù)據(jù)等信息，不僅將影響正常業(yè)務(wù)的開展，更會(huì)給廣播電臺(tái)及宣傳媒體的形象及信譽(yù)帶來極其不好的影響。

1.2 網(wǎng)站被掛馬

網(wǎng)頁(yè)掛馬近年來一直是廣播電臺(tái)網(wǎng)站面臨的最嚴(yán)重的安全威脅之一，尤其在重要宣傳時(shí)期，一旦訪問被掛馬的網(wǎng)站，就會(huì)受到惡意木馬的入侵感染而受到惡意攻擊者的遠(yuǎn)程控制，給網(wǎng)站造成嚴(yán)重的利益損害。

1.3 服務(wù)被攻擊

目前，廣播電臺(tái)對(duì)Web依賴性日益加強(qiáng)，辦公、文稿、媒資系統(tǒng)都借助網(wǎng)絡(luò)進(jìn)行運(yùn)行，一旦受到拒絕服務(wù)攻擊將造成服務(wù)癱瘓、終止，會(huì)嚴(yán)重影響臺(tái)里的正常業(yè)務(wù)工作。

由此可見，復(fù)雜多樣的Web安全問題，使得廣播電臺(tái)網(wǎng)站潛在著巨大的安全隱患和風(fēng)險(xiǎn)，也是信息化安全建設(shè)過程中亟需解決的重要問題之一。

2 WEB系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)對(duì)方案

隨著針對(duì)WEB系統(tǒng)的網(wǎng)絡(luò)攻擊的愈發(fā)頻繁，只針對(duì)網(wǎng)絡(luò)層面和終端層面防護(hù)手段的安全防護(hù)效果愈發(fā)不理想，總是處于一種非常被動(dòng)的狀態(tài)，針對(duì)終端層面的防病毒解決方案并不能解決目前WEB系統(tǒng)不斷變化升級(jí)的安全威脅。因此我臺(tái)根據(jù)安全事件的事前、事中、事后三個(gè)時(shí)間周期，通過預(yù)防威脅、處理威脅以及分析威脅和網(wǎng)頁(yè)防篡改和優(yōu)化安全策略三個(gè)方面將網(wǎng)絡(luò)安全體系進(jìn)行不斷的良性循環(huán)?，F(xiàn)將方案做如下詳細(xì)介紹。

2.1 事前——網(wǎng)絡(luò)區(qū)域的劃分，網(wǎng)站漏洞掃描

2.1.1 網(wǎng)絡(luò)區(qū)域的劃分

為了更好地進(jìn)行安全防護(hù)，我臺(tái)將內(nèi)部網(wǎng)絡(luò)規(guī)劃為多個(gè)網(wǎng)絡(luò)區(qū)域，不同業(yè)務(wù)系統(tǒng)根據(jù)業(yè)務(wù)需要部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，在不同區(qū)域上通不同防護(hù)技術(shù)手段進(jìn)行多層次的安全防護(hù)。通過部署防火墻，將網(wǎng)絡(luò)分為三個(gè)區(qū)域，互聯(lián)網(wǎng)外網(wǎng)、對(duì)外服務(wù)區(qū)、內(nèi)部數(shù)據(jù)中心，

互聯(lián)網(wǎng)外網(wǎng)通過出口路由器進(jìn)行網(wǎng)絡(luò)互聯(lián)，完成內(nèi)外網(wǎng)的互聯(lián)互通。 WEB服務(wù)器區(qū)部署在外網(wǎng)防火墻的DMZ區(qū)域，內(nèi)部數(shù)據(jù)中心部署在內(nèi)網(wǎng)防火墻的內(nèi)部區(qū)域。

互聯(lián)網(wǎng)和對(duì)外發(fā)布網(wǎng)絡(luò)之間部署外部防火墻，在防火墻上部署NAT地址轉(zhuǎn)換協(xié)議，完成對(duì)外發(fā)布服務(wù)器集群的NAT映射和互聯(lián)網(wǎng)訪問的NAT轉(zhuǎn)換。同時(shí)，防火墻的部署讓內(nèi)部地址相對(duì)外部做到了有效的保護(hù)和隔離，使內(nèi)部網(wǎng)絡(luò)的IP不會(huì)輕易被外部網(wǎng)絡(luò)進(jìn)行探測(cè)和攻擊。同時(shí)在網(wǎng)絡(luò)攻擊的檢測(cè)和防護(hù)功能方面，防火墻進(jìn)行了顯著地加強(qiáng)，通過部署相應(yīng)的安全防護(hù)策略有效地保護(hù)內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)及相關(guān)系統(tǒng)的正常運(yùn)行。

在對(duì)外服務(wù)器區(qū)和內(nèi)部數(shù)據(jù)中心之間部署內(nèi)部防火墻，防火墻采用透明橋接方式，部署嚴(yán)格的安全策略控制。通過網(wǎng)絡(luò)區(qū)域的劃分，將內(nèi)部數(shù)據(jù)庫(kù)隱藏在數(shù)據(jù)中心的安全區(qū)域，對(duì)其訪問權(quán)限進(jìn)行嚴(yán)格限定，最大限度地保護(hù)系統(tǒng)數(shù)據(jù)庫(kù)的安全。

2.1.2 漏洞掃描

通過運(yùn)用漏洞掃描系統(tǒng)對(duì)WEB系統(tǒng)的應(yīng)用漏洞的掃描，將SQL注入、跨站腳本及決絕服務(wù)等WEB常見漏洞進(jìn)行重點(diǎn)掃描。并且根據(jù)業(yè)務(wù)情況調(diào)整漏洞掃描的時(shí)間周期。通過掃描結(jié)束后自動(dòng)生成全網(wǎng)站漏洞分析報(bào)告，直觀地了解到網(wǎng)站存在的安全漏洞情況，并根據(jù)漏洞安全報(bào)告針對(duì)WEB系統(tǒng)的進(jìn)行相關(guān)系統(tǒng)的修補(bǔ)工作。

2.2 事中——WAF的部署

網(wǎng)絡(luò)邊界防火墻雖然是網(wǎng)絡(luò)安全策略中不可缺少的重要模塊，但受限于自身的產(chǎn)品架構(gòu)和功能，無法對(duì)千變?nèi)f化的Web應(yīng)用攻擊提供周密而完善的解決方案。因此，在We b 服務(wù)區(qū)邊界，部署了一臺(tái)WEB應(yīng)用防火墻（WAF），WAF通過檢測(cè)引擎進(jìn)行協(xié)議分析、模式識(shí)別、URL過濾技術(shù)、統(tǒng)計(jì)閥值和流量異常監(jiān)視等綜合技術(shù)手段來判斷入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊，從而實(shí)現(xiàn)防SQL注入、防跨站攻擊等安全防護(hù)。

為了使WEB防護(hù)更具有針對(duì)性，同時(shí)又不影響DMZ區(qū)域內(nèi)WEB以外其他業(yè)務(wù)數(shù)據(jù)的正常運(yùn)行，我們采用旁路方式進(jìn)行WAF的部署工作。通過路由調(diào)度，將目標(biāo)網(wǎng)站IP的流量牽引至WAF設(shè)備，WAF設(shè)備通過多層的攻擊流量識(shí)別與凈化功能，將Web攻擊流量從混合流量中過濾，最后將經(jīng)過WAF過濾之后的合法流量被重新回注給WEB系統(tǒng)。針對(duì)返回流量，WEB系統(tǒng)響應(yīng)的HTTP流量在返回給客戶端之前，流經(jīng)WAF設(shè)備，經(jīng)WAF進(jìn)行安全檢測(cè)后的流量最終返回給客戶端。

2.3 事后——網(wǎng)頁(yè)防篡改系統(tǒng)和安全管理平臺(tái)的部署

為了更好得針對(duì)WEB系統(tǒng)進(jìn)行全方位的防護(hù)，針對(duì)WEB業(yè)務(wù)系統(tǒng)有針對(duì)性地部署了網(wǎng)頁(yè)防篡改系統(tǒng)。系統(tǒng)支持對(duì)動(dòng)態(tài)、靜態(tài)網(wǎng)頁(yè)的實(shí)時(shí)檢測(cè)與防護(hù)，通過內(nèi)置自學(xué)習(xí)功能獲取web站點(diǎn)的頁(yè)面信息，對(duì)整個(gè)站點(diǎn)進(jìn)行爬行，一旦發(fā)現(xiàn)頁(yè)面被篡改，通過重定向的方式實(shí)現(xiàn)事后的主動(dòng)恢復(fù)并進(jìn)行告警，記錄防篡改日志。針對(duì)WEB全局環(huán)境進(jìn)行監(jiān)控與分析，實(shí)現(xiàn)集中、統(tǒng)一管理，針對(duì)WEB系統(tǒng)進(jìn)行掛馬監(jiān)控、安全漏洞監(jiān)控、安全狀態(tài)監(jiān)控。

通過上述方案的部署，在網(wǎng)絡(luò)安全的三個(gè)時(shí)間階段通過多層次、全方位整體性的解決方案網(wǎng)站防護(hù)方案，方案針對(duì)安全事件發(fā)生的整個(gè)周期實(shí)施周密的策略部署，進(jìn)而全面加強(qiáng)了對(duì)WEB系統(tǒng)的安全防護(hù)。

3 后續(xù)完善思路

隨著業(yè)務(wù)的不斷發(fā)展，WEB系統(tǒng)的安全性和業(yè)務(wù)性能隨著業(yè)務(wù)的不斷更新需要進(jìn)行相應(yīng)的擴(kuò)容，同時(shí)單防護(hù)節(jié)點(diǎn)的可靠性需要進(jìn)一步完善。因此后續(xù)需要新增一臺(tái)WAF，實(shí)現(xiàn)負(fù)載均衡雙冗余部署方式。

通過WAF的HA主-主模式（AA模式）解決非對(duì)稱鏈路情況下業(yè)務(wù)流量的暢通問題。

同時(shí)，WAF在本身提供輕量級(jí)的DDoS防護(hù)功能的基礎(chǔ)上，新部署專業(yè)抗拒絕服務(wù)攻擊的ADS，構(gòu)成流量清洗中心，和WAF進(jìn)行聯(lián)動(dòng)，達(dá)到分層清洗的目的。在業(yè)務(wù)正常運(yùn)行時(shí)，WAF的TCP Flood防護(hù)功能對(duì)一定閾值的拒絕服務(wù)攻擊進(jìn)行防護(hù)。一旦攻擊流量超過了WAF本身的防護(hù)閾值時(shí)，WAF向上游的ADS清洗中心發(fā)出通告，請(qǐng)求上游的ADS牽引并清洗到達(dá)WAF防護(hù)站點(diǎn)的攻擊流量。ADS牽引并清洗成功后，WAF退出本身的TCP Flood防護(hù)。當(dāng)WAF發(fā)現(xiàn)到達(dá)上游ADS的攻擊流量小于通告值時(shí)，申請(qǐng)取消上游ADS對(duì)流量的牽引和清洗，同時(shí)將自身的TCP Flood防護(hù)開啟。通過WAF和ADS的配合作業(yè)，WEB系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力將會(huì)進(jìn)一步提升。

4 結(jié)論

通過針對(duì)WEB系統(tǒng)多層次、全方位整體性解決方案的部署，我臺(tái)WEB系統(tǒng)的安全防護(hù)能力得到了明顯地加強(qiáng)，網(wǎng)站被掛馬、網(wǎng)頁(yè)內(nèi)容被篡改、數(shù)據(jù)被竊取等攻擊事件明顯減少。但WEB系統(tǒng)的安全防護(hù)工作是一個(gè)長(zhǎng)期持續(xù)的艱巨任務(wù)，隨著我臺(tái)WEB系統(tǒng)安全防護(hù)實(shí)踐的逐步深入，我們也會(huì)繼續(xù)探索更加有效的安全解決方案。

TP3

A

1674-6708（2015）144-0037-02