教育行业WEB应用安全解决方案Word格式.docx
- 文档编号:17333232
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:21
- 大小:400.61KB
教育行业WEB应用安全解决方案Word格式.docx
《教育行业WEB应用安全解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《教育行业WEB应用安全解决方案Word格式.docx(21页珍藏版)》请在冰豆网上搜索。
2.1.WEB系统容易受到应用攻击威胁
WEB技术与应用已经深入到教育行业的各个层面,WEB服务作为教育行业的信息门户和业务平台,以其方便性、易扩展性和低成本快速发展;
而WEB系统易受攻击等问题影响了WEB应用的高速发展。
大量WEB应用系统被黑客入侵和篡改,甚至被植入木马攻击程序,攻击者利用WEB服务程序的漏洞(如SQL注入漏洞、跨站脚本漏洞等),对WEB系统进行攻击,轻则篡改网页内容,重则窃取机密数据,造成经济损失或者恶劣影响。
2.2.WEB系统缺乏详尽的审计
日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口,其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。
日志不仅为管理员提供威胁管理的平台,同时也是安全取证和策略调整的依据。
因此要求日志记录的尽可能详细和精确,并可根据审计的要求对特定数据进行筛选和审计。
但目前网站缺乏详细的安全审计,无法有效的掌握用户的访问情况。
2.3.WEB系统缺乏有效的访问控制机制
由于教育行业网站众多,多数院校目前没有一个有效的访问控制机制,如WEB站点的管理后台通常直接暴露在外网,仅依赖于口令强度和简易的验证码进行访问控制。
这使得黑客更容易找到网站缺陷,对网站安全是不利的,急需要应用系统需要对访问者身份进行识别和授权,从而保障数据的机密性。
2.4.WEB安全事件
2011年09月19日,人民网报道:
黑客入侵北师大人事处网站网址被篡改为黄色网站
2011年11月18日,北京邮电大学互联网治理与法律研究中心的网站遭遇黑客攻击,网站页面被篡改为了一个类似于“愤怒的小鸟”的游戏
2012年11月14日,内蒙古科技大学网站被黑黑客竟发深情告白
三、解决方案
因为基于WEB的应用系统可以通过任意浏览器进行访问,用户往往更容易访问到这些系统,从而在一定程度上可以通过这些系统绕过内部的安全控制。
对大多数用户来说,WEB应用防火墙系统已经成为安全的边界。
使用WEB应用防火墙是确保这些系统安全的唯一途径。
然而,考虑到WEB应用的多样性,WEB应用防火墙往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。
没有正确部署的WEB应用防火墙往往会阻断合法用户对系统的正常访问,甚至没能起到应有的左右而让黑客长驱直入。
WEB应用防火墙是一种成熟的可以保护WEB系统免遭攻击的网络安全设备。
它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。
得益于WEB应用防火墙所使用的突破性技术,这些安全策略能够非常容易地适应各种WEB应用系统,从而满足所有的安全需要。
WEB防火墙为WEB应用提供了全面的应用层保护,它不但能抵御目前已知的攻击及其变种,还能抵御未知的攻击。
需要特别指出的是,WEB应用防火墙通过自己独特的WEB对象混淆技术,大大提高了攻击者的技术门槛,甚至能使大部分的普通攻击者无从下手;
独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。
由于攻击者无法篡改和伪造WEB请求数据,攻击便无法实施。
此外,通过与WEB应用紧密相连的安全策略的配合,WEB应用防火墙能严格限制合法用户的行为,避免了对系统受限资源非法的访问。
通过部署WEB应用防火墙,可有效解决WEB系统存在的安全应用威胁,通过设备的主动防御技术,全面为应用系统提供全方位的防护,强化数据有效性防护,即常见的跨站脚本攻击、SQL注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护,提供WEB应用或网站的基本安全保障。
同时,防止应用DOS攻击和暴力口令破解技术,解决大规模异常访问导致应用系统面临的性能问题,甚至系统崩溃、服务中断等恶性事件的发生。
在必要时,利用SSL加密认证技术对重要WEB系统进行安全认证,确保数据的可靠、有效性。
利用WEB应用防火墙的报表和即时分析功能,通过分析有助于安全管理人员把握应用系统安全现状,及时调整安全策略,并针对威胁等级较高的攻击进行提醒,提出建议性解决办法。
利用WEB应用防火墙详尽纪录和有效统计用户对Web应用资源的访问,包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息,实现有效的用户行为跟踪和访问统计分析。
生成基于地区区域的访问统计,便于识别WEB应用的访问群体是否符合预期,为应用优化提供指导。
WEB应用防火墙融合可靠的应用层过滤技术和先进的数据加密技术,具备事前主动防御、事中智能响应及事后审计的综合防护能力。
在事前防御方面,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用;
事中智能响应,WEB应用防火墙作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障Web应用的高可用性和可靠性;
事后审计,WEB应用防火墙给服务器提供了可靠的安全防护,同时也应该具备深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表功能。
可以为院校网站系统提供立体的安全防护体系,为网站应用完整的安全解决方案。
第四章天泰WEB安全防护系统
伴随着防护技术的不断发展,WEB应用系统的防护技术经历了网关型防护手段和操作系统防护手段。
如含有应用层过滤功能的网络防火墙、IPS等网关型硬件产品,基于特征匹配进行防护;
网页防篡改软件则是基于文件监控原理,对指定路径的文件进行监控和写保护。
传统的网络安全设备和网页防篡改软件只能解决WEB应用安全的一个方面,而WEB应用系统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全、高效、持续地对外提供服务。
WEB应用系统的安全是一个系统的问题,包括三个方面,即可用性、完整性和机密性。
实现这些原则所需的安全等级因WEB系统的属性、WEB应用的价值不同而异。
如对机密性要求较高的应用系统应当保障数据的访问、传输过程的安全,同时需要对访问者进行认证、授权、审计;
对于一个面向客户群的应用系统既要考虑其应用交互的可用性,同时也需要对其完整性进行有效的保障。
而面向大众的门户类网站则需要充分考虑其抗攻击能力、高可用性和完整性,提供7X24小时不中断服务,确保提供的数据是真实的、有效的。
综上所述WEB应用系统的安全保障需要充分考虑其高可用性、完整性和机密机才能达到安全有效的防护目的。
专业的WEB安全网关则是专用于防护及优化WEB应用系统的最佳选择,有效解决传统网络防火墙及网页防篡改软件在WEB应用防护方面的局限性,在重视应用系统的高可用性的前提下进行安全优化从而达到WEB防护的最佳目标。
图4-1天泰WEB安全网关的综合防护能力
上海天泰网络技术有限公司专业从事于WEB应用安全的研究、防护工作。
天泰自主研发的WEB应用安全网关是国内首家通过国家公安部、国家保密局、解放军信息安全测评中心、国家信息安全测评认证中心等权威机构检测认可的综合性WEB安全保障平台。
上海天泰专注细分市场,依靠持续创新与自主研发,结合先进的软件体系和硬件架构,打造稳定高效的平台,将多项特性与功能整合至单一设备,提供全面的应用安全与优化解决方案,为客户创造一个安全高效的应用环境,成就国内应用安全行业的领导者。
向广大用户提供WEB应用的安全解决方案,通过WEB安全网关的安全防护模块、应用审计模块实现应用的安全防护,解决用户面临的严重入侵威胁;
通过负载均衡和WEB加速技术解决用户在高可用性、性能提升上因为需要大量资金投入的烦恼;
天泰的SSL加速引擎和访问控制模块轻松解决了WEB应用系统差异化访问控制等复杂应用。
目前已经在政府、教育、军队、金融、电信、大型企业等多个领域有着广泛的应用。
4.1安全防护功能
4.1.1策略的覆盖完整度
天泰WEB安全网关提供对应用系统全方位的防护,强化数据有效性防护即常见的跨站脚本攻击、SQL注入攻击、跨站请求伪造、网页挂马、盗链等威胁的防护,提供WEB应用或网站的基本安全保障。
天泰安全团队经过多年的安全研究和市场实践,研发了虚拟服务器补丁技术用于缓解WEB服务器漏洞的零日攻击、和不安全配置带来的安全隐患。
集成的会话签名鉴别技术和分级授权模块专用于防护WEB应用系统面临的认证威胁,如失效的会话管理缺陷、不安全的会话密钥管理缺陷等均可通过天泰WEB安全网关进行快速修复。
提供防止应用DOS攻击和暴力口令破解技术,解决大规模异常访问导致应用系统面临的性能问题,甚至系统崩溃、服务中断等恶性事件的发生。
4.1.2策略适应性
优秀的安全策略不仅需要有广泛的应用系统覆盖面、还需要有细的匹配粒度和良好的应用系统适应性。
天泰安全网关的策略基于URI、时间、访问者、访问状态、访问工具、访问内容等对象定制安全规则,每条规则在发布前均通过严格的适应性测试,特别针对国内数百家WEB应用系统进行测试,确保规则安全稳定、无误判。
4.1.3学习引擎与白名单模式、主动防御时代的到来
安全防护技术可以分和黑名单防护技术和白名单防护技术,黑名单技术目前被大量应用,基于黑名单的防护技术可以防护已知的攻击行为,但对于未知的或已知规则的变种则无法防护。
白名单技术可以有效的防护黑名单无法解决的问题,然而由于WEB应用系统的复杂多样,所以白名单技术在实施过程中通常十分复杂并可能导致误判。
经过长期的研发与实践,天泰自适应引擎(TSAdaptive™)让白名单防护技术成为了可能。
在天泰WEB安全Positive模式下,识别攻击行为不再依赖于已知的攻击特征,而是基于用户应用系统的正常请求特征和签名列表。
自适应引擎生成的推荐规则专用于特定的应用系统,最大限度的降低了黑名单技术带来的误判、漏判、零日攻击等无法解决的技术难题。
4.1.4基于状态的分析
WEB应用防火墙技术在开发初期是完全基于规则匹配的响应机制,表现为无状态特性。
随着防护技术的不断提高及面临日益严重的零日攻击威胁,天泰WEB安全网关开创性的采用了应用防火墙状态防护技术,对会话管理、请求伪造、盗链等行为进行识别和防护;
对攻击者的入侵扫描、探测、渗透过程进行状态识别和跟踪,快速定位威胁,及时告警或阻止。
4.1.5与网络层联动的防御技术
WEB应用受到攻击,WEB安全网关应当采取行之有效的防护措施。
天泰WEB安全网关在检测到有攻击流量时会跟据不同的安全级别做出对应的响应,如阻断并给出伪装或告警信息。
当检测到有持继的攻击流量时,天泰WEB安全网关将会采取一系列的安全联动措施,如基于状态的威胁识别和限时锁定措施将入侵者进行延时锁定,或者及时将可疑攻击通过邮件、短信、SNMP、Syslog通知安全管理员,及时采取安全措施,降低攻击带来的损失。
4.2日志审计与管理
4.2.1安全日志
天泰WEB安全网关可提供定时报表和即时分析功能,通过分析有助于安全管理人员把握应用系统安全现状,及时调整安全策略,并针对威胁等级较高的攻击进行提醒,提出建议性解决办法。
图4-2天泰WEB安全的统计报表
系统的安全是需要通过不断的评估、响应、防护和加固安全策略从而达到一个动态的平衡。
天泰为用户提供以WEB安全网关为载体、以安全策略为核心的防护机制,检测到可疑威胁的情况时可使用天泰的自适应引擎实现新策略的生成,提高安全管理员的工作效率。
4.2.2访问日志
天泰WEB安全网关详尽纪录和有效统计用户对Web应用资源的访问,包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息,实现有效的用户行为跟踪和访问统计分析。
4.3性能优化方案
应用系统的可用性是构成系统安全的重要组成部分,应用系统访问延时、堵塞、服务中断、性能急剧下降等都会导致系统可用性下降。
对于公众开放的应用系统的可用性的安全等级通常放在首位。
如何经济高效的保障应用系统的可用性是管理人员在进行安全规划时的首要问题。
性能优化方面,天泰针对不同用户的需求提供了多种性能优化方案供用户选择。
4.3.1站点集群技术
在应用系统设计开发阶段融入天泰WEB安全的WEB应用集群功能可以提高软件开发的效率、取代由软件实现站点集群的性能瓶颈和繁琐的技术细节,提升整个应用系统的性能。
通过站点集群技术您可以实现站点网页文件、图片、媒体文件的分离与整合,也可以方便实现不同应子系统的拆分。
利用天泰WEB安全网关还可以实现站点文本、图片文件域名分离,从而提缩短用户下载网页的时间,提高用户体验。
图4-3天泰WEB安全网关的集群服务
4.3.2负载均衡
天泰WEB安全网关提供高可用性、负载均衡以及基于HTTP应用的代理,作为快速并且高可靠的一种负载均衡产品,天泰WEB安全网关特别适用于那些负载特大的WEB站点,这些站点通常又需要会话保持或七层处理。
图4-4天泰WEB安全网关的负载均衡服务
天泰WEB安全网关提供成熟的负载均衡解决方案,支持的负载均衡模式有:
平均分发、压力分发、请求路径分发、请求参数分发,并支持WEB应用系统的会话保持功能、服务状态监测与故障切换功能。
4.3.3WEB加速
基于现有环境的WEB加速功能可使用户不改变现有环境的情况下提升访问WEB应用的速度;
天泰WebCompress™引擎对Web应用数据进行实时智能压缩,改善终端用户性能,降低带宽消耗。
WebCache™引擎对静态应用内容的高速缓存,显著减少服务器负载。
双向TCP连接池和高效复用算法将上千短连接优化为少量持久的服务器连接,减轻服务器压力,改善服务器性能,提高应用响应速度,降低服务延迟。
图4-6天泰WEB安全网关的加速功能
4.4访问控制与SSL加速
如果应用系统需要对访问者身份进行识别和授权,从而保障数据的机密性,此时可以使用天泰WEB安全网关的访问控制功能以及SSL加功能。
该功能特别适用于已经交付使用的应用系统,不需要修改程序代码,通过WEB安全网关实现访问控制和SSL加速。
如WEB站点的管理后台通常直接暴露在外网,仅依赖于口令强度和简易的验证码进行访问控制,类似这种应用可以通过天泰WEB安全网关的访问控制功能实现身份识别和访问控制以提高应用系统的安全性。
4.4.1时域、地域锁定服务
天泰安全服务团队长期对国内网站入侵事件提供应急响应服务,结合多年的服务经验发现针对国内站点被入侵的时间和IP地址对应的地理位置特性,并将这个特性整合进了天泰WEB安全网关。
对网站指定路径定时锁定,如网站的信息提交功能深夜至凌晨锁定,政府事业单位的网点仅限于国内IP地址的用户可以访问等功能,从而将易受到攻击的时段、区域进屏蔽。
天泰WEB安全网关集成了基于时间、页面、和客户端IP地址的网络层联动防护技术,方便管理员对站点的控制,如业务系统只有工作时间才对外开放,后台管理系统只有指定范围的IP才可访问,涉及政务查询的数据仅国内或省内访问者可访问等功能均可通过天泰WEB安全网关实现。
图4-7天泰WEB安全网关的地域锁定功能
4.4.2SSL认证服务
天泰WEB安全网关集成了SSL加密功能,应用内容在传输过程中都受加密保护,通过转移服务器复杂的加/解密任务从而将应用处理能力发挥到了极致。
该功能使管理员能保护敏感应用内容的安全,使其摆脱被窃取及被滥用的潜在威胁。
适用于电子政务、电子商务等对数据机密性要求较高的场合。
图4-7天泰WEB安全网关的SSL认证服务
4.4.3URL认证技术
失效的会话管理、弱口令等缺陷给WEB应用系统带来巨大的安全隐患,然而对于一些已经交付运行的应用系统,最佳的解决办法是采用第三方的认证管理技术进行控制,而不是对原来程序进行修复。
天泰WEB安全网关可以对指定的WEB资源进行访问控制,并结合LDAP、RADIUS、AD等认证服务器提高WEB应用系统的安全性。
第五章产品的选型与部署
5.1安全产品的设计与选型
5.1.1产品设计目标
针对目前日益增多的应用层网络攻击行为,需要对网站能够提供有效的安全防护,选用天泰WEB安全网关对公司门户网站、邮件系统、招标网站进行应用安全防护,防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝DDoS攻击,保障系统服务的持续性。
为保障XX单位对外业务系统的高可用、高安全性,我们将要部署一台设备对门户网站、招标网、邮件系统网站进行安全防护。
5.1.2产品选型原则
✧安全性:
对网站进行有效的防护,加强应用层的综合防护;
✧可靠性:
提供的安全防护设备具有较高的可靠性;
✧先进性:
采用先进、成熟的技术和主流的产品,使网络建设能适应未来的需求;
✧实用性:
系统设计以实用性为原则,同时应考虑到系统的开放性,兼容性、技术支持服务等能力;
✧兼容性:
要求对现有的系统具有良好的兼容性。
5.1.3产品选型参考
上海天泰公司在大量应用新技术的条件下,推出了“新一代”Web安全网关。
在占领WEB安全技术的制高点上,天泰公司站在Web安全的最前沿。
对于用户普遍关心的Web安全防御中的性能损耗问题,上海天泰Web安全网关通过采用缓存、压缩、连接保持等技术提升了WEB系统性能,在最近XX行业的系统上,使用天泰Web安全网关提高访问速度近30倍。
根据XX单位网站WEB应用系统的实际需求,推荐采用上海天泰WAF-T3-2000-S型设备,具体产品功能和性能参数如下:
项目类别
技术参数
产品形态
产品规格:
2U机架式
物理接口:
1000BASE-T×
4,RS232×
1
产品性能
HTTP请求/秒:
20,000
TCP并发连接:
2,000,000
部署方式
支持路由、透明、单臂等多种部署模式
支持链路聚合,提升链路带宽和可靠性
支持策略路由,能支持多条链路接入
分布式模式,产品内置WebAP/WebUTM/WebSwitch引擎,可以分别部署多台硬件平台,大大提高处理能力
网络防护
具有状态监测防火墙功能,支持基于五元组的访问控制
具有端口映射功能,支持SNAT、DNAT和PNAT
支持MAC地址绑定,防止ARP假冒与攻击
能防御常见DOS攻击
WEB防护
专用的WebUTM引擎,统一防范针对WEB应用的各种威胁
能够对HTTP数据流进行双向深度检查,具备完全的HTTP协议和事务解析能力
能够阻断攻击探测,防止对WEB应用和服务器等信息的恶意获取和特征收集
能够阻止SQL注入、跨站脚本、目录泄漏、目录遍历、COOKIE假冒、认证逃避、命令行注入等常见攻击行为
支持黑、白名单技术,能防护应用系统免遭常见和未知的WEB攻击
提供网页防盗链功能,防止WEB资源被盗用
提供对网页挂马的主动监测,当检测到网页被挂马时,能通过邮件或短消息进行告警
具有自动学习引擎,能自动对双向的HTTP流量进行智能分析,并能自动学习到后台WEB服务器及WEB站点和目录结构
检测到攻击时,能选择阻断当前请求或阻断攻击者的IP;
并通过控制台、Mail等多种方法进行告警
内置600多条攻击特征库,支持攻击特征库自动升级;
支持自定义防护规则
应用加速
能对Web应用数据进行实时智能压缩,改善终端用户性能,提高带宽利用率
提供对静态应用内容高速缓存,显著减少服务器负载
具有连接保持功能,双向TCP连接池和高效复用算法优化服务器连接,改善服务器性能提高响应速度
能限制WEB服务器最大服务能力,防止因为请求浪涌导致服务器异常
应用控制
URL级别的流量管理,可以最大限度的缓解WEB服务器因访问量大而造成的DOS攻击
访问过载保护功能可以自动保护已经建立的连接,将后续的连接放入连接队列
提供URL级别的访问控制,针对不同的URL设置不同的访问权限,可基于用户、IP范围、用户组等权限的访问控制
对应用服务进行准确的监控,及时发现WEB应用状态异常
可以对网站管理后台使用SSL发布,采用双向数字证书认证,保护数据通信的完整性和机密性
行为审计
能记录站点访问日志,提供基于访问日志的用户行为分析与审计
能够对页面点击率、客户端地址、访问流量和时间等进行有效的行为跟踪和审计
能导出站点访问日志,为外部日志分析系统提供访问日志原始数据
对攻击来源、数据、时间、处理结果形成列表,提供多种审计报表
为系统的安全审计提供丰富的审计报表,支持标准第三方SYSLOG日志服务器
内置IP地址信息库,实现发现访问和攻击网站的用户区域分布
篡改保护
能实时检测页面是否被篡改,支持数字水印、相似度、内容取样等多种算法
动态防篡改功能,支持对动态页面的防篡改,有效防止对后台数据库的篡改行为
检测到篡改发生后,支持发送镜像内容,阻断或者页面重定向等响应动作
具有可选的篡改恢复软件模块,可以实时恢复被篡改的页面
高级应用
支持应用负载均衡模块,支持平均分发,压力分发,请求分发,请求参数分发等算法
支持静默扫描模块,为上线的应用系统提供实时安全评估
支持SSLAccel模块,可以分担应用服务器SSL运算压力,有效提升了服务器处理能力
支持WEB诱捕模块,能吸引攻击者的注意力,降低应用系统被攻击的风险,同时能记录攻击者IP和攻击手段
高可用性
支持双机热备功能,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教育 行业 WEB 应用 安全 解决方案