【51CTO.com 独家特稿】在“拯救网站运维经理赵明活动”开始后,庞晓智为我们投来了一个防护覆盖面最广的一个解决方案。
一、 攻击事件背景
深夜,某网站运维经理赵明正戴着耳麦趴在桌子上接到一个匿名电话,紧接着随即打开了公司的首页,发现公司网站被黑客非法入侵。整个屏幕赫然留下了几个血红色的英文字母“The evil is coming,We will be back”。公司依托网站运行的业务被迫中断,客户部第九次进行投诉,运营总监一脸阴沉...
二、 安全技术现状分析
1、 赵明所在公司目前网站结构拓扑图如下:
2、 交换网络安全现状
目前仅有一台交换机部署在WEB应用服务器和数据库服务器之间,WEB服务器和数据库服务器不能很好的进行逻辑隔离。尽管通过交换机ACL功能可实现对数据库服务器、文件服务器的访问控制。但控制能力较弱,因为基于交换机的ACL功能只能实现简单的包过滤访问策略,并不能实现基于状态分析的访问控制,黑客很容易通过伪造TCP报文轻松绕过交换机。一旦WEB服务器遭受入侵,承载着公司重要业务数据的数据库服务器即成为下一个攻击目标。
3、 边界网络安全现状
通过网络拓扑可知,WEB服务器是直接暴露在互联网之外的,没有划分专门的DMZ区部署WEB应用。网络边界并没有部署任何的防火墙防护,来自外界的访问者可任意访问公司内部服务器。由于缺乏防火墙的边界防护,无法对不同信任程度区域间传送的数据流进行基于上下文的访问控制,无法通过NAT地址转换保护内网的机器,无法防御各种IP/端口扫描、路由欺骗攻击、由TCP/UDP Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻击等等。
4、 应用层网络安全现状
网络中并没部署入侵检测系统或入侵防御系统,无法对一些基于应用层的攻击如常见的SQL注入攻击、脚本攻击、cookies欺骗进行入侵检测、行为阻断和实时报警等。
5、 内网客户端安全现状
内网客户端没有实施安全终端控制,服务器口令随意存放、内部员工P2P文件共享工具滥用、病毒木马感染四处肆虐,发送邮件不经意携带机密信息,最终导致公司敏感信息泄露。
6、 主机安全现状
主机安全策略没有经过严格的设置,或仅保留默认配置策略,往往给入侵者带来了极大的‘后门’。如常见的账户弱口令、远程使用基于明文的Telnet管理、文件夹权限过大、默认账号未禁用、系统补丁未安装而引致安全漏洞等等。
7、 应用程序安全现状
从本次的安全事件可以了解到,出现问题的正是网站页面被非法篡改。经推测可能正是应用程序(即网站程序)出现了SQL注入漏洞、跨站脚本漏洞、目录遍历、CRLF注入漏洞等安全隐患被入侵者发现,然而没有相应的安全防护设备进行攻击防御,加上主机安全策略配置不当,客户端泄露敏感信息,主页页面被非法篡改后无法及时进行有效的恢复,最终导致公司网站被黑客入侵的网络安全事故发生。#p#
三、 安全整改及加固方案
1、 总体安全体系设计
从中我们可以看出,网络安全事件的发生并不是‘临时性即意’发生的,他是由交换网络、边界防护、应用层防护、主机防护、应用程序防护、客户端防护等多个方面的技术安全域管控不严而导致的,是一个从量变到质变的过程。因此,我们可以说网络安全是一个动态的概念,网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:网络安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时监测(D) + 实时响应(R) + 灾难恢复(R)。
图1:APPDRR动态安全模型
以下提供的安全整改方案正是基于APPDRR模型构建的,符合网络安全系统整体性和动态性的特点。它集各种安全技术产品和安全技术措施于一体,将多种网络安全技术有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。
2、 信息安全风险评估(Assessment)
信息系统安全风险评估是通过对资产、脆弱性和威胁来综合评估分析系统面临的安全风险,对所发现风险提供相关的处理建议。风险评估是风险管理的重要组成部分,是信息安全工作中的重要一环。根据组织安全风险评估报告和安全现状,提出相应的安全建议,才能指导下一步的信息安全建设。
网站被黑的问题在哪,黑客用什么手段入侵,哪些服务器存在安全隐患,源头在哪?必须首先进行信息安全风险评估。通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制安全策略、应用系统、业务系统等方面的数据,并进行相应的分析,最终找出问题根源所在,可能是WEB网站的代码有程序设计缺陷,也可能是服务器的口令被暴力破解,问题可能是一个或者是多个。通过对各种挖掘出来的弱点进行高中低风险排序,认清不同的弱点能带来什么程度的风险,并在下一步的风险策略中进行风险处置。
注:为什么方案设计在一开始就要强调找问题。头疼医头,脚疼医脚,如果一上来就推荐安全产品,那只能是远水救火,无法从整体角度上有效解决信息安全问题。
3、 安全整改策略制定(Policy)
针对在风险评估中找出的所有安全弱点,建议在以下几个方面进行安全整改:
#p#
4、 安全整改方案实施(Protection)
4.1 网站源代码整改
◆通过对WEB源代码审计(Web Application Source Code Audits),对已发现的脚本漏洞进行修补,包括替换篡改页面、清除挂马页面、填补安全漏洞(包括跨站脚本、目录遍历、SQL注入、CRLF注入、物理路径泄露、应用错误信息、脚本源码泄露等)。
4.2 主机系统配置加固
◆主机系统包括操作系统、中间件和数据库。
◆操作系统安全加固:包括Windwos、、Linux、Unix等类型的服务器操作系统安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、远程登录限制和加密选项、重要目录和文件权限限制、注册表权限设置(win)、多余账号和文件清除、抗DDOS攻击设置、关闭不必要的系统服务、系统补丁及时安装、日志审计等。
◆中间件安全加固:包括IIS、Apache、Tomcat、weblogic、websphere等类型的WEB中间件的安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、加密传输设置、Socket数量限制、错误页面处理、默认端口更改、漏洞补丁包安装等。
◆数据库安全加固:包括MSSQL、MYSQL、Oracle、DB2等类型的数据库安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、远程登录限制和加密选项、监听端口设置、启用审计功能、安全更新包安装、存储过程控制使用。
◆实际实施中应根据不同的操作系统、中间件和数据库类型进行有的放矢的专项加固。因暂无了解赵明公司服务器的类型,故本文只在这里起抛砖引玉的作用。
4.3网络安全产品部署
本方案设计采用Juniper Netscreen系列防火墙作为边界防护,主要负责提供OSI第4层以下的基本安全环境和高速转发能力,而采用启明星辰入侵防御系统对OSI第4-7层流量的细粒度控制。采用IGuard网页防篡改系统对网站应用程序文件进行内核级的文件保护功能。
Juniper Netscreen产品介绍:
NetScreen 系列安全系统是专用防火墙安全系统,专为大中型企业、电信运营商和数据中心网络而设计。NetScreen在一个超薄模块化机箱内集成了防火墙、VPN、DoS 和 DDoS 保护,以及流量管理功能。这些系统构建于我们的第三代安全 ASIC 和分布式系统架构之上,可提供出色的可扩展性与灵活性,同时通过 NetScreen ScreenOS 定制操作系统可提供更高的安全性。
产品亮点总结:
1、支持安全域划分,访问控制策略对象管理,ASIC芯片设计,高性能防火墙的代表(和x86架构的防火墙不在同一个级别)
2、基于模块化设计,丰富的安全防御特性,日后根据需要还可以添加防垃圾邮件网关、防病毒网关模块和IDS模块功能。
启明星辰入侵防御系统产品介绍:
天清入侵防御系统(Intrusion Prevention System)是启明星辰自行研制开发的入侵防御类网络安全产品,围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。
天清入侵防御系统采用的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition),该协议自识别方法基于协议指纹识别和协议规则验证技术实现,能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型,并采用预先建立的协议验证规则进一步验证协议识别结果正确性。对SQL注入、跨脚本攻击等针对WEB业务的攻击行为有很好的判断和防御能力,和传统学术界以及产业界的技术相比,可以做到无误报,无漏报。
系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,不但有效提高了对各种深层攻击行为的识别能力,而且对攻击变种、异形攻击等无法通过特征判断的攻击行为也能实现精确阻断。天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE,对用户而言,提供了更详细了解网络中发生行为的机会。
天清入侵防御系统(IPS)融入了启明星辰公司在入侵攻击识别方面的积累和研究成果,使其在精确阻断方面达到国际领先水平,不仅可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断,而且能够有效的防御像SQL注入、跨站脚本攻击这些针对应用业务的攻击行为,弥补了其它安全产品深层防御效果的不足。
产品亮点总结:
1、采用基于协议指纹识别和协议规则验证技术的VFPR协议自识别方法, WEB业务深层防御能力较强。
2、系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,检测防御规则库兼容CVE(Common Vulnerabilities and Exposures,国际通用漏洞披露库),精确阻断达到国际领先水平。
iGuard网页防篡改系统:
采用先进的核心内嵌技术
上海天存信息有限公司推出的iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
采用事件触发机制,确保系统资源不被浪费,不同于一些文件轮询扫描式或外挂式的页面防篡改软件,iguard 的页面防篡改模块采用的是与Web 服务器底层文件夹驱动级保护技术,与操作系统紧密结合的。而且是在Web 服务器对外发送网页时进行网页防篡改检测。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或外挂式的同类软件。
基于双向检测机制的防篡改原理
iGuard网页防篡改系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览,完全实时地杜绝篡改后的网页被访问的可能性;同时,iGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断,从而杜绝任何使用Web方式对后台数据库的篡改。
产品亮点总结:
1、第三代全新防篡改技术,先进的系统驱动级文件保护技术,基于事件触发式监测机制,高效实现了网页监测与防护功能
McAfee数据防泄漏产品介绍:
McAfee 推出了业界全面的解决方案McAfee Data Loss Prevention,该解决方案采用了强大的加密、身份验证、数据丢失防护和策略驱动型安全控制技术来为您的机密数据提供保护,随时随地防止未经授权的人或组织访问和传输您的机密数据。
数据丢失防护
1. 管理用户通过网络、应用程序和存储设备发送、访问和打印机密数据的方式,其中包括:电子邮件、Webmail、P2P 应用程序、即时消息、Skype、HTTP、HTTPS、FTP、Wi-FI、USB、CD、DVD、打印机、传真和移动存储设备
2. 防止由木马、蠕虫和文件共享应用程序导致的机密数据丢失,这类威胁会窃取员工的凭据
3. 即使数据经过了修改、复制、粘贴、压缩或加密,也能够有效确保各项数据、格式和派生数据不会被窃取或篡改,而且不会影响合法的业务活动企业级设备加密
4. 自动对整个设备进行加密,无需用户介入或相关培训,而且不影响系统资源
5. 全盘加密支持包括 AES-256 和 RC5-1024 在内的多种标准算法
6. 使用强大的多要素身份验证技术来识别并验证用户是否是经过授权
文件和文件夹持续加密
1. 通过向文件自动添加文件头(此文件头会始终伴随受保护文件)可以确保文件始终是加密的(即使在文件不使用时)
2. 无论文件和文件夹保存在什么位置(本地硬盘、文件服务器、移动介质甚至是电子邮件附件),均能确保它们的安全
集中管理控制台
1. 使用 ePO 指定详细的基于内容的过滤、监控和拦截规则,防止未经授权的人或组织访问机密数据
2. 全盘、文件和文件夹加密;控制策略和补丁程序管理;恢复丢失的密钥;证明遵从法规
3. 实现安全策略与 Active Directory、Novell NDS、PKI 等其他技术的同步
先进的报告和审核功能
1. 借助丰富的审核功能证明设备是经过加密的
2. 记录与数据相关的信息,例如发件人、收件人、时间戳、数据证据、上次成功登录日期和时间、上次接收更新的日期和时间以及加密是否成功等
产品亮点总结:
1、多层防护功能,覆盖范围广,涉及所有服务器、数据库及终端上的数据都能受到保护,能跨平台兼容不同类型的操作系统。
2、不论是无意还是恶意的拷贝、删除,McAfee DLP都能防止由内部人员或黑客导致的数据丢失,即使数据进行了伪装。
4.4网络结构优化调整
部署一系列网络安全产品后,接下来就是进行网络结构优化调整。借助防火墙划分内网区、外网区和DMZ区域(非军事区),内网区再细划分为内部办公区,内部服务器区和网管监控区。将IPS、负载均衡网关、WEB服务器依次部署到DMZ区域,文件服务器和数据库服务器移到内部服务器区域,所有控制台和监控端移到网管监控区。调整后的网络拓扑图如图所示:
部署顺序基于以下原则考虑:
1、从策略上来分析,防火墙的特性是先拒绝任何访问,然后配置允许访问规则;IPS的特性是先允许任何访问,然后根据特征库拒绝某些非法的访问。从防御能力上分析,防火墙主要负责提供OSI第1-4层的基本安全环境和高速转发能力,而入侵防御系统(IPS)对OSI第4-7层粒度流量进行行为阻断。将防火墙部署在IPS之前,首先防火墙抵御基本的端口扫描/DDOS/DOS/CC攻击,而将4-7层尤其是应用层的攻击交给IPS专心防御,能起到事半功倍的效果。
2、由于负载均衡网关主要是用于平衡服务器负载、监控主备服务器的运行状态并进行流量分配和访问加速,自身没有太多的安全防护措施,故将部署在IPS之后,WEB服务器之前。
3、数据库服务器和文件服务器承载着公司关键业务信息,应和WEB服务器相分离而部署在内网,并在防火墙设置外网访问者不允许访问内网的服务器,外部访客的数据查询必须是先发送到WEB服务器,由WEB服务器向DB服务器进行查询请求。
4、日志监控端、IPS控制台和IGuard网页防篡改服务端划分到网管和监控端,并且将所有安全设备的管理口独立接入网管监控区,并不与局域网核心交换机相连,实现带外网管功能。将网络的管理控制信息与用户网络的承载业务信息在不同的物理信道传送,可以有效防止当业务网停顿后无法快速对安全设备进行管理,通常这种情况出现在局域网爆发大规模病毒导致交换机瘫痪、防火墙遭受DDOS/CC攻击等以上的紧急事件中。
5、以上规划仅从安全角度考虑出发,如果对业务连续性有较高的要求,可在网络重要节点部署双机热备、双主备链路和冗余电信/网通出口等。 #p#
5、 建立IT综合安全运营中心(Protection+ Reaction+ Restoration)
随着更多的安全产品或其他IT设备部署,赵明如何能分身乏术通过有效的技术手段和措施来保障系统的安全运行,一个突出的问题是对各安全设备和安全控制系统的管理分散,简单来说,IPS日志、防火墙日志、网页篡改日志、防病毒日志和大量的操作系统审计日志谁来看,怎么看?一旦遇到入侵事件如何实时报警?从深层次的原因分析,来源与防火墙、入侵检测、漏洞扫描、防病毒、内网管理等等安全设备的事件随着互联网攻击行为和蠕虫的泛滥,在一个中等规模的网络上就可以形成海量安全事件。这些事件中又存在非常多的误报和重复现象,在进行事件分析时,由于只考虑事件本身的严重程度,没有和实际的业务和资产情况结合,使得一些潜在的威胁往往被忽略。从中可以看出,在部署一系列的产品后,赵明所在公司缺乏全网统一的安全集中控制和处理机制,难以从全局掌握全网的安全情况,及时调整安全策略以适应网络安全动态性和整体性要求。
IT综合安全运营中心(Security Operation Center,简称SOC)的建设是解决这一课题的重要手段,SOC由安全信息平台、安全事件平台、运营维护制度、安全支持服务、专业维护人员等一系列产品、服务人员、管理制度的建设所构成。
IT综合安全运营中心是由“四个中心、五个功能模块”组成的综合安全运行管理中心。“四个中心”是:漏洞评估中心、事件监控中心、综合分析决策支持与预警中心和响应管理中心;“五个功能模块”是:策略配置管理、资源管理、用户管理、安全知识管理和中心自身安全。
四个中心
事件监控中心
监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等,及时协调和组织各级安全管理机构进行处理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。
漏洞评估中心
通过漏洞评估中心可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
综合分析决策支持与预警中心
综合分析决策支持与预警中心是综合安全运行管理平台的核心模块,其接收来自安全事件监控中心、性能监控中心和故障监控中心的事件与性能故障信息,依据资产与脆弱性管理平台进行综合的事件与性能故障协同关联分析,并基于资产和网络拓扑进行风险评估关联分析,按照风险优先级针对各个业务区域和具体事件产生预警,参考网络安全运行知识管理平台的信息,并依据安全策略配置管理平台的策略驱动响应管理中心进行响应处理。
应急管理中心
仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。应急响应中心主要是通过工单管理系统来实现的。应急响应中心接收由风险管理中心根据安全威胁事件生成的事件通知单,并对事件通知单的处理过程进行管理,将所有事件响应过程信息存入后台数据库,并可生成事件处理和分析报告。响应管理中心负责针对所管辖网络的安全事件、风险与故障告警利用通知系统(E-mail、短信和即时消息)、工单系统、联动系统和补丁管理系统进行响应处理。
五个功能模块
策略和配置管理
网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过SOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
安全知识管理
安全运行知识管理平台是安全运行知识库信息管理和发布系统,不仅可以充分共享各种安全运行信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。
资源管理
资源管理平台主要包括两个方面:人力资源管理和资产管理。人力资源管理保证在需要的时候,可以找到合适的人。资产管理主要是管理SOC监控范围的各个系统和设备,是风险管理、事件监控协同工作和分析的基础。
用户管理
安全运营中心提供用户集中管理的功能,对用户可以访问的资源权限进行细致的划分,具备安全可靠的分级及分类用户管理功能,要求支持用户的身份认证、授权、用户口令修改等功能;支持不同的操作员具有不同的数据访问权限和功能操作权限。系统管理员应能对各操作员的权限进行配置和管理,要有完整的安全控制手段,对用户和系统管理员的权限进行分级管理。
中心自身安全
安全运营中心作为整个网络安全运行的监控者和管理者,其中的每一步关键操作都会对整个网络安全产生重要影响,甚至会改变网络运行方式和运行状态,因此综合安全运行管理中心体系自身的安全性非常重要。综合安全运行管理中心体系的自身安全包括多方面,如物理安全,数据安全,通讯安全等。综合安全运行管理中心在总体设计时必须考虑综合安全运行管理中心体系的使用安全和管理流程安全。
通过建立SOC,不仅集中收集、过滤、智能关联分析安全信息,提供网络和主机的信息安全视图和安全趋势,同时也重点关注公司内部安全的有效控制。将企业的信息安全状况从一个难以了解、难以猜测的黑匣子变成一个透明的、可以呈现的玻璃盒子,从而能够整体展示企业整体的和局部的信息安全的状况。帮助企业降低信息
安全整体的管理成本,提高信息安全管理水平,保证企业的业务可持续性。
四、 总结
综观整个安全整改及加固方案,通过进行风险评估(A),安全整改策略制定(P),整改方案实施(P),IT综合安全运营中心建立(P+R+R),最终实现了APPDRR模型的闭环循环。同时我们也必须认清到,不存在百分之百的静态的网络安全,网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。
【编辑推荐】
