Web系统的网络安全分析及应对方式

来源:用户上传      作者:

　　摘 要 随着基于web环境的应用类型的日益丰富，而其Web应用系统多处于互联网这样一个相对开放的环境中，使得网络安全问题变得愈发凸显。本文针对基于WEB系统的网络安全防护并结合新疆人民广播电台的部署情况，分析了Web应用系统受到的安全威胁，并详述了如何针对安全威胁进行多层次、全面安全防护的方式。
　　关键词 Web安全；WAF；防篡改
　　中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2015）144-0037-02
　　1 WEB系统面临的典型网络安全威胁
　　近年来，我台的Web 应用系统功能日趋丰富，但网站网站安全保障能力还相对薄弱，多次成为网络攻击的目标，造成网站服务中断，主页内容被篡改，系统数据丢失等安全事件。针对各类WEB系统的攻击（如DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等）正在日趋泛滥，使得我们在以下几个方面的安全威胁日趋严峻。
　　1.1 页面被篡改
　　广播电台网站作为本地媒体信息对外发布的交互平台，代表了广播电台自身的社会形象，如果网站页面被篡改，如出现反动言论、不良画面或者造假数据等信息，不仅将影响正常业务的开展，更会给广播电台及宣传媒体的形象及信誉带来极其不好的影响。
　　1.2 网站被挂马
　　网页挂马近年来一直是广播电台网站面临的最严重的安全威胁之一，尤其在重要宣传时期，一旦访问被挂马的网站，就会受到恶意木马的入侵感染而受到恶意攻击者的远程控制，给网站造成严重的利益损害。
　　1.3 服务被攻击
　　目前，广播电台对Web依赖性日益加强，办公、文稿、媒资系统都借助网络进行运行，一旦受到拒绝服务攻击将造成服务瘫痪、终止，会严重影响台里的正常业务工作。
　　由此可见，复杂多样的Web安全问题，使得广播电台网站潜在着巨大的安全隐患和风险，也是信息化安全建设过程中亟需解决的重要问题之一。
　　2 WEB系统的网络安全应对方案
　　随着针对WEB系统的网络攻击的愈发频繁，只针对网络层面和终端层面防护手段的安全防护效果愈发不理想，总是处于一种非常被动的状态，针对终端层面的防病毒解决方案并不能解决目前WEB系统不断变化升级的安全威胁。因此我台根据安全事件的事前、事中、事后三个时间周期，通过预防威胁、处理威胁以及分析威胁和网页防篡改和优化安全策略三个方面将网络安全体系进行不断的良性循环。现将方案做如下详细介绍。
　　2.1 事前――网络区域的划分，网站漏洞扫描
　　2.1.1 网络区域的划分
　　为了更好地进行安全防护，我台将内部网络规划为多个网络区域，不同业务系统根据业务需要部署在不同的网络区域内，在不同区域上通不同防护技术手段进行多层次的安全防护。通过部署防火墙，将网络分为三个区域，互联网外网、对外服务区、内部数据中心，
　　互联网外网通过出口路由器进行网络互联，完成内外网的互联互通。 WEB服务器区部署在外网防火墙的DMZ区域，内部数据中心部署在内网防火墙的内部区域。
　　互联网和对外发布网络之间部署外部防火墙，在防火墙上部署NAT地址转换协议，完成对外发布服务器集群的NAT映射和互联网访问的NAT转换。同时，防火墙的部署让内部地址相对外部做到了有效的保护和隔离，使内部网络的IP不会轻易被外部网络进行探测和攻击。同时在网络攻击的检测和防护功能方面，防火墙进行了显著地加强，通过部署相应的安全防护策略有效地保护内部网络，确保内部网络及相关系统的正常运行。
　　在对外服务器区和内部数据中心之间部署内部防火墙，防火墙采用透明桥接方式，部署严格的安全策略控制。通过网络区域的划分，将内部数据库隐藏在数据中心的安全区域，对其访问权限进行严格限定，最大限度地保护系统数据库的安全。
　　2.1.2 漏洞扫描
　　通过运用漏洞扫描系统对WEB系统的应用漏洞的扫描，将SQL注入、跨站脚本及决绝服务等WEB常见漏洞进行重点扫描。并且根据业务情况调整漏洞扫描的时间周期。通过扫描结束后自动生成全网站漏洞分析报告，直观地了解到网站存在的安全漏洞情况，并根据漏洞安全报告针对WEB系统的进行相关系统的修补工作。
　　2.2 事中――WAF的部署
　　网络边界防火墙虽然是网络安全策略中不可缺少的重要模块，但受限于自身的产品架构和功能，无法对千变万化的Web应用攻击提供周密而完善的解决方案。因此，在We b 服务区边界，部署了一台WEB应用防火墙（WAF），WAF通过检测引擎进行协议分析、模式识别、URL过滤技术、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击，从而实现防SQL注入、防跨站攻击等安全防护。
　　为了使WEB防护更具有针对性，同时又不影响DMZ区域内WEB以外其他业务数据的正常运行，我们采用旁路方式进行WAF的部署工作。通过路由调度，将目标网站IP的流量牵引至WAF设备，WAF设备通过多层的攻击流量识别与净化功能，将Web攻击流量从混合流量中过滤，最后将经过WAF过滤之后的合法流量被重新回注给WEB系统。针对返回流量，WEB系统响应的HTTP流量在返回给客户端之前，流经WAF设备，经WAF进行安全检测后的流量最终返回给客户端。
　　2.3 事后――网页防篡改系统和安全管理平台的
　　部署
　　为了更好得针对WEB系统进行全方位的防护，针对WEB业务系统有针对性地部署了网页防篡改系统。系统支持对动态、静态网页的实时检测与防护，通过内置自学习功能获取web站点的页面信息，对整个站点进行爬行，一旦发现页面被篡改，通过重定向的方式实现事后的主动恢复并进行告警，记录防篡改日志。针对WEB全局环境进行监控与分析，实现集中、统一管理，针对WEB系统进行挂马监控、安全漏洞监控、安全状态监控。
　　通过上述方案的部署，在网络安全的三个时间阶段通过多层次、全方位整体性的解决方案网站防护方案，方案针对安全事件发生的整个周期实施周密的策略部署，进而全面加强了对WEB系统的安全防护。
　　3 后续完善思路
　　随着业务的不断发展，WEB系统的安全性和业务性能随着业务的不断更新需要进行相应的扩容，同时单防护节点的可靠性需要进一步完善。因此后续需要新增一台WAF，实现负载均衡双冗余部署方式。
　　通过WAF的HA主-主模式（AA模式）解决非对称链路情况下业务流量的畅通问题。
　　同时，WAF在本身提供轻量级的DDoS防护功能的基础上，新部署专业抗拒绝服务攻击的ADS，构成流量清洗中心，和WAF进行联动，达到分层清洗的目的。在业务正常运行时，WAF的TCP Flood防护功能对一定阈值的拒绝服务攻击进行防护。一旦攻击流量超过了WAF本身的防护阈值时，WAF向上游的ADS清洗中心发出通告，请求上游的ADS牵引并清洗到达WAF防护站点的攻击流量。ADS牵引并清洗成功后，WAF退出本身的TCP Flood防护。当WAF发现到达上游ADS的攻击流量小于通告值时，申请取消上游ADS对流量的牵引和清洗，同时将自身的TCP Flood防护开启。通过WAF和ADS的配合作业，WEB系统抵御网络攻击的能力将会进一步提升。
　　4 结论
　　通过针对WEB系统多层次、全方位整体性解决方案的部署，我台WEB系统的安全防护能力得到了明显地加强，网站被挂马、网页内容被篡改、数据被窃取等攻击事件明显减少。但WEB系统的安全防护工作是一个长期持续的艰巨任务，随着我台WEB系统安全防护实践的逐步深入，我们也会继续探索更加有效的安全解决方案。q
转载注明来源:https://www.xzbu.com/8/view-11557370.htm