产品背景
概述
随着web应用的普及,门户网站成为每个政务部门宣传党的路线方针政策、公开政务信息的重要窗口,成为各级党政机关履行社会管理和公共服务职能,为民办事和了解掌握社情民意的重要平台,同时更多的对外业务也越来越多地转到Web平台上。Web应用的日益广泛及其中蕴藏价值的不断提升,引发了黑客的攻击热潮,如页面篡改、网站挂马、注入类攻击、DDoS攻击等,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏。
根据国家互联网应急中心(CNCERT/CC)统计,国内Web安全问题持续攀升:2017年较2016年收录安全漏洞数量增长了47.4%,达15955 个;我国境内政府网站被篡改数量为618个,较2016年的467个,增长32.3%;境内29236个网站被植入后门,其中政府网站有1339个;仿冒我国境内网站的钓鱼页面49493个,涉及境内外25048个IP地址。
产品必要性
合规性要求
1. 关于印发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知(公信安**[2015]2562**号)
为提高党政机关、事业单位和国有企业互联网网站安全防护水平,防范和打击境内外不法分子攻击篡改、破坏网站安全的违法犯罪活动, 2015年9月,公安部、网信办、中编办和工信部联合下发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(以下简称《行动方案》),要求在网站安全技术上,应符合等级保护定级、备案、测评和整改要求,加强网站安全监测,建设防攻击、防篡改、防挂马等技术措施,组织开展应急演练等。在网站安全监管上,网站开办单位要加强自身安全监测、制定应急预案、健全保障措施、定期进行演练、及时处置事件和事故等。
2. 《关于传发**<2017****公安机关网络安全执法检查工作方案****>**的通知》
为贯彻落实《中华人民共和国网络安全法》要求,全面排查关键信息基础设施和重点网站网络安全风险,严格落实网络安全责任,深入贯彻实施国家信息安全等级保护制度,坚决遏制网络入侵攻击、控制破坏、篡改窃密等行为,提高全社会网络安全意识和重点单位、部门对网络安全保障工作的重视程度,全面提高网络安全保障能力和防护水平。
3. “等级保护”要求
国家部委以及省市重要政府机关门户网站的安全级别基本定为3级,属于国家重要信息系统,是国家等级保护测评和检查重点。面对Web应用层面这类给Internet可用性带来极大损害的攻击,必须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测。
4. 《政府网站与政务新媒体检查指标、监管工作年度考核指标的通知》
为进一步推动全国政府网站和政府系统政务新媒体健康有序发展,2019年4月国务院办公厅制定了《政府网站与政务新媒体检查指标》和《政府网站与政务新媒体监管工作年度考核指标》,其中“对安全攻击(如页面被挂马、内容被篡改等)没有及时有效处置造成严重安全事故”指标被定为单票否决项,如若出现即判定为不合格网站,不再对其他指标进行评分
严重的安全威胁
由于Web应用程序的开发人员普遍缺少专业的应用系统开发的安全培训或缺乏安全意识,致使Web应用系统开发过程中遗留大量的Web安全缺陷,为攻击者留下可趁之机。此外,Web应用支撑系统(如中间件系统、主机操作系统)不断暴露新的安全漏洞,也为Web应用的安全不断带来新的挑战。
Web安全问题由来已久,一直作为攻击者首选的攻击目标。随着信息技术的不断发展,大量的Web攻击工具公开在互联网各大平台,Web攻击的技术门槛不断降低,Web应用程序漏洞发掘和攻击速度越来越块,致使web攻击行为不断的平民化、自动化、组织化。据统计,Web安全事件中以Web应用作为攻击入口的事件约占70%。OWASP (Open Web Application Security Project)机构发布的最新《OWASP Top 10 Application Security Risks》显示,SQL注入和XSS攻击(跨站脚本攻击)仍旧排名前两位,是目前存在最为普遍、利用最为广泛、造成危害最为严重的两类Web威胁。
攻击者应用系统漏洞通过SQL注入攻击、XSS攻击等攻击方式获取网站或主机权限后,进而对网站发起网页篡改、挂马、恶意篡改数据等破坏行为。攻击者通过网页挂马,利用被攻击的网站作为攻击跳板,致使更多Web应用受害或篡改网站页面,对单位造成的声誉甚至造成政治影响;还也可以通过修改网站系统敏感数据,直接达到获取利益的目的。
产品简介
云WAF服务为web应用专业防护,对来自Web应用程序客户端的各类请求进行内容检测和验证,有效应对SQL注入、跨站脚本及其变形攻击、实时检测网页篡改、提供挂马主动诊断,提供细粒度应用层DDoS攻击防护功能,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护,降低攻击的影响,确保业务系统的连续性和可用性。
产品规格
产品规格情况如下:
| 名称 | 规格 | 单位 | 描述 |
|---|---|---|---|
| 云WAF | 基础版 | 套 | HTTP协议流量:100Mbps;以虚拟化镜像形式本地部署的Web防护系统,可以对租户的网站进行SQL注入、跨站脚本等OWASP TOP10攻击进行防护,保障业务安全 |
| 云WAF | 标准版 | 套 | HTTP协议流量:200Mbps;以虚拟化镜像形式本地部署的Web防护系统,可以对租户的网站进行SQL注入、跨站脚本等OWASP TOP10攻击进行防护,保障业务安全 |
| 云WAF | 高级版 | 套 | HTTP协议流量:500Mbps;以虚拟化镜像形式本地部署的Web防护系统,可以对租户的网站进行SQL注入、跨站脚本等OWASP TOP10攻击进行防护,保障业务安全 |
| 云WAF | 增强版 | 套 | HTTP协议流量:1Gbps;以虚拟化镜像形式本地部署的Web防护系统,可以对租户的网站进行SQL注入、跨站脚本等OWASP TOP10攻击进行防护,保障业务安全 |
功能详解
Web攻击防护
云WAF作为Web应用系统专业防护设备,内置算法防护引擎和事件防护引擎双重检测防护机制,在不影响正常业务访问的基础上阻断web攻击行为。
事件防护:云WAF内置基于HTTP、HTTPS协议的攻击事件库,有效阻断针对各种中间件等支撑系统的漏洞利用和攻击行为,进而提供上层Web应用安全支撑。
算法防护:深度解析和还原Web应用系统访问流量,根据内置检测算法采用攻击手法分析而非攻击代码特征分析的方法,精确发现针对Web系统编码缺陷或应用系统逻辑问题的攻击行为。
系统能精确防护的Web攻击行为有:基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击;CGI扫描、漏洞扫描等扫描攻击;SQL注入攻击、XSS攻击、CSRF攻击、命令执行、恶意文件上传等Web攻击等。
应用层DDOS防护
云WAF具有SYN Flood攻击、HTTP Flood(CC)攻击、XMLDOS攻击等应用层资源耗尽型拒绝服务攻击防护的能力。产品采用流量智能识别检测技术,对访问源客户端进行信息交互校验鉴定其访问身份的合法性,并采用严格的数据流合规性检查机制,有效阻断应用层DDOS攻击行为,保障web业务的可用性和连续性。
敏感信息防护
产品具有敏感信息泄露防护能力,可以灵活定义HTTP错误时返回的默认页面,避免因为Web服务异常,而导致的敏感信息(如:Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等)的泄露。
恶意代码防护
云WAF支持对网页标签链接中嵌入的链接内容进行检测,采用黑名单和异型检测两种技术实现对网页挂马行为的检测与防护。
云WAF内置主流WebShell样本库,可针对恶意WebShell上传行为进行拦截,同时基于Web文件上传控制功能,用户可定义禁止ASP或PHP页面文件上传,有效防护基于WebShell的恶意攻击。
慢速攻击防护
HTTP慢攻击通常采用较长的时间分多个数据包构成一个完整的HTTP请求,而传统入侵防护产品无法识别精心构架的HTTP慢攻击行为。云WAF产品通过构建双向的独立HTTP请求与服务,实现对每个HTTP事务级别的识别与转发,从而识别攻击者精细构建的慢速攻击行为并阻断该链接。
基于自学习的建模分析
云WAF支持请求信息自学习功能,可以在学习时间内,自动统计请求头信息的一系列数据,建立Web访问安全模型。通过建模分析技术建立安全基线,识别非正常访问行为并报警或阻断访问。
防篡改能力
云WAF的网页防篡改模块会事先将被保护Web服务器的主要页面拷贝到设备存储器内,一旦检测出被保护URL页面有被篡改的情况,遇到用户有针对该页面的访问请求时,会将事先备份的正常页面返回给用户,屏蔽被篡改的页面不被访问,维护用户的声誉,从而达到基本的防篡改效果。
协议合规检查
针对HTTP请求和响应,云WAF能够对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等以及响应内容、响应状态码等进行合规性控制。并且提供基于URL、ip区域、文件上传下载、特定业务等进行访问控制。对于检测出的不合规请求,允许进行丢弃或返回错误页面处理,并记录相应日志。
产品部署
通过虚拟机实例的方式交付云WAF产品,采用反向代理或SDN引流等引流机制,使web应用系统访问流量经过云WAF产品。
