Web數(shù)據(jù)安全一體化

1、青蓮WetM據(jù)安全一體化 解決方案CyariMup 北京青蓮時代科技有限公司BEI J I NG CYAN LOTUS TI MES TECHONOLOGI ES CO,. LTD適用范圍We跋據(jù)安全一體化參考文本文檔為北京青蓮時代科技有限公司合作伙伴了解、使用青蓮 檔；僅供適青蓮合作伙伴、最終用戶在進行技術學習、產(chǎn)品選型時參考。版權聲明本文檔版權歸北京青蓮時代科技有限公司（以下簡稱“青蓮科技”或“ Cyanlotus）所有,并對本文檔的內(nèi)容保留一切權利。未經(jīng)本公司書面許可，文檔中的任何部分不得以任何形式或 手段復制、拷貝、傳播給其它第三方?！癈yanlotus ?”是青蓮科技注冊商標，不得侵

2、犯。所有其它商標及注冊商標均屬有關公司 所有。免責聲明本文檔為青蓮科技提供給代理商、合作伙伴的學習參考性文檔，只作為參考說明，不作為 合同要約。如因文檔使用不當造成的直接或間接損失，本公司不承擔任何責任。本文檔為內(nèi)部 文檔，無意侵犯其他公司的任何權利，如有不妥之處，歡迎指正。信息反饋對本文檔有何疑問或建議，請反饋到文檔更新青蓮科技將不定期對本文檔內(nèi)容進行修訂，可以與青蓮科技聯(lián)系及時獲取最新版本。文檔由北京青蓮時代科技有限公司于2011年3月1日最后修訂。第一章：背景 錯誤！未定義書簽第二章：安全現(xiàn)狀 錯誤！未定義書簽前臺安全 錯誤！未定義書簽后臺安全 錯誤！未定義書簽第三章：青蓮 WE瞰據(jù)安全

3、一體化 錯誤！未定義書簽拓撲圖 錯誤！未定義書簽前臺安全保障一一青蓮 WEB應用防火墻 錯誤！未定義書簽事前預防 錯誤！未定義書簽事中防護 錯誤！未定義書簽事后補救 錯誤！未定義書簽后臺安全保障一一青蓮內(nèi)控堡壘主機 錯誤！未定義書簽帳戶管理 錯誤！未定義書簽認證 錯誤！未定義書簽授權 錯誤！未定義書簽審計 錯誤！未定義書簽第四章：綜述 錯誤！未定義書簽第一章：背景據(jù)中國互聯(lián)網(wǎng)應急中心最新統(tǒng)計顯示，2008年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，僅2009年3月我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達到2225個。隨著企業(yè)和政府越來越多的業(yè)務系統(tǒng)采用基于 WE圖艮務方式，互聯(lián)網(wǎng)在為用戶提供方便快

4、捷的同時，針對WEBlk務的攻擊亦在迅猛增長。一方面，基于新技術的突破和應用，WEBa術提供的快捷性、交互性和通用性被越來越多的業(yè)務系統(tǒng)所采用；而另一方面，病毒、木馬蠕蟲、釣魚軟件等卻又通過WE圖艮務的方式大肆在互聯(lián)網(wǎng)上傳播，嚴重威脅到了WEB!務的業(yè)務系統(tǒng)。又于用戶而言，WEE敞開了便捷的大門，也讓諸如網(wǎng)頁篡改、密碼盜竊、數(shù)據(jù)泄漏等安全隱患無處不在。更為嚴重的是網(wǎng)站作為政府、企業(yè)等部門對外的窗口和實施電子政務、電子商務的重要平臺，其安全問題直接關系政府和企業(yè)形象，在很大程度上決定了電子政務和電子商務的效率。尤其是，政府網(wǎng)站作為一級政府發(fā)布重要新聞、重大方針政策以及法律、法規(guī)等的重要渠道， 一

5、旦被黑客篡改，將嚴重損害政府的形象，影響社會穩(wěn)定。甚至有的篡改將直接導致事件升級 成政治事件，嚴重危及國家安全和人民利益，其安全性問題不容忽視。第二章：安全現(xiàn)狀對于我們?nèi)粘５脑L問網(wǎng)站、網(wǎng)頁這類五彩繽紛的網(wǎng)絡世界，實際是后臺數(shù)據(jù)庫以網(wǎng)頁的對客戶進行呈現(xiàn)的，青蓮對于這些Web數(shù)據(jù)區(qū)分成了前臺安全和后臺安全，前臺安全是客戶以網(wǎng)頁形式訪問 Web數(shù)據(jù)庫，后臺安全是公司內(nèi)部維護人員和Web的研發(fā)人員，現(xiàn)在我們就來分析一下Web數(shù)據(jù)都有哪些安全隱患前臺安全客戶日常瀏覽網(wǎng)頁、網(wǎng)站都是以Web頁面進行訪問數(shù)據(jù)的，這類數(shù)據(jù)屬于前臺安全，在前臺安全我們會遇見哪類安全隱患：1、利用病毒、蠕蟲、木馬和間諜軟件等惡意代

6、碼，破壞WE薛統(tǒng)2、利用系統(tǒng)漏洞，使用緩沖區(qū)溢出方式獲得管理員權限，從而任意修改WEBO站內(nèi)容，竊取信息3、XSS攻擊，即跨站腳本攻擊。惡意攻擊者往WEEm面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中 WEB1面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的4、利用DOS DDO等方式，造成服務癱瘓5、利用網(wǎng)站應用程序漏洞，采用 SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫管理員權 限，從而任意修改數(shù)據(jù)庫，達到網(wǎng)頁篡改或破壞網(wǎng)頁的目的后臺安全1、黑客在攻擊進入 Web數(shù)據(jù)庫可能會發(fā)現(xiàn)維護人員使用的遠程維護端口，黑客可以從后臺進入Web數(shù)據(jù)庫進行數(shù)據(jù)修改2、第三方廠商、運維人員、研

7、發(fā)人員在進行Web據(jù)維護和更新時，有可能會出現(xiàn)誤操作導致設備的宕機或導致網(wǎng)絡數(shù)據(jù)丟失，造成不必要的損失3、不管是企業(yè)內(nèi)部維護人員、還是第三方廠商維護人員在進行維護設備時，企業(yè)并不清楚他們具體在 Web數(shù)據(jù)上做了哪些操作，往往很多內(nèi)部數(shù)據(jù)都是從維護人員手中泄露出去的，但 是傳統(tǒng)的日志無法進行記錄4、企業(yè)內(nèi)部不單單只有 Web數(shù)據(jù)需要維護，服務器、網(wǎng)絡設備、中件間都需要維護，維護人員需要在這些設備之間進行頻繁的登錄，這種現(xiàn)象促使維護人員工作效率低第三章：青蓮Web數(shù)據(jù)安全一體化拓撲圖公司運維區(qū)公司內(nèi)部辦公區(qū)Web 數(shù)據(jù)服務器基本都在放在DM水域內(nèi)，在 DM水域的網(wǎng)絡出口放置兩臺 Web應用防火墻，

8、Web應用防火墻支持 Web負載均衡和雙機熱備， 所有的訪問 Web據(jù)的必須都要通過 Web 應用防火墻進行檢測和數(shù)據(jù)過濾，只要正常安全的訪問才可以放行。很多第三方運維人員通常維護的時候，都是通過網(wǎng)絡遠程進入 Web數(shù)據(jù)后臺，青蓮內(nèi)控堡壘主機放置在核心交換的旁邊，在公司內(nèi)部的運維的，還是第三方遠程運維，或是分支機構的人員都必須先進入堡壘主機，通過內(nèi)控堡壘主機的身份認證后再去進入Web據(jù)，青蓮內(nèi)控堡壘主機把所有人的行為進行記錄，并可以進行場景還原。前臺安全保障一一青蓮We附用防火墻青蓮Web應用防火墻在前臺安全方面，劃分成三個事段：事前預防、事中防護、事后補救。事前預防在事前，青蓮 Web應用防

9、火墻給客戶提供了 We跋據(jù)掃描模塊，針對研發(fā)人員對 WEBe全 意識差的特點進行特殊掃描。We談?chuàng)呙枘K主要是針對 OWAS叫放式 Web應用程序安全項目） 的前TOP10類主流攻 擊方式進行掃描，其中包括漏洞檢查、木馬檢測、WE聯(lián)全檢測和敏感信息檢查，在被攻擊前就對客戶的 Web數(shù)據(jù)進行整體評估，從根本上先了解自己的弱點，知己知彼，方能百戰(zhàn)百勝。事中防護在事中，青蓮 Web應用防火墻為客戶提供了防護能力，其中包括防DDO斂擊、WEBe全防護。WEBB全防護是青蓮Web應用防火墻在事中的主體功能，青蓮 Web應用防火墻內(nèi)置了特征 庫，其中包括了 SQL注入、防爬蟲等特征庫和 Web規(guī)性檢查，

10、當 We跋據(jù)被攻擊時，如果攻 擊方式和特征庫匹配，青蓮 Web應用防火墻會對 We跋據(jù)進行保護，保證數(shù)據(jù)不會被攻擊到。DDO敢擊屬于傳統(tǒng)攻擊方式，對于常見的7種DDO破擊方式，青蓮 Web應用防火墻可以有效防止大流量攻擊，并且青蓮Web應用防火墻使用了 VRR網(wǎng)載均衡技術，當大流量攻擊時，可以把流量進行分擔，不會造成單點故障。事后補救在事后，黑客一旦攻擊進入網(wǎng)站后，對網(wǎng)站的數(shù)據(jù)被客戶篡改后，青蓮Web應用防火墻的防篡改功能就會啟動，把黑客篡改的數(shù)據(jù)進行還原，保證了數(shù)據(jù)無法被篡改，青蓮Web應用防火墻使用的是第四代防篡改技術（文件過濾驅動+事件觸發(fā)），對 We跋據(jù)進行實時自動檢測，整個恢復過程毫

11、秒級，使得公眾無法看到被篡改的內(nèi)容。后臺安全保障一一青蓮內(nèi)控堡壘主機青蓮內(nèi)控堡壘主機在后臺安全方面，提出4A理論，帳戶管理、認證、授權、審計集中管理帳號管理認證管理授權管理操作審計唯一身份你是誰你能干什么你干了什么帳戶管理青蓮內(nèi)控堡壘主機把服務器、網(wǎng)絡設備、數(shù)據(jù)庫等設備的帳號儲存在堡壘主機里面，這些 原始帳戶我們叫做從帳號，青蓮內(nèi)控堡壘主機分配給客戶的帳號叫做主帳號，當架設了青蓮內(nèi) 控堡壘主機后，用戶只有青蓮內(nèi)控堡壘主機的帳號，從帳戶客戶就不知道了，直接點擊青蓮內(nèi) 控堡壘主機的服務器等網(wǎng)絡圖標就可以進入設備進行維護，在登錄下一臺還是同樣的操作就可 以。避免了維護人員的反復登錄造成的工作效率低下

12、等問題。認證青蓮內(nèi)控堡壘主機內(nèi)嵌了 RADUIS認證系統(tǒng)，每個用戶登錄青蓮內(nèi)控堡壘主機都要使用第三方認證，不管是第三方運維人員還是內(nèi)部維護人員都要做身份認證。確保身份以后青蓮內(nèi)控堡壘主機才可放行，青蓮內(nèi)控堡壘主機就是網(wǎng)絡中一道門禁系統(tǒng)，對于從網(wǎng)絡進入的任何人員都 要進行指紋等第三方認證識別?？蛻裘看芜B接設備都有加密安全保證，當黑客對數(shù)據(jù)進行攔截后，模仿內(nèi)控堡壘主機去訪 問服務器，服務器是拒絕接受請求的。 對于整個連接過程進行全球唯一性的加密方式進行加密。 保證了數(shù)據(jù)的保密性、完整性。授權傳統(tǒng)的授權就是給客戶一個用戶名和密碼，這個用戶名和密碼是否可以登錄這臺網(wǎng)絡設備。傳統(tǒng)授權只能授權客戶是否有進

13、入這臺設備的權利，青蓮內(nèi)控堡壘主機可以把授權細?；?，青 蓮內(nèi)控堡壘主機使用正則匹配技術，雖然客戶使用的是同一權限帳戶進入設備，但是他們對于 命令是有具體限制的。青蓮內(nèi)控堡壘主機不單單對操作命令進行細顆化，對登錄時間、登錄IP地址、密碼都有具體詳細的安全策略制度。把傳統(tǒng)的單一細粒化到最小。審計所有設備的日志審計都是只記錄登錄和退出的時間記錄，但是對于人員的操作記錄，傳統(tǒng) 的日志審計是無法記錄的，青蓮內(nèi)控堡壘主機使用屏幕捕捉和鍵盤捕捉兩種技術對操作進行記 錄，當客戶進行事故追查時，我們還原當時場景，并提供所有操作命令的具體細節(jié)。方便客戶 第一時間排除故障，青蓮內(nèi)控堡壘主機也有傳統(tǒng)日志審計和命令詳細統(tǒng)計報表。方便客戶根據(jù) 時間、地點、