运营商门户网站安全解决方案

运营商门户网站安全解决方案中联绿盟信息技术（北京）有限公司田民1.概述近年来，运营商门户网站所面临的Web安全形势越来越严峻，安全威胁突出地表现出来，极大地困扰着各省公司门户网站的管理者，给我国运营商的信息网络和核心业务造成了严重的破坏。从企业自身层面来看，2009年各大运营商都在主推移动互联网业务，其中很多活动是通过网站发布的，如通过网上营业厅发放3G号码。事实上，在运营商3G号码的发放过程中，就发生过网站被黑客DDoS攻击的安全事件。其他诸如网上营业厅遭到暴力破解的事件更是屡见不鲜。由于运营商的门户每天都有大量的用户访问，一旦网页内容被恶意篡改，就有可能造成非常严重的政治影响。因此，保证运营商门户网站的安全正常工作和运行，首先是关系到企业形象和服务质量的问题，在某种情况下，也是一个至关重要的政治问题。2.运营商门户网站现状（1）门户网站分类运营商的门户网站系统可以分为运营商门户网站、网上营业厅网站、数据/增值业务系统门户网站、运维支撑系统门户网站、企业信息门户（EIP）5大类。上述5类门户网站中，运营商门户、网上营业厅和数据/增值业务门户网站面向广大用户提供基于公众互联网的业务服务，相比之下，运维支撑系统门户网站和企业信息门户主要面对企业内部的员工或合作伙伴。前3类门户网站以提供公众服务为主要目的，后两类门户以面向内部员工接入为主要目的。在本方案中，主要关注面向公众服务的前3类门户网站，提出相应的安全建设思路。（2）门户网站主要威胁从门户网站所面临的安全威胁来看，严格地讲，从物理层到网络层，再到系统层和应用层，每个层面都存在着内在脆弱性和外在的威胁。根据国外相关研究部门统计，网络与信息安全解决方案2009中国通信业成功解决方案评选获奖方案表1主要的Web应用攻击威胁描述风险级别网页篡改网页篡改的攻击手段是多种多样的，黑客普遍采用SQL注入、跨站脚本或网页挂马的方式入侵网站，并对网站的网页进行篡改高信息窃取对于黑客而言，信息窃取和网页篡改的很多攻击手段是相似的。采取的手段比如SQL注入、网页挂马等高非法入侵黑客往往利用网站系统的种种漏洞进行非法入侵。其中，暴力破解、目录遍历以及缓冲区溢出是主要的手段高DDoS攻击DDoS攻击具有易于发动、难于防范、破坏力强、危害面广、追查困难等特点，是威胁运营商网站可用性的首要行为高从表1我们可以看到，网页篡改、信息窃取、非法入侵和拒绝服务是门户网站面临的最主要最严重的安全威胁，也是保障网站安全正常运行最重要的防范对象。3.威胁分析（1）网站角色及其安全需求分析对于一个门户网站来说，与其相关的角色主要有4类，分别是监管部门、网站服务提供者、基础网络提供者和网站访问者。不同的用户对门户网站的安全需求和目标是不同的。监管部门要求网站服务提供者提供的网站是可用的，内容是真实的、完整的以及合法的，同时要求网站访问者提交的信息也是真实和合法的。在此基础上，监管部门会对网站服务提供者和网站访问者进行监控和检查，追查网站发布和访问中出现的违反国家法律法规的行为，网站服务提供者要求其运营的网站系统随时提供给网站访问者正常、完整以及安全的网站服务，发现网对于一个网站而言，近60%的漏洞是应用层面的漏洞，同时，这一比例每年持上升的趋势。因此，对于门户网站而言，Web应用的安全威胁逐渐成为防护的重心所在。表1列举了常见的Web应用攻击和相应的风险级别。站入侵/非法行为并进行有效防护/阻止，确保网站安全高效地运行；基础网络提供者要求其基础网络满足网站服务者与网站访问者正常通信的需求，快速地完成数据路由和交换；最后，网站访问者要求存储在网站服务提供者网站系统中的数据保密性得到保证。（2）攻击价值的衡量站在安全角度上，门户网站对于不同的角色有着不同的价值体现，或者说，体现了不同的安全价值。对于一个网站的攻击者或者入侵者而言，作为特殊的门户网站访问者，存在着不同于其他角色的安全价值。网站入侵者的目的就是对网站系统以及其他角色安全价值的破坏，破坏的力度通过攻击价值来衡量，而攻击价值则通过攻击路径加权体现。攻击路径越多，系统面临的威胁越高，对于入侵者而言，攻击的价值也就越大。不管攻击者的目标是运营商网站的本身，还是间接的其他正常访问者，其最终的目的是攻击价值最大化，即最大程度上破坏其他角色的安全价值。（3）运营商价值的破坏在几类角色中，运营商（包括网站服务提供者和基础网络提供者）是最直接的受害者。攻击者对于运营商价值的破坏可以体现在名誉受损、公信力下降、个人信息窃取、可用性破坏、控制权丧失等5个方面。总的来说，黑客对于运营商网站的入侵和恶意攻击可能导致网站服务质量的下降，用户个人信息的丢失，甚至成为非法信息的载体，由此带来的后果包括用户资源流失、公众形象和公信力受损等。4.门户网站Web安全建设方案对于定制化开发的门户网站系统来说，系统开发结束上线运营后，很少甚至没有相应的补丁程序，黑客往往利用定制化开发程序的漏洞进行渗透和入侵，而这些漏洞往往在该系统开发甚至规划阶段就存在。因此对于定制化开发的门户网站系统，不能依靠传统的防护思路和防护手段，需要将安全防护的思路贯穿于门户网站Web应用系统的规划、开发、测试和运行维护的各个阶段进行分阶段、有重点地防护。4.1Web应用生命周期门户网站的Web应用生命周期包含4个阶段，分别是：规划阶段，主要工作是网站需求调研和网站体系设计；开发阶段，主要工作是编程人员代码编写；测试阶段，主要进行网站应用/业务的测试，包括功能测试、性能测试、安全测试等；运行阶段，主要工作网络与信息安全解决方案2009中国通信业成功解决方案评选获奖方案是保障系统正常运营以及相应的维护。处于规划阶段、开发阶段和测试阶段的门户网站系统又叫上线前系统，处于运行阶段的门户网站系统又叫已上线系统。一般来说，上线前系统的安全测试主要由系统的开发厂商进行，而上线后的系统运营交付给运营商进行。运营后的网站维护通常由开发厂商维护一段时间后，交由省公司的运维人员进行维护。4.2现有网站防护手段的不足我们知道，安全因素的考虑应该贯穿在门户网站的Web应用全部生命周期中进行。在现实生产过程中，在规划阶段，往往由于开发时间短，工期要求紧等多方面因素导致安全规划和安全培训工作被弱化，使得最初阶段的安全设计和人员安全意识的培养流于形式。在开发阶段，代码审计（又称白盒测试）往往由系统开发厂商来进行，一来安全的专业性打了折扣；二来代码审计本身无法发现系统与系统间、模块与模块间的问题，而这些问题只有在网站运行和使用后才可以发现；之后的测试阶段，黑盒测试和渗透测试同样存在问题，系统开发厂商和专业的安全厂商的安全技能尚存在一定的差距；在最后的运行阶段，单纯地采取防火墙进行边界访问控制也是不够的。常规防火墙对于防范三层和四层的攻击可以起到较好的阻断作用，但是对于应用层面的攻击就显得无能为力了。最后，一旦网站被入侵，网页被篡改，如何恢复被篡改的网站以及定位被篡改的文件自然而然地成为困扰运维人员的难题。由此可见，诸如代码和程序漏洞的发现，对用户提交数据和服务器返回数据的有效检查以及阻断黑客入侵和篡改后恢复等问题都成为了网站运行阶段的重大挑战。然而，现有门户网站的防护策略很难主动而准确地发现门户网站存在的脆弱性问题，缺乏有效的实时防护手段，同时缺少快速恢复机制。4.3贯穿Web应用生命周期的安全防护方案4.3.1整体防护思路对于一个定制化开发的门户网站来说，从其规划和开发阶段就要引入相应的安全建设。测试阶段的安全测试作为上线前最后的检查是至关重要的，可以最大限度地发现系统的脆弱性所在。运行阶段所应该关注的主要是与黑客实时的攻防博弈以及事后的及时恢复、取证和追溯等。绿盟公司的门户网站安全建设方案是建立在贯穿Web应用生命周期整体防护思路基础之上的。作为专业的安全厂商，在不同的阶段绿盟所采取的安全防护手段见表2。在门户网站的规划阶段，绿盟公司的安全咨询人员可以提供安全规划建议和相应的培训工作；在开发阶段，绿盟公司的安全服务人员，可以对网站的代码提供代码核查；在测试阶段，绿盟公司安全服务人员可以采用Web漏洞扫描系统自动化扫描配合人工安全评估以及渗透测试的方式对上线前的网站做完整的安全检查。当然，对于绝大多数已投入运营的门户网站而言，由于不太可能投入大量的人力去重新开发或做大规模的代码级整改，因此如何在运行阶段进行有效的安全防护成为运营商普遍关注的焦点。在运行阶段，绿盟公司建议在事前、事中和事后进行分阶段、多层面的完整防护。具体的防护手段需要产品结合服务共同完成。部署安全产品的目的是构建门户网站的防御体系，快速发现和定位门户网站脆弱性的所在，完成自动化攻击的防护以及快速的系统恢复。在产品的基础上，人的因素也是不可忽视的。诸多安全事件证明，即便部署了多种安全产品，规划设置了分层纵深的防护策略，网站也存在被攻破的可能。网站的攻击者是人，而制约黑客入侵的利器之一也是人。换句话说，安全服务是门户网站安全建设过程中必不可少的环节之一，作为安全产品的重要补充，为网站的安全运行提供有效的支撑。4.3.2运行阶段的安全防护(1）事前发现事前发现就是主动扫描并发现网站的脆弱性，以实现防患于未然的目的。从产品层面上讲，主要依靠Web应用扫描系统来完成。绿盟公司极光远程安全评估系统的WAS（WebApplicationScanner）模块扫描结果准确，误报和漏报率低，全面检查表2Web生命周期安全防护手段WebWeb网络与信息安全解决方案2009中国通信业成功解决方案评选获奖方案0图1WAF产品的双向流量清洗从服务角度上讲，可以通过安全值守服务保障在重大事件（如建国60年大庆）过程中网站随时处于安全人员的监控之下。绿盟科技具有丰富的安全值守经验，包括奥运期网站各级页面中是否被植入恶意代码（如SQL注入、跨站脚本、网页挂马等），确保网站应用的完整性，有效避免网站成为恶意软件的分发、传播渠道。从服务角度上讲，可以通过门户网站安全评估和加固，使系统有效地抵御外来的入侵和袭击，长期保持高度可信的状态。其中，渗透测试是安全评估阶段必不可少的服务手段之一。通过渗透测试，可以发现门户网站系统中存在的系统漏洞、代码漏洞和程序逻辑问题（如绕过认证）等。(2）事中防护事中防护是门户网站提供实际运营服务中，网站入侵者与网站维护者攻防两者之间博弈的关键环节。事中防护的根本目的是从攻击路径角度上阻断黑客攻击。从产品角度上讲，Web应用防火墙是事中有效防护和控制的关键设备。Web应用防火墙需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。绿盟公司的WAF（WebApplicationFirewall）产品可以实现用户→服务器以及服务器→用户双向数据的清洗。对于用户提交服务器的数据，WAF可以实时发现用户提交数据中的恶意脚本和问题代码/命令。对于服务器返回用户的数据，WAF可以进行必要的内容过滤。图1体现了WAF产品的双向流量清洗。Web间的安全值守，两会值守以及温总理和网民对话期间安全职守等工作，保证了重大事件期间网站的安全稳定运行。(3）事后处理事后处理是门户网站安全防护最后的防线。没有绝对的安全，一旦网站被篡改，如何及时阻断恶意网页反馈给访问者以及如何恢复被篡改的网页内容就成为事后防护最主要的目标。同时，对攻击事件的取证和追查也是事后处理阶段的重要工作。换句话说，事后处理最主要的目的是尽量减少攻击事件带来的损失以及分析攻击产生的原因。从产品角度上讲，绿盟公司的WAF产品可以至少保证用户看到的网页是安全的。这部分功能我们称之为“视觉恢复”。而恢复Web服务器上被篡改的文件系统可以通过安装绿盟公司的HWAF产品来实现。HWAF产品安装在Web服务器上，实时对Web文件系统进行监控和恢复。视觉恢复结合文件系统的恢复形成了网页防篡改的双保险。除了恢复被篡改的网页之外，事后追溯也是至关重要的处理环节。其中，对于运维操作的审计是安全内控重要的组成部分。绿盟公司的运维审计产品SAS（SecurityAuditSystem）提供全面的网络行为