下一代防火墙

网页篡改防护解决方案

一、应用背景


近年来,网站安全事件数量不断攀升,网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。


而网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。”


二、需求分析


网站是网络中被访问最多的一种服务,也是最容易遭受攻击的。网站直接代表着政府、企业的形象,一旦页面被篡改,将导致企业、政府形象和无形资产的巨大损失。这种攻击方式和攻击后果屡见不鲜。


根据 Gartner 的调查,信息安全攻击有75% 都是发生在 Web 应用层,2/3的 Web 站点都相当脆弱,易受攻击。而针对web的攻击往往隐藏在大量的正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。即使部署了层层的应用安全防护设备,网页还是被篡改了!这是因为安全防护并不能百分之百的确保所有攻击都被拦截,因为也不能确保网页不被篡改。聪明的黑客甚至会利用最新的“0”day漏洞获取服务器权限,篡改网页。


基于此类现象和问题,按照各行业对网站及发布业务安全性的要求,对于网站的安全防护主要需要解决的问题和具备的防篡改措施如下:


1、具备防护篡改网站各类攻击的完整安全防御体系。包括针对web应用程序的web攻击;针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等;针对网站服务器群的系统漏洞利用攻击等攻击手段。防止网页篡改需要具备从网络到系统再到应用层面的各类安全威胁的防护能力;


2、具备事后验证网页内容发布合法性的检查。一切发布于互联网或者内网用户的网页内容需要经过篡改与否的合规性检验,防止绕过防御体系潜入网站篡改网页的风险和管理员账号被窃取后正常发布的非法内容发布;


3、具备网站更新人员的强认证通道,也便于网站更新业务的正常运转。由于网站更新人员和安全设备管理人员通常不会是同一个部门,为了方便网站更新业务的正常运转,需要给网站内容维护人员一个专门的通道用于界定更新网站内容、界定网站内容是否为篡改行为。同时为了增强该通道的安全性,需要增加强认证机制,比如短信认证、2次认证等手段以保证网站更新人员的合法性。


4、具备篡改后应急处理机制。网页被篡改后,需要有良好的善后保障措施和业务承接能力。以便于网站用户访问网站的连续性。


因此网页篡改防护需要能够提供动态防护L2-L7层的攻击,被攻击了也有篡改判定机制做到事后补偿的保护手段,确保网页不被篡改;同时需要具备篡改后应急响应的机制,即使网页内容被篡改了也不会发布与众。


三、解决方案


深信服网页防篡改解决方案是网站的守护者,针对网站提供双重的防御体系。



深信服网页防篡改解决方案提供针对L2-L7层网站攻击的完整安全防御能力。其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层安全威胁的问题,弥补了IPS入侵防护系统无法防护web攻击的弱点,弥补了基于web应用的WAF无法防止底层漏洞攻击的缺陷,为用户提供完整的网站应用层安全防护方案;


此外深信服网页防篡改解决方案提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题,保护网站的完整性。

  • CSRF跨站请求伪造