應(yīng)用背景

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》，該報(bào)告顯示：去年我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行總體平穩(wěn)，但安全形勢不容樂觀，面臨的境外攻擊威脅依然嚴(yán)重。據(jù)監(jiān)測，去年我國境內(nèi)被篡改網(wǎng)站數(shù)量為16388個，據(jù)監(jiān)測，其中政府網(wǎng)站1802個，分別同比增長6.1%和21.4%。

去年3016個政府網(wǎng)站被植入后門，安卓平臺成惡意程序攻擊重災(zāi)區(qū)

網(wǎng)絡(luò)釣魚日漸猖獗，嚴(yán)重影響在線金融服務(wù)和電子商務(wù)的發(fā)展，危害公眾利益。2012年，國家互聯(lián)網(wǎng)應(yīng)急中心共監(jiān)測發(fā)現(xiàn)針對我國境內(nèi)網(wǎng)站的釣魚頁面22308個，接收到網(wǎng)絡(luò)釣魚類事件投訴9463起，約占總接收事件數(shù)量的一半。

大數(shù)據(jù)和云平臺技術(shù)發(fā)展將引入新安全風(fēng)險:

與以往通過明顯篡改網(wǎng)頁內(nèi)容以表達(dá)訴求或炫耀技術(shù)不同的是，2012年，黑客傾向于通過隱蔽的危害更大的后門程序，獲得經(jīng)濟(jì)利益和竊取網(wǎng)站內(nèi)存儲的信息。據(jù)不完全統(tǒng)計(jì)，2012年，約有50余個我國網(wǎng)站用戶信息數(shù)據(jù)庫在互聯(lián)網(wǎng)上公開流傳或通過地下黑色產(chǎn)業(yè)鏈進(jìn)行售賣，其中已證實(shí)確為真實(shí)信息的數(shù)據(jù)近5000萬條。

惡意代碼和漏洞技術(shù)不斷演進(jìn)，針對“高價值”目標(biāo)的高級可持續(xù)攻擊風(fēng)險持續(xù)加深，嚴(yán)重威脅網(wǎng)絡(luò)空間安全;信息竊取和網(wǎng)絡(luò)欺詐將繼續(xù)成為黑客攻擊的重點(diǎn);移動互聯(lián)網(wǎng)惡意程序數(shù)量將持續(xù)增加并更加復(fù)雜;大數(shù)據(jù)和云平臺技術(shù)的發(fā)展引入新的安全風(fēng)險，面臨數(shù)據(jù)安全和運(yùn)行安全雙重考驗(yàn)。

為此，我司為各云數(shù)據(jù)中心，云服務(wù)提供商（政府，門戶網(wǎng)站，公司企業(yè)等）提供更快速，更安全，更可靠的網(wǎng)頁安全解決方案。

網(wǎng)站是網(wǎng)絡(luò)中被訪問最多的一種服務(wù)，也是最容易遭受攻擊的。網(wǎng)站直接代表著政府、企業(yè)的形象，一旦頁面被篡改，將導(dǎo)致企業(yè)、政府形象和無形資產(chǎn)的巨大損失。這種攻擊方式和攻擊后果屢見不鮮。

根據(jù) Gartner 的調(diào)查，信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層，2/3的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。

即使部署了層層的應(yīng)用安全防護(hù)設(shè)備，網(wǎng)頁還是被篡改了！這是因?yàn)榘踩雷o(hù)并不能百分之百的確保所有攻擊都被攔截，因?yàn)橐膊荒艽_保網(wǎng)頁不被篡改。聰明的黑客甚至?xí)米钚碌摹?”day漏洞獲取服務(wù)器權(quán)限，篡改網(wǎng)頁。

　　一、網(wǎng)頁篡改的途徑分析

　　(1)SQL注入后獲取Webshell：

　　(2)XSS漏洞引入惡意HTML界面：

　　(3)控制了Web服務(wù)器：

　　(4)控制了DNS服務(wù)器：

　　(5)遭遇了ARP攻擊：

二．用戶需求

基于網(wǎng)頁篡改的現(xiàn)象和問題，某私有云服務(wù)提供商提出了具體的安全性要求，對于網(wǎng)站的安全防護(hù)主要需要解決的問題和具備的防篡改措施如下：

1、具備防護(hù)篡改網(wǎng)站各類攻擊的完整安全防御體系。包括針對web應(yīng)用程序的web攻擊；針對承載網(wǎng)站應(yīng)用的發(fā)布服務(wù)器漏洞攻擊、數(shù)據(jù)庫應(yīng)用的漏洞利用攻擊等；針對網(wǎng)站服務(wù)器群的系統(tǒng)漏洞利用攻擊等攻擊手段。防止網(wǎng)頁篡改需要具備從網(wǎng)絡(luò)到系統(tǒng)再到應(yīng)用層面的各類安全威脅的防護(hù)能力；

2、具備事后驗(yàn)證網(wǎng)頁內(nèi)容發(fā)布合法性的檢查。一切發(fā)布于互聯(lián)網(wǎng)或者內(nèi)網(wǎng)用戶的網(wǎng)頁內(nèi)容需要經(jīng)過篡改與否的合規(guī)性檢驗(yàn)，防止繞過防御體系潛入網(wǎng)站篡改網(wǎng)頁的風(fēng)險和管理員賬號被竊取后正常發(fā)布的非法內(nèi)容發(fā)布；

3、具備篡改后應(yīng)急處理機(jī)制。網(wǎng)頁被篡改后，需要有良好的善后保障措施和業(yè)務(wù)承接能力。以便于網(wǎng)站用戶訪問網(wǎng)站的連續(xù)性。

因此網(wǎng)頁篡改防護(hù)需要能夠提供動態(tài)防護(hù)L2-L7層的攻擊，被攻擊了也有篡改判定機(jī)制做到事后補(bǔ)償?shù)谋Ｗo(hù)手段，確保網(wǎng)頁不被篡改；同時需要具備篡改后應(yīng)急響應(yīng)的機(jī)制，即使網(wǎng)頁內(nèi)容被篡改了也不會發(fā)布與眾。

4、避免攻擊者對網(wǎng)站的域名服務(wù)器進(jìn)行滲透，獲取了域名的解析權(quán)限，改變了解析地址以達(dá)到篡改的效果;例如：百度被黑事件;

據(jù)此4點(diǎn)，設(shè)計(jì)拓?fù)淙缦拢?/span>

三．具體實(shí)施功能實(shí)現(xiàn)

1.DNS域名解析負(fù)載均衡設(shè)備，負(fù)責(zé)公網(wǎng)的域名解析工作，防止DNS的DDoS攻擊,預(yù)防百度事件的再次發(fā)生，避免攻擊者對網(wǎng)站的域名服務(wù)器進(jìn)行滲透，獲取了域名的解析權(quán)限，改變了解析地址以達(dá)到篡改的效果;

2.網(wǎng)頁服務(wù)器集群區(qū)域部署WAF網(wǎng)頁防護(hù)防火墻，具體實(shí)現(xiàn)內(nèi)容如下：

(1)深度內(nèi)容檢測技術(shù)，可解析網(wǎng)站交互流量中隱藏的威脅

(2)典型的Web攻擊防護(hù)，防止Owasp十大web安全威脅

(3)基于應(yīng)用的漏洞防御，有效防止服務(wù)器漏洞利用攻擊

(4)多種篡改應(yīng)急處理機(jī)制，確保用戶訪問網(wǎng)站連續(xù)性

1.指定網(wǎng)頁

檢測到篡改事件時，可將用戶的訪問重定向引導(dǎo)到預(yù)先編輯的顯示提示頁面。該頁面可由管理員預(yù)先設(shè)定，防止用戶訪問到被篡改的頁面。

2.web服務(wù)器

用戶可搭建一個備份服務(wù)器實(shí)現(xiàn)關(guān)鍵頁面的實(shí)時備份。系統(tǒng)檢測到篡改事件后，也可將用戶的訪問請求重定向到備份的web服務(wù)器上，保證用戶訪問業(yè)務(wù)的永續(xù)性，防止用戶訪問到被篡改的頁面。

(5)快速及時的報(bào)警方式，便于應(yīng)急響應(yīng)并及時修復(fù)