1 安全背景与现状
从早先的“三金工程”,经过“政府上网工程”,到“电子政务工程”,随着政府信息化进程的推进,承载网络上运行的应用系统将越来越多,信息系统变得越来越庞大和复杂。用户对信息系统的依赖性不断增加,因此对信息系统的服务质量也提出了更高的要求,随之而来的就是对安全的迫切需求。
门户网站作为电子政务的重要组成部分,是政府部门对外的窗口和实施电子政务的重要平台,其地位非常重要,但其安全形势却不容乐观。据中国互联网应急中心最新统计显示,2008年我国大陆地区政府网页遭篡改事件呈大幅增长趋势,仅2009年3月我国大陆地区被篡改网站的数量就达到2225个。随着政府越来越多的业务系统采用基于WEB服务方式,在给用户提供方便快捷的同时,针对WEB业务的攻击亦在迅猛增长,类似网页被篡改或者网站被入侵等安全事件频繁发生,不但严重影响了政府的对外形象,有时甚至会造成巨大的经济损失,或者严重的社会问题,严重危及国家安全和人民利益。
对于政府网站所面临的主要风险,总结如下:
页面被篡改
政府门户网站作为“政府形象”的标志之一,常常是一些不法分子的重点攻击对象。政府门户网站一旦被篡改(加入一些敏感的显性内容),常常会引发较大的影响,严重时甚至会造成政治事件。
另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。更重要的是,政府网站一旦被挂马,其权威性和公信力将会受到打击,最终给电子政务的普及带来重大影响。
在线业务被攻击
对企业、公众提供在线服务,已经成为政府门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定。
机密数据外泄
在线业务系统中,总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业秘密和个人隐私,一旦泄露,会造成企业或个人的利益受损,可能会给单位带来严重的法律纠纷。
2 安全需求分析
电子政务网络平台平台一般由电子政务内网、电子政务外网组成。
电子政务内网是主要用于传送电子公文以及不适合通过政务外网传输的信息,如政务信息、视频会议等。
电子政务外网是相关部门的对外业务专网,主要运行非涉密业务。如政府门户网站群、政府信息公开网站、行政审批网站等对外服务系统。
作为一种基于Web架构的电子政务平台面临风险主要包括:
1、 利用病毒、蠕虫、木马和间谍软件等恶意代码,破坏WEB系统;
2、 XSS攻击,即跨站脚本攻击。恶意攻击者往WEB页面里插入恶意html代码, 当用户浏览该页之时,嵌入其中WEB里面的html代码会被执行,从而达到恶意用户的特殊目的;
3、 利用CC攻击等方式,造成服务瘫痪;
4、 利用网站应用程序漏洞,采用SQL注入等方式,获得系统或数据库管理员权限,从而任意修改数据库,达到网页篡改或破坏网页的目的。
5、 政府政务外网虽然和政府的办公网络之间有逻辑隔离设备,但仍有可能被手段高明的黑客入侵,从而盗取一些敏感材料,或对电子政务应用系统造成破坏。
如此的安全环境下,需要为电子政务系统建立一套完善的安全防护体系,通过建立事前检测、事中防御和事后追溯的纵深防御系统。
3 方案设计依据
1、 《信息系统安全等级保护测评准则》
第六章“第二级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出:
安全审计应覆盖到服务器上的每个操作系统用户和数据库用户。
安全审计应记录系统内重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统命令的使用等。
安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。
审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
第六章“第二级安全控制测评”中“应用安全”软件容错中提出:
b)应检查关键应用系统,查看业务系统是否有对人机接口输入(如用户界面的数据输入)或通信接口输入的数据进行有效性检验的功能;
c)应测试关键应用系统,可通过输入的不同(如数据格式或长度等符合、不符合软件设定的要求)验证系统人机接口有效性检验功能是否正确;
a)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;
第七章 “第三级安全控制测评” 中“应用安全” 安全审计明确提出
a)安全审计应覆盖到应用系统的每个用户;
b)安全审计应记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等;
c)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
d)安全审计应可以根据记录数据进行分析,并生成审计报表;
e)安全审计应可以对特定事件,提供指定方式的实时报警;
第七章 “第三级安全控制测评” 中“应用安全” 代码安全明确提出
a)应制定应用程序代码编写安全规范,要求开发人员参照规范编写代码;
b)应对应用程序代码进行代码复审,识别可能存在的恶意代码;
c)应对应用程序代码进行安全脆弱性分析;
d)应对应用程序代码进行穿透性测试。
2、 《信息安全等级保护数据库管理系统安全技术要求》
第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出:数据库管理系统的安全审计应:
建立独立的安全审计系统
定义与数据库安全相关的审计事件
设置专门的安全审计员
设置专门用于存储数据库系统审计数据的安全审计库
提供适用于数据库系统的安全审计设置、分析和查阅的工具
4 解决方案介绍
杭州安恒信息技术有限公司针对目前电子政务系统所存在的安全隐患,结合《信息系统安全等级保护基本要求》以及《信息系统安全等级保护测评准则》,制定具有针对性的安全产品解决方案。
明鉴WEB应用弱点扫描器:在黑客进行入侵和攻击之前主动发现电子政务系统WEB应用层可能存在的如SQL注入、跨站脚本以及文件上传等安全隐患,及时进行有针对性的加固和维护,消除安全风险。
明鉴数据库应用弱点扫描器:在黑客利用电子政务系统数据库可能存在的权限分配、远程溢出以及弱口令等安全隐患非法获取证券公司内部数据库敏感信息前,主动发现安全隐患,及时进行有针对性的加固和维护,消除安全风险。
明御WEB应用防火墙:在电子政务应用服务器与网络防火墙前端部署明御WEB应用防火墙,对基于正常端口访问所发出的请求进行动态检测,及时发现并有效阻断WEB应用攻击/入侵行为,包括SQL注入攻击、跨站脚本攻击以及木马上传等。
明御数据库审计系统及风险控制系统:在电子政务数据库服务器前端部署明御数据库审计系统,对访问者所发起的数据库访问请求进行细粒度审计,及时发现针对数据库所进行的威胁操作,第一时间产生告警,并详细记录数据库操作。
4.1 明鉴WEB应用弱点扫描器
产品概述:
明鉴WEB应用弱点扫描器(简称:MatriXay 3.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。
主要功能:
深度扫描
以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及网站列表;
WEB漏洞检测
对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等)进行深度检测;
渗透测试
通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。
明鉴数据库弱点扫描器(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上,研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令及数据库潜藏木马的功能。
产品功能:
风险趋势管理
通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的变化,从而实现基于基线的风险趋势分析
弱点检测与弱点分析
根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测
弱口令检测
依据内嵌的弱口令字典完成对口令强弱的检测
补丁检测
根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测
项目管理
按项目方式对扫描任务进行增/删/改管理
报表管理
提供扫描报告的存储、查看、多文件格式导入/导出功能
扫描预通知
向被扫描的数据库发送预扫描通知,及时提醒数据库管理员
系统管理
提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测
4.3 明御WEB应用防火墙
产品概述:
明御WEB应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。
产品功能:
深度防御
明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):
web应用加速
系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。
敏感信息泄露防护
系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
配置审计
通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息
策略配置
自定义策略配置
告警
实时告警,支持邮件、短信等多种方式告警。
系统报表
支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。
4.4 明御数据库审计系统及风险控制系统
产品概述
明御数据库审计与风险控制系统是安恒公司结合多年数据库安全的理论和实践经验积累的基础上,结合各类法令法规(如SOX、PCI、企业内控管理、等级保护等)对数据库审计的要求,自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计产品。
明御数据库审计与风险控制系统以独立硬件审计的工作模式,灵活的审计策略配置,解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁,满足各类法令法规对数据库审计的要求,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、Informix等业界主流数据库,可以帮助用户提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
主要功能
独有的三层审计
对于B/S架构的应用系统而言,用户通过WEB服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 服务器的相关信息,无法识别是哪个原始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。
细粒度审计
有别于传统的简单SQL语句还原,通过对不同数据库的SQL语义分析,提取出SQL中相关的要素(用户、SQL操作、表、字段…)
全方位的实时审计:实时监控来自各个层面的所有数据库活动。如:来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等
通过远程命令行执行的SQL命令也能够被审计与分析
完善的双向审计:系统不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计
精准化行为回溯
一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什么时候做的操作?通过什么方式做的操作?)
全方位风险控制
灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件
多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员
多协议层的远程访问监控:不仅对客户端工具及应用层JDBC、ODBC的访问监控,还支持对数据库服务器的远程访问(如:ftp、telnet)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定
职责分离
SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离,系统设置了权限角色分离,如系统管理员负责设备的运行设置;规则配置员负责相关数据库操作规则的设定;审计员负责查看相关审计记录及规则违反情况;日志员负责查看整体设备的操作日志及规则的修改情况等。
友好真实的操作过程回放
对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容
业界首创的审计模式
除了提供实时的动态审计功能,还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计
5 客户收益
作为公安部、浙江省信息安全等级保护专用应用安全测评工具,明鉴WEB应用弱点扫描器和明鉴数据库应用弱点扫描器 (2009版)的配合使用可以帮助用户充分了解WEB应用和数据库应用所存在的安全隐患,建立安全可靠的WEB应用和数据库应用服务,改善并提升应用系统抗各类WEB应用攻击(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)和数据库应用攻击的能力,可以协助用户完成数据库建设成效评估,协助数据库安全事故的分析调查与追踪,提升用户各类数据库的抗风险能力。
明御WEB应用防火墙可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等。明御数据库审计及风险控制系统以独立硬件审计的工作模式,灵活的审计策略配置,解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁,帮助用户提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
6 成功案例
某政府府门户网站是在某市委、市政府领导亲自关心、指导下建立和发展起来的政府门户网站,始终坚持以努力建设“服务政府、责任政府、法治政府”为目标,以“为民、便民、利民”为宗旨,以发布政府信息、提供便民服务和拓展网上办事为主要内容。
某政府门户网站是一个体系庞大的网站群:包涵着市政府及其50多个所属部门的综合信息。主网站设有8个一级栏目和近180个子栏目,并与57个市政府委、办、局子网站和各县(区)政府网站建立了有效的信息共享机制和复式链接。
其在地区有着非常大的影响力,是政府下属各个部门沟通的平台,更是当地民众了解政府,了解政策的重要途径,同时更是为全中国,全世界开启了广泛宣传当地的窗口。如此重要的门户网站,一旦受到黑客攻击,不仅影响网站本身的正常运营,降低网站的公信力,严重的情况下会导致重要信息的泄密,危及网站多年树立起来的形象,乃至市政府在当地的形象。
研究解决方案的时候安恒公司和政府信息中心充分考虑,首先要全面掌握网站群的安全问题,制定合理的风险规避措施;再是从技术层面来确保网站群的安全运行、实时阻挡来自恶意者的攻击、降低网站运行风险;
网站群有纯信息发布栏目,也有互动类栏目。对于纯信息发布类栏目,确保网站信息的完整性与真实性是首要的任务;对于网上互动类栏目,确保数据的真实性、完整性、保密性是首要任务。
为了达到以上的安全要求,某政府采用了网站卫士和WEB应用防火墙统两款产品,软硬结合,为网站群提供了多重防护。
通过网站卫士防御软件,对网站群实行7X24小时的实时监控,保护相关栏目的页面不被篡改。
通过WEB应用防火墙对网站群服务器进行保护,即对网站的访问进行7x24小时实时监控。
通过产品的部署,有效遏制了针对网站群的各类攻击,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等,把相关攻击行为杜绝在服务器前面,杜绝网站篡改等安全事件的发生,实现了网站群的安全保障。