教育
武汉**学院创办于2000年,是经国家教育部批准的具有学士学位授予权的全日制普通高等学校,是湖北省首批应用转型发展试点高校,国家技能人才培育突出贡献候选单位。全日制在校学生10000余人。学院的门户网站是学院的门面,需要做重点安全保障,防止因为网站漏洞而发生网站篡改、敏感信息泄露、拒绝服务、网络劫持拒绝服务等信息安全事件。特别要防止未知的攻击者使用各种技术手段通过对网站的控制进而内部网络进行深度的入侵。要加大对各个领域关键信息基础设施的安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。确保学院网站安全特别是在重要保障期间的安全。网站面临的安全威胁如下:
网页篡改:由于学院网站是最重要的信息发布平台,故其真实性的准确表达至关重要。网站被篡改,会严重损害政府及企事业单位的形象、影响信息准确的表达。相关的网站主管负责人也要承担相应的管理责任。所以防止网站被攻击者恶意篡改是最主要的防范工作。网站的篡改主要分为以下三种形式:
(1)反动言论式篡改:此类篡改主要是一些对政府政策或现状不满的人,进行情绪的宣泄或政治主张的表达,此类篡改对类网站的影响最为恶劣,严重影响了的政府及事业单位的形象和公信力。特别是比较活跃影响比较广泛的“反共黑客”等政治组织依仗一定的技术先进性和相关势力的资金支持,对网站安全威胁较大。
(2)钓鱼网站式的篡改:主要以插入看似和主站风格相似的钓鱼页面,诱骗用户使用其功能,来获取经济利益,此类威胁对有着在线交易类的企业威胁较大。
(3)暗链式篡改:暗链”是指看不见的网站链接。它和友情链接有相似之处,可以有效地提高PR值。因此围绕着搜索引擎优化的“暗链”也成为了危害网站安全的重要风险。由于网站具有高社会关注度,高访问量,高PR值的特点,因此对于攻击者而言,针对网站进行“挂暗链”攻击有着非常高的经济回报。
网站敏感信息泄露:网站敏感信息泄露主要包括两个方面。一方面是服务器及网站的敏感信息的泄露,这个主要是攻击者在攻击渗透的过程中就可以获取,比如数据库的类型、数据库的表名、数据库列名、数据库中存储的各级网站管理员的用户名密码、服务器的类型、服务器所使用的语言、服务器Web容器的版本等信息。攻击者通过获取这些敏感信息继而进一步对网站、服务器、网络进行攻击。另一方面是用户业务数据,也可能存在多个网站共享数据库的情况,这就导致攻击者在进行攻击时获取业务数据成为可能,特别是涉及到机密信息的数据,危害极其重大。
网站被仿冒:网站仿冒的威胁以金融行业用户为主,但是部分网站也可能存在此类问题。攻击者通过爬虫工具爬取网站页面文件,获取网站内容信息,并山寨伪造相似界面,注册容易混淆的域名,以假乱真。如果网民未认真辨识,通过搜索引擎、微信、QQ、论坛等处获得仿冒网站URL并访问后则可能上当受骗。部分不发分子可以通过仿冒网站销售伪造认定证书、发布虚假消息牟利、窃取个人信息、传播色情淫秽信息、诈骗企业财产、传播色情淫秽信息等,这些仿冒网站,严重影响了学院的形象,侵害了学院利益。
网站被插入木马后门:攻击者对网站挂马主要通过两种形式。一种是通过对网站的攻击上传Web Shell木马后门、一句话木马等以达到获取网站管理权限和控制服务器甚至进一步对网络进行渗透入侵的目的,这种木马主要是攻击的手段。另外一种是获取网站或服务器控制权限后在页面挂网马,当用户在访问到挂马网站时就会执行网站页面的木马程序,弹出色情类、博彩类的页面或者其他页面,更有甚者会自动下载木马程序到用户本地进而危害用户。
网站拒绝服务:由于网站的社会关注度较高,影响力较大,故网站也是攻击者特别是有组织有预谋的国外攻击者的重点攻击目标。但是由于近年来随着对网站安全的重视和安全投入的提高,网站的安全建设有了很大的进步。如果攻击者无法找到网站漏洞并成功实施各种入侵攻击时,就可以通过流量攻击来消耗服务器的资源,导致网站服务器无法响应正常访问用户的访问请求,而拒绝服务。特别是在重要会议重要活动期间,网站要实时做信息发布,如果此时网站遭受拒绝服务攻击,就无法在第一时间发布信息。
武汉**学院网站安全云防护系统的设计主要为了解决需求分析中网站攻击防护、拒绝服务防护、域名解析防护三部分。网站安全云防护系统是集成了WAF功能、抗DDOS功能、CC攻击防护功能、高防DNS、缓存加速等功能为一体的的综合性云端网站安全防护系统。
传统WAF产品的不足:网站漏洞攻击防护主要依靠WAF产品来进行实时防护,但是很多网站管理员在运维本地化的WAF时往往面临应用防护策略复杂,配置繁琐,日志报表晦涩难懂、厂商规则库升级不及时、云环境下无法部署等问题。而且在被监管单位和黑客扫描时仍然可以不同程度的扫描出部分的网站漏洞,部署WAF的情况下仍然有不同程度的篡改、挂马等信息安全事件发生。
传统抗DDOS产品无法抵抗大流量攻击:当网站遭遇大流量的DDOS攻击或CC攻击时网络出口带宽直接被堵死,传统的抗DDOS设备无法在起到流量清洗作用;传统抗DDoS设备有性能瓶颈,当DDoS流量超出设备处理性性能时将无法抵御,导致网站继续遭受DDoS攻击;传统抗DDoS设备可靠性较差,一旦出现可靠性问题可能影响用户整个网络的正常使用和网站业务系统的访问;传统抗DDoS设备需要做双机热备来确保可靠性浪费用户投资。
网站DNS安全性问题:网站一般由域名服务商提供域名解析,但不同的域名服务商对域名解析服务器的保护力度不足,导致网站容易遭受DNS Flood攻击、DNS放大攻击、DNS缓存投毒、DNS域名劫持等攻击,使得DNS服务器无法做正常的域名解析而导致网站拒绝服务。
从技术原理上来讲,网站云防护系统属于一个云端大反向代理,可以隐藏服务器细节,网站在云端保护之下,攻击者获取的是云防护系统的IP地址,而无法获取真实网站服务器的IP地址,这样可以减少因网站服务器IP泄露而被攻击的风险。
网站安全云防护系统在形式上对用户云端账户交付,不需要用户在本地部署硬件设备,不需要考虑硬件设备的冗余投资,同时以服务的形式安需按年收费,较为灵活,也可以节约预算。
公有云端防护系统一般是由上千台的网站安全云防护系统、云缓存、云抗D、云负载均衡等部分组成,所以其解决了单台WAF的应用层性能处理瓶颈问题,管理员不需要考虑平台的性能问题。正是由于性能强大,所以其内置的特征库也远比本地化的WAF产品丰富,对Web攻击的防护能力也更强大。同时网站安全云防护系统一般集成了威胁情报的功能,内置威胁情报IP地址库,可以将恶意威胁IP阻止在云防护系统之外,对网站的保护效果更好。
而在针对大流量攻击上网站云防护系统可以通过自身的负载均衡系统将大流量的DDOS分发到全国各地的高防机房进行清洗,清洗完成再讲流量回注给后端的网站服务器,彻底解决了网站所面临的大流量DDOS攻击和CC攻击的威胁。
网站云防护系统的接入用户量一般比较大,系统每天会抵御百万次的黑客攻击,这使得云防护系统获得了一个巨大的攻击数据库,通过对这些攻击大数据的详细分析,可以精确预警攻击源头,从而对其他站点进行协同防御,可以实现一处拦截全网拦截的效果。
传统的WAF产品一般会有缓存加速的功能,但是很少有客户使用此功能,因为WAF设备只能将文件从服务器缓存到设备内,由于WAF设备一般紧邻网站服务器部署,所以互联网用户距离网站服务器的网络距离基本相当于WAF设备的距离,故实际起不到缓存加速的效果。
而网站云防护系统可以将网站服务器文件缓存到全国各地机房,并可以对数据进行全局负载均衡和链路负载均衡,这样可以达到用户就近访问缓存机房,同时也解决了跨运营商网络路由导致网站访问慢的问题。
网站安全云防护系统大多配置都是系统内置,采用默认配置,故其在保证强大防护能力的同时,其配置异常傻瓜化,简单化。用户只需要登录自己的云端管理控制台,修改DNS指向即可完成防护接入。网站安全云防护系统由厂商直接在云端做平台层面的优化和特征库的升级,用户只需要通过控制台管理自己的网站,云端用户和用户之间互不干扰。这种方式即可以保证网站高能力的安全防护可以大大简化网站管理员的配置工作量。
Web攻击防护:在防护能力上,WAF能防护OWASP Top10的漏洞攻击防护。能够识别黑客针对网站的手工的渗透测试攻击。能防护黑客常用的SQL注入攻击、命令注入攻击、跨站脚本攻击、目录遍历、文件包含、溢出攻击等多种攻击方式。可以检查包括Get域、Post域、Cookie域、Response域等多个黑客攻击代码常见的数据包所在位置。内置深度解码引擎,防止黑客通过URL编码、ANSII编码、Hex编码、Base64编码、大小写混淆、注释字符、参数污染等多种绕过方式绕过WAF的防护。
抗DDOS攻击防护:可以防护攻击者针对网站常见的SYS Flood攻击、TCP Flood攻击、ICMP Flood攻击、UDP Flood攻击、Smurf 攻击、Land攻击等大流量的攻击方式。
CC攻击防护:安域Web应用云防护系统有机器学习的能力,可以根据用户访问的URL、攻击URL、攻击源、攻击频率等参数,自动学习到用户业务特点并生成针对CC防护的阈值,当攻击者通过工具或僵尸网络对保护站点进行CC攻击时,360安域Web应用安全云防护系统可以自动识别出CC攻击并针对CC攻击进行阻断。
高防DNS:可以防护DNS Flood攻击、DNS放大攻击、DNS缓存投毒、DNS域名劫持等针对DNS服务器的各种DNS攻击。防止因网站域名解析服务器被打死而导致无法网站无法解析的情况发生。
缓存加速:采用集群的部署方式,可对JS、CSS、图片、Html等文件进行缓存,支持用户手动更新缓存。
重保只读:重保开始前,管理员可以通过配置将被保护的网站静态页面主动爬取缓存到奇安信WEB安全云防护系统缓存服务器中,静态网站的静态页面可以缓存爬取最多6级网站目录。重保期间,当源站出现网站服务停止、网站服务器宕机、网络异常等原因无法正常访问时,奇安信WEB应用安全云防护系统可以使用缓存的静态页面文件继续对外展示网站页面。用户可以自定义重保开始时间、重保时间段、非镜像URL、爬虫缓存层数等配置。