工商行业网络安全解决方案

背景


全国企业信用公示系统是工商行政行业面向社会服务的主要窗口之一,该系统可以提供在工商部门登记的各类市场主体信息查询服务,包括企业、农民专业合作社、个体工商户等。任何个人可凭借输入市场主体名称或注册号进行对企业信息进行查询,查询信息包括:企业基本信息、投资人信息及企业变更信息、企业主要人员信息及分支机构信息、企业因违反工商行政法律法规被工商部门作出处罚的记录等信息。因此全国企业信用公示系统作为承载企业信用录入和输出的主要载体,为了保障信用公示系统的准确性、合法性、稳定性等职能其安全工作成为了工商行业安全建设工作的重中之重。


同时在中央网络安全和信息化领导小组2014第一号文“关于加强党政机关网站安全管理的通知”中第一项明确提到了各层管理者应充分认识加强党政机关网站安全管理的重要性和紧迫性,明确指出“网站被攻击、内容被篡改、重要敏感信息泄露等安全事件,批评了部分网站安全投入不足、网站安全发展滞后、安全保障能力不强等现状。要求各级党政机关要充分认识加强党政机关网站安全管理的重要性和紧迫性,保持清醒头脑,克服麻痹思想,采取有效措施,确保党政机关网站的安全运行、健康发展。


威胁


随着注册资本登记制度改革的推进,强调了企业信用信息公示的重要性,各省工商局纷纷建设了企业信用信息公示系统。截至2014年7月,各地企业信用公示系统访问量合计9000多万次且每月访问量在不断攀升。但随着企业信用信息公示系统数据的不断完善,其内部蕴含的大量信息成为了不法份子关注的目标,部分省市出现了企业信用信息被窃取的行为。因此如何加强自身应用安全的建设,充分响应上级领导对于党政机关网站安全性的重要指示,将成为工商行政系统今年安全建设工作的重要环节之一。


通过对现阶段安全事件进行总结归纳,总结出不法人员的攻击流程大致可分为以下三个环节:


预攻击:

黑客在攻击开始前均会对应用系统采用工具方式或人工方式进行大量的扫描检测,以此获悉WEB容器的类型、数据库的类型、软件版本信息、可利用漏洞等信息,通过信息累计来制定后续的攻击计划。由于此阶段会对应用系统进行大量的枚举测试,因此系统遇到的90%以上的攻击行为均是在此阶段发生。(爬虫攻击就是在此阶段发生)


通常情况下由于此阶段大部分情况下不会产生直接的安全事件,因此大多数管理者均会忽视对它的防护。但由于不具备对预攻击的防护能力往往会使应用系统的脆弱性暴露在不法人员的目光之下,间接的增加应用系统的安全风险。并且黑客在进行枚举测试时使用的攻击工具均为进行过优化,通常会暴力的在数据库中留下大量的垃圾信息。


此阶段直接危害为:
1、网站被黑客人员的扫描工具爬虫爬满,应用系统无法提供正常服务;
2、暴露服务器、数据库的基本信息,方便黑客开展攻击;
3、暴露内部人员信息,方便黑客人员开展社工;


攻击阶段:
黑客完成信息收集工作后,将根据应用系统暴露的漏洞进行有针对性的攻击,如SQL注入、XSS、CSRF等。而应用系统伴随着攻击行为的发生,其表现形式就是数据盗取、页面篡改、新增账号、植入后门等。而这些安全事件将直接导致用户遭受直接经济损失、公信力下降、社会影响力降低等不良影响。


此阶段直接危害为:
1、直接损失如敏感数据泄露,被黑客植入后门等
2、可被黑客人员利用漏洞以应用系统为平台骗取正常用户
3、黑客利用漏洞篡改页面,对用户产生极大负面影响
4、利用网站审核漏洞上传发布虚假、反动、不良信息等言论
5、应用服务器成为黑客手中的肉鸡代理
6、被黑客植入暗链
7、……


脚印擦除

黑客完成攻击行为后,为防止网监或安全人员的追踪,通常会将此次攻击行为的日志全部擦除。一是追查人员无法根据日志追踪到攻击者。二是防止攻击路径的暴露,方便其进行二次攻击。


此阶段直接危害为:
本地日志的删除导致用户在遭受攻击后没有追溯手段,并且较难追查到入侵路径,无法对已暴露的漏洞进行弥补。
整体防护思路


预攻击防护


预攻击阶段基本均是采用黑客攻击或手工测试的方式,针对这两种攻击模式,防护方案设计采用明御WEB应用防火墙来进行防护:


爬虫攻击防护:开启CC防护规则,对请求速率和集中度进行检查,过滤大部分爬虫流量;开启防爬虫规则,对两个查询页面的流程设置流程合规,并以思考时间作为过滤条件,过滤不符合规范的爬虫,同时为防止黑客团队发现爬虫爬取信息失效变换爬虫攻击方式,比如更改爬虫特征、变更爬虫速率,因此需加入人工持续进行跟踪分析,一方面在WAF上进行统计分析,另一方面建议以旁路的方式对所有的访问数据进行深度挖掘分析,发现一些比较隐蔽的爬虫;


扫描工具侦测:防火墙内置了市面上常见了扫描工具和黑客工具的发包特征,当防火墙检测有恶意工具对应用系统进行扫描尝试时,防火墙将阻断扫描工具的侦测。


攻击行为锁定:防火墙采用攻击者状态跟踪机制,可智能识别用户误操作与恶意攻击者的区别,实现对攻击者跟踪的目的。定位出攻击者行为后可针对攻击者IP地址实现一定时间的封锁,从而降低被穷举攻击的风险。


响应内容检查:防火墙内置的防敏感内容泄露模块可以有效防御诸如以下的内容泄露:手机号、身份证号码、信用卡卡号、邮件地址等,从而防止因为用户数据丢失而给企业带来的信任危机,同时针对网页不能响应时的返回页面可以进行统一的重定向,避免返回页面中暴露如服务器信息、数据库信息等敏感数据。


虚拟补丁加固:预攻击阶段最终的落地点是发现应用系统中存在的安全漏洞,所以在黑客攻击之前将已存在的安全漏洞进行封堵可有效的将应用系统的安全风险降到最低。在防火墙上线之前可对应用系统进行一次非破坏性的风险评估,检测应用系统上已存在的安全漏洞,检查完毕后可将检测报告导入到防火墙中,防火墙会根据发现的漏洞自动生成虚拟补丁,为应用系统进行有针对性的安全加固。


通过以上四种手段可以有效的组织不法人员对应用系统的各类扫描测试,使其寻找应用系统漏洞的工作困难重重,有效的杜绝恶意攻击者对于应用系统的窥探之心。


攻击阶段防护


攻击阶段是整个攻击流程中最为重要的环节,因此针对实际攻击防护方案采用明御WEB应用防火墙多种策略相结合的手段进行全面防护:


黑名单模式:明御WEB应用防火墙提供默认的安全策略,对Web网站或应用进行严格的保护。这些安全规则来自于Snort、CWE、OWASP组织,以及安恒安全研究院对国内典型应用的深入研究成果。除了默认的策略外,用户还可以创建客户化的策略。每个策略下分为若干子策略:HTTP协议合规性、SQL注入阻断、跨站点脚本攻击防护、表单/cookie篡改防护、DoS攻击防护、目录遍历等等


黑名单模式中除内置规则库外还可以针对HTTP请求包大小限制,限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。HTTP/HTTPS请求方法限制,限制HTTP/HTTPS各种方法的访问,包括:GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。并且用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。同时,对于多字段,多条件的组合防护需求,明御WEB应用防火墙仍提供了自定义规则的解决方案。


白名单模式:明御WEB应用防火墙引入了安全白名单技术,从而使明御WEB应用防火墙实现快速安全检测,与安全特征库不同,安全白名单并不是对WEB攻击行为的分析与提取,而是对正常访问行为的分析与总结规律,从而实现了假定安全的检测逻辑。


不同网站有着各自独立的特性与访问规律,因此明御WEB应用防火墙的白名单安全特征采用了自学习建模技术,针对所防护的网站进行流量学习,在概率统计学为基础不断的安全分析与收敛,最终形成一套针对网站特性的安全白名单规则。


灰名单模式:明御WEB应用防火墙具有较强的用户访问行为建模分析技术,可以有效的解决如应用层CC攻击、盗链攻击、恶意商业数据抓取等攻击行为。由于HTTP协议是一种无状态的协议,因此通过单次请求分析难以识别上述的攻击行为。只有通过行为建模分析技术才能将访问者行为进行跟踪与分析,从而区分正常访问行为与上述访问的差异。


通过三种不同手段的防护模式,可以有效的判断不法人员的恶意攻击请求并加以阻断,避免了黑客对应用系统的恶意侵害。


由于工商信用公示系统具有上传企业信息的功能,为保障非法分子利用公示系统恶意上传反动或恶意言论,所以建议开启明御WEB应用防火墙中对关键字的防护功能,通过在WEB防火墙上定义敏感词过滤规则,对恶意用户提交的中文关键字进行过滤,如法轮功、李洪志、大纪元等,敏感关键词库由安恒提供,用户也可以根据自己的需要进行增减。


通过在WAF上定义敏感词过滤规则,对恶意用户提交的中文关键字进行过滤,如法轮功、李洪志、大纪元等,敏感关键词库由安恒提供,用户也可以根据自己的需要进行增减


脚印擦除防护


任何安全产品和防护手段都具有其相对安全的特点,无法做到百分之百的防范能力。因此事后的追溯能力成为了整个防护体系中的最后保障。但受限于传统的安全机制,安全日志基本都保存在应用服务器和数据库服务器上,当攻击发生时其实已经标示着攻击者拿到了最高权限,所以保存在本地的安全日志基本都会被攻击者清空,使我们事后无法追踪到攻击路径、追溯到攻击源头。


明御数据库审计与风险控制系统将成为整个防护体系中最后一道屏障,数据库审计不仅能够全程记录来自于应用服务器的访问请求,同时还具备对应用访问全审计的功能。全审计指对所有的WEB请求进行审计分析记录,不仅可以提供详细的访问日志分析,还可以图表的形势展现WEB服务的业务访问情况。通过对访问记录的深度分析,可以发掘出一些潜在的威胁情况,以及对于攻击防护遗漏的请求,并且通过细粒度的审计结果当发生安全事故时可以起到追根索源的目的,能够帮助管理者追查出详细的攻击路径,发现攻击者造成的破坏,有利于事故的灾难恢复。


安全监测


通过建设全国企业信用公示系统的监测平台,可帮助总局从五大方向实时了解各省企业信用公示系统的综合安全态势。


WEB漏洞监测


监测平台可定期自动监测各省企业信用公示系统的漏洞分布,并跟踪漏洞的修复情况从而使网站的漏洞得以快速修复,降低网站被入侵的风险。同时监测平台引入了安全评分机制,使管理者直观的了解到各省企业信用公示系统的安全建设情况。


网站可用性监控


企业信用公示系统是面向公众的开发性系统,其查询的特性决定了系统的稳定可用是安全考量的重要因素,监测平台可以基于远程监测技术有效的监测到域名劫持、DNS中毒、ISP线路等原因导致的网站可用性问题。平台采用多线路监测技术,使用户对网站的可用性获得更为全面详细的数据,如业务中断、访问延时、不同ISP服务质量等。


网页篡改监测


企业信用公示系统作为党政机关网站,除了承担相应发布查询职能外,还关系到党政机关的社会影响力,如果出现页面篡改行为未能第一时间发现并被不法人员加以利用将会导致不可挽回的损失,监测平台可通过远程定时监测技术,可以有效的监测网页篡改行为,特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能,帮助总局管理者实时了解全国公示系统的页面安全情况,极大的提升了事件处理效率。


网页木马监测


木马是目前应用层普遍遇到的一种攻击形式,木马破坏的长效性远高于其他攻击方式,监测平台采用特征分析和沙箱行为分析技术对网站进行木马监测,监测精度高达99%,从而实现快速、准确的发现和定位网页木马,确保总局能够在第一时间发现各省公示系统中感染的木马并及时消除。


网页关键字监测


由于企业信用公示系统具备上传资料的特性,因此极有可能存在不法分子利用审核漏洞,将一些敏感关键字上传至公示系统,从而达到非法宣传的目的,而企业信用公示系统作为工商行业最为庞大重要的业务系统之一,一旦出现网站发现恶意言论的行为,相较于普通网站其破坏力将直线上升。因此监测平台采用中文关键词以及语义分析技术对网站进行敏感关键字监测,实现精确的敏感字识别,确保网站内容符合互联网相关规定,避免出现敏感信息以及被监管部门封杀。


安全建设技术架构


通过对黑客攻击流程进行深入分析,此次防护方案将根据整个攻击流程以及企业信用公示系统的特性制定全面的、有针对性的防护策略。防护策略以安全防护和安全监测两个方面进行开展:安全防护以各省企业信用公示系统为节点,建立全面的防御措施,帮助各省工商局抵挡来自应用层的各类攻击行为;安全监测以全国为整体目标,建立集中的监测中心,以365*24的工作模式全年无死角监测全国各省企业信用公示系统的网站运行情况、漏洞分布情况、页面篡改情况、页面挂马情况、网站关键词等五大方面,协助总局领导全面的、宏观的的了解全国各省企业信用公示系统的整体安全态势。


企业信用公示系统解决方案


方案优势与价值


通过部署明御WEB应用防火墙可以有效的帮助各省的企业信用公示系统抵挡来自于黑客的恶意扫描检测和恶意攻击破坏等行为的发生。
通过部署明御数据库审计和风险控制系统可以有效的帮助各省全面审计企业信用公示系统的访问运行情况和数据库访问请求情况,当出现安全事件时能够为各省的管理者提供充分详细的日志定位到故障点或责任人。


通过部署明鉴网站监测平台可以有效的帮助工商总局的信息化管理者从全局的角度实时掌握各省企业信用公示系统的安全和运行情况。


三种产品的结合能够充分发挥互通有无、查遗补缺的动态防御理念,从整体上提高各省企业信用公示系统面对安全威胁是的核心竞争力,同时还能够帮助工商总局的管理者直观的了解目前全国企业信用公示系统的运行情况和安全情况,管理者可根据全面的监测结果,制定高效率的安全发展方向。


部分用户案例


国家工商行政管理总局、浙江省工商、湖南省工商、丽水工商局、绍兴工商局、义乌市工商局、山西省工商、湖州市工商局、厦门工商、金华工商、绍兴工商、湖州市工商局、内蒙古自治区工商行政管理局、北京市工商局、新疆维吾尔自治区工商局……

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |