论文部分内容阅读
【摘 要】目前网络安全问题不容乐观,本文着重探讨基于WEB平台下的安全策略,挖掘了实施此项安全技术的价值所在,提出了Web应用防火墙的概念,并浅析不同行业的可操作可定制的安全技术方案。
【关键词】SQL注入;Web应用防火墙;IPS;UTM
1 网络安全现状
随着互联网技术的飞速发展,政府、企业、公司和学校都在架设自己的网络平台,发布信息,交流通讯,发展态势方兴未艾,互联网就像一把双刃剑,人们在享受网络带来便利的同时,黑客攻击、病毒传播等网络弊病也时刻威胁着网络数据安全。这一点从来自黑客与安全厂商的信息、从来自科技领域与社会种种安全事件的信息等,都足以说明。
美国白宫近年不断发生电网遭网络渗透,军事项目遭黑客袭击以及银行系统遭电脑攻击等网络数据安全事件,总统奥巴马决定创建网络安全主管这一职位,任命曾担任eBay和微软网络安全官员的霍华德.施密特(Howard Schmidt)为白宫网络安全主管,以应对日益严重的网络数据安全威胁。奥巴马曾表示,网络安全“是我们面临的最严重的经济和国家安全挑战之一”,保护网络数据安全对美国的国家安全、公共安全、个人隐私等至关重要。
国外媒体报道,一名黑客称其成功攻入杀毒软件厂商卡巴斯基的一个包括敏感信息的数据库,获取了包括用户名单和卡巴产品bug等资料在内的大量敏感信息。该黑客称自己使用简单的SQL注入命令就成功攻入此数据库,该数据库内有大量卡巴斯基的产品与客户信息,包括用户名单,激活码,软件bug列表,管理员名单等,他还公布了屏幕截图和大量细节做为佐证,卡巴斯基拒绝对此置评,但两名安全专家浏览了这名黑客公布的资料后表示,卡巴斯基数据库被攻破导致资料外泄的情况属实。该黑客表示,只需对卡巴斯基网站的URL链接进行少许修改,网站上整个数据库的内容就一览无遗,只要修改一个参数,包括用户、激活码、软件 bug列表在内的资料就全部暴露在网上。如果稍通黑客工具的使用,任何人都能找到卡巴斯基网站的SQL注入漏洞所在。卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,卡巴斯基获得了独特的知识和技术,使得卡巴斯基成为了病毒防卫的技术领导者和专家。该公司的旗舰产品-著名的卡巴斯基反病毒软件(Kaspersky Anti-Virus,原名AVP)被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。如今卡巴斯基自己被黑客攻击真是天大的笑话。
在我国,网络数据安全问题同样不容乐观,据公安部统计,我国企事业单位发生网络数据安全事件的比例近年呈高发趋势,如熊猫烧香病毒、力拓间谍门、百度被黑,高校新生录取信息库被黑等数据安全事件等。所有这些事件都严重威胁国家数据安全,数据安全工作任重道远。
事实上,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络数据安全威胁的客观存在。随着网络的普及,黑客无处不在,网络病毒日益犯滥,无论是政府机构、军事部门,还是各大金融机构、公司,学校等只要与互联网接轨,就不可避免地面临数据安全威胁,网络数据安全已成为世界各国政府、企业面临的最大安全威胁。
2 需要解决的关键问题
2.1 研究内容
随着基于Web环境下的应用越来越普遍,企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高,然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据高德纳咨询公司(Gartner)(全球最具权威的IT研究与顾问咨询公司)的调查显示,目前成功的攻击案例中有75%发生在应用层而非网络层面上。同时,数据也显示,三分之二的Web站点缺乏有效的应用防护。
这里就涉及到Web应用防火墙的概念。它位于Web客户端和Web服务器之间,这些防火墙会在Web服务器前的应用层对HTTP流量进行检查,这些设备可以检测一个链接,分析用户对应用程序发出的命令,然后就可以分析出哪些是已知攻击,哪些是标准应用的演变。
目前Web应用安全面临三大问题:
第一种,拒绝服务攻击。比如某公司说DNS域名被篡改了,就意味着应用方面做得再安全也没用,这个网站已经被转接到另外一个服务器去了。
第二种,针对企业的Web网站后台数据库的更改,泄密和破坏。主要的攻击手段是SQL代码的植入,导致企业内部的数据损失或者是被更改。
第三种,网站挂马或者叫做跨站脚本攻击,套取访问用户的用户名、密码等。
Web应用面临的主要攻击和威胁,后两种居多。因为DNS被篡改这种方式有难度且偏少,后两者难度小一点但是很频繁。
Web应用防火墙(Web Application Firewall,WAF)与IPS(入侵预防系统)、防火墙、UTM等安全设备是不同的。从技术层面讲,IPS是深度的包检测的产品,属于高级的网络防火墙。IPS所保护的不仅仅是Web应用,IPS的检测是非常严格和标准化的,就导致一个问题,它对整个单纯的Web应用,包括SQL 注入的检查不是很专业,所以Web应用防火墙和IPS相比,它是更专业的基于Web防护的系统。
UTM是在网络防火墙基础上加上了部分的应用过滤功能,它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS,它们大部分功能还是在网络层,具有部分的应用层功能。而且,它们并不是针对Web应用,比如IPS,对后台很多种应用都可以进行防护,但是这个防护为粗略检查,比如说2个数据包先后被通过访问。这两个数据包利用时间差的关系,结合到一起能产生破坏力,这是IPS无法解决的问题。
“WEB应用防火墙”可以检查代码合成的用意,从而阻断非法的数据包访问。所以WEB应用防火墙,IPS和防火墙、UTM的差别,一个是在防护层面,另外是IPS是和WEB应用防火墙部署的点是一致的,基本是企业的数据中心前端。防火墙和UTM更多强调内网安全,它防护的企业对内部网络,防止内部用户访问非法网站,也防止整个公司内部的信息外泄。但是WEB应用防火墙,IPS保护的是Web服务器防止被攻击。” 目前在市场上,对WEB应用防火墙需求比较明确的客户,包含政府,军队,上市公司,以及银行和电信。另外,学校应用也比较多,教育系统都含有比较敏感的信息,所以教育行业WEB应用防火墙部署更加重要。
2.2 Web应用安全策略及方案配置
一个系统的安全策略及方案配置通常是通过三个阶段来完成。第一个阶段,上了WEB应用防火墙之后,首先针对后台应用进行扫描,以确定应用存在哪些漏洞。然后生成第一个版本的配置数据,比如如果发现用户校验有问题,那就加强这一块的防护级别。第二阶段,听取用户的需求,因为不同的行业,黑客所感兴趣的东西不一样,采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。这正是我们需要研究的环节。第三,Web应用防火墙本身是一个技术平台,针对不同行业防护策略是有差别的。防护策略的差别是通过原来最早的自动扫描,加上用户需求,加上Web攻击的属性三个来决定的。最终形成一个针对不同行业客户基于Web的技术解决方案。
2.3 价值之处
如此方案体现的价值:
第一:Web应用防火墙最大的价值不单纯在于它的安全防护,它的价值是一种应用交互的平台。比如:企业要上一套ERP系统,基于Web平台的,BS架构的。本来是希望找一个软件供应商三个月做完,需要具备所有功能。开发商所考虑的问题是功能性需求,如果开发商把安全性因素都考虑进来,开发周期至少会延长50%,甚至100%,所以对整个软件交付的周期和成本会非常高。但是有了WEB应用防火墙的策略方案就不一样了,开发商只要把功能做好就行了,因为前端的阻断功能WEB应用防火墙可以帮助企业完成,就是安全性的工作,这样交付周期会提高很快。
第二:系统上线以后可能存在一些功能需求变更,增加新功能要打补丁,就会有新的漏洞出现,意味着要面临新的安全威胁。这个时候WEB应用防火墙的策略方案功能又体现出来,也就是说WEB应用防火墙最核心的价值有两块,第一是缩短用户的应用交付时间,二是为用户的应用运维提供一个最低成本的方案。让很多企业知道部署WEB应用防火墙(WAF)的时候,不仅是防护网站, WAF最核心的功能是提升用户的应用交付周期,降低成本。
3 Web应用防火墙的发展前景
从中国目前现状来看,Web应用防火墙的市场成长非常快, Web应用防火墙每年平均市场增长率在200%以上。虽然成长很快,但潜力还有待于进一步挖掘,它的价值还没有被充分意识到。
随着对Web应用安全的更加细分,未来会出现比Web应用防火墙现有的功能需要更细分的一个产品,所以Web应用防火墙可能会演化为两种。第一种是被替代,Web威胁可能越来越细分了,一细分就需要单独的系统去管理。
另外,也有一些共性的趋势。比如是虚拟化,因为大型企业虚拟化的平台部署越来越多,整个Web应用防火墙的解决方案,虚拟化部署的比例会提高。
还有与云安全技术的结合,以前的Web应用防火墙更多是本地计算,比如说零日攻击,解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候,它能扫描以前的阻断方式是什么。
Web应用防火墙功能会越来越强大,这种功能强大不是单纯本身功能,而是说从一个产品变成一个平台,它会结合很多第三方的资源和专利技术,为用户提供更有针对性的,可定制化的安全解决方案。
Web应用防火墙以后的发展会从一个单纯的产品变成一个提供全部安全策略或者模式,能够应对更加细致的安全需求的方案。
结束语
综上所述,我们对网络安全现状、需解决的关键问题及发展前景这几方面进行了分析,我们还要不断地去探索和发现,使Web应用防火墙功能得到更加广泛的应用。
参考文献:
[1] 续蕾.基于WEB的防火墙应用及分析. 电脑学习.2009.
[2] 刘艳艳,李忠延.WEB应用跨多级防火墙访问资源解决方案.计算机系统应用,2010.
【关键词】SQL注入;Web应用防火墙;IPS;UTM
1 网络安全现状
随着互联网技术的飞速发展,政府、企业、公司和学校都在架设自己的网络平台,发布信息,交流通讯,发展态势方兴未艾,互联网就像一把双刃剑,人们在享受网络带来便利的同时,黑客攻击、病毒传播等网络弊病也时刻威胁着网络数据安全。这一点从来自黑客与安全厂商的信息、从来自科技领域与社会种种安全事件的信息等,都足以说明。
美国白宫近年不断发生电网遭网络渗透,军事项目遭黑客袭击以及银行系统遭电脑攻击等网络数据安全事件,总统奥巴马决定创建网络安全主管这一职位,任命曾担任eBay和微软网络安全官员的霍华德.施密特(Howard Schmidt)为白宫网络安全主管,以应对日益严重的网络数据安全威胁。奥巴马曾表示,网络安全“是我们面临的最严重的经济和国家安全挑战之一”,保护网络数据安全对美国的国家安全、公共安全、个人隐私等至关重要。
国外媒体报道,一名黑客称其成功攻入杀毒软件厂商卡巴斯基的一个包括敏感信息的数据库,获取了包括用户名单和卡巴产品bug等资料在内的大量敏感信息。该黑客称自己使用简单的SQL注入命令就成功攻入此数据库,该数据库内有大量卡巴斯基的产品与客户信息,包括用户名单,激活码,软件bug列表,管理员名单等,他还公布了屏幕截图和大量细节做为佐证,卡巴斯基拒绝对此置评,但两名安全专家浏览了这名黑客公布的资料后表示,卡巴斯基数据库被攻破导致资料外泄的情况属实。该黑客表示,只需对卡巴斯基网站的URL链接进行少许修改,网站上整个数据库的内容就一览无遗,只要修改一个参数,包括用户、激活码、软件 bug列表在内的资料就全部暴露在网上。如果稍通黑客工具的使用,任何人都能找到卡巴斯基网站的SQL注入漏洞所在。卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,卡巴斯基获得了独特的知识和技术,使得卡巴斯基成为了病毒防卫的技术领导者和专家。该公司的旗舰产品-著名的卡巴斯基反病毒软件(Kaspersky Anti-Virus,原名AVP)被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。如今卡巴斯基自己被黑客攻击真是天大的笑话。
在我国,网络数据安全问题同样不容乐观,据公安部统计,我国企事业单位发生网络数据安全事件的比例近年呈高发趋势,如熊猫烧香病毒、力拓间谍门、百度被黑,高校新生录取信息库被黑等数据安全事件等。所有这些事件都严重威胁国家数据安全,数据安全工作任重道远。
事实上,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络数据安全威胁的客观存在。随着网络的普及,黑客无处不在,网络病毒日益犯滥,无论是政府机构、军事部门,还是各大金融机构、公司,学校等只要与互联网接轨,就不可避免地面临数据安全威胁,网络数据安全已成为世界各国政府、企业面临的最大安全威胁。
2 需要解决的关键问题
2.1 研究内容
随着基于Web环境下的应用越来越普遍,企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高,然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据高德纳咨询公司(Gartner)(全球最具权威的IT研究与顾问咨询公司)的调查显示,目前成功的攻击案例中有75%发生在应用层而非网络层面上。同时,数据也显示,三分之二的Web站点缺乏有效的应用防护。
这里就涉及到Web应用防火墙的概念。它位于Web客户端和Web服务器之间,这些防火墙会在Web服务器前的应用层对HTTP流量进行检查,这些设备可以检测一个链接,分析用户对应用程序发出的命令,然后就可以分析出哪些是已知攻击,哪些是标准应用的演变。
目前Web应用安全面临三大问题:
第一种,拒绝服务攻击。比如某公司说DNS域名被篡改了,就意味着应用方面做得再安全也没用,这个网站已经被转接到另外一个服务器去了。
第二种,针对企业的Web网站后台数据库的更改,泄密和破坏。主要的攻击手段是SQL代码的植入,导致企业内部的数据损失或者是被更改。
第三种,网站挂马或者叫做跨站脚本攻击,套取访问用户的用户名、密码等。
Web应用面临的主要攻击和威胁,后两种居多。因为DNS被篡改这种方式有难度且偏少,后两者难度小一点但是很频繁。
Web应用防火墙(Web Application Firewall,WAF)与IPS(入侵预防系统)、防火墙、UTM等安全设备是不同的。从技术层面讲,IPS是深度的包检测的产品,属于高级的网络防火墙。IPS所保护的不仅仅是Web应用,IPS的检测是非常严格和标准化的,就导致一个问题,它对整个单纯的Web应用,包括SQL 注入的检查不是很专业,所以Web应用防火墙和IPS相比,它是更专业的基于Web防护的系统。
UTM是在网络防火墙基础上加上了部分的应用过滤功能,它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS,它们大部分功能还是在网络层,具有部分的应用层功能。而且,它们并不是针对Web应用,比如IPS,对后台很多种应用都可以进行防护,但是这个防护为粗略检查,比如说2个数据包先后被通过访问。这两个数据包利用时间差的关系,结合到一起能产生破坏力,这是IPS无法解决的问题。
“WEB应用防火墙”可以检查代码合成的用意,从而阻断非法的数据包访问。所以WEB应用防火墙,IPS和防火墙、UTM的差别,一个是在防护层面,另外是IPS是和WEB应用防火墙部署的点是一致的,基本是企业的数据中心前端。防火墙和UTM更多强调内网安全,它防护的企业对内部网络,防止内部用户访问非法网站,也防止整个公司内部的信息外泄。但是WEB应用防火墙,IPS保护的是Web服务器防止被攻击。” 目前在市场上,对WEB应用防火墙需求比较明确的客户,包含政府,军队,上市公司,以及银行和电信。另外,学校应用也比较多,教育系统都含有比较敏感的信息,所以教育行业WEB应用防火墙部署更加重要。
2.2 Web应用安全策略及方案配置
一个系统的安全策略及方案配置通常是通过三个阶段来完成。第一个阶段,上了WEB应用防火墙之后,首先针对后台应用进行扫描,以确定应用存在哪些漏洞。然后生成第一个版本的配置数据,比如如果发现用户校验有问题,那就加强这一块的防护级别。第二阶段,听取用户的需求,因为不同的行业,黑客所感兴趣的东西不一样,采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。这正是我们需要研究的环节。第三,Web应用防火墙本身是一个技术平台,针对不同行业防护策略是有差别的。防护策略的差别是通过原来最早的自动扫描,加上用户需求,加上Web攻击的属性三个来决定的。最终形成一个针对不同行业客户基于Web的技术解决方案。
2.3 价值之处
如此方案体现的价值:
第一:Web应用防火墙最大的价值不单纯在于它的安全防护,它的价值是一种应用交互的平台。比如:企业要上一套ERP系统,基于Web平台的,BS架构的。本来是希望找一个软件供应商三个月做完,需要具备所有功能。开发商所考虑的问题是功能性需求,如果开发商把安全性因素都考虑进来,开发周期至少会延长50%,甚至100%,所以对整个软件交付的周期和成本会非常高。但是有了WEB应用防火墙的策略方案就不一样了,开发商只要把功能做好就行了,因为前端的阻断功能WEB应用防火墙可以帮助企业完成,就是安全性的工作,这样交付周期会提高很快。
第二:系统上线以后可能存在一些功能需求变更,增加新功能要打补丁,就会有新的漏洞出现,意味着要面临新的安全威胁。这个时候WEB应用防火墙的策略方案功能又体现出来,也就是说WEB应用防火墙最核心的价值有两块,第一是缩短用户的应用交付时间,二是为用户的应用运维提供一个最低成本的方案。让很多企业知道部署WEB应用防火墙(WAF)的时候,不仅是防护网站, WAF最核心的功能是提升用户的应用交付周期,降低成本。
3 Web应用防火墙的发展前景
从中国目前现状来看,Web应用防火墙的市场成长非常快, Web应用防火墙每年平均市场增长率在200%以上。虽然成长很快,但潜力还有待于进一步挖掘,它的价值还没有被充分意识到。
随着对Web应用安全的更加细分,未来会出现比Web应用防火墙现有的功能需要更细分的一个产品,所以Web应用防火墙可能会演化为两种。第一种是被替代,Web威胁可能越来越细分了,一细分就需要单独的系统去管理。
另外,也有一些共性的趋势。比如是虚拟化,因为大型企业虚拟化的平台部署越来越多,整个Web应用防火墙的解决方案,虚拟化部署的比例会提高。
还有与云安全技术的结合,以前的Web应用防火墙更多是本地计算,比如说零日攻击,解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候,它能扫描以前的阻断方式是什么。
Web应用防火墙功能会越来越强大,这种功能强大不是单纯本身功能,而是说从一个产品变成一个平台,它会结合很多第三方的资源和专利技术,为用户提供更有针对性的,可定制化的安全解决方案。
Web应用防火墙以后的发展会从一个单纯的产品变成一个提供全部安全策略或者模式,能够应对更加细致的安全需求的方案。
结束语
综上所述,我们对网络安全现状、需解决的关键问题及发展前景这几方面进行了分析,我们还要不断地去探索和发现,使Web应用防火墙功能得到更加广泛的应用。
参考文献:
[1] 续蕾.基于WEB的防火墙应用及分析. 电脑学习.2009.
[2] 刘艳艳,李忠延.WEB应用跨多级防火墙访问资源解决方案.计算机系统应用,2010.