基于SaaS模式的Web云安全防护

2017-12-25◆尹辉

网络安全技术与应用 2017年12期

关键词：漏洞页面监测

◆尹辉

(山东司法警官职业学院山东 250014)

基于SaaS模式的Web云安全防护

◆尹辉

(山东司法警官职业学院山东 250014)

针对目前网站的安全现状，通过对传统网站安全解决方案存在问题的分析，提出了基于SaaS模式的Web安全解决方案，并阐述了该方案的优势。

SaaS；Web；云安全

0 前言

在“互联网+”背景下，大数据、云计算、移动互联技术的发展为网络应用者带来越来越多的便利，同时也对网络安全性提出更高的要求，安全的量和质打破了网站传统的安全防御体系。基于SaaS模式的web云安全防护体系是在大数据分析背景下，数据驱动安全，高效精准解决web安全问题。

1 SaaS概念

SaaS是Software as a Service的简称，客户向厂商定购应用软件服务，通过互联网获得服务，按照服务内容和时间长短支付费用。用户通过互联网使用软件和服务，企业为客户提供软件离线操作及本地数据存储，省去客户投资购买和维护设备及应用程序的开发工作，是效益最高的一种营运模式。基于SaaS模式的web云安全防护就是安全以服务的方式，向用户在线交付。

2 网站安全现状

截至2016年12月，中国网站总数为482万个，根据2016年中国互联网安全报告，国内46.3%的网站存在安全漏洞，安全形势非常严峻。37188个网站漏洞中事件型漏洞占93.9%，通用型漏洞占 6.1%。50.6%是高危漏洞，35.4%是中危型漏洞，只有14.0%是低危型漏洞。应用程序错误信息占 24.4%，服务器路径泄露（由异常页面导致的）占19.8%，跨站脚本攻击漏洞占16%，SQL注入漏洞占 7.9%，发现目录启用了自动目录列表功能占3.0%，发现敏感名称的目录漏洞占2.8%，IIS短文件名泄露漏洞占2.6%，WEB服务器启用了OPTIONS方法占2.3%，发现robots.txt文件占2.3%，Mysql可远程连接占1.7%，其它占17.2%。

为获取网站数据库信息和管理员账户信息，利用SQL注入暴库、脱库成为主要攻击方式。根据2016年补天平台收录网站漏洞类型分布，SQL注入占44.9%，命令执行占14.0%，弱口令占11.7%，信息泄露占11.1%，逻辑漏洞占3.3%，其他占15.0%。

2016年网站卫士拦截漏洞攻击类型主要是 SQL注入占39.8%，扫描器攻击占 11.2%。在 197.9万个监测网站数据中有4.2%的网站被篡改了页面内容或置入了色情、博彩信息。2015年中国网站安全报告，在扫描的21854台服务器中有18.7%的服务器被留了木马后门程序。

DDOS攻击带宽 70.5%小于 1M，66.2%的攻击时长为60s-600s。被 DDOS攻击的网站，23%会无法访问，18%的网站访问速度会受到影响。由此可见，网站安全形势不容乐观，针对网站的安全问题成为安全厂商的工作重点之一。

3 传统网站安全解决方案

传统的网站安全解决方案是在总部数据中心对网站进行Web漏洞扫描和网站安全监测，主要安全防护设备由抗DDOS设备、防火墙、IPS、WAF组成，如图1所示。

图1 传统网站安全解决方案

由设备厂商进行设备升级，更新速度慢、不及时，设备策略配置复杂，运行维护难度大。同时，在监测过程中，误报率高，日志报表不好理解。抗DDOS攻击设备防护能力差，出口带宽被占满后设备失效。无法实时监测DDOS攻击和钓鱼网站。传统的网站安全方案存在很多弊端，主要有：

（1）防火墙局限：传统的防火墙主要工作在 OSI模型三、四层，它无需理解Web应用程序语言，基于IP报文进行检测，无需理解HTTP会话。防火墙不能对HTML应用程序用户端的输入进行验证，不能检测到被恶意修改过参数的URL请求。

（2）入侵防御系统不足：传统 IPS设备主要注重防护，不能进行事前预防。由于安全漏洞的存在导致系统安全受到威胁。仅防护不能彻底消除安全隐患，需要使用 Web应用漏洞扫描工具，进行事前预警，提前发现安全隐患，保证系统安全。

（3）传统WAF能力所限：传统WAF虽然理论值能让防御率到达99%以上，但在不影响访问效率的前提下，任何WEB防御规则最多只能防御70%左右的攻击。传统WAF在接近标称值一半流量并开启全部规则的情况下几近宕机。且在新漏洞爆发时，升级受厂家本地支撑能力限制，无法第一时间进行漏洞库升级。

（4）无法阻止DDOS大流量攻击防护：传统串联到链路上的抗DDOS攻击设备，对CC攻击及小流量的DDOS攻击可有效防御，但对超过链路带宽的DDOS攻击则无能为力。

（5）节假日、重要时期安全保障：节假日及重要时期，攻击相对比较频繁，且相关的安全运维人员较少，门户网站保障力度不够。

（6）网站唯一运营商链路：没有CDN加速功能，其他运营商用户或省外用户访问速度相对较慢。

4 基于SaaS模式的系统安全性分析

SaaS系统中存放大量客户的业务数据，保障数据安全是其工作中的重中之重，安全性保障主要包括资源存取控制安全和数据安全。

4.1 访问控制

（1）集中认证：SaaS系统授权客户系统管理创建、删除、管理账号，后台系统会在中央数据库中验证用户信息对合法用户赋予相应权限。

（2）分散认证：用户登录时，可通过在本地存储的身份信息数据库中进行认证，并被授予一个令牌，通过令牌信息到SaaS系统进行认证，再接受授权。

4.2 数据安全

采用代理客户身份信息访问系统数据库，系统进程与用户无关，无需考虑单用户访问数据库时的安全性控制。对数据表权限的控制是通过 GRANT命令来实现。如：GRANT SELECT，UPDATE，INSERT，DELETE，ON [TableName]FOR[UserName]。对数据内容采用对称加密和非对称加密的方式来保障数据安全。

5 基于SaaS模式的Web安全解决方案

基于对 SaaS模式下系统安全性的分析，相对应的安全解决方案应重点解决访问控制及数据安全等问题。

如图2、图3所示，分别为基于SaaS模式的Web安全解决方案及其设计框架。

图2 基于SaaS模式的Web安全解决方案

图3 基于SaaS模式的Web安全解决方案设计框架

基于 SaaS的网站云安全防护系统主要包括安全云防护系统和网站云监测系统。安全云防护包括DNS高防、抗DDOS攻击、Web攻击防护、防网页被篡改。网站云监测系统可以监测网站漏洞、钓鱼网站、挂马程序、管理员未知的网站域名资产、数据库数据被篡改和恶意敏感词，在云端对用户的网站进行扫描、防护和监测。

安全云防护通过用户修改 DNS指向云端防护系统，对网站进行云端替身防护，可隐藏服务器 IP地址，防止黑客攻击。抗DDOS攻击时，检测到CC攻击，会通过自动流量建模技术阻断CC攻击，也可以定制防护策略进行防护，运用大数据分析提供网站攻击报表。

基于 SaaS的网站云安全防护系统，主要从以下几个方面进行网站的安全防护。

5.1 安全预警

由于 IT资产数量逐年增加、业务更新频繁、部署的服务种类繁多导致资产状态模糊，对于网上批露的漏洞突发时间，无法第一时间确认受漏洞影响的范围，响应速度慢。安全预警平台，可进行资产普查、漏洞检查及风险预警。平台基于指纹识别技术，可对网络设备、安全设备、服务器、操作系统、数据库、中间件、工业控制设备等进行详细的指纹识别，包括资产类型、厂家、版本、框架、组建、CMS等，做到全网资产准确识别定位，一旦有突发漏洞事件，可立即获知漏洞影响范围，并结合平台自身的漏洞扫描功能，对识别出的资产进行安全检查，可获得准确的漏洞检测结果。

5.2 网站监测

如图4所示为安全云监测示意图。

图4 安全云监测

（1）网站平稳度监测

从多个运营商网络线路远程实时监测目标站点在多种网络协议下的响应速度、首页加载时间等反映网站性能状况的内容，一旦发现网站无法访问，根据事先定义好的网站通断级别，第一时间通知相应的用户。并告知其通断时长以及详细链路、协议以及各监测点的诊断信息。

（2）网站域名监测

从运营商网络线路远程实时监测各地主流ISP的DNS缓存服务器和用户 DNS授权服务器的可用性，以及它们对被监测域名的解析结果情况。一旦发现用户域名无法解析或解析不正确，第一时间通知用户。

（3）网页挂马及黑链监测

安全云平台中的智能挂马检测技术，能够高效准确识别网站页面中的恶意代码，以及黄赌毒等词汇的恶意链接，能够使网站管理员确定网站的安全状态，及时发现并清除网页木马及黑链，消除安全威胁，保障网站信誉。

（4）网页篡改监测：实时监测目标站点页面状况，发现页面被篡改情况，第一时间通知用户。

（5）网页敏感内容监测

远程实时监测目标站点页面状况，发现页面出现敏感关键词，及时作出反映。

5.3 Web云防护

用户需将Web的DNS解析指向到云防护平台，由云防护平台完成一切安全防护工作，无需迁移网站，无需在链路上增加设备。如图5所示。

图5 Web云防护

（1）评估：全面扫描目标站点主机漏洞、WEB漏洞，扫描WASC25种Web应用漏洞，覆盖OWASP Top 10 Web应用风险。

（2）监测：专家团队7*24小时监视、分析。对网页挂马、篡改内容、敏感内容进行完整性监测；对多线路网站平稳度、域名解析、认证、钓鱼网站进行可用性监测。

（3）防护：7*24小时云端专家支持。DDoS防护可进行本地清洗、云端清洗、二合一对抗DDoS；Web防护可进行WAF+云端专家防护、持续优化防护规则、精准拦截 Web攻击，全面抵御OWASP Top 10 Web应用风险。

（4）防护设置：防火墙可防护SQL注入、命令注入、跨站脚本、跨站请求伪造、信息探测等攻击；智能攻击防御可精准识别上百种自动化扫描和攻击软件，并阻断其所有请求，减少90%以上的来意攻击；协同防御可进行 Web云防护系统整体防御，全网拦截任何攻击过Web云防护系统的攻击者IP；境外访问控制可限制境外 IP进行访问。由于攻击者大量使用国外跳板进行攻击，开启本功能可极大减少此类威胁；WebShell防护可防止黑客上传、访问WebShell（网站后门）。

（5）防篡改设置：Web云防护系统在重要时期及封网时期保障网站100%安全，不被黑客攻破和篡改；同时禁止非授权IP访问网站后台管理地址或重要页面；可以锁定页面关键资源避免关键资源受篡改而影响页面；并确保网站永久在线，发现页面不可访问可立即恢复；同时可防止黑客进行“撞库”攻击，保护网站敏感数据不被泄露。

（6）过滤设置：关键词设置检查本站内容，过滤和替换敏感信息、反动言论和淫秽内容；防盗链保护网站图片、压缩包等资源文件不被其它站点盗用。

（7）整站设置：拦截黑白名单，可设置不进行防护的IP地址，不允许访问的IP地址和不经过防护的URL地址；夜间模式针对夜间网站更新频率较低、黑客攻击比较频繁的情况进行设置，可提高防护等级，大幅降低网站被黑可能性；也可设置临时屏蔽IP的屏蔽时间。

5.4 互联网漏洞扫描

通过远程安全评估系统对目标设备的漏洞、用户名与口令、安全策略等方面进行远程扫描和评估，并对扫描报告进行分析并出具相应报告。主要提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。漏洞扫描主要针对的操作系统如 Windows、发行版 Linux、AIX、UNIX 通用、Solaris、FreeBSD、HP-UX、BSD 等主流操作系统；数据库主要有Oracle、MySQL、MSSQL、Sybase、DB2、Informix 等主流数据库；常见应用服务主要有Apache、IIS、Tomcat、Weblogic等主流应用服务；以及常见 FTP、EMAIL、DNS、TELENT、 POP3、SNMP、SMTP、Proxy、RPC 服务等；Web 应用程序主要针对 ASP、PHP、JSP、.NET、Perl、Python、Shell 等语言编写的 WEB 应用程序；网络设备主要针对常见的路由器、交换机等设备。

5.5 人工渗透测试

基于对攻击者能力的全面了解，推演可能攻击方式的威胁测试手段。注重对抗性，实现攻击路径的模拟、安全功能的测试。测试包括黑盒测试和白盒测试，是互联网漏洞扫描服务的一种很好的补充，尤其弥补了漏洞扫描设备在业务逻辑漏洞探测方面的不足。

5.6 应急保障

即当安全技术人员发现黑客入侵、网络流量异常、拒绝服务攻击等影响系统正常工作的情况时要采取的措施和行动。基于SaaS云安全解决方案，能与公有云、电子政务云、行业云、私有云等进行云部署。对 0day漏洞及时响应、统一升级规则；提供全年无休在线后台支持和策略优化服务；基于安全事件大数据分析，误报率极低；实时监测DDOS攻击，能对钓鱼网站进行分析。

6 基于SaaS模式的web云安全防护的优势

安全以服务的方式，向用户在线交付。此种模式改变了厂商的销售模式，由软硬件产品供应商变为服务提供商；降低了客户的使用门槛，由全额支付变为按流量、时长支付；改变了产品形态，由硬件设备变为软件模块，在宿主系统中运行；支持安全资源动态伸缩，资源池由固定变为按需配置；提供实时运维服务，运维模式由用户运维变为厂商运维。