软件说明
1.产品概述 当今,在大多数的安全评估报告中,Web安全风险都占据了大量的版面,SQL注入漏洞、XSS跨站脚本漏洞等Web应用安全隐患已经成为报告中的常客。面对如此严峻的安全形势,虽然IT管理人员已意识到Web安全问题的重要性,但传统安全防护设备(防火墙系统、入侵检测系统等)由于设计目标的不同,主要针对网络层安全防护,在针对Web系统应用层攻击进行防护时往往力不从心。 对于机构的IT决策者来说,面临的更大挑战在于如何缓解针对Web业务的各类安全威胁,高效保障Web应用的可用性、可靠性、优化业务资源和提高应用系统敏捷性。针对这一情况,产生了不同的解决方案。传统的防篡改软件系统主要针对网站文件内容进行防护,但随着Web技术的发展,大量的网站系统使用动态交互应用,允许访问者提交一些交互信息,比较流行的SQL注入、XSS跨站攻击均是利用这一特性的攻击方式,而传统的防篡改系统对于这些交互数据信息的防护往往比较缺乏。在此种情况下,同时注重网站文件内容防护与用户提交数据审计的网站应用安全防护系统应运而生。 2.产品介绍 UnisGuard网站应用安全防护系统是一套用于Web系统安全防护的软件系统。UnisGuard系统采用B/S架构进行设计(同时具备C/S版本),需要安装客户端软件在防护的Web系统主机之上。 UnisGuard系统的防护功能主要由安装在Web服务器上的客户端实现,分为两大模块:静态防护模块及动态防护模块。静态防护模块负责对网站服务器上的文件内容部分进行防护,而动态防护模块负责对访问提交数据进行防护。 不同于传统的防篡改软件,UnisGuard系统不仅重视对网站文件内容的保护,同时极大的增强了对访问提交数据的审计功能(目前威胁较大的SQL注入攻击、XSS跨站攻击等均属于利用提交数据进行的攻击)。另外,UnisGuard系统使用了全新的触发式同步引擎,能够更好的完成实时增量同步,包证了网站系统发布更新的稳定。 2.1静态防护(针对文件) 对于当代的操作系统来说,所有硬件、软件程序以及操作系统本身对磁盘文件的操作都要通过操作系统的驱动部分来进行,也仅有驱动层才能最终将要进行的文件操作传达给磁盘存储设备,从而读取或改变其内容。通过嵌入并控制这条的途径,UnisGuard系统可以捕获所有的磁盘文件操作请求,从而对其进行审计。 当驱动层接收到一个进行文件操作的请求,如读取、修改、删除等时,就产生一个文件操作事件,该事件将使系统的状态参数发生变化并最终指挥磁盘及其他设备协同完成任务。当操作系统产生一个磁盘文件操作事件时,UnisGuard系统就能够通过文件驱动层捕获这一事件,通过识别其是否针对被保护路径,进行相应的放行或阻止操作。 UnisGuard系统可以根据设定的防护路径对其下的所有文件及路径进行保护,也可根据设置对其中的部分文件及路径进行保护。当有任何软件程序、进程企图对磁盘上该路径下的被保护文件或路径进行修改、删除或新增等操作时,相应的操作被发送到主机操作系统,而UnisGuard系统会在这时进行合法性检测。系统默认针对原始网站路径的任何修改操作均为非法,也可设定放行进程(只允许特定进程修改文件)。 由于任何对磁盘上文件进行的操作都是经过操作系统来进行的,UnisGuard系统利用这一特性,在系统驱动层拦截所有针对被保护路径的修改、删除与新增等磁盘操作,进行合法性检测,从而达到对网页文件篡改的检测及处理目的。 2.2动态防护(针对web访问提交数据) 目前的网站系统普遍使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网站系统一般由网页脚本和内容组成:网页脚本以文件形式存在于Web服务器上;网页内容则取自于数据库。 UnisGuard系统的动态防护模块采用核心内嵌技术,与Web服务(IIS、Tomcat、Apache等)紧密结合,能够捕获所有的Web连接请求,可以对用户提交的数据内容及访问请求进行合法性检测,支持对SQL注入(盲注)攻击、XSS跨站攻击等各种利用访问提交数据的攻击方式的检测,对其进行过滤与保护。 动态防护模块内嵌于Web服务,能够对所有用户访问提交数据进行黑名单方式过滤,将包含攻击特征的请求进行过滤或完全阻断,从而实现对数据库及动态应用的保护。以注入攻击为例,由用户提交的包含非法数据库查询、更新、删除语句等特征的攻击请求将被阻止,而正常的交互操作则不受影响 2.3连续篡改攻击防护 对于大规模连续的篡改,UnisGuard系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为,提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用,极大的降低了应用程序的处理负担,有效的提高了应有工作效率。 而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时,需要每次通过应用层插件计算校验匹配,由于不能阻止篡改发生,这些软件需要不停的重复恢复原始网页内容,极大的占用系统资源和网络资源,并可能造成显示错误页给访问用户。 2.4网站访问保障 UnisGuard系统对原有网站的正常浏览访问不造成任何影响。首先,对于页面文件来说,一般正常的访问不会导致网站页面的更改,而UnisGuard系统只有在检测到有对页面文件进行修改的行为时才会对该行为进行拦截,而其他的系统操作与UnisGuard系统无关,不受影响。 假如网站使用特定的内容发布系统,则可在UnisGuard系统中进行相应设置,对该发布系统进程产生的文件操作不做检测直接放行,从而不会对原有发布流程产生任何影响。因此,正是由于UnisGuard系统采用了事件触发式的运作方式,才保证了对服务器的资源耗用始终保持在极低的水平。 其次,UnisGuard系统不会占用对外连接数及网络带宽,因此不会消耗访问资源。 2.5增量发布更新 UnisGuard系统在安装后会默认对任何修改网站文件内容的操作进行阻止,因此,网站的发布更新一般在同步路径完成。UnisGuard集成了同步发布更新功能。该功能采用先进的触发式算法将同步路径下的文件内容自动增量同步到网站原始路径,无须人工干预。 正是由于UnisGuard系统基于操作系统文件驱动层的事件触发机制,保证了自动增量同步功能的高效可靠。当针对备份路径的文件内容进行修改时,UnisGuard系统可以通过驱动层截获这一请求,在操作完成后可以自动将修改的部分增量同步到网站原始路径。这样保证了网站原始路径及备份路径内容的一致性,也实现了对备份路径进行发布时,自动增量同步至原始路径的功能。 另外,根据原有的更新方式,UnisGuard系统可以做出相应设置以进行适应,达到尽量不改变发布操作流程的效果。比如,安装UnisGuard系统之前使用FTP方式更新文件,那么在UnisGuard系统中就可以设定将FTP进程的所有操作放行。这样就使得只有通过FTP方式进行的文件更新才是合法的,而通过其他的方式进行的更新操作都是非法的。UnisGuard目前可以针对大部分的网站更新方式做出适应,包括主流的内容发布系统、FTP上传、控制台更新等。 2.6日志告警 一旦系统监测到非法操作行为,UnisGuard系统立即以预设的告警方式通知相关维护人员,告警方式包括邮件,控制台,短信(短信报警需具备短信发送装置)及Syslog日志传输方式等。 系统提供完整的日志记录(包括系统操作日志和攻击防护日志),并支持对日志信息的查询和审计。系统操作日志记录了所有用户(包括超级用户和各个管理员)的操作记录,如更改策略、打开关闭保护、增删保护路径、备份恢复、增删管理员等。 攻击防护日志则记录了系统收集到的所有非法操作信息,包括非法文件操作及非法动态攻击,以及进行的相应操作等。 3.为什么选择日志分析系统 3.1产品优势 彻底阻断篡改 采用文件驱动技术及事件触发机制,能够彻底阻断篡改攻击而不是等待网站文件内容被篡改后再恢复。该机制在暴力篡改(利用脚本或者程序对多个文件连续反复篡改)情况下能够更完善的保障系统安全。 系统资源消耗低 防护采用触发机制,一般只在网站发布更新或承受攻击时触发审计运算,系统消耗平均为2%,能够更好的保障Web系统的正常运行。相比同类产品使用的对比恢复机制,UnisGuard系统不会一直进行对比恢复运算,在暴力篡改的环境下,频繁的对比恢复会导致系统崩溃。 实时增量更新 同步也采用触发机制,能够实时响应增量更新。相比同类产品的轮询式更新检测方式,触发式的增量更新系统资源占用更小,更新速度更快,效率更高。 广泛适应主流平台 UnisGuard系统能够有效针对主流服务器平台及操作系统进行防护,包括HP-Unix、IBMAIX、SunSolaris(支持Zone)、Windows、Linux等各种操作系统,能够支持主流的Web应用,包括IIS、WebLogic、WebSphere、Apache、Tomcat等各种Web应用,能够支持主流的数据库防护,包括SQLServer、Oracle、Sybase、Informix、DB2等。 3.2系统收益 UnisGuard网站应用安全防护系统(以下简称为 UnisGuard系统 )是针对网站系统的应用层进行安全防护的自动化工具,主要防护项目包括XSS跨站脚本、SQL注入等常见的Web应用程序安全问题,其系统收益主要体现在以下几点。 lWeb安全防护支持(防篡改保护) 在大部分情况下,Web应用系统都处在网络的边界,24小时连续运行,是最容易受到攻击的系统之一。在受到攻击之前,IT管理人员必须做出有效的安全建设决策,通过修复漏洞或添加安全设备等方式解决安全隐患。UnisGuard系统正是基于这一需要而进行设计的,它能够帮助IT管理人员自动防护Web系统的应用层安全,而不必明确的知道Web系统是否存在应用层漏洞,或存在哪些漏洞,为Web安全防护工作提供有力的支持。 全新的UnisGuard系统是在原有防篡改系统的基础上进一步加强了动态防护能力后的新一代产品,具备原有防篡改系统的全部优越特性,能够更好的对Web系统提供防篡改保护。 lWeb安全发布支持 一般的网站更新发布,会直接发布到Web路径,具备可写权限的Web路径常常是导致安全风险的薄弱环节。假如使用UnisGuard系统提供的同步方式,可以有效避免Web路径开放不必要的可写权限,保证原有文件内容的安全,同时也保证不会被写入恶意文件脚本。 l合规性建设支持 在许多的国际标准、国家规定、行业规范中都提到了应当对信息系统进行安全防护,特别是针对处在公网环境下的Web系统。比如支付卡行业数据安全标准(PCI-DSS)、萨班斯法案(SOX)、国家信息安全等级保护相关标准、通信网络安全防护管理办法等等。 传统的安全防护产品(防火墙系统、入侵检测系统等)主要针对的是网络层漏洞,而Web应用漏洞往往是由于Web应用程序的设计、配置失误所导致的,其防护原理是完全不同的。因此为了满足安全合规性要求,不仅应当使用传统的安全防护产品,还应当使用针对Web应用安全进行防护的产品,获得Web应用层的安全保护,构建全方位的防护体系。 lWeb安全管理支持 越来越多的大型组织已经意识到信息安全管理、风险管理、信息系统缺陷管理的重要性,且正在着手建设相关的信息管理系统。作为针对Web系统的安全防护工具,UnisGuard系统将提供基于Web应用安全防护的关键信息,提供统一的、可审计、可定位、可追溯的Web应用安全数据,为组织的整体安全管理工作提供可靠的数据支撑。