學校Web應用系統安全解決方案
【51CTO.com 綜合消息】隨著網絡信息技術的發展與普及,目前幾乎所有的高校甚至部分中小學,都采用各類信息系統對學校的各類數據包括圖書館管理系統、學生成績計分系統以及對外宣傳服務平臺等進行統一管理,給學校的數據管理帶來便利。然而,不管是在互聯網或者是校園網,黑客攻擊事件層出不窮,越來越多針對著名高校所進行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進行的數據篡改以及惡意掛馬等行為,嚴重危害學校互聯網和校園網安全。對于以名譽及教學質量為重的學校而言,風險極大。
本文結合學校應用系統自身的典型架構,分析當前學校應用系統存在的安全風險以及當前主流安全解決方案的局限性,針對學校應用系統存在的安全風險,制定出完善實用的安全解決機制。
1 系統概述
1.1 學校應用系統安全概述
隨著網絡信息技術的發展與普及,目前幾乎所有的高校甚至部分中小學,都采用各類信息系統對學校的各類數據包括圖書館管理系統、學生成績計分系統以及對外宣傳服務平臺等進行統一管理,給學校的數據管理帶來便利。
然而,人們在享受互聯網帶來的便捷的同時,也承受著層出不窮的網絡安全威脅。不管是在互聯網或者是校園網,黑客攻擊事件層出不窮,越來越多針對著名高校所進行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進行的數據篡改以及惡意掛馬等行為,嚴重危害學校互聯網和校園網安全。對于以名譽及教學質量為重的學校而言,風險極大。
1.2 典型應用架構
學校應用系統一般至少包括以下多個系統:對外服務網站、教務管理系統、圖書管理系統、財務管理系統以及教職員工信息管理系統等。
圖一 武漢大學對外服務網站
圖二 武漢大學教學管理系統
1.3 安全分析
1.3.1 安全現狀分析
近一段時間,針對學校WEB應用系統進行的黑客攻擊行為以及掛馬事件層出不窮,帶了巨大損失。
“復旦大學”、“廈門大學”等網站被掛馬
“北京大學檔案館”、“中國政法大學社會學院”等網站被掛馬
1.3.2 典型安全措施
目前應用系統典型安全防護措施主要通過SSL安全代理、防火墻、IDS/IPS 、軟件防火墻/防病毒四層防護。
1、 防火墻
(1) 只能檢測網絡層的攻擊
(2) 無法阻攔來自網絡內部的非法操作
(3) 無法動態識別或自適應地調整規則
(4) 對WEB應用,端口80或443必須開放
2、 IDS/IPS
(1) 只檢測已知特征
(2) 對數據層的信息缺乏深度分析,誤報/漏報率很高
(3) 沒有對session/user的跟蹤,不能保護SSL流量
3、 軟件防病毒/防火墻
(1) 被動檢測機制,只檢測已知病毒或木馬
(2) 無法識別外部正常訪問請求
很多用戶認為,在網絡中部署多層的防火墻,入侵檢測系統(IDS),入侵防御系統(IPS)等設備,就可以保障網絡的安全性,就能全面立體的防護WEB應用了,但是為何基于WEB應用的攻擊事件仍然不斷發生?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限。目前的大多防火墻都是工作在網絡層,通過對網絡層的數據過濾(基于TCP/IP報文頭部的ACL)實現訪問控制的功能;通過狀態防火墻保證內部網絡不會被外部網絡非法接入。所有的處理都是在網絡層,而應用層攻擊的特征在網絡層次上是無法檢測出來的。IDS,IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量,和攻擊特征庫進行匹配,從而識別出以知的網絡攻擊,達到對應用層攻擊的防護。但是對于未知攻擊,和將來才會出現的攻擊,以及通過靈活編碼和報文分割來實現的應用層攻擊,IDS和IPS同樣不能有效的防護。
目前由于學校WEB應用系統安全解決方案自身的局限性,導致學校WEB應用系統無法應對日新月異的安全攻擊,特別是目前主流基于WEB應用的安全攻擊手段。#p#
2 WEB應用威脅
2.1 WEB應用安全概述
WEB應用系統直接面向Internet,以WEB應用系統為跳板入侵服務器甚至控制整個內網系統的攻擊行為已成為最普遍的攻擊手段。據某搜索網站統計,目前70%以上的攻擊行為都基于WEB應用系統。WEB應用系統安全關系到整個網絡站點甚至內部敏感信息安全。
目前,大多數WEB站點與學校內部數據管理應用結合在一起,特別是大部分學校對外服務網站都與其內網系統相關聯,通過入侵WEB應用系統,以應用服務器為跳板實現對銀行內部系統進一步入侵,由此引發的信息泄露,信息篡改及重要數據破壞等惡意攻擊行為極大著威脅著學校及學生信息安全。筑建網絡信息安全的第一道防線,基于WEB應用系統的防護方法研究迫在眉睫。
2.2 WEB應用威脅
2.1.1 WEB應用威脅簡介
2008年,國際信息安全權威組織OWASP提出,目前最具危害性,利用率最高的十大安全漏洞如下:
安恒根據長期針對網上銀行業務系統的安全評估結果,就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三種網上銀行應用系統主要存在問題進行詳細介紹。
2.1.2 SQL注入攻擊
SQL注入漏洞的產生原因是網站程序在編寫時,沒有對用戶輸入數據的合法性進行判斷,導致應用程序存在安全隱患。SQL注入漏洞攻擊就是是利用現有應用程序沒有對用戶輸入數據的合法性進行判斷,將惡意的SQL命令注入到后臺數據庫引擎執行的黑客攻擊手段。
SQL注入攻擊技術就本質而言,它利用的工具是SQL的語法,針對的是應用程序開發者編程中的漏洞,當攻擊者能操作數據,向應用程序中插入一些SQL語句時,SQL Injection攻擊就發生了。
實際上,SQL注入攻擊是存在于常見的多連接的應用程序中的一種漏洞,攻擊者通過在應用程序預先定義好的查詢語句結尾加上額外的SQL語句元素,欺騙數據庫服務器執行非授權的任意查詢。
圖一 SQL攻擊實例
2.1.3 XSS跨站攻擊
跨站腳本攻擊簡稱為XSS又叫CSS (Cross Site Script Execution),是指服務器端的CGI程序沒有對用戶提交的變量中的HTML代碼進行有效的過濾或轉換,允許攻擊者往WEB頁面里插入對終端用戶造成影響或損失的HTML代碼。
跨站腳本漏洞攻擊不是對服務器的實際攻擊,而是利用服務器把訪問該站點的用戶作為攻擊目標。當用戶瀏覽該頁之時,嵌入其中WEB里面的HTML代碼會被執行,從而達到惡意用戶的特殊目的,如獲取其他用戶Cookie中的敏感數據、屏蔽頁面特定信息、偽造頁面信息、拒絕服務攻擊、突破外網內網不同安全設置、與其它漏洞結合,修改系統設置,查看系統文件,執行系統命令等。
XSS漏洞很容易在學校WEB應用系統中發現。XSS漏洞攻擊是最為常見的基于WEB應用系統漏洞,面向客戶端的攻擊手段。
某著名大學XSS跨站演示
2.1.4 表單繞過攻擊
WEB網站采用表單來收集訪問者的用戶名和密碼以確認其是否具有足夠權限訪問某些保密信息,然后該表單被發送到 Web 服務器進行處理。接下來,服務器端ASP腳本根據表單提供的信息生成SQL指令語句提交到SQL服務器,并通過分析SQL服務器的返回結果來判斷該用戶名/密碼組合是否有效。表單繞過攻擊就是指利用表單存在的安全漏洞,通過構造一些畸形的特殊提交語句,繞過表單安全認證的一種攻擊手段。
例1:某大學分析測試中心后臺管理系統存在表單繞過漏洞,可直接獲取后臺管理權限。
例2:某大學教務處后臺管理系統存在表單繞過漏洞,可直接獲取后臺管理權限。
#p#
3 多層防護系統建設
網站系統基本的組成為網站代碼和后臺數據,在系統結構方面由WEB服務器和數據庫服務器構成,所以安全關注方面應該涵蓋WEB服務器的安全及數據庫服務器的安全。
從整體的應用安全防護角度出發,通過網站的整體安全檢測、主動防御、監控審計三部分的全面部署,是網站系統的應用安全配置達到比較高的水平,促使網站系統運行在比較安全的應用環境。
所以整體多層防護系統由網站WEB應用弱點掃描子系統、網站防攻擊子系統、網站防篡改子系統、網站應用安全審計子系統、網站數據庫弱點掃描子系統、網站數據庫安全審計子系統總共7大子系統構成,從各個層面和各個角度為網站系統建立立體防御體系。
網站的整體安全檢測由網站WEB應用弱點掃描子系統和數據庫弱點掃描子系統來完成。首先由網站WEB應用弱點掃描子系統通過掃描,快速檢測網站可能存在的SQL注入、跨站腳本、表單繞過、Cookie注入、程序后門等應用弱點,根據檢測結果能夠針對性的采取有效的安全加固措施。通過數據庫弱點掃描子系統能夠有效檢測作為網站后臺支撐的數據庫系統,快速識別數據庫系統存在的補丁狀況、弱配置狀況等安全隱患,通過有效應對,盡可能防范通過各種途徑對后臺數據的入侵。
主動防御由網站防攻擊子系統、網站防篡改子系統共同來完成。防攻擊子系統通過實時檢測和分析所有的訪問請求,識別各類惡意訪問和攻擊,實行阻斷且快速報警,并形成日志。通過防篡改子系統的防護,可以保護網站相關頁面不被篡改,杜絕非法內容的外流,防止由于網頁篡改給單位帶來的形象上及經濟上的損失。
監控審計通過網站應用安全審計子系統、網站數據庫安全審計子系統實現。網站應用安全審計子系統平臺通過深度檢測所有的HTTP訪問數據,實現對網站訪問進行7x24小時實時監控,通過系統可以一目了了的了解網站被訪問的情況,一旦檢測到異常訪問和攻擊行為,系統會及時報警,并且以各種方式通知網站維護員,從而可以在第一時間采取相關安全應急措施。系統的日志功能,為安全審計提供了基礎,日志信息包括詳細的訪問信息及訪問內容,為對各類攻擊及異常訪問的完整追溯提供了基礎。網站數據庫安全審計子系統能夠檢視所有的針對數據庫服務器的訪問,除了日常的SQL,還包括通過FTP、TELNET等其他的訪問方式,可以實現后臺數據庫運行可視化、日常操作可監控、危險操作可控制、所有行為可審計、安全事件可追溯。
防護體系結構圖
3.1 網站系統的安全檢測
3.1.1 網站WEB應用弱點掃描子系統
主要功能:
◆深度掃描:以風險為導向對WEB應用進行深度遍歷,獲得后臺數據庫信息及WEB應用列表
◆WEB漏洞檢測:對各類典型Web漏洞(如:SQL注入、Xpath注入、XSS、表單繞過、表單弱口令、各類CGI弱點等)進行深度檢測
◆網頁木馬檢測:對各種掛馬方式的網頁木馬進行全自動、高性能、智能化分析,并對網頁木馬傳播的病毒類型做出準確剖析和網頁木馬宿主做出精確定位
◆滲透測試:通過當前弱點,完全模擬黑客使用的漏洞發現技術和攻擊手段,對目標WEB應用的安全性做出深入分析,并實施無害攻擊,取得系統安全威脅的直接證據
◆配置審計:通過當前弱點,模擬黑客攻擊,實現數據庫的審計功能,獲得后臺數據庫連接信息、數據庫實例名、數據庫版本、數據字典等配置信息
系統特點:
◆全面、深度、準確評估WEB應用弱點,有效提高主動防御能力
支持的WEB應用類型:
支持所有類型的動態頁面
支持HTTP 1.0和1.1標準的Web應用系統
支持基于NTLM、Cookie、證書認證方式的Web應用系統安全掃描
支持基于HTTPS應用系統的檢測
支持的數據庫類型:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access等
支持的弱點類型:
SQL注入檢測 XSS跨站腳本檢測 偽造跨站點請求檢測
網頁木馬檢測 隱藏字段檢測 第三方軟件誤配置檢測
表單繞過檢測 AJAX注入檢測 中間人攻擊檢測
弱配置檢測 敏感信息泄漏檢測 HI-JACK攻擊檢測
表單弱口令檢測 Xpath注入檢測 GOOGLE-HACK檢測
數據竊取檢測 Cookies注入檢測 其他各類CGI漏洞檢測
靈活可定義的掃描工作模式:
支持先爬行后檢測、只檢測現有URL、只爬行網站等多種掃描方式
掃描方式:簡單模式(單個域名)、批量模式(多個域名)
掃描范圍:當前URL、當前子域名、當前域名、任何URL
支持無人值守模式下的全模式自動掃描
工作方式:主動掃描、被動掃描(Proxy)
掃描深度:支持無限掃描深度
掃描過程可以隨時中斷/恢復
支持多任務、多線程掃描
支持任意掃描例外設置
深度智能掃描引擎:
全面支持SSL
自動過濾重復頁面
自動檢測所有參數
支持網頁大小寫敏感/不敏感
3.1.2 數據庫弱點掃描子系統
系統融合有權威數據庫安全專家數年的安全經驗與技術積累,是全球首創、擁有自主知識產權、專門用于掃描數據庫弱點的產品,能夠掃描幾百種不當的數據庫配置或者潛在漏洞,具有強大的發現弱口令及數據庫潛藏木馬的功能。
主要功能
數據庫弱點掃描子系統由系統管理、項目管理、安全掃描、報表管理幾大模塊組成。
其中:
◆風險趨勢管理:通過基線創建生成數據庫結構的指紋文件,通過基線掃描發現數據庫結構的變化,從而實現基于基線的風險趨勢分析
◆弱點檢測與弱點分析:根據內置自動更新的弱點規則完成對數據庫配置信息的安全檢測及數據庫對象的安全檢測
◆弱口令檢測:依據內嵌的弱口令字典完成對口令強弱的檢測
◆補丁檢測:根據補丁信息庫及被掃描數據庫的當前配置,完成補丁安裝檢測
◆項目管理:按項目方式對掃描任務進行增/刪/改管理
◆報表管理:提供掃描報告的存儲、查看、多文件格式導入/導出功能
◆掃描預通知:向被掃描的數據庫發送預掃描通知,及時提醒數據庫管理員
◆系統管理:提供鑒權管理、許可管理、日志管理、升級管理及自身完整性檢測
系統特點
◆權威的弱點規則庫:權威數據庫安全專家提供最全面、最準確和最新的弱點知識庫
◆深度的弱點檢測:提供對數據庫“弱點、不安全配置、弱口令、補丁、木馬”深層次安全檢測及準確評估
◆完備的類型支持:支持業界主流的數據庫類型,包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等
◆獨特的木馬檢測:通過專用的基線掃描發現數據庫潛藏木馬
◆優異的掃描引擎:掃描引擎確保系統工作時對數據庫及服務器性能影響最小化
◆豐富的掃描報告:掃描結果通過靈活的報表呈現給用戶,并提供弱點分級以及相應加固建議方案
◆方便的操作管理:充分考慮國內用戶的使用習慣,提供全中文的操作界面,提供向導模式幫助使用者輕松完成掃描項目的配置#p#
3.2 主動防御體系的建設
3.2.1 網站防攻擊子系統
防攻擊子系統是安恒結合多年應用安全的攻防理論和應急響應實踐經驗積累的基礎上自主研發完成,滿足各類法律法規如PCI、等級保護、企業內部控制規范等要求,以國內首創的全透明部署模式全面支持HTTPS,在提供WEB應用實時深度防御的同時實現WEB應用加速及敏感信息泄露防護,為Web應用提供全方位的防護解決方案。
系統功能:
◆深度防御
防攻擊子系統基于安恒專利級WEB入侵異常檢測技術,對WEB應用實施全面、深度防御,能夠有效識別、阻止日益盛行的WEB應用黑客攻擊(如SQL注入、釣魚攻擊、表單繞過、緩沖區溢出、CGI掃描、目錄遍歷等):
◆SQL注入
◆命令注入
◆Cookie 注入
◆跨站腳本(XSS)
◆敏感信息泄露
◆惡意代碼
◆錯誤配置
◆隱藏字段
◆會話劫持
◆參數篡改
◆緩沖區溢出
◆應用層拒絕服務
◆弱口令
◆其他變形的應用攻擊
◆Web應用加速
系統內嵌應用加速模塊,通過對各類靜態頁面及部分腳本的高速緩存,大大提高訪問速度。
◆敏感信息泄露防護
系統內置安全防護策略,可以靈活定義HTTP/HTTPS錯誤返回的默認頁面,避免因為WEB服務異常,導致敏感信息(如:WEB應用安裝目錄、WEB服務器版本信息等)的泄露。
◆策略配置
自定義策略配置
◆告警
實時告警,支持郵件、短信等多種方式告警。
◆系統報表
支持自定義報表,支持各類導出格式(WORD、EXCEL、PDF、HTML等)。
系統特點
◆專利級WEB入侵異常檢測引擎
獨有WEB入侵異常檢測引擎,能夠有效分析和識別各類已知和變形的應用攻擊,為防御的準確性和高效性提供了基礎。
◆支持全透明部署
業界首創支持全透明部署,無需更改原有的DNS或IP配置,對原有應用不會造成任何影響。
◆HTTPS支持
國內首創全面支持HTTPS,實現各類高安全要求WEB應用系統的深度實時防護(如網銀、證券交易等)。
◆支持多保護對象
◆支持多臺主機對象的保護,包括不同域名不同IP,不同域名相同IP的情況
◆支持用戶自定義規則庫
用戶可以根據數據包的特征關鍵字等自定義安全策略規則,來實現安全檢測及過濾
◆統一日志平臺接口
◆支持阻斷、告警、By-Pass等多種應用模式
3.2.2 網站防篡改子系統
網站防篡改子系統是業界首創的新一代網站防篡改系統,采用目前最新服務器核心內嵌技術、內核驅動級文件保護技術、基于事件觸發式監測機制,高效實現網頁監測、即時內容恢復、杜絕了網站被非法篡改、用戶瀏覽非法內容的可能。
網站防篡改子系統的特點:
◆新一代內核驅動級文件保護,確保防護功能不被惡意攻擊者非法終止
◆采用核心內嵌技術,支持大規模連續篡改攻擊防護
◆實時檢測與內容恢復,完全杜絕被篡改內容被外界瀏覽
◆支持斷線/連線狀態下篡改檢測
◆支持多服務器、多站點
◆保護各種類型文件:如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等眾多網頁文件及其它各類文檔、圖片、多媒體文件。#p#
3.3 監控審計體系的建立
3.3.1 網站應用安全審計子系統
主要功能:
◆全方位的攻擊告警:當網站(或其他Web 應用程序)代碼受到WEB應用層的已知及未知攻擊時,能夠提供多形式的實時告警。
◆多協議的訪問監控:提供對WEB應用及WEB服務器的訪問實時監控及回放功能,為安全事件的快速查詢、定位、成因分析、責任認定提供有力的證據。
◆豐富的監控審計:實現用戶訪問WEB應用的統計分析,如:訪問時段統計、攻擊源統計、攻擊類型統計、受攻擊頁面統計、訪問頁面數、訪問流量、TOP10請求包長度等。
產品特性:
◆零風險:旁路部署模式,無需改變現有網絡體系結構及應用程序,實現應用層的零風險部署。
◆全方位:實現對各類WEB攻擊(已知攻擊、變形攻擊、未知攻擊)的全方位、多層次攻擊告警。
◆高性能:基于硬件加速技術確保WebMonitor具備高吞吐、低延時,保證了2~7層深度過濾超越千兆性能。
◆高可靠:提供多層次的物理保護、掉電保護、自我監測及冗余部署,提升設備整體可靠性,達到99.9999%的可靠性。
◆易操作:充分考慮國內用戶的使用和維護習慣,自動實現規則的生成,彌補手工創建及維護安全規則的不足;依靠內置的安全策略配合完全自定義策略,滿足不同層次使用人員的個性化需求。
3.3.2 網站數據庫安全審計子系統
數據庫安全審計子系統安恒自主研發完成的業界首創細粒度審計、精準化行為回溯、全方位風險控制的數據庫審計系統。
主要功能
細粒度審計:
◆有別于傳統的簡單SQL語句還原,通過對不同數據庫的SQL語義分析,提取出SQL中相關的要素(用戶、SQL操作、表、字段…)
◆全方位的實時審計:實時監控來自各個層面的所有數據庫活動。如:來自應用程序發起的數據庫操作請求、來自數據庫客戶端工具的操作請求等
◆通過遠程命令行執行的SQL命令也能夠被審計與分析
◆完善的雙向審計:系統不僅對數據庫操作請求進行實時審計,而且還可對數據庫系統返回結果進行完整的還原和審計
精準化行為回溯:
◆一旦發生安全事件,提供基于數據庫對象(用戶、表、字段及記錄內容)的完全自定義審計查詢及審計數據展現,徹底擺脫數據庫的黑盒狀態(快速掌握:安全事件發生前后誰對數據庫做了操作?做了什么操作?什么時候做的操作?通過什么方式做的操作?)
全方位風險控制:
◆靈活的策略定制:根據登錄用戶、源IP地址、數據庫對象(分為數據庫用戶、表、字段)、操作時間、SQL操作命令、返回的記錄數或受影響的行數、關聯表數量、SQL執行結果、SQL執行時長、報文內容的靈活組合來定義客戶所關心的重要事件和風險事件
◆多形式的實時告警:當檢測到可疑操作或違反審計規則的操作時,系統可以通過監控中心告警、短信告警、郵件告警、Syslog告警等方式通知數據庫管理員
◆多協議層的遠程訪問監控:不僅對客戶端工具及應用層JDBC、ODBC的訪問監控,還支持對數據庫服務器的遠程訪問(如:ftp、telnet)實時監控及回放功能,有助于安全事件的定位查詢、成因分析及責任認定
職責分離:
◆SOX法案或者專業職責標準(如PCI)中明確提出對工作人員進行職責分離,系統設置了權限角色分離,如系統管理員負責設備的運行設置;規則配置員負責相關數據庫操作規則的設定;審計員負責查看相關審計記錄及規則違反情況;日志員負責查看整體設備的操作日志及規則的修改情況等。
友好真實的操作過程回放:
◆對于客戶關心的操作可以回放整個相關過程,讓客戶可以看到真實輸入及屏幕顯示內容
產品特點
◆完整性:全方位審計所有的操作訪問行為。
◆細粒度:細粒度的審計規則、精準化的行為回溯、全方位的風險控制
◆有效性:獨有專利技術實現對數據庫安全的各類風險(攻擊風險、管理風險)的有效控制;靈活的、可自定義的審計規則滿足了各類內控和外審的需求(有效控制誤操作、越權操作、惡意操作等違規行為)
◆公正性:基于獨立監控審計的工作模式,實現了數據庫管理與審計的分離,保證了審計結果的真實性、完整性、公正性
◆零風險:采用旁路部署模式,無需改變現有網絡體系結構及數據庫配置,實現零風險部署
◆高可靠:提供多層次的物理保護、掉電保護、自我監測及冗余部署,提升設備整體可靠性,達到99.9999%的可靠性
◆易操作:充分考慮國內用戶的使用和維護習慣,提供Web-based全中文操作界面及在線操作提示
3.4 整體部署功能示意圖
鄭重聲明:此為功能結構示意圖,而不是實際的物理網絡部署圖。
多層防護體系功能結構示意圖#p#
4 成功案例
浙江某著名大學
客戶面臨的問題:
該大學WEB應用系統存在嚴重可利用安全漏洞,如SQL注入、跨站腳本以及表單繞過。惡意人員可輕松獲取該網站后臺管理權限,進行網頁篡改甚至進行網頁掛馬、提權等操作,最終獲取WEB服務器控制權限。同時,由于其內部網絡之間各個業務系統,如WEB應用系統與教務系統并未進行嚴格的邏輯隔離,導致惡意人員可在內部局域網內進行深度入侵,篡改教務系統數據庫數據。
解決方案:
建立網站系統的安全檢測系統,對WEB應用系統網站以及各個子網站進行定期的安全檢測掃描,在惡意人員進行安全攻擊前,提早發現可能存在的各類安全隱患,及時進行安全加固,防止存在可利用安全漏洞為惡意攻擊者利用。
在提供WEB應用服務的服務器前端直連部署主動防御系統,包括明御WEB防火墻與明御網站衛士,采用國內首創全透明部署的WEB應用防火墻硬件設備以及網站衛士放篡改系統相結合的方式,對網站進行防攻擊、防篡改雙重保護,構建安全的學校WEB應用系統內部環境。
明御WEB防火墻可以提供針對WEB應用層攻擊防御和流量監控,完全支持HTTPS加密協議的攻擊防御。例如:SQL注入攻擊、跨站腳本攻擊、應用層DDOS攻擊、表單繞過、緩沖區溢出、惡意報文攻擊、網頁盜鏈、釣魚攻擊、Cookie注入等攻擊防御,并通過強大的緩存技術和負載均衡技術提高網站及網上銀行的訪問速度。
明御網站衛士采用目前最先進的WEB入侵檢測技術、服務器核心內嵌技術、內核驅動級文件保護技術、基于事件觸發式監測機制,高效實現網頁監測、即時內容恢復、動態WEB攻擊防護功能,杜絕了網站被非法篡改、非法入侵的可能。
對學校內部教務信息、財務信息以及學術論文庫等數據庫服務器前端部署數據庫安全審計系統——明御數據庫審計及深度防御系統,對數據庫的操作進行細粒度、動態實時的安全審計,保護數據庫數據安全,并未事后追溯提供依據。
系統部署圖如下:
