【51CTO.com 獨家特稿】在“拯救網站運維經理趙明活動”開始后，龐曉智為我們投來了一個防護覆蓋面最廣的一個解決方案。

一、 攻擊事件背景

深夜，某網站運維經理趙明正戴著耳麥趴在桌子上接到一個匿名電話，緊接著隨即打開了公司的首頁，發現公司網站被黑客非法入侵。整個屏幕赫然留下了幾個血紅色的英文字母“The evil is coming，We will be back”。公司依托網站運行的業務被迫中斷，客戶部第九次進行投訴，運營總監一臉陰沉...

二、 安全技術現狀分析

1、 趙明所在公司目前網站結構拓撲圖如下：  

2、 交換網絡安全現狀

目前僅有一臺交換機部署在WEB應用服務器和數據庫服務器之間，WEB服務器和數據庫服務器不能很好的進行邏輯隔離。盡管通過交換機ACL功能可實現對數據庫服務器、文件服務器的訪問控制。但控制能力較弱，因為基于交換機的ACL功能只能實現簡單的包過濾訪問策略，并不能實現基于狀態分析的訪問控制，黑客很容易通過偽造TCP報文輕松繞過交換機。一旦WEB服務器遭受入侵，承載著公司重要業務數據的數據庫服務器即成為下一個攻擊目標。

3、 邊界網絡安全現狀

通過網絡拓撲可知，WEB服務器是直接暴露在互聯網之外的，沒有劃分專門的DMZ區部署WEB應用。網絡邊界并沒有部署任何的防火墻防護，來自外界的訪問者可任意訪問公司內部服務器。由于缺乏防火墻的邊界防護，無法對不同信任程度區域間傳送的數據流進行基于上下文的訪問控制，無法通過NAT地址轉換保護內網的機器，無法防御各種IP/端口掃描、路由欺騙攻擊、由TCP/UDP Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻擊等等。

4、 應用層網絡安全現狀

網絡中并沒部署入侵檢測系統或入侵防御系統，無法對一些基于應用層的攻擊如常見的SQL注入攻擊、腳本攻擊、cookies欺騙進行入侵檢測、行為阻斷和實時報警等。

5、 內網客戶端安全現狀

內網客戶端沒有實施安全終端控制，服務器口令隨意存放、內部員工P2P文件共享工具濫用、病毒木馬感染四處肆虐，發送郵件不經意攜帶機密信息，最終導致公司敏感信息泄露。

6、 主機安全現狀

主機安全策略沒有經過嚴格的設置，或僅保留默認配置策略，往往給入侵者帶來了極大的‘后門’。如常見的賬戶弱口令、遠程使用基于明文的Telnet管理、文件夾權限過大、默認賬號未禁用、系統補丁未安裝而引致安全漏洞等等。

7、 應用程序安全現狀

從本次的安全事件可以了解到，出現問題的正是網站頁面被非法篡改。經推測可能正是應用程序(即網站程序)出現了SQL注入漏洞、跨站腳本漏洞、目錄遍歷、CRLF注入漏洞等安全隱患被入侵者發現，然而沒有相應的安全防護設備進行攻擊防御，加上主機安全策略配置不當，客戶端泄露敏感信息，主頁頁面被非法篡改后無法及時進行有效的恢復，最終導致公司網站被黑客入侵的網絡安全事故發生。#p#

三、 安全整改及加固方案

1、 總體安全體系設計

從中我們可以看出，網絡安全事件的發生并不是‘臨時性即意’發生的，他是由交換網絡、邊界防護、應用層防護、主機防護、應用程序防護、客戶端防護等多個方面的技術安全域管控不嚴而導致的，是一個從量變到質變的過程。因此，我們可以說網絡安全是一個動態的概念，網絡的動態安全模型能夠提供給用戶更完整、更合理的安全機制，全網動態安全體系可由下面的公式概括：網絡安全(S) = 風險分析(A)+ 制定策略(P) + 系統防護(P) + 實時監測(D) + 實時響應(R) + 災難恢復(R)。

圖1：APPDRR動態安全模型

以下提供的安全整改方案正是基于APPDRR模型構建的，符合網絡安全系統整體性和動態性的特點。它集各種安全技術產品和安全技術措施于一體，將多種網絡安全技術有機集成，實現安全產品之間的互通與聯動，是一個統一的、可擴展的安全體系平臺。

2、 信息安全風險評估(Assessment)

信息系統安全風險評估是通過對資產、脆弱性和威脅來綜合評估分析系統面臨的安全風險，對所發現風險提供相關的處理建議。風險評估是風險管理的重要組成部分，是信息安全工作中的重要一環。根據組織安全風險評估報告和安全現狀，提出相應的安全建議，才能指導下一步的信息安全建設。

網站被黑的問題在哪，黑客用什么手段入侵，哪些服務器存在安全隱患，源頭在哪？必須首先進行信息安全風險評估。通過采集本地安全信息，獲得目前操作系統安全、網絡設備、各種安全管理、安全控制安全策略、應用系統、業務系統等方面的數據，并進行相應的分析，最終找出問題根源所在，可能是WEB網站的代碼有程序設計缺陷，也可能是服務器的口令被暴力破解，問題可能是一個或者是多個。通過對各種挖掘出來的弱點進行高中低風險排序，認清不同的弱點能帶來什么程度的風險，并在下一步的風險策略中進行風險處置。

注：為什么方案設計在一開始就要強調找問題。頭疼醫頭，腳疼醫腳，如果一上來就推薦安全產品，那只能是遠水救火，無法從整體角度上有效解決信息安全問題。

3、 安全整改策略制定(Policy)

針對在風險評估中找出的所有安全弱點，建議在以下幾個方面進行安全整改：

#p#

4、 安全整改方案實施(Protection)

4.1 網站源代碼整改  

◆通過對WEB源代碼審計(Web Application Source Code Audits)，對已發現的腳本漏洞進行修補，包括替換篡改頁面、清除掛馬頁面、填補安全漏洞(包括跨站腳本、目錄遍歷、SQL注入、CRLF注入、物理路徑泄露、應用錯誤信息、腳本源碼泄露等)。

4.2 主機系統配置加固  

◆主機系統包括操作系統、中間件和數據庫。  

◆操作系統安全加固：包括Windwos、、Linux、Unix等類型的服務器操作系統安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、遠程登錄限制和加密選項、重要目錄和文件權限限制、注冊表權限設置(win)、多余賬號和文件清除、抗DDOS攻擊設置、關閉不必要的系統服務、系統補丁及時安裝、日志審計等。  

◆中間件安全加固：包括IIS、Apache、Tomcat、weblogic、websphere等類型的WEB中間件的安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、加密傳輸設置、Socket數量限制、錯誤頁面處理、默認端口更改、漏洞補丁包安裝等。  

◆數據庫安全加固：包括MSSQL、MYSQL、Oracle、DB2等類型的數據庫安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、遠程登錄限制和加密選項、監聽端口設置、啟用審計功能、安全更新包安裝、存儲過程控制使用。  

◆實際實施中應根據不同的操作系統、中間件和數據庫類型進行有的放矢的專項加固。因暫無了解趙明公司服務器的類型，故本文只在這里起拋磚引玉的作用。

4.3網絡安全產品部署

本方案設計采用Juniper Netscreen系列防火墻作為邊界防護，主要負責提供OSI第4層以下的基本安全環境和高速轉發能力，而采用啟明星辰入侵防御系統對OSI第4-7層流量的細粒度控制。采用IGuard網頁防篡改系統對網站應用程序文件進行內核級的文件保護功能。

Juniper Netscreen產品介紹：  

NetScreen 系列安全系統是專用防火墻安全系統，專為大中型企業、電信運營商和數據中心網絡而設計。NetScreen在一個超薄模塊化機箱內集成了防火墻、VPN、DoS 和 DDoS 保護，以及流量管理功能。這些系統構建于我們的第三代安全 ASIC 和分布式系統架構之上，可提供出色的可擴展性與靈活性，同時通過 NetScreen ScreenOS 定制操作系統可提供更高的安全性。

產品亮點總結：

1、支持安全域劃分，訪問控制策略對象管理，ASIC芯片設計，高性能防火墻的代表(和x86架構的防火墻不在同一個級別)

2、基于模塊化設計，豐富的安全防御特性，日后根據需要還可以添加防垃圾郵件網關、防病毒網關模塊和IDS模塊功能。

啟明星辰入侵防御系統產品介紹：  

天清入侵防御系統（Intrusion Prevention System）是啟明星辰自行研制開發的入侵防御類網絡安全產品，圍繞深層防御、精確阻斷這個核心，通過對網絡中深層攻擊行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網絡的安全。  

天清入侵防御系統采用的高效協議自識別方法——VFPR (Venus Fast Protocol Recognition)，該協議自識別方法基于協議指紋識別和協議規則驗證技術實現，能夠在網絡協議通信初期根據前期網絡報文特征自動識別所屬協議類型，并采用預先建立的協議驗證規則進一步驗證協議識別結果正確性。對SQL注入、跨腳本攻擊等針對WEB業務的攻擊行為有很好的判斷和防御能力，和傳統學術界以及產業界的技術相比，可以做到無誤報，無漏報。

系統融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、異形攻擊等無法通過特征判斷的攻擊行為也能實現精確阻斷。天清入侵防御系統的檢測防御規則庫全面兼容CVE和CNCVE，對用戶而言，提供了更詳細了解網絡中發生行為的機會。

天清入侵防御系統（IPS）融入了啟明星辰公司在入侵攻擊識別方面的積累和研究成果，使其在精確阻斷方面達到國際領先水平，不僅可以對網絡蠕蟲、間諜軟件、溢出攻擊、數據庫攻擊等多種深層攻擊行為進行主動阻斷，而且能夠有效的防御像SQL注入、跨站腳本攻擊這些針對應用業務的攻擊行為，彌補了其它安全產品深層防御效果的不足。

產品亮點總結：

1、采用基于協議指紋識別和協議規則驗證技術的VFPR協議自識別方法， WEB業務深層防御能力較強。

2、系統融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，檢測防御規則庫兼容CVE（Common Vulnerabilities and Exposures，國際通用漏洞披露庫），精確阻斷達到國際領先水平。

iGuard網頁防篡改系統：  

采用先進的核心內嵌技術

上海天存信息有限公司推出的iGuard網頁防篡改系統采用先進的Web服務器核心內嵌技術，將篡改檢測模塊（數字水印技術）和應用防護模塊（防注入攻擊）內嵌于Web服務器內部，并輔助以增強型事件觸發檢測技術，不僅實現了對靜態網頁和腳本的實時檢測和恢復，更可以保護數據庫中的動態內容免受來自于Web的攻擊和篡改，徹底解決網頁防篡改問題。

采用事件觸發機制，確保系統資源不被浪費，不同于一些文件輪詢掃描式或外掛式的頁面防篡改軟件，iguard 的頁面防篡改模塊采用的是與Web 服務器底層文件夾驅動級保護技術，與操作系統緊密結合的。而且是在Web 服務器對外發送網頁時進行網頁防篡改檢測。這樣做不僅完全杜絕了輪詢掃描式頁面防篡改軟件的掃描間隔中被篡改內容被用戶訪問的可能，其所消耗的內存和CPU占用率也遠遠低于文件輪詢掃描式或外掛式的同類軟件。 

基于雙向檢測機制的防篡改原理

iGuard網頁防篡改系統的篡改檢測模塊使用密碼技術，為網頁對象計算出唯一性的數字水印。公眾每次訪問網頁時，都將網頁內容與數字水印進行對比；一旦發現網頁被非法修改，即進行自動恢復，保證非法網頁內容不被公眾瀏覽，完全實時地杜絕篡改后的網頁被訪問的可能性；同時，iGuard的應用防護模塊對用戶輸入的URL地址和提交的表單內容進行檢查，任何對數據庫的注入式攻擊都能夠被實時阻斷，從而杜絕任何使用Web方式對后臺數據庫的篡改。

產品亮點總結：

1、第三代全新防篡改技術，先進的系統驅動級文件保護技術，基于事件觸發式監測機制，高效實現了網頁監測與防護功能

McAfee數據防泄漏產品介紹：  

McAfee 推出了業界全面的解決方案McAfee Data Loss Prevention，該解決方案采用了強大的加密、身份驗證、數據丟失防護和策略驅動型安全控制技術來為您的機密數據提供保護，隨時隨地防止未經授權的人或組織訪問和傳輸您的機密數據。

數據丟失防護

1. 管理用戶通過網絡、應用程序和存儲設備發送、訪問和打印機密數據的方式，其中包括：電子郵件、Webmail、P2P 應用程序、即時消息、Skype、HTTP、HTTPS、FTP、Wi-FI、USB、CD、DVD、打印機、傳真和移動存儲設備

2. 防止由木馬、蠕蟲和文件共享應用程序導致的機密數據丟失，這類威脅會竊取員工的憑據

3. 即使數據經過了修改、復制、粘貼、壓縮或加密，也能夠有效確保各項數據、格式和派生數據不會被竊取或篡改，而且不會影響合法的業務活動企業級設備加密

4. 自動對整個設備進行加密，無需用戶介入或相關培訓，而且不影響系統資源

5. 全盤加密支持包括 AES-256 和 RC5-1024 在內的多種標準算法

6. 使用強大的多要素身份驗證技術來識別并驗證用戶是否是經過授權

文件和文件夾持續加密

1. 通過向文件自動添加文件頭（此文件頭會始終伴隨受保護文件）可以確保文件始終是加密的（即使在文件不使用時）

2. 無論文件和文件夾保存在什么位置（本地硬盤、文件服務器、移動介質甚至是電子郵件附件），均能確保它們的安全

集中管理控制臺

1. 使用 ePO 指定詳細的基于內容的過濾、監控和攔截規則，防止未經授權的人或組織訪問機密數據

2. 全盤、文件和文件夾加密；控制策略和補丁程序管理；恢復丟失的密鑰；證明遵從法規

3. 實現安全策略與 Active Directory、Novell NDS、PKI 等其他技術的同步

先進的報告和審核功能

1. 借助豐富的審核功能證明設備是經過加密的

2. 記錄與數據相關的信息，例如發件人、收件人、時間戳、數據證據、上次成功登錄日期和時間、上次接收更新的日期和時間以及加密是否成功等

產品亮點總結：

1、多層防護功能，覆蓋范圍廣，涉及所有服務器、數據庫及終端上的數據都能受到保護，能跨平臺兼容不同類型的操作系統。  

2、不論是無意還是惡意的拷貝、刪除，McAfee DLP都能防止由內部人員或黑客導致的數據丟失，即使數據進行了偽裝。

4.4網絡結構優化調整  

部署一系列網絡安全產品后，接下來就是進行網絡結構優化調整。借助防火墻劃分內網區、外網區和DMZ區域(非軍事區)，內網區再細劃分為內部辦公區，內部服務器區和網管監控區。將IPS、負載均衡網關、WEB服務器依次部署到DMZ區域，文件服務器和數據庫服務器移到內部服務器區域，所有控制臺和監控端移到網管監控區。調整后的網絡拓撲圖如圖所示：  

部署順序基于以下原則考慮：  

1、從策略上來分析，防火墻的特性是先拒絕任何訪問，然后配置允許訪問規則；IPS的特性是先允許任何訪問，然后根據特征庫拒絕某些非法的訪問。從防御能力上分析，防火墻主要負責提供OSI第1-4層的基本安全環境和高速轉發能力，而入侵防御系統(IPS)對OSI第4-7層粒度流量進行行為阻斷。將防火墻部署在IPS之前，首先防火墻抵御基本的端口掃描/DDOS/DOS/CC攻擊，而將4-7層尤其是應用層的攻擊交給IPS專心防御，能起到事半功倍的效果。  

2、由于負載均衡網關主要是用于平衡服務器負載、監控主備服務器的運行狀態并進行流量分配和訪問加速，自身沒有太多的安全防護措施，故將部署在IPS之后，WEB服務器之前。  

3、數據庫服務器和文件服務器承載著公司關鍵業務信息，應和WEB服務器相分離而部署在內網，并在防火墻設置外網訪問者不允許訪問內網的服務器，外部訪客的數據查詢必須是先發送到WEB服務器，由WEB服務器向DB服務器進行查詢請求。  

4、日志監控端、IPS控制臺和IGuard網頁防篡改服務端劃分到網管和監控端，并且將所有安全設備的管理口獨立接入網管監控區，并不與局域網核心交換機相連，實現帶外網管功能。將網絡的管理控制信息與用戶網絡的承載業務信息在不同的物理信道傳送，可以有效防止當業務網停頓后無法快速對安全設備進行管理，通常這種情況出現在局域網爆發大規模病毒導致交換機癱瘓、防火墻遭受DDOS/CC攻擊等以上的緊急事件中。  

5、以上規劃僅從安全角度考慮出發，如果對業務連續性有較高的要求，可在網絡重要節點部署雙機熱備、雙主備鏈路和冗余電信/網通出口等。 #p#

5、 建立IT綜合安全運營中心(Protection+ Reaction+ Restoration)

隨著更多的安全產品或其他IT設備部署，趙明如何能分身乏術通過有效的技術手段和措施來保障系統的安全運行，一個突出的問題是對各安全設備和安全控制系統的管理分散，簡單來說，IPS日志、防火墻日志、網頁篡改日志、防病毒日志和大量的操作系統審計日志誰來看，怎么看？一旦遇到入侵事件如何實時報警？從深層次的原因分析，來源與防火墻、入侵檢測、漏洞掃描、防病毒、內網管理等等安全設備的事件隨著互聯網攻擊行為和蠕蟲的泛濫，在一個中等規模的網絡上就可以形成海量安全事件。這些事件中又存在非常多的誤報和重復現象，在進行事件分析時，由于只考慮事件本身的嚴重程度，沒有和實際的業務和資產情況結合，使得一些潛在的威脅往往被忽略。從中可以看出，在部署一系列的產品后，趙明所在公司缺乏全網統一的安全集中控制和處理機制，難以從全局掌握全網的安全情況，及時調整安全策略以適應網絡安全動態性和整體性要求。

IT綜合安全運營中心(Security Operation Center，簡稱SOC)的建設是解決這一課題的重要手段，SOC由安全信息平臺、安全事件平臺、運營維護制度、安全支持服務、專業維護人員等一系列產品、服務人員、管理制度的建設所構成。

IT綜合安全運營中心是由“四個中心、五個功能模塊”組成的綜合安全運行管理中心?！八膫€中心”是：漏洞評估中心、事件監控中心、綜合分析決策支持與預警中心和響應管理中心；“五個功能模塊”是：策略配置管理、資源管理、用戶管理、安全知識管理和中心自身安全。 

四個中心  

事件監控中心

監控各個網絡設備、操作系統等日志信息，以及安全產品的安全事件報警信息等，以便及時發現正在和已經發生的安全事件，例如網絡蠕蟲攻擊事件、非授權漏洞掃描事件、遠程口令暴力破解事件等，及時協調和組織各級安全管理機構進行處理，及時采取積極主動措施，保證網絡和業務系統的安全、可靠運行。

漏洞評估中心

通過漏洞評估中心可以掌握全網各個系統中存在的安全漏洞情況，結合當前安全的安全動態和預警信息，有助于各級安全管理機構及時調整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。

綜合分析決策支持與預警中心

綜合分析決策支持與預警中心是綜合安全運行管理平臺的核心模塊，其接收來自安全事件監控中心、性能監控中心和故障監控中心的事件與性能故障信息，依據資產與脆弱性管理平臺進行綜合的事件與性能故障協同關聯分析，并基于資產和網絡拓撲進行風險評估關聯分析，按照風險優先級針對各個業務區域和具體事件產生預警，參考網絡安全運行知識管理平臺的信息，并依據安全策略配置管理平臺的策略驅動響應管理中心進行響應處理。

應急管理中心

僅僅及時檢測到安全事件是不夠的，必須做出即時的、正確的響應才能保證網絡的安全。應急響應中心主要是通過工單管理系統來實現的。應急響應中心接收由風險管理中心根據安全威脅事件生成的事件通知單，并對事件通知單的處理過程進行管理，將所有事件響應過程信息存入后臺數據庫，并可生成事件處理和分析報告。響應管理中心負責針對所管轄網絡的安全事件、風險與故障告警利用通知系統（E-mail、短信和即時消息）、工單系統、聯動系統和補丁管理系統進行響應處理。

五個功能模塊

策略和配置管理

網絡安全的整體性要求需要有統一安全策略的管理。通過為全網安全管理人員提供統一的安全策略，指導各級安全管理機構因地制宜的做好安全策略的部署工作，有利于在全網形成安全防范的合力，提高全網的整體安全防御能力，同時通過SOC策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設，為指導各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。

安全知識管理

安全運行知識管理平臺是安全運行知識庫信息管理和發布系統，不僅可以充分共享各種安全運行信息資源，而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺，有助于提高人員的安全技術水平和能力。

資源管理

資源管理平臺主要包括兩個方面：人力資源管理和資產管理。人力資源管理保證在需要的時候，可以找到合適的人。資產管理主要是管理SOC監控范圍的各個系統和設備，是風險管理、事件監控協同工作和分析的基礎。

用戶管理

安全運營中心提供用戶集中管理的功能，對用戶可以訪問的資源權限進行細致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認證、授權、用戶口令修改等功能；支持不同的操作員具有不同的數據訪問權限和功能操作權限。系統管理員應能對各操作員的權限進行配置和管理，要有完整的安全控制手段,對用戶和系統管理員的權限進行分級管理。

中心自身安全

安全運營中心作為整個網絡安全運行的監控者和管理者，其中的每一步關鍵操作都會對整個網絡安全產生重要影響，甚至會改變網絡運行方式和運行狀態，因此綜合安全運行管理中心體系自身的安全性非常重要。綜合安全運行管理中心體系的自身安全包括多方面，如物理安全，數據安全，通訊安全等。綜合安全運行管理中心在總體設計時必須考慮綜合安全運行管理中心體系的使用安全和管理流程安全。

通過建立SOC，不僅集中收集、過濾、智能關聯分析安全信息，提供網絡和主機的信息安全視圖和安全趨勢，同時也重點關注公司內部安全的有效控制。將企業的信息安全狀況從一個難以了解、難以猜測的黑匣子變成一個透明的、可以呈現的玻璃盒子，從而能夠整體展示企業整體的和局部的信息安全的狀況。幫助企業降低信息

安全整體的管理成本,提高信息安全管理水平,保證企業的業務可持續性。

四、 總結

綜觀整個安全整改及加固方案，通過進行風險評估(A)，安全整改策略制定(P)，整改方案實施(P)，IT綜合安全運營中心建立(P+R+R)，最終實現了APPDRR模型的閉環循環。同時我們也必須認清到，不存在百分之百的靜態的網絡安全，網絡安全表現為一個不斷改進的過程。通過風險評估、安全策略、系統防護、動態檢測、實時響應和災難恢復六環節的循環流動，網絡安全逐漸地得以完善和提高，從而實現保護網絡資源的網絡安全目標。

【編輯推薦】

1. “拯救網站運維經理趙明”有獎征集活動
2. 高端網絡防護不能“照葫蘆畫瓢”
3. 安全知識之加強網絡防護的四個步驟
4. 十招多層次網絡防護措施打造企業安全VoIP