【51CTO.com 綜合消息】隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與普及，目前幾乎所有的高校甚至部分中小學(xué)，都采用各類信息系統(tǒng)對(duì)學(xué)校的各類數(shù)據(jù)包括圖書館管理系統(tǒng)、學(xué)生成績(jī)計(jì)分系統(tǒng)以及對(duì)外宣傳服務(wù)平臺(tái)等進(jìn)行統(tǒng)一管理，給學(xué)校的數(shù)據(jù)管理帶來便利。然而，不管是在互聯(lián)網(wǎng)或者是校園網(wǎng)，黑客攻擊事件層出不窮，越來越多針對(duì)著名高校所進(jìn)行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進(jìn)行的數(shù)據(jù)篡改以及惡意掛馬等行為，嚴(yán)重危害學(xué)校互聯(lián)網(wǎng)和校園網(wǎng)安全。對(duì)于以名譽(yù)及教學(xué)質(zhì)量為重的學(xué)校而言，風(fēng)險(xiǎn)極大。

本文結(jié)合學(xué)校應(yīng)用系統(tǒng)自身的典型架構(gòu)，分析當(dāng)前學(xué)校應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)以及當(dāng)前主流安全解決方案的局限性，針對(duì)學(xué)校應(yīng)用系統(tǒng)存在的安全風(fēng)險(xiǎn)，制定出完善實(shí)用的安全解決機(jī)制。

1 系統(tǒng)概述

1.1 學(xué)校應(yīng)用系統(tǒng)安全概述

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展與普及，目前幾乎所有的高校甚至部分中小學(xué)，都采用各類信息系統(tǒng)對(duì)學(xué)校的各類數(shù)據(jù)包括圖書館管理系統(tǒng)、學(xué)生成績(jī)計(jì)分系統(tǒng)以及對(duì)外宣傳服務(wù)平臺(tái)等進(jìn)行統(tǒng)一管理，給學(xué)校的數(shù)據(jù)管理帶來便利。

然而，人們?cè)谙硎芑ヂ?lián)網(wǎng)帶來的便捷的同時(shí)，也承受著層出不窮的網(wǎng)絡(luò)安全威脅。不管是在互聯(lián)網(wǎng)或者是校園網(wǎng)，黑客攻擊事件層出不窮，越來越多針對(duì)著名高校所進(jìn)行入侵行為以及破壞行為與日俱增。特別是一些惡意人員進(jìn)行的數(shù)據(jù)篡改以及惡意掛馬等行為，嚴(yán)重危害學(xué)?；ヂ?lián)網(wǎng)和校園網(wǎng)安全。對(duì)于以名譽(yù)及教學(xué)質(zhì)量為重的學(xué)校而言，風(fēng)險(xiǎn)極大。

1.2 典型應(yīng)用架構(gòu)

學(xué)校應(yīng)用系統(tǒng)一般至少包括以下多個(gè)系統(tǒng)：對(duì)外服務(wù)網(wǎng)站、教務(wù)管理系統(tǒng)、圖書管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)以及教職員工信息管理系統(tǒng)等。 

圖一 武漢大學(xué)對(duì)外服務(wù)網(wǎng)站 

圖二 武漢大學(xué)教學(xué)管理系統(tǒng)

1.3 安全分析

1.3.1 安全現(xiàn)狀分析

近一段時(shí)間，針對(duì)學(xué)校WEB應(yīng)用系統(tǒng)進(jìn)行的黑客攻擊行為以及掛馬事件層出不窮，帶了巨大損失。

“復(fù)旦大學(xué)”、“廈門大學(xué)”等網(wǎng)站被掛馬

“北京大學(xué)檔案館”、“中國(guó)政法大學(xué)社會(huì)學(xué)院”等網(wǎng)站被掛馬

1.3.2 典型安全措施

目前應(yīng)用系統(tǒng)典型安全防護(hù)措施主要通過SSL安全代理、防火墻、IDS/IPS 、軟件防火墻/防病毒四層防護(hù)。

1、 防火墻

（1） 只能檢測(cè)網(wǎng)絡(luò)層的攻擊

（2） 無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作

（3） 無法動(dòng)態(tài)識(shí)別或自適應(yīng)地調(diào)整規(guī)則

（4） 對(duì)WEB應(yīng)用,端口80或443必須開放

2、 IDS/IPS

（1） 只檢測(cè)已知特征

（2） 對(duì)數(shù)據(jù)層的信息缺乏深度分析，誤報(bào)/漏報(bào)率很高

（3） 沒有對(duì)session/user的跟蹤，不能保護(hù)SSL流量

3、 軟件防病毒/防火墻

（1） 被動(dòng)檢測(cè)機(jī)制，只檢測(cè)已知病毒或木馬

（2） 無法識(shí)別外部正常訪問請(qǐng)求

很多用戶認(rèn)為，在網(wǎng)絡(luò)中部署多層的防火墻，入侵檢測(cè)系統(tǒng)（IDS），入侵防御系統(tǒng)（IPS）等設(shè)備，就可以保障網(wǎng)絡(luò)的安全性，就能全面立體的防護(hù)WEB應(yīng)用了，但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生？其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過濾（基于TCP/IP報(bào)文頭部的ACL）實(shí)現(xiàn)訪問控制的功能；通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入。所有的處理都是在網(wǎng)絡(luò)層，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測(cè)出來的。IDS，IPS通過使用深包檢測(cè)的技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量，和攻擊特征庫(kù)進(jìn)行匹配，從而識(shí)別出以知的網(wǎng)絡(luò)攻擊，達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)。但是對(duì)于未知攻擊，和將來才會(huì)出現(xiàn)的攻擊，以及通過靈活編碼和報(bào)文分割來實(shí)現(xiàn)的應(yīng)用層攻擊，IDS和IPS同樣不能有效的防護(hù)。

目前由于學(xué)校WEB應(yīng)用系統(tǒng)安全解決方案自身的局限性，導(dǎo)致學(xué)校WEB應(yīng)用系統(tǒng)無法應(yīng)對(duì)日新月異的安全攻擊，特別是目前主流基于WEB應(yīng)用的安全攻擊手段。#p#

2 WEB應(yīng)用威脅

2.1 WEB應(yīng)用安全概述

WEB應(yīng)用系統(tǒng)直接面向Internet，以WEB應(yīng)用系統(tǒng)為跳板入侵服務(wù)器甚至控制整個(gè)內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為最普遍的攻擊手段。據(jù)某搜索網(wǎng)站統(tǒng)計(jì)，目前70%以上的攻擊行為都基于WEB應(yīng)用系統(tǒng)。WEB應(yīng)用系統(tǒng)安全關(guān)系到整個(gè)網(wǎng)絡(luò)站點(diǎn)甚至內(nèi)部敏感信息安全。

目前，大多數(shù)WEB站點(diǎn)與學(xué)校內(nèi)部數(shù)據(jù)管理應(yīng)用結(jié)合在一起，特別是大部分學(xué)校對(duì)外服務(wù)網(wǎng)站都與其內(nèi)網(wǎng)系統(tǒng)相關(guān)聯(lián)，通過入侵WEB應(yīng)用系統(tǒng)，以應(yīng)用服務(wù)器為跳板實(shí)現(xiàn)對(duì)銀行內(nèi)部系統(tǒng)進(jìn)一步入侵，由此引發(fā)的信息泄露，信息篡改及重要數(shù)據(jù)破壞等惡意攻擊行為極大著威脅著學(xué)校及學(xué)生信息安全。筑建網(wǎng)絡(luò)信息安全的第一道防線，基于WEB應(yīng)用系統(tǒng)的防護(hù)方法研究迫在眉睫。

2.2 WEB應(yīng)用威脅

2.1.1 WEB應(yīng)用威脅簡(jiǎn)介

2008年，國(guó)際信息安全權(quán)威組織OWASP提出，目前最具危害性，利用率最高的十大安全漏洞如下：

安恒根據(jù)長(zhǎng)期針對(duì)網(wǎng)上銀行業(yè)務(wù)系統(tǒng)的安全評(píng)估結(jié)果，就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三種網(wǎng)上銀行應(yīng)用系統(tǒng)主要存在問題進(jìn)行詳細(xì)介紹。

2.1.2 SQL注入攻擊

SQL注入漏洞的產(chǎn)生原因是網(wǎng)站程序在編寫時(shí)，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，導(dǎo)致應(yīng)用程序存在安全隱患。SQL注入漏洞攻擊就是是利用現(xiàn)有應(yīng)用程序沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，將惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的黑客攻擊手段。

SQL注入攻擊技術(shù)就本質(zhì)而言，它利用的工具是SQL的語法，針對(duì)的是應(yīng)用程序開發(fā)者編程中的漏洞，當(dāng)攻擊者能操作數(shù)據(jù)，向應(yīng)用程序中插入一些SQL語句時(shí)，SQL Injection攻擊就發(fā)生了。

實(shí)際上，SQL注入攻擊是存在于常見的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢。  

圖一 SQL攻擊實(shí)例

2.1.3 XSS跨站攻擊

跨站腳本攻擊簡(jiǎn)稱為XSS又叫CSS (Cross Site Script Execution)，是指服務(wù)器端的CGI程序沒有對(duì)用戶提交的變量中的HTML代碼進(jìn)行有效的過濾或轉(zhuǎn)換，允許攻擊者往WEB頁面里插入對(duì)終端用戶造成影響或損失的HTML代碼。

跨站腳本漏洞攻擊不是對(duì)服務(wù)器的實(shí)際攻擊，而是利用服務(wù)器把訪問該站點(diǎn)的用戶作為攻擊目標(biāo)。當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中WEB里面的HTML代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的，如獲取其他用戶Cookie中的敏感數(shù)據(jù)、屏蔽頁面特定信息、偽造頁面信息、拒絕服務(wù)攻擊、突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置、與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。

XSS漏洞很容易在學(xué)校WEB應(yīng)用系統(tǒng)中發(fā)現(xiàn)。XSS漏洞攻擊是最為常見的基于WEB應(yīng)用系統(tǒng)漏洞，面向客戶端的攻擊手段。  

某著名大學(xué)XSS跨站演示

2.1.4 表單繞過攻擊

WEB網(wǎng)站采用表單來收集訪問者的用戶名和密碼以確認(rèn)其是否具有足夠權(quán)限訪問某些保密信息，然后該表單被發(fā)送到 Web 服務(wù)器進(jìn)行處理。接下來，服務(wù)器端ASP腳本根據(jù)表單提供的信息生成SQL指令語句提交到SQL服務(wù)器，并通過分析SQL服務(wù)器的返回結(jié)果來判斷該用戶名/密碼組合是否有效。表單繞過攻擊就是指利用表單存在的安全漏洞，通過構(gòu)造一些畸形的特殊提交語句，繞過表單安全認(rèn)證的一種攻擊手段。

例1：某大學(xué)分析測(cè)試中心后臺(tái)管理系統(tǒng)存在表單繞過漏洞，可直接獲取后臺(tái)管理權(quán)限。  

例2：某大學(xué)教務(wù)處后臺(tái)管理系統(tǒng)存在表單繞過漏洞，可直接獲取后臺(tái)管理權(quán)限。

#p#

3 多層防護(hù)系統(tǒng)建設(shè)

網(wǎng)站系統(tǒng)基本的組成為網(wǎng)站代碼和后臺(tái)數(shù)據(jù)，在系統(tǒng)結(jié)構(gòu)方面由WEB服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成，所以安全關(guān)注方面應(yīng)該涵蓋WEB服務(wù)器的安全及數(shù)據(jù)庫(kù)服務(wù)器的安全。

從整體的應(yīng)用安全防護(hù)角度出發(fā)，通過網(wǎng)站的整體安全檢測(cè)、主動(dòng)防御、監(jiān)控審計(jì)三部分的全面部署，是網(wǎng)站系統(tǒng)的應(yīng)用安全配置達(dá)到比較高的水平，促使網(wǎng)站系統(tǒng)運(yùn)行在比較安全的應(yīng)用環(huán)境。

所以整體多層防護(hù)系統(tǒng)由網(wǎng)站W(wǎng)EB應(yīng)用弱點(diǎn)掃描子系統(tǒng)、網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)、網(wǎng)站應(yīng)用安全審計(jì)子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫(kù)弱點(diǎn)掃描子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫(kù)安全審計(jì)子系統(tǒng)總共7大子系統(tǒng)構(gòu)成，從各個(gè)層面和各個(gè)角度為網(wǎng)站系統(tǒng)建立立體防御體系。

網(wǎng)站的整體安全檢測(cè)由網(wǎng)站W(wǎng)EB應(yīng)用弱點(diǎn)掃描子系統(tǒng)和數(shù)據(jù)庫(kù)弱點(diǎn)掃描子系統(tǒng)來完成。首先由網(wǎng)站W(wǎng)EB應(yīng)用弱點(diǎn)掃描子系統(tǒng)通過掃描，快速檢測(cè)網(wǎng)站可能存在的SQL注入、跨站腳本、表單繞過、Cookie注入、程序后門等應(yīng)用弱點(diǎn)，根據(jù)檢測(cè)結(jié)果能夠針對(duì)性的采取有效的安全加固措施。通過數(shù)據(jù)庫(kù)弱點(diǎn)掃描子系統(tǒng)能夠有效檢測(cè)作為網(wǎng)站后臺(tái)支撐的數(shù)據(jù)庫(kù)系統(tǒng)，快速識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)存在的補(bǔ)丁狀況、弱配置狀況等安全隱患，通過有效應(yīng)對(duì)，盡可能防范通過各種途徑對(duì)后臺(tái)數(shù)據(jù)的入侵。

主動(dòng)防御由網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)共同來完成。防攻擊子系統(tǒng)通過實(shí)時(shí)檢測(cè)和分析所有的訪問請(qǐng)求，識(shí)別各類惡意訪問和攻擊，實(shí)行阻斷且快速報(bào)警，并形成日志。通過防篡改子系統(tǒng)的防護(hù)，可以保護(hù)網(wǎng)站相關(guān)頁面不被篡改，杜絕非法內(nèi)容的外流，防止由于網(wǎng)頁篡改給單位帶來的形象上及經(jīng)濟(jì)上的損失。

監(jiān)控審計(jì)通過網(wǎng)站應(yīng)用安全審計(jì)子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫(kù)安全審計(jì)子系統(tǒng)實(shí)現(xiàn)。網(wǎng)站應(yīng)用安全審計(jì)子系統(tǒng)平臺(tái)通過深度檢測(cè)所有的HTTP訪問數(shù)據(jù)，實(shí)現(xiàn)對(duì)網(wǎng)站訪問進(jìn)行7x24小時(shí)實(shí)時(shí)監(jiān)控，通過系統(tǒng)可以一目了了的了解網(wǎng)站被訪問的情況，一旦檢測(cè)到異常訪問和攻擊行為，系統(tǒng)會(huì)及時(shí)報(bào)警，并且以各種方式通知網(wǎng)站維護(hù)員，從而可以在第一時(shí)間采取相關(guān)安全應(yīng)急措施。系統(tǒng)的日志功能，為安全審計(jì)提供了基礎(chǔ)，日志信息包括詳細(xì)的訪問信息及訪問內(nèi)容，為對(duì)各類攻擊及異常訪問的完整追溯提供了基礎(chǔ)。網(wǎng)站數(shù)據(jù)庫(kù)安全審計(jì)子系統(tǒng)能夠檢視所有的針對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問，除了日常的SQL，還包括通過FTP、TELNET等其他的訪問方式，可以實(shí)現(xiàn)后臺(tái)數(shù)據(jù)庫(kù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。  

防護(hù)體系結(jié)構(gòu)圖

3.1 網(wǎng)站系統(tǒng)的安全檢測(cè)

3.1.1 網(wǎng)站W(wǎng)EB應(yīng)用弱點(diǎn)掃描子系統(tǒng)   

主要功能： 

◆深度掃描：以風(fēng)險(xiǎn)為導(dǎo)向?qū)EB應(yīng)用進(jìn)行深度遍歷，獲得后臺(tái)數(shù)據(jù)庫(kù)信息及WEB應(yīng)用列表 

◆WEB漏洞檢測(cè)：對(duì)各類典型Web漏洞（如：SQL注入、Xpath注入、XSS、表單繞過、表單弱口令、各類CGI弱點(diǎn)等）進(jìn)行深度檢測(cè)

◆網(wǎng)頁木馬檢測(cè)：對(duì)各種掛馬方式的網(wǎng)頁木馬進(jìn)行全自動(dòng)、高性能、智能化分析，并對(duì)網(wǎng)頁木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁木馬宿主做出精確定位 

◆滲透測(cè)試：通過當(dāng)前弱點(diǎn)，完全模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)WEB應(yīng)用的安全性做出深入分析，并實(shí)施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù) 

◆配置審計(jì)：通過當(dāng)前弱點(diǎn)，模擬黑客攻擊，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的審計(jì)功能，獲得后臺(tái)數(shù)據(jù)庫(kù)連接信息、數(shù)據(jù)庫(kù)實(shí)例名、數(shù)據(jù)庫(kù)版本、數(shù)據(jù)字典等配置信息

系統(tǒng)特點(diǎn)： 

◆全面、深度、準(zhǔn)確評(píng)估WEB應(yīng)用弱點(diǎn)，有效提高主動(dòng)防御能力

支持的WEB應(yīng)用類型：

支持所有類型的動(dòng)態(tài)頁面

支持HTTP 1.0和1.1標(biāo)準(zhǔn)的Web應(yīng)用系統(tǒng)

支持基于NTLM、Cookie、證書認(rèn)證方式的Web應(yīng)用系統(tǒng)安全掃描

支持基于HTTPS應(yīng)用系統(tǒng)的檢測(cè)

支持的數(shù)據(jù)庫(kù)類型：

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access等

支持的弱點(diǎn)類型：

SQL注入檢測(cè)    XSS跨站腳本檢測(cè)   偽造跨站點(diǎn)請(qǐng)求檢測(cè)

網(wǎng)頁木馬檢測(cè)    隱藏字段檢測(cè)    第三方軟件誤配置檢測(cè)

表單繞過檢測(cè)    AJAX注入檢測(cè)    中間人攻擊檢測(cè)

弱配置檢測(cè)        敏感信息泄漏檢測(cè)   HI－JACK攻擊檢測(cè)

表單弱口令檢測(cè)       Xpath注入檢測(cè)    GOOGLE-HACK檢測(cè)

數(shù)據(jù)竊取檢測(cè)    Cookies注入檢測(cè)       其他各類CGI漏洞檢測(cè)

靈活可定義的掃描工作模式：

支持先爬行后檢測(cè)、只檢測(cè)現(xiàn)有URL、只爬行網(wǎng)站等多種掃描方式

掃描方式：簡(jiǎn)單模式（單個(gè)域名）、批量模式（多個(gè)域名）

掃描范圍：當(dāng)前URL、當(dāng)前子域名、當(dāng)前域名、任何URL

支持無人值守模式下的全模式自動(dòng)掃描

工作方式：主動(dòng)掃描、被動(dòng)掃描(Proxy)

掃描深度：支持無限掃描深度

掃描過程可以隨時(shí)中斷/恢復(fù)

支持多任務(wù)、多線程掃描

支持任意掃描例外設(shè)置

深度智能掃描引擎：

全面支持SSL

自動(dòng)過濾重復(fù)頁面

自動(dòng)檢測(cè)所有參數(shù)

支持網(wǎng)頁大小寫敏感/不敏感

3.1.2 數(shù)據(jù)庫(kù)弱點(diǎn)掃描子系統(tǒng)

系統(tǒng)融合有權(quán)威數(shù)據(jù)庫(kù)安全專家數(shù)年的安全經(jīng)驗(yàn)與技術(shù)積累，是全球首創(chuàng)、擁有自主知識(shí)產(chǎn)權(quán)、專門用于掃描數(shù)據(jù)庫(kù)弱點(diǎn)的產(chǎn)品，能夠掃描幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)配置或者潛在漏洞，具有強(qiáng)大的發(fā)現(xiàn)弱口令及數(shù)據(jù)庫(kù)潛藏木馬的功能。

主要功能

數(shù)據(jù)庫(kù)弱點(diǎn)掃描子系統(tǒng)由系統(tǒng)管理、項(xiàng)目管理、安全掃描、報(bào)表管理幾大模塊組成。

其中： 

◆風(fēng)險(xiǎn)趨勢(shì)管理：通過基線創(chuàng)建生成數(shù)據(jù)庫(kù)結(jié)構(gòu)的指紋文件，通過基線掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)結(jié)構(gòu)的變化，從而實(shí)現(xiàn)基于基線的風(fēng)險(xiǎn)趨勢(shì)分析 

◆弱點(diǎn)檢測(cè)與弱點(diǎn)分析：根據(jù)內(nèi)置自動(dòng)更新的弱點(diǎn)規(guī)則完成對(duì)數(shù)據(jù)庫(kù)配置信息的安全檢測(cè)及數(shù)據(jù)庫(kù)對(duì)象的安全檢測(cè) 

◆弱口令檢測(cè)：依據(jù)內(nèi)嵌的弱口令字典完成對(duì)口令強(qiáng)弱的檢測(cè) 

◆補(bǔ)丁檢測(cè)：根據(jù)補(bǔ)丁信息庫(kù)及被掃描數(shù)據(jù)庫(kù)的當(dāng)前配置，完成補(bǔ)丁安裝檢測(cè) 

◆項(xiàng)目管理：按項(xiàng)目方式對(duì)掃描任務(wù)進(jìn)行增/刪/改管理 

◆報(bào)表管理：提供掃描報(bào)告的存儲(chǔ)、查看、多文件格式導(dǎo)入/導(dǎo)出功能 

◆掃描預(yù)通知：向被掃描的數(shù)據(jù)庫(kù)發(fā)送預(yù)掃描通知，及時(shí)提醒數(shù)據(jù)庫(kù)管理員 

◆系統(tǒng)管理：提供鑒權(quán)管理、許可管理、日志管理、升級(jí)管理及自身完整性檢測(cè)

系統(tǒng)特點(diǎn) 

◆權(quán)威的弱點(diǎn)規(guī)則庫(kù)：權(quán)威數(shù)據(jù)庫(kù)安全專家提供最全面、最準(zhǔn)確和最新的弱點(diǎn)知識(shí)庫(kù) 

◆深度的弱點(diǎn)檢測(cè)：提供對(duì)數(shù)據(jù)庫(kù)“弱點(diǎn)、不安全配置、弱口令、補(bǔ)丁、木馬”深層次安全檢測(cè)及準(zhǔn)確評(píng)估 

◆完備的類型支持：支持業(yè)界主流的數(shù)據(jù)庫(kù)類型，包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access等 

◆獨(dú)特的木馬檢測(cè)：通過專用的基線掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)潛藏木馬 

◆優(yōu)異的掃描引擎：掃描引擎確保系統(tǒng)工作時(shí)對(duì)數(shù)據(jù)庫(kù)及服務(wù)器性能影響最小化 

◆豐富的掃描報(bào)告：掃描結(jié)果通過靈活的報(bào)表呈現(xiàn)給用戶，并提供弱點(diǎn)分級(jí)以及相應(yīng)加固建議方案 

◆方便的操作管理：充分考慮國(guó)內(nèi)用戶的使用習(xí)慣，提供全中文的操作界面，提供向?qū)Ｊ綆椭褂谜咻p松完成掃描項(xiàng)目的配置#p#

3.2 主動(dòng)防御體系的建設(shè)

3.2.1 網(wǎng)站防攻擊子系統(tǒng)     

防攻擊子系統(tǒng)是安恒結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI、等級(jí)保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求，以國(guó)內(nèi)首創(chuàng)的全透明部署模式全面支持HTTPS，在提供WEB應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護(hù)，為Web應(yīng)用提供全方位的防護(hù)解決方案。   

系統(tǒng)功能： 

◆深度防御

防攻擊子系統(tǒng)基于安恒專利級(jí)WEB入侵異常檢測(cè)技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等）： 

◆SQL注入 

◆命令注入 

◆Cookie 注入 

◆跨站腳本(XSS)  

◆敏感信息泄露 

◆惡意代碼  

◆錯(cuò)誤配置 

◆隱藏字段  

◆會(huì)話劫持  

◆參數(shù)篡改  

◆緩沖區(qū)溢出  

◆應(yīng)用層拒絕服務(wù)  

◆弱口令  

◆其他變形的應(yīng)用攻擊 

◆Web應(yīng)用加速

系統(tǒng)內(nèi)嵌應(yīng)用加速模塊，通過對(duì)各類靜態(tài)頁面及部分腳本的高速緩存，大大提高訪問速度。 

◆敏感信息泄露防護(hù)

系統(tǒng)內(nèi)置安全防護(hù)策略，可以靈活定義HTTP/HTTPS錯(cuò)誤返回的默認(rèn)頁面，避免因?yàn)閃EB服務(wù)異常，導(dǎo)致敏感信息（如：WEB應(yīng)用安裝目錄、WEB服務(wù)器版本信息等）的泄露。 

◆策略配置

自定義策略配置 

◆告警

實(shí)時(shí)告警，支持郵件、短信等多種方式告警。 

◆系統(tǒng)報(bào)表

支持自定義報(bào)表，支持各類導(dǎo)出格式（WORD、EXCEL、PDF、HTML等）。

系統(tǒng)特點(diǎn) 

◆專利級(jí)WEB入侵異常檢測(cè)引擎

獨(dú)有WEB入侵異常檢測(cè)引擎，能夠有效分析和識(shí)別各類已知和變形的應(yīng)用攻擊，為防御的準(zhǔn)確性和高效性提供了基礎(chǔ)。 

◆支持全透明部署

業(yè)界首創(chuàng)支持全透明部署，無需更改原有的DNS或IP配置，對(duì)原有應(yīng)用不會(huì)造成任何影響。 

◆HTTPS支持

國(guó)內(nèi)首創(chuàng)全面支持HTTPS，實(shí)現(xiàn)各類高安全要求WEB應(yīng)用系統(tǒng)的深度實(shí)時(shí)防護(hù)（如網(wǎng)銀、證券交易等）。 

◆支持多保護(hù)對(duì)象  

◆支持多臺(tái)主機(jī)對(duì)象的保護(hù)，包括不同域名不同IP，不同域名相同IP的情況 

◆支持用戶自定義規(guī)則庫(kù)

用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則，來實(shí)現(xiàn)安全檢測(cè)及過濾 

◆統(tǒng)一日志平臺(tái)接口 

◆支持阻斷、告警、By-Pass等多種應(yīng)用模式

3.2.2 網(wǎng)站防篡改子系統(tǒng) 

網(wǎng)站防篡改子系統(tǒng)是業(yè)界首創(chuàng)的新一代網(wǎng)站防篡改系統(tǒng)，采用目前最新服務(wù)器核心內(nèi)嵌技術(shù)、內(nèi)核驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)、基于事件觸發(fā)式監(jiān)測(cè)機(jī)制，高效實(shí)現(xiàn)網(wǎng)頁監(jiān)測(cè)、即時(shí)內(nèi)容恢復(fù)、杜絕了網(wǎng)站被非法篡改、用戶瀏覽非法內(nèi)容的可能。   

網(wǎng)站防篡改子系統(tǒng)的特點(diǎn)： 

◆新一代內(nèi)核驅(qū)動(dòng)級(jí)文件保護(hù)，確保防護(hù)功能不被惡意攻擊者非法終止 

◆采用核心內(nèi)嵌技術(shù)，支持大規(guī)模連續(xù)篡改攻擊防護(hù) 

◆實(shí)時(shí)檢測(cè)與內(nèi)容恢復(fù)，完全杜絕被篡改內(nèi)容被外界瀏覽 

◆支持?jǐn)嗑€/連線狀態(tài)下篡改檢測(cè) 

◆支持多服務(wù)器、多站點(diǎn) 

◆保護(hù)各種類型文件：如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等眾多網(wǎng)頁文件及其它各類文檔、圖片、多媒體文件。#p#

3.3 監(jiān)控審計(jì)體系的建立

3.3.1 網(wǎng)站應(yīng)用安全審計(jì)子系統(tǒng)

主要功能： 

◆全方位的攻擊告警：當(dāng)網(wǎng)站（或其他Web 應(yīng)用程序）代碼受到WEB應(yīng)用層的已知及未知攻擊時(shí)，能夠提供多形式的實(shí)時(shí)告警。 

◆多協(xié)議的訪問監(jiān)控：提供對(duì)WEB應(yīng)用及WEB服務(wù)器的訪問實(shí)時(shí)監(jiān)控及回放功能，為安全事件的快速查詢、定位、成因分析、責(zé)任認(rèn)定提供有力的證據(jù)。 

◆豐富的監(jiān)控審計(jì)：實(shí)現(xiàn)用戶訪問WEB應(yīng)用的統(tǒng)計(jì)分析，如：訪問時(shí)段統(tǒng)計(jì)、攻擊源統(tǒng)計(jì)、攻擊類型統(tǒng)計(jì)、受攻擊頁面統(tǒng)計(jì)、訪問頁面數(shù)、訪問流量、TOP10請(qǐng)求包長(zhǎng)度等。

產(chǎn)品特性： 

◆零風(fēng)險(xiǎn)：旁路部署模式，無需改變現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)及應(yīng)用程序，實(shí)現(xiàn)應(yīng)用層的零風(fēng)險(xiǎn)部署。 

◆全方位：實(shí)現(xiàn)對(duì)各類WEB攻擊（已知攻擊、變形攻擊、未知攻擊）的全方位、多層次攻擊告警。 

◆高性能：基于硬件加速技術(shù)確保WebMonitor具備高吞吐、低延時(shí)，保證了2～7層深度過濾超越千兆性能。 

◆高可靠：提供多層次的物理保護(hù)、掉電保護(hù)、自我監(jiān)測(cè)及冗余部署，提升設(shè)備整體可靠性，達(dá)到99.9999%的可靠性。 

◆易操作：充分考慮國(guó)內(nèi)用戶的使用和維護(hù)習(xí)慣，自動(dòng)實(shí)現(xiàn)規(guī)則的生成，彌補(bǔ)手工創(chuàng)建及維護(hù)安全規(guī)則的不足；依靠?jī)?nèi)置的安全策略配合完全自定義策略，滿足不同層次使用人員的個(gè)性化需求。

3.3.2 網(wǎng)站數(shù)據(jù)庫(kù)安全審計(jì)子系統(tǒng)

數(shù)據(jù)庫(kù)安全審計(jì)子系統(tǒng)安恒自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。

主要功能

細(xì)粒度審計(jì)： 

◆有別于傳統(tǒng)的簡(jiǎn)單SQL語句還原，通過對(duì)不同數(shù)據(jù)庫(kù)的SQL語義分析，提取出SQL中相關(guān)的要素（用戶、SQL操作、表、字段…） 

◆全方位的實(shí)時(shí)審計(jì)：實(shí)時(shí)監(jiān)控來自各個(gè)層面的所有數(shù)據(jù)庫(kù)活動(dòng)。如：來自應(yīng)用程序發(fā)起的數(shù)據(jù)庫(kù)操作請(qǐng)求、來自數(shù)據(jù)庫(kù)客戶端工具的操作請(qǐng)求等 

◆通過遠(yuǎn)程命令行執(zhí)行的SQL命令也能夠被審計(jì)與分析 

◆完善的雙向?qū)徲?jì)：系統(tǒng)不僅對(duì)數(shù)據(jù)庫(kù)操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì)，而且還可對(duì)數(shù)據(jù)庫(kù)系統(tǒng)返回結(jié)果進(jìn)行完整的還原和審計(jì)

精準(zhǔn)化行為回溯： 

◆一旦發(fā)生安全事件，提供基于數(shù)據(jù)庫(kù)對(duì)象（用戶、表、字段及記錄內(nèi)容）的完全自定義審計(jì)查詢及審計(jì)數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫(kù)的黑盒狀態(tài)（快速掌握：安全事件發(fā)生前后誰對(duì)數(shù)據(jù)庫(kù)做了操作？做了什么操作？什么時(shí)候做的操作？通過什么方式做的操作？）

全方位風(fēng)險(xiǎn)控制： 

◆靈活的策略定制：根據(jù)登錄用戶、源IP地址、數(shù)據(jù)庫(kù)對(duì)象（分為數(shù)據(jù)庫(kù)用戶、表、字段）、操作時(shí)間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關(guān)聯(lián)表數(shù)量、SQL執(zhí)行結(jié)果、SQL執(zhí)行時(shí)長(zhǎng)、報(bào)文內(nèi)容的靈活組合來定義客戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件 

◆多形式的實(shí)時(shí)告警：當(dāng)檢測(cè)到可疑操作或違反審計(jì)規(guī)則的操作時(shí)，系統(tǒng)可以通過監(jiān)控中心告警、短信告警、郵件告警、Syslog告警等方式通知數(shù)據(jù)庫(kù)管理員 

◆多協(xié)議層的遠(yuǎn)程訪問監(jiān)控：不僅對(duì)客戶端工具及應(yīng)用層JDBC、ODBC的訪問監(jiān)控，還支持對(duì)數(shù)據(jù)庫(kù)服務(wù)器的遠(yuǎn)程訪問（如：ftp、telnet）實(shí)時(shí)監(jiān)控及回放功能，有助于安全事件的定位查詢、成因分析及責(zé)任認(rèn)定

職責(zé)分離： 

◆SOX法案或者專業(yè)職責(zé)標(biāo)準(zhǔn)(如PCI)中明確提出對(duì)工作人員進(jìn)行職責(zé)分離，系統(tǒng)設(shè)置了權(quán)限角色分離，如系統(tǒng)管理員負(fù)責(zé)設(shè)備的運(yùn)行設(shè)置；規(guī)則配置員負(fù)責(zé)相關(guān)數(shù)據(jù)庫(kù)操作規(guī)則的設(shè)定；審計(jì)員負(fù)責(zé)查看相關(guān)審計(jì)記錄及規(guī)則違反情況；日志員負(fù)責(zé)查看整體設(shè)備的操作日志及規(guī)則的修改情況等。

友好真實(shí)的操作過程回放： 

◆對(duì)于客戶關(guān)心的操作可以回放整個(gè)相關(guān)過程，讓客戶可以看到真實(shí)輸入及屏幕顯示內(nèi)容

產(chǎn)品特點(diǎn) 

◆完整性：全方位審計(jì)所有的操作訪問行為。 

◆細(xì)粒度：細(xì)粒度的審計(jì)規(guī)則、精準(zhǔn)化的行為回溯、全方位的風(fēng)險(xiǎn)控制 

◆有效性：獨(dú)有專利技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)安全的各類風(fēng)險(xiǎn)（攻擊風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)）的有效控制；靈活的、可自定義的審計(jì)規(guī)則滿足了各類內(nèi)控和外審的需求（有效控制誤操作、越權(quán)操作、惡意操作等違規(guī)行為） 

◆公正性：基于獨(dú)立監(jiān)控審計(jì)的工作模式，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)管理與審計(jì)的分離，保證了審計(jì)結(jié)果的真實(shí)性、完整性、公正性 

◆零風(fēng)險(xiǎn)：采用旁路部署模式，無需改變現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)及數(shù)據(jù)庫(kù)配置，實(shí)現(xiàn)零風(fēng)險(xiǎn)部署 

◆高可靠：提供多層次的物理保護(hù)、掉電保護(hù)、自我監(jiān)測(cè)及冗余部署，提升設(shè)備整體可靠性，達(dá)到99.9999%的可靠性 

◆易操作：充分考慮國(guó)內(nèi)用戶的使用和維護(hù)習(xí)慣，提供Web-based全中文操作界面及在線操作提示 

 3.4 整體部署功能示意圖

鄭重聲明：此為功能結(jié)構(gòu)示意圖，而不是實(shí)際的物理網(wǎng)絡(luò)部署圖。  

多層防護(hù)體系功能結(jié)構(gòu)示意圖#p#

4 成功案例

浙江某著名大學(xué)

客戶面臨的問題：

該大學(xué)WEB應(yīng)用系統(tǒng)存在嚴(yán)重可利用安全漏洞，如SQL注入、跨站腳本以及表單繞過。惡意人員可輕松獲取該網(wǎng)站后臺(tái)管理權(quán)限，進(jìn)行網(wǎng)頁篡改甚至進(jìn)行網(wǎng)頁掛馬、提權(quán)等操作，最終獲取WEB服務(wù)器控制權(quán)限。同時(shí)，由于其內(nèi)部網(wǎng)絡(luò)之間各個(gè)業(yè)務(wù)系統(tǒng)，如WEB應(yīng)用系統(tǒng)與教務(wù)系統(tǒng)并未進(jìn)行嚴(yán)格的邏輯隔離，導(dǎo)致惡意人員可在內(nèi)部局域網(wǎng)內(nèi)進(jìn)行深度入侵，篡改教務(wù)系統(tǒng)數(shù)據(jù)庫(kù)數(shù)據(jù)。

解決方案：

建立網(wǎng)站系統(tǒng)的安全檢測(cè)系統(tǒng)，對(duì)WEB應(yīng)用系統(tǒng)網(wǎng)站以及各個(gè)子網(wǎng)站進(jìn)行定期的安全檢測(cè)掃描，在惡意人員進(jìn)行安全攻擊前，提早發(fā)現(xiàn)可能存在的各類安全隱患，及時(shí)進(jìn)行安全加固，防止存在可利用安全漏洞為惡意攻擊者利用。

在提供WEB應(yīng)用服務(wù)的服務(wù)器前端直連部署主動(dòng)防御系統(tǒng)，包括明御WEB防火墻與明御網(wǎng)站衛(wèi)士，采用國(guó)內(nèi)首創(chuàng)全透明部署的WEB應(yīng)用防火墻硬件設(shè)備以及網(wǎng)站衛(wèi)士放篡改系統(tǒng)相結(jié)合的方式，對(duì)網(wǎng)站進(jìn)行防攻擊、防篡改雙重保護(hù)，構(gòu)建安全的學(xué)校WEB應(yīng)用系統(tǒng)內(nèi)部環(huán)境。

明御WEB防火墻可以提供針對(duì)WEB應(yīng)用層攻擊防御和流量監(jiān)控，完全支持HTTPS加密協(xié)議的攻擊防御。例如：SQL注入攻擊、跨站腳本攻擊、應(yīng)用層DDOS攻擊、表單繞過、緩沖區(qū)溢出、惡意報(bào)文攻擊、網(wǎng)頁盜鏈、釣魚攻擊、Cookie注入等攻擊防御，并通過強(qiáng)大的緩存技術(shù)和負(fù)載均衡技術(shù)提高網(wǎng)站及網(wǎng)上銀行的訪問速度。

明御網(wǎng)站衛(wèi)士采用目前最先進(jìn)的WEB入侵檢測(cè)技術(shù)、服務(wù)器核心內(nèi)嵌技術(shù)、內(nèi)核驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)、基于事件觸發(fā)式監(jiān)測(cè)機(jī)制，高效實(shí)現(xiàn)網(wǎng)頁監(jiān)測(cè)、即時(shí)內(nèi)容恢復(fù)、動(dòng)態(tài)WEB攻擊防護(hù)功能，杜絕了網(wǎng)站被非法篡改、非法入侵的可能。

對(duì)學(xué)校內(nèi)部教務(wù)信息、財(cái)務(wù)信息以及學(xué)術(shù)論文庫(kù)等數(shù)據(jù)庫(kù)服務(wù)器前端部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)——明御數(shù)據(jù)庫(kù)審計(jì)及深度防御系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行細(xì)粒度、動(dòng)態(tài)實(shí)時(shí)的安全審計(jì)，保護(hù)數(shù)據(jù)庫(kù)數(shù)據(jù)安全，并未事后追溯提供依據(jù)。

系統(tǒng)部署圖如下：