基于SaaS模式的Web云安全防護(hù)

◆尹 輝

(山東司法警官職業(yè)學(xué)院 山東 250014)

基于SaaS模式的Web云安全防護(hù)

◆尹 輝

(山東司法警官職業(yè)學(xué)院 山東 250014)

針對目前網(wǎng)站的安全現(xiàn)狀，通過對傳統(tǒng)網(wǎng)站安全解決方案存在問題的分析，提出了基于SaaS模式的Web安全解決方案，并闡述了該方案的優(yōu)勢。

SaaS；Web；云安全

0 前言

在“互聯(lián)網(wǎng)+”背景下，大數(shù)據(jù)、云計算、移動互聯(lián)技術(shù)的發(fā)展為網(wǎng)絡(luò)應(yīng)用者帶來越來越多的便利，同時也對網(wǎng)絡(luò)安全性提出更高的要求，安全的量和質(zhì)打破了網(wǎng)站傳統(tǒng)的安全防御體系。基于SaaS模式的web云安全防護(hù)體系是在大數(shù)據(jù)分析背景下，數(shù)據(jù)驅(qū)動安全，高效精準(zhǔn)解決web安全問題。

1 SaaS概念

SaaS是Software as a Service的簡稱，客戶向廠商定購應(yīng)用軟件服務(wù)，通過互聯(lián)網(wǎng)獲得服務(wù)，按照服務(wù)內(nèi)容和時間長短支付費(fèi)用。用戶通過互聯(lián)網(wǎng)使用軟件和服務(wù)，企業(yè)為客戶提供軟件離線操作及本地數(shù)據(jù)存儲，省去客戶投資購買和維護(hù)設(shè)備及應(yīng)用程序的開發(fā)工作，是效益最高的一種營運(yùn)模式。基于SaaS模式的web云安全防護(hù)就是安全以服務(wù)的方式，向用戶在線交付。

2 網(wǎng)站安全現(xiàn)狀

截至2016年12月，中國網(wǎng)站總數(shù)為482萬個，根據(jù)2016年中國互聯(lián)網(wǎng)安全報告，國內(nèi)46.3%的網(wǎng)站存在安全漏洞，安全形勢非常嚴(yán)峻。37188個網(wǎng)站漏洞中事件型漏洞占93.9%，通用型漏洞占 6.1%。50.6%是高危漏洞，35.4%是中危型漏洞，只有14.0%是低危型漏洞。應(yīng)用程序錯誤信息占 24.4%，服務(wù)器路徑泄露（由異常頁面導(dǎo)致的）占19.8%，跨站腳本攻擊漏洞占16%，SQL注入漏洞占 7.9%，發(fā)現(xiàn)目錄啟用了自動目錄列表功能占3.0%，發(fā)現(xiàn)敏感名稱的目錄漏洞占2.8%，IIS短文件名泄露漏洞占2.6%，WEB服務(wù)器啟用了OPTIONS方法占2.3%，發(fā)現(xiàn)robots.txt文件占2.3%，Mysql可遠(yuǎn)程連接占1.7%，其它占17.2%。

為獲取網(wǎng)站數(shù)據(jù)庫信息和管理員賬戶信息，利用SQL注入暴庫、脫庫成為主要攻擊方式。根據(jù)2016年補(bǔ)天平臺收錄網(wǎng)站漏洞類型分布，SQL注入占44.9%，命令執(zhí)行占14.0%，弱口令占11.7%，信息泄露占11.1%，邏輯漏洞占3.3%，其他占15.0%。

2016年網(wǎng)站衛(wèi)士攔截漏洞攻擊類型主要是 SQL注入占39.8%，掃描器攻擊占 11.2%。在 197.9萬個監(jiān)測網(wǎng)站數(shù)據(jù)中有4.2%的網(wǎng)站被篡改了頁面內(nèi)容或置入了色情、博彩信息。2015年中國網(wǎng)站安全報告，在掃描的21854臺服務(wù)器中有18.7%的服務(wù)器被留了木馬后門程序。

DDOS攻擊帶寬 70.5%小于 1M，66.2%的攻擊時長為60s-600s。被 DDOS攻擊的網(wǎng)站，23%會無法訪問，18%的網(wǎng)站訪問速度會受到影響。由此可見，網(wǎng)站安全形勢不容樂觀，針對網(wǎng)站的安全問題成為安全廠商的工作重點之一。

3 傳統(tǒng)網(wǎng)站安全解決方案

傳統(tǒng)的網(wǎng)站安全解決方案是在總部數(shù)據(jù)中心對網(wǎng)站進(jìn)行Web漏洞掃描和網(wǎng)站安全監(jiān)測，主要安全防護(hù)設(shè)備由抗DDOS設(shè)備、防火墻、IPS、WAF組成，如圖1所示。

圖1 傳統(tǒng)網(wǎng)站安全解決方案

由設(shè)備廠商進(jìn)行設(shè)備升級，更新速度慢、不及時，設(shè)備策略配置復(fù)雜，運(yùn)行維護(hù)難度大。同時，在監(jiān)測過程中，誤報率高，日志報表不好理解。抗DDOS攻擊設(shè)備防護(hù)能力差，出口帶寬被占滿后設(shè)備失效。無法實時監(jiān)測DDOS攻擊和釣魚網(wǎng)站。傳統(tǒng)的網(wǎng)站安全方案存在很多弊端，主要有：

（1）防火墻局限：傳統(tǒng)的防火墻主要工作在 OSI模型三、四層，它無需理解Web應(yīng)用程序語言，基于IP報文進(jìn)行檢測，無需理解HTTP會話。防火墻不能對HTML應(yīng)用程序用戶端的輸入進(jìn)行驗證，不能檢測到被惡意修改過參數(shù)的URL請求。

（2）入侵防御系統(tǒng)不足：傳統(tǒng) IPS設(shè)備主要注重防護(hù)，不能進(jìn)行事前預(yù)防。由于安全漏洞的存在導(dǎo)致系統(tǒng)安全受到威脅。僅防護(hù)不能徹底消除安全隱患，需要使用 Web應(yīng)用漏洞掃描工具，進(jìn)行事前預(yù)警，提前發(fā)現(xiàn)安全隱患，保證系統(tǒng)安全。

（3）傳統(tǒng)WAF能力所限：傳統(tǒng)WAF雖然理論值能讓防御率到達(dá)99%以上，但在不影響訪問效率的前提下，任何WEB防御規(guī)則最多只能防御70%左右的攻擊。傳統(tǒng)WAF在接近標(biāo)稱值一半流量并開啟全部規(guī)則的情況下幾近宕機(jī)。且在新漏洞爆發(fā)時，升級受廠家本地支撐能力限制，無法第一時間進(jìn)行漏洞庫升級。

（4）無法阻止DDOS大流量攻擊防護(hù)：傳統(tǒng)串聯(lián)到鏈路上的抗DDOS攻擊設(shè)備，對CC攻擊及小流量的DDOS攻擊可有效防御，但對超過鏈路帶寬的DDOS攻擊則無能為力。

（5）節(jié)假日、重要時期安全保障：節(jié)假日及重要時期，攻擊相對比較頻繁，且相關(guān)的安全運(yùn)維人員較少，門戶網(wǎng)站保障力度不夠。

（6）網(wǎng)站唯一運(yùn)營商鏈路：沒有CDN加速功能，其他運(yùn)營商用戶或省外用戶訪問速度相對較慢。

4 基于SaaS模式的系統(tǒng)安全性分析

SaaS系統(tǒng)中存放大量客戶的業(yè)務(wù)數(shù)據(jù)，保障數(shù)據(jù)安全是其工作中的重中之重，安全性保障主要包括資源存取控制安全和數(shù)據(jù)安全。

4.1 訪問控制

（1）集中認(rèn)證：SaaS系統(tǒng)授權(quán)客戶系統(tǒng)管理創(chuàng)建、刪除、管理賬號，后臺系統(tǒng)會在中央數(shù)據(jù)庫中驗證用戶信息對合法用戶賦予相應(yīng)權(quán)限。

（2）分散認(rèn)證：用戶登錄時，可通過在本地存儲的身份信息數(shù)據(jù)庫中進(jìn)行認(rèn)證，并被授予一個令牌，通過令牌信息到SaaS系統(tǒng)進(jìn)行認(rèn)證，再接受授權(quán)。

4.2 數(shù)據(jù)安全

采用代理客戶身份信息訪問系統(tǒng)數(shù)據(jù)庫，系統(tǒng)進(jìn)程與用戶無關(guān)，無需考慮單用戶訪問數(shù)據(jù)庫時的安全性控制。對數(shù)據(jù)表權(quán)限的控制是通過 GRANT命令來實現(xiàn)。如：GRANT SELECT，UPDATE，INSERT，DELETE，ON [TableName]FOR[UserName]。對數(shù)據(jù)內(nèi)容采用對稱加密和非對稱加密的方式來保障數(shù)據(jù)安全。

5 基于SaaS模式的Web安全解決方案

基于對 SaaS模式下系統(tǒng)安全性的分析，相對應(yīng)的安全解決方案應(yīng)重點解決訪問控制及數(shù)據(jù)安全等問題。

如圖2、圖3所示，分別為基于SaaS模式的Web安全解決方案及其設(shè)計框架。

圖2 基于SaaS模式的Web安全解決方案

圖3 基于SaaS模式的Web安全解決方案設(shè)計框架

基于 SaaS的網(wǎng)站云安全防護(hù)系統(tǒng)主要包括安全云防護(hù)系統(tǒng)和網(wǎng)站云監(jiān)測系統(tǒng)。安全云防護(hù)包括DNS高防、抗DDOS攻擊、Web攻擊防護(hù)、防網(wǎng)頁被篡改。網(wǎng)站云監(jiān)測系統(tǒng)可以監(jiān)測網(wǎng)站漏洞、釣魚網(wǎng)站、掛馬程序、管理員未知的網(wǎng)站域名資產(chǎn)、數(shù)據(jù)庫數(shù)據(jù)被篡改和惡意敏感詞，在云端對用戶的網(wǎng)站進(jìn)行掃描、防護(hù)和監(jiān)測。

安全云防護(hù)通過用戶修改 DNS指向云端防護(hù)系統(tǒng)，對網(wǎng)站進(jìn)行云端替身防護(hù)，可隱藏服務(wù)器 IP地址，防止黑客攻擊。抗DDOS攻擊時，檢測到CC攻擊，會通過自動流量建模技術(shù)阻斷CC攻擊，也可以定制防護(hù)策略進(jìn)行防護(hù)，運(yùn)用大數(shù)據(jù)分析提供網(wǎng)站攻擊報表。

基于 SaaS的網(wǎng)站云安全防護(hù)系統(tǒng)，主要從以下幾個方面進(jìn)行網(wǎng)站的安全防護(hù)。

5.1 安全預(yù)警

由于 IT資產(chǎn)數(shù)量逐年增加、業(yè)務(wù)更新頻繁、部署的服務(wù)種類繁多導(dǎo)致資產(chǎn)狀態(tài)模糊，對于網(wǎng)上批露的漏洞突發(fā)時間，無法第一時間確認(rèn)受漏洞影響的范圍，響應(yīng)速度慢。安全預(yù)警平臺，可進(jìn)行資產(chǎn)普查、漏洞檢查及風(fēng)險預(yù)警。平臺基于指紋識別技術(shù)，可對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、中間件、工業(yè)控制設(shè)備等進(jìn)行詳細(xì)的指紋識別，包括資產(chǎn)類型、廠家、版本、框架、組建、CMS等，做到全網(wǎng)資產(chǎn)準(zhǔn)確識別定位，一旦有突發(fā)漏洞事件，可立即獲知漏洞影響范圍，并結(jié)合平臺自身的漏洞掃描功能，對識別出的資產(chǎn)進(jìn)行安全檢查，可獲得準(zhǔn)確的漏洞檢測結(jié)果。

5.2 網(wǎng)站監(jiān)測

如圖4所示為安全云監(jiān)測示意圖。

圖4 安全云監(jiān)測

（1）網(wǎng)站平穩(wěn)度監(jiān)測

從多個運(yùn)營商網(wǎng)絡(luò)線路遠(yuǎn)程實時監(jiān)測目標(biāo)站點在多種網(wǎng)絡(luò)協(xié)議下的響應(yīng)速度、首頁加載時間等反映網(wǎng)站性能狀況的內(nèi)容，一旦發(fā)現(xiàn)網(wǎng)站無法訪問，根據(jù)事先定義好的網(wǎng)站通斷級別，第一時間通知相應(yīng)的用戶。并告知其通斷時長以及詳細(xì)鏈路、協(xié)議以及各監(jiān)測點的診斷信息。

（2）網(wǎng)站域名監(jiān)測

從運(yùn)營商網(wǎng)絡(luò)線路遠(yuǎn)程實時監(jiān)測各地主流ISP的DNS緩存服務(wù)器和用戶 DNS授權(quán)服務(wù)器的可用性，以及它們對被監(jiān)測域名的解析結(jié)果情況。一旦發(fā)現(xiàn)用戶域名無法解析或解析不正確，第一時間通知用戶。

（3）網(wǎng)頁掛馬及黑鏈監(jiān)測

安全云平臺中的智能掛馬檢測技術(shù)，能夠高效準(zhǔn)確識別網(wǎng)站頁面中的惡意代碼，以及黃賭毒等詞匯的惡意鏈接，能夠使網(wǎng)站管理員確定網(wǎng)站的安全狀態(tài)，及時發(fā)現(xiàn)并清除網(wǎng)頁木馬及黑鏈，消除安全威脅，保障網(wǎng)站信譽(yù)。

（4）網(wǎng)頁篡改監(jiān)測：實時監(jiān)測目標(biāo)站點頁面狀況，發(fā)現(xiàn)頁面被篡改情況，第一時間通知用戶。

（5）網(wǎng)頁敏感內(nèi)容監(jiān)測

遠(yuǎn)程實時監(jiān)測目標(biāo)站點頁面狀況，發(fā)現(xiàn)頁面出現(xiàn)敏感關(guān)鍵詞，及時作出反映。

5.3 Web云防護(hù)

用戶需將Web的DNS解析指向到云防護(hù)平臺，由云防護(hù)平臺完成一切安全防護(hù)工作，無需遷移網(wǎng)站，無需在鏈路上增加設(shè)備。如圖5所示。

圖5 Web云防護(hù)

（1）評估：全面掃描目標(biāo)站點主機(jī)漏洞、WEB漏洞，掃描WASC25種Web應(yīng)用漏洞，覆蓋OWASP Top 10 Web應(yīng)用風(fēng)險。

（2）監(jiān)測：專家團(tuán)隊7*24小時監(jiān)視、分析。對網(wǎng)頁掛馬、篡改內(nèi)容、敏感內(nèi)容進(jìn)行完整性監(jiān)測；對多線路網(wǎng)站平穩(wěn)度、域名解析、認(rèn)證、釣魚網(wǎng)站進(jìn)行可用性監(jiān)測。

（3）防護(hù)：7*24小時云端專家支持。DDoS防護(hù)可進(jìn)行本地清洗、云端清洗、二合一對抗DDoS；Web防護(hù)可進(jìn)行WAF+云端專家防護(hù)、持續(xù)優(yōu)化防護(hù)規(guī)則、精準(zhǔn)攔截 Web攻擊，全面抵御OWASP Top 10 Web應(yīng)用風(fēng)險。

（4）防護(hù)設(shè)置：防火墻可防護(hù)SQL注入、命令注入、跨站腳本、跨站請求偽造、信息探測等攻擊；智能攻擊防御可精準(zhǔn)識別上百種自動化掃描和攻擊軟件，并阻斷其所有請求，減少90%以上的來意攻擊；協(xié)同防御可進(jìn)行 Web云防護(hù)系統(tǒng)整體防御，全網(wǎng)攔截任何攻擊過Web云防護(hù)系統(tǒng)的攻擊者IP；境外訪問控制可限制境外 IP進(jìn)行訪問。由于攻擊者大量使用國外跳板進(jìn)行攻擊，開啟本功能可極大減少此類威脅；WebShell防護(hù)可防止黑客上傳、訪問WebShell（網(wǎng)站后門）。

（5）防篡改設(shè)置：Web云防護(hù)系統(tǒng)在重要時期及封網(wǎng)時期保障網(wǎng)站100%安全，不被黑客攻破和篡改；同時禁止非授權(quán)IP訪問網(wǎng)站后臺管理地址或重要頁面；可以鎖定頁面關(guān)鍵資源避免關(guān)鍵資源受篡改而影響頁面；并確保網(wǎng)站永久在線，發(fā)現(xiàn)頁面不可訪問可立即恢復(fù)；同時可防止黑客進(jìn)行“撞庫”攻擊，保護(hù)網(wǎng)站敏感數(shù)據(jù)不被泄露。

（6）過濾設(shè)置：關(guān)鍵詞設(shè)置檢查本站內(nèi)容，過濾和替換敏感信息、反動言論和淫穢內(nèi)容；防盜鏈保護(hù)網(wǎng)站圖片、壓縮包等資源文件不被其它站點盜用。

（7）整站設(shè)置：攔截黑白名單，可設(shè)置不進(jìn)行防護(hù)的IP地址，不允許訪問的IP地址和不經(jīng)過防護(hù)的URL地址；夜間模式針對夜間網(wǎng)站更新頻率較低、黑客攻擊比較頻繁的情況進(jìn)行設(shè)置，可提高防護(hù)等級，大幅降低網(wǎng)站被黑可能性；也可設(shè)置臨時屏蔽IP的屏蔽時間。

5.4 互聯(lián)網(wǎng)漏洞掃描

通過遠(yuǎn)程安全評估系統(tǒng)對目標(biāo)設(shè)備的漏洞、用戶名與口令、安全策略等方面進(jìn)行遠(yuǎn)程掃描和評估，并對掃描報告進(jìn)行分析并出具相應(yīng)報告。主要提供包括網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、常見應(yīng)用服務(wù)器以及WEB應(yīng)用等范圍的掃描。漏洞掃描主要針對的操作系統(tǒng)如 Windows、發(fā)行版 Linux、AIX、UNIX 通用、Solaris、FreeBSD、HP-UX、BSD 等主流操作系統(tǒng)；數(shù)據(jù)庫主要有Oracle、MySQL、MSSQL、Sybase、DB2、Informix 等主流數(shù)據(jù)庫；常見應(yīng)用服務(wù)主要有Apache、IIS、Tomcat、Weblogic等主流應(yīng)用服務(wù)；以及常見 FTP、EMAIL、DNS、TELENT、 POP3、SNMP、SMTP、Proxy、RPC 服務(wù)等；Web 應(yīng)用程序主要針對 ASP、PHP、JSP、.NET、Perl、Python、Shell 等語言編寫的 WEB 應(yīng)用程序；網(wǎng)絡(luò)設(shè)備主要針對常見的路由器、交換機(jī)等設(shè)備。

5.5 人工滲透測試

基于對攻擊者能力的全面了解，推演可能攻擊方式的威脅測試手段。注重對抗性，實現(xiàn)攻擊路徑的模擬、安全功能的測試。測試包括黑盒測試和白盒測試，是互聯(lián)網(wǎng)漏洞掃描服務(wù)的一種很好的補(bǔ)充，尤其彌補(bǔ)了漏洞掃描設(shè)備在業(yè)務(wù)邏輯漏洞探測方面的不足。

5.6 應(yīng)急保障

即當(dāng)安全技術(shù)人員發(fā)現(xiàn)黑客入侵、網(wǎng)絡(luò)流量異常、拒絕服務(wù)攻擊等影響系統(tǒng)正常工作的情況時要采取的措施和行動。基于SaaS云安全解決方案，能與公有云、電子政務(wù)云、行業(yè)云、私有云等進(jìn)行云部署。對 0day漏洞及時響應(yīng)、統(tǒng)一升級規(guī)則；提供全年無休在線后臺支持和策略優(yōu)化服務(wù)；基于安全事件大數(shù)據(jù)分析，誤報率極低；實時監(jiān)測DDOS攻擊，能對釣魚網(wǎng)站進(jìn)行分析。

6 基于SaaS模式的web云安全防護(hù)的優(yōu)勢

安全以服務(wù)的方式，向用戶在線交付。此種模式改變了廠商的銷售模式，由軟硬件產(chǎn)品供應(yīng)商變?yōu)榉?wù)提供商；降低了客戶的使用門檻，由全額支付變?yōu)榘戳髁俊r長支付；改變了產(chǎn)品形態(tài)，由硬件設(shè)備變?yōu)檐浖K，在宿主系統(tǒng)中運(yùn)行；支持安全資源動態(tài)伸縮，資源池由固定變?yōu)榘葱枧渲茫惶峁崟r運(yùn)維服務(wù)，運(yùn)維模式由用戶運(yùn)維變?yōu)閺S商運(yùn)維。

7 小結(jié)

基于 SaaS的網(wǎng)站云安全防護(hù)產(chǎn)品持續(xù)為各個行業(yè)網(wǎng)站提供安全防護(hù)，可同時為包括政府、金融、教育、運(yùn)營商等150萬個網(wǎng)站提供實時防護(hù)，能檢測7300多種漏洞，每天發(fā)現(xiàn)50000個漏洞，高效地保障了各個行業(yè)的網(wǎng)站安全。

[1]李樹波，羅林，楊艷．云計算與虛擬化技術(shù)研究[J]．軟件導(dǎo)刊，2013．

[2]姚遠(yuǎn)耀，張予民．云計算在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用[J]．科技廣場，2009．

[3]RuggeroContu,Kelly M．Kavanagh． Market Trends：Cloud-Based Security Services Market,2014[R]．U．S．A．Gartner,Inc，2014．

[4]Feng DG,Zhang M,Zhang Y,Xu Z．Study on cloud computing security．Journal of Software[J]，2011．