基于SaaS模式的Web云安全防護

◆尹 輝

(山東司法警官職業(yè)學院 山東 250014)

基于SaaS模式的Web云安全防護

◆尹 輝

(山東司法警官職業(yè)學院 山東 250014)

針對目前網站的安全現狀，通過對傳統(tǒng)網站安全解決方案存在問題的分析，提出了基于SaaS模式的Web安全解決方案，并闡述了該方案的優(yōu)勢。

SaaS；Web；云安全

0 前言

在“互聯網+”背景下，大數據、云計算、移動互聯技術的發(fā)展為網絡應用者帶來越來越多的便利，同時也對網絡安全性提出更高的要求，安全的量和質打破了網站傳統(tǒng)的安全防御體系。基于SaaS模式的web云安全防護體系是在大數據分析背景下，數據驅動安全，高效精準解決web安全問題。

1 SaaS概念

SaaS是Software as a Service的簡稱，客戶向廠商定購應用軟件服務，通過互聯網獲得服務，按照服務內容和時間長短支付費用。用戶通過互聯網使用軟件和服務，企業(yè)為客戶提供軟件離線操作及本地數據存儲，省去客戶投資購買和維護設備及應用程序的開發(fā)工作，是效益最高的一種營運模式。基于SaaS模式的web云安全防護就是安全以服務的方式，向用戶在線交付。

2 網站安全現狀

截至2016年12月，中國網站總數為482萬個，根據2016年中國互聯網安全報告，國內46.3%的網站存在安全漏洞，安全形勢非常嚴峻。37188個網站漏洞中事件型漏洞占93.9%，通用型漏洞占 6.1%。50.6%是高危漏洞，35.4%是中危型漏洞，只有14.0%是低危型漏洞。應用程序錯誤信息占 24.4%，服務器路徑泄露（由異常頁面導致的）占19.8%，跨站腳本攻擊漏洞占16%，SQL注入漏洞占 7.9%，發(fā)現目錄啟用了自動目錄列表功能占3.0%，發(fā)現敏感名稱的目錄漏洞占2.8%，IIS短文件名泄露漏洞占2.6%，WEB服務器啟用了OPTIONS方法占2.3%，發(fā)現robots.txt文件占2.3%，Mysql可遠程連接占1.7%，其它占17.2%。

為獲取網站數據庫信息和管理員賬戶信息，利用SQL注入暴庫、脫庫成為主要攻擊方式。根據2016年補天平臺收錄網站漏洞類型分布，SQL注入占44.9%，命令執(zhí)行占14.0%，弱口令占11.7%，信息泄露占11.1%，邏輯漏洞占3.3%，其他占15.0%。

2016年網站衛(wèi)士攔截漏洞攻擊類型主要是 SQL注入占39.8%，掃描器攻擊占 11.2%。在 197.9萬個監(jiān)測網站數據中有4.2%的網站被篡改了頁面內容或置入了色情、博彩信息。2015年中國網站安全報告，在掃描的21854臺服務器中有18.7%的服務器被留了木馬后門程序。

DDOS攻擊帶寬 70.5%小于 1M，66.2%的攻擊時長為60s-600s。被 DDOS攻擊的網站，23%會無法訪問，18%的網站訪問速度會受到影響。由此可見，網站安全形勢不容樂觀，針對網站的安全問題成為安全廠商的工作重點之一。

3 傳統(tǒng)網站安全解決方案

傳統(tǒng)的網站安全解決方案是在總部數據中心對網站進行Web漏洞掃描和網站安全監(jiān)測，主要安全防護設備由抗DDOS設備、防火墻、IPS、WAF組成，如圖1所示。

圖1 傳統(tǒng)網站安全解決方案

由設備廠商進行設備升級，更新速度慢、不及時，設備策略配置復雜，運行維護難度大。同時，在監(jiān)測過程中，誤報率高，日志報表不好理解。抗DDOS攻擊設備防護能力差，出口帶寬被占滿后設備失效。無法實時監(jiān)測DDOS攻擊和釣魚網站。傳統(tǒng)的網站安全方案存在很多弊端，主要有：

（1）防火墻局限：傳統(tǒng)的防火墻主要工作在 OSI模型三、四層，它無需理解Web應用程序語言，基于IP報文進行檢測，無需理解HTTP會話。防火墻不能對HTML應用程序用戶端的輸入進行驗證，不能檢測到被惡意修改過參數的URL請求。

（2）入侵防御系統(tǒng)不足：傳統(tǒng) IPS設備主要注重防護，不能進行事前預防。由于安全漏洞的存在導致系統(tǒng)安全受到威脅。僅防護不能徹底消除安全隱患，需要使用 Web應用漏洞掃描工具，進行事前預警，提前發(fā)現安全隱患，保證系統(tǒng)安全。

（3）傳統(tǒng)WAF能力所限：傳統(tǒng)WAF雖然理論值能讓防御率到達99%以上，但在不影響訪問效率的前提下，任何WEB防御規(guī)則最多只能防御70%左右的攻擊。傳統(tǒng)WAF在接近標稱值一半流量并開啟全部規(guī)則的情況下幾近宕機。且在新漏洞爆發(fā)時，升級受廠家本地支撐能力限制，無法第一時間進行漏洞庫升級。

（4）無法阻止DDOS大流量攻擊防護：傳統(tǒng)串聯到鏈路上的抗DDOS攻擊設備，對CC攻擊及小流量的DDOS攻擊可有效防御，但對超過鏈路帶寬的DDOS攻擊則無能為力。

（5）節(jié)假日、重要時期安全保障：節(jié)假日及重要時期，攻擊相對比較頻繁，且相關的安全運維人員較少，門戶網站保障力度不夠。

（6）網站唯一運營商鏈路：沒有CDN加速功能，其他運營商用戶或省外用戶訪問速度相對較慢。

4 基于SaaS模式的系統(tǒng)安全性分析

SaaS系統(tǒng)中存放大量客戶的業(yè)務數據，保障數據安全是其工作中的重中之重，安全性保障主要包括資源存取控制安全和數據安全。

4.1 訪問控制

（1）集中認證：SaaS系統(tǒng)授權客戶系統(tǒng)管理創(chuàng)建、刪除、管理賬號，后臺系統(tǒng)會在中央數據庫中驗證用戶信息對合法用戶賦予相應權限。

（2）分散認證：用戶登錄時，可通過在本地存儲的身份信息數據庫中進行認證，并被授予一個令牌，通過令牌信息到SaaS系統(tǒng)進行認證，再接受授權。

4.2 數據安全

采用代理客戶身份信息訪問系統(tǒng)數據庫，系統(tǒng)進程與用戶無關，無需考慮單用戶訪問數據庫時的安全性控制。對數據表權限的控制是通過 GRANT命令來實現。如：GRANT SELECT，UPDATE，INSERT，DELETE，ON [TableName]FOR[UserName]。對數據內容采用對稱加密和非對稱加密的方式來保障數據安全。

5 基于SaaS模式的Web安全解決方案

基于對 SaaS模式下系統(tǒng)安全性的分析，相對應的安全解決方案應重點解決訪問控制及數據安全等問題。

如圖2、圖3所示，分別為基于SaaS模式的Web安全解決方案及其設計框架。

圖2 基于SaaS模式的Web安全解決方案

圖3 基于SaaS模式的Web安全解決方案設計框架

基于 SaaS的網站云安全防護系統(tǒng)主要包括安全云防護系統(tǒng)和網站云監(jiān)測系統(tǒng)。安全云防護包括DNS高防、抗DDOS攻擊、Web攻擊防護、防網頁被篡改。網站云監(jiān)測系統(tǒng)可以監(jiān)測網站漏洞、釣魚網站、掛馬程序、管理員未知的網站域名資產、數據庫數據被篡改和惡意敏感詞，在云端對用戶的網站進行掃描、防護和監(jiān)測。

安全云防護通過用戶修改 DNS指向云端防護系統(tǒng)，對網站進行云端替身防護，可隱藏服務器 IP地址，防止黑客攻擊。抗DDOS攻擊時，檢測到CC攻擊，會通過自動流量建模技術阻斷CC攻擊，也可以定制防護策略進行防護，運用大數據分析提供網站攻擊報表。

基于 SaaS的網站云安全防護系統(tǒng)，主要從以下幾個方面進行網站的安全防護。

5.1 安全預警

由于 IT資產數量逐年增加、業(yè)務更新頻繁、部署的服務種類繁多導致資產狀態(tài)模糊，對于網上批露的漏洞突發(fā)時間，無法第一時間確認受漏洞影響的范圍，響應速度慢。安全預警平臺，可進行資產普查、漏洞檢查及風險預警。平臺基于指紋識別技術，可對網絡設備、安全設備、服務器、操作系統(tǒng)、數據庫、中間件、工業(yè)控制設備等進行詳細的指紋識別，包括資產類型、廠家、版本、框架、組建、CMS等，做到全網資產準確識別定位，一旦有突發(fā)漏洞事件，可立即獲知漏洞影響范圍，并結合平臺自身的漏洞掃描功能，對識別出的資產進行安全檢查，可獲得準確的漏洞檢測結果。

5.2 網站監(jiān)測

如圖4所示為安全云監(jiān)測示意圖。

圖4 安全云監(jiān)測

（1）網站平穩(wěn)度監(jiān)測

從多個運營商網絡線路遠程實時監(jiān)測目標站點在多種網絡協議下的響應速度、首頁加載時間等反映網站性能狀況的內容，一旦發(fā)現網站無法訪問，根據事先定義好的網站通斷級別，第一時間通知相應的用戶。并告知其通斷時長以及詳細鏈路、協議以及各監(jiān)測點的診斷信息。

（2）網站域名監(jiān)測

從運營商網絡線路遠程實時監(jiān)測各地主流ISP的DNS緩存服務器和用戶 DNS授權服務器的可用性，以及它們對被監(jiān)測域名的解析結果情況。一旦發(fā)現用戶域名無法解析或解析不正確，第一時間通知用戶。

（3）網頁掛馬及黑鏈監(jiān)測

安全云平臺中的智能掛馬檢測技術，能夠高效準確識別網站頁面中的惡意代碼，以及黃賭毒等詞匯的惡意鏈接，能夠使網站管理員確定網站的安全狀態(tài)，及時發(fā)現并清除網頁木馬及黑鏈，消除安全威脅，保障網站信譽。

（4）網頁篡改監(jiān)測：實時監(jiān)測目標站點頁面狀況，發(fā)現頁面被篡改情況，第一時間通知用戶。

（5）網頁敏感內容監(jiān)測

遠程實時監(jiān)測目標站點頁面狀況，發(fā)現頁面出現敏感關鍵詞，及時作出反映。

5.3 Web云防護

用戶需將Web的DNS解析指向到云防護平臺，由云防護平臺完成一切安全防護工作，無需遷移網站，無需在鏈路上增加設備。如圖5所示。

圖5 Web云防護

（1）評估：全面掃描目標站點主機漏洞、WEB漏洞，掃描WASC25種Web應用漏洞，覆蓋OWASP Top 10 Web應用風險。

（2）監(jiān)測：專家團隊7*24小時監(jiān)視、分析。對網頁掛馬、篡改內容、敏感內容進行完整性監(jiān)測；對多線路網站平穩(wěn)度、域名解析、認證、釣魚網站進行可用性監(jiān)測。

（3）防護：7*24小時云端專家支持。DDoS防護可進行本地清洗、云端清洗、二合一對抗DDoS；Web防護可進行WAF+云端專家防護、持續(xù)優(yōu)化防護規(guī)則、精準攔截 Web攻擊，全面抵御OWASP Top 10 Web應用風險。

（4）防護設置：防火墻可防護SQL注入、命令注入、跨站腳本、跨站請求偽造、信息探測等攻擊；智能攻擊防御可精準識別上百種自動化掃描和攻擊軟件，并阻斷其所有請求，減少90%以上的來意攻擊；協同防御可進行 Web云防護系統(tǒng)整體防御，全網攔截任何攻擊過Web云防護系統(tǒng)的攻擊者IP；境外訪問控制可限制境外 IP進行訪問。由于攻擊者大量使用國外跳板進行攻擊，開啟本功能可極大減少此類威脅；WebShell防護可防止黑客上傳、訪問WebShell（網站后門）。

（5）防篡改設置：Web云防護系統(tǒng)在重要時期及封網時期保障網站100%安全，不被黑客攻破和篡改；同時禁止非授權IP訪問網站后臺管理地址或重要頁面；可以鎖定頁面關鍵資源避免關鍵資源受篡改而影響頁面；并確保網站永久在線，發(fā)現頁面不可訪問可立即恢復；同時可防止黑客進行“撞庫”攻擊，保護網站敏感數據不被泄露。

（6）過濾設置：關鍵詞設置檢查本站內容，過濾和替換敏感信息、反動言論和淫穢內容；防盜鏈保護網站圖片、壓縮包等資源文件不被其它站點盜用。

（7）整站設置：攔截黑白名單，可設置不進行防護的IP地址，不允許訪問的IP地址和不經過防護的URL地址；夜間模式針對夜間網站更新頻率較低、黑客攻擊比較頻繁的情況進行設置，可提高防護等級，大幅降低網站被黑可能性；也可設置臨時屏蔽IP的屏蔽時間。

5.4 互聯網漏洞掃描

通過遠程安全評估系統(tǒng)對目標設備的漏洞、用戶名與口令、安全策略等方面進行遠程掃描和評估，并對掃描報告進行分析并出具相應報告。主要提供包括網絡設備、操作系統(tǒng)、數據庫、常見應用服務器以及WEB應用等范圍的掃描。漏洞掃描主要針對的操作系統(tǒng)如 Windows、發(fā)行版 Linux、AIX、UNIX 通用、Solaris、FreeBSD、HP-UX、BSD 等主流操作系統(tǒng)；數據庫主要有Oracle、MySQL、MSSQL、Sybase、DB2、Informix 等主流數據庫；常見應用服務主要有Apache、IIS、Tomcat、Weblogic等主流應用服務；以及常見 FTP、EMAIL、DNS、TELENT、 POP3、SNMP、SMTP、Proxy、RPC 服務等；Web 應用程序主要針對 ASP、PHP、JSP、.NET、Perl、Python、Shell 等語言編寫的 WEB 應用程序；網絡設備主要針對常見的路由器、交換機等設備。

5.5 人工滲透測試

基于對攻擊者能力的全面了解，推演可能攻擊方式的威脅測試手段。注重對抗性，實現攻擊路徑的模擬、安全功能的測試。測試包括黑盒測試和白盒測試，是互聯網漏洞掃描服務的一種很好的補充，尤其彌補了漏洞掃描設備在業(yè)務邏輯漏洞探測方面的不足。

5.6 應急保障

即當安全技術人員發(fā)現黑客入侵、網絡流量異常、拒絕服務攻擊等影響系統(tǒng)正常工作的情況時要采取的措施和行動。基于SaaS云安全解決方案，能與公有云、電子政務云、行業(yè)云、私有云等進行云部署。對 0day漏洞及時響應、統(tǒng)一升級規(guī)則；提供全年無休在線后臺支持和策略優(yōu)化服務；基于安全事件大數據分析，誤報率極低；實時監(jiān)測DDOS攻擊，能對釣魚網站進行分析。

6 基于SaaS模式的web云安全防護的優(yōu)勢

安全以服務的方式，向用戶在線交付。此種模式改變了廠商的銷售模式，由軟硬件產品供應商變?yōu)榉仗峁┥蹋唤档土丝蛻舻氖褂瞄T檻，由全額支付變?yōu)榘戳髁俊r長支付；改變了產品形態(tài)，由硬件設備變?yōu)檐浖K，在宿主系統(tǒng)中運行；支持安全資源動態(tài)伸縮，資源池由固定變?yōu)榘葱枧渲茫惶峁崟r運維服務，運維模式由用戶運維變?yōu)閺S商運維。

7 小結

基于 SaaS的網站云安全防護產品持續(xù)為各個行業(yè)網站提供安全防護，可同時為包括政府、金融、教育、運營商等150萬個網站提供實時防護，能檢測7300多種漏洞，每天發(fā)現50000個漏洞，高效地保障了各個行業(yè)的網站安全。

[1]李樹波，羅林，楊艷．云計算與虛擬化技術研究[J]．軟件導刊，2013．

[2]姚遠耀，張予民．云計算在網絡安全領域的應用[J]．科技廣場，2009．

[3]RuggeroContu,Kelly M．Kavanagh． Market Trends：Cloud-Based Security Services Market,2014[R]．U．S．A．Gartner,Inc，2014．

[4]Feng DG,Zhang M,Zhang Y,Xu Z．Study on cloud computing security．Journal of Software[J]，2011．