web应用防护系统等保一体机功能说明
深信服等保一体机是深信服推出的轻量级、快速交付的一站式等保安全合规平台,不仅能够帮助用户快速有效地完成等级保护的建设,同时方案丰富的安全能力,可助力用户为各项业务按需提供个性化的安全增值服务。
本次针对定州市人民政府网站系统提供的等保一体机提供的服务包括下一代防火墙、数据库审计、日志审计系统、运维审计系统、漏洞扫描系统。本文档主要针对五个功能模块的功能介绍。
下一代防火墙:
提供FW(应用控制)、内容安全、IPS能力、提供web防护、网页防篡改、敏感信息防泄密、僵尸网络、实时漏洞分析。
FW:支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则;提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进
行应用访问控制列表的制定。
IPS:支持入侵防御,防御攻击包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击,并且攻击特征库: 3500+ , 并且能够自动或者手动升级;支持口令暴力破解防护,包括常见应用服务器和数据库软件(如HTTP,FTP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等)的口令暴力破解防护功能。
WAF:Web攻击防护 保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、Webshell脚本上传、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击和网站内容管理系统漏洞防护;参数防护 提供主动防御和自定义参数防护两种方式,主动防御通过自学习形成参数白名单,阻断异常参数内容,自定义参数提供更定制化的参数防护;应用隐藏 支持HTTP和FTP服务隐藏,可针对HTTP响应报文头和HTTP出错页面的过滤,Web响应报文头可自定义,隐藏FTP服务器返回的软件版本信息;弱口令防护 支持FTP弱口令防护,Web登录弱口令防护,Web登录明文传输检测;策略制定配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh
服务的端口号;登录防护 用户登录权限防护,支持页面双因子认证方式,加强敏感页面的访问权限控制;HTTP协议异常,可针对HTTP GET、POST、HEAD、OPTIONS、PUTDELETE、TRACE、SEARCH、CONNECT、LOCK、UNLOCK等方法进行过滤;CC攻击防护 支持HTTP协议CC攻击防护,根据源IP请求阈值控制;
防篡改:网页篡改防护 支持在服务器上安装防篡改插件;支持通过采用IRF文件驱动流技术,在插件上配置需要保护的文件目录和允许修改该目录的应用程序,识别修改被保护网站目录的应用程序是否合法;客户端插件支持记录尝试修改,删除,新增被保护目录下文件的行为日志;客户端插件需要保障自身安全性,包括后台进程不允许被强制中止,访问客户端插件管理页面需要进行密码验证,访问客户端插件管理页面需具备自动超时机制;
僵尸主机:支持调用Google SafeBrowsing API接口过滤恶意URL链接;支持内置恶意URL链接库,恶意链接库能够做到每日实时更新;支持通过静态特征识别定位僵尸恶意软件,恶意软件识别特征总数在40万条以上;支持通过随机域名算法,DGA域名检测算法和动态域名分析等行为识别技术定位僵尸主机;支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的
交互行为和其他可疑行为;对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;
实时漏洞分析:能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,并把漏洞的危害和解决方法通过日志和报表进行展示,支持对网站黑链进行检测。
数据库审计:
提供针对SQL、MySQL、DB2数据库审计服务。
深信服DAS1.0系统支持oracle、sql server、mysql、db2等多种主流类型的数据库审计,能满足大部分用户的数据库的审计需求;可根据实际的需求配置不同的业务系统。
支持业务系统(包括web系统和数据库)的多编码环境;
支持SQL语法的精确解析与模板的提取,支持从来源、操作和结果来设定不同业务系统的审计规则;
当前业务系统的逻辑流程都是:用户利用自己的账号通过浏览器登陆web服务器,在web服务器的页面上进行操作,web服务器根据用户提交的数据构造SQL语句,然后用唯一的账号访问数据库,并接收数据库服务器返回的结果给用户。在这个过程中如果仅记录数据库的操作,那根本就无法将数据库具体的操作定位到具体的web用户账号上,深信服DAS1.0系统不仅能对数据库的操作进行审计,还能对web系统操作进行审计,并通过三层关联将数据库的操作与web系统的操作进行关联;
内置安全规则,包括:导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember 提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等;
支持自定义安全规则,可根据需求定制自己的安全策略规则;
针对数据安全,提供数据库安全日志的查询、排行和趋势分析。
风险查询,除了支持审计日志的过滤维度外,还支持通过策略、规则和风险级别来进行过滤;
风险排行和风险趋势,支持基于风险级别、源IP、业务主机、数据库用户、风险类型5个维度进行统计分析。
数据库账号的撞库和暴库是数据库攻击中常用的一种手段,深信服DAS1.0通过对用户账号认证过程SQL语句特征进行基线建模,一旦出现暴库和撞库能够及时告警,保护数据库中账号安全。
提供账号查询页面,可查询暴库或撞库的操作,并提供操作的影响和处理检测,方便客户及时消除账号安全风险。
日志审计系统:
支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段;支持既可以完全收集采集对象上的日志信息,也支持在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,从而减少对网络带宽和数据库存储空间地占用。
系统提供实时的日志滚动显示和查询,可自定义实时监视的日志内容,可查看实时日志详细
信息,可通过雷达图等直观显示目前日志量,可以控制日志对管理员账号的可见性管理;在实时监视日志上可悬浮提示资产和常用端口信息。
可对收集的日志进行分类实时分析和统计,从而快速识别安全事故。分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新,图表数据支持数据下钻。日志实时分析在内存中完成,不需借助数据库和文件系统。
系统支持异常行为分析,维护一个与用户信息系统相关的合法账号的正常行为集合,以此区分入侵者的行为和合法用户的异常行为;系统应至少默认有 50 条告警规则,系统提供可视化规则编辑器,对告警规则进行增删改查。系统内置针对服务器和其他安全设备的访问 ip 地址、访问账户和访问时间的访问控制规则;告警规则可按照树型结构组织,并可在该树型结构上直接查看该规则的告警信息,对告警日志可按各告警字段进行分组排序。可对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则。
通过关联分析,对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段。告警方式包括邮件、短信。响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传
递给特定命令行程序。
运维审计系统:
提供运维审计服务。
在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。运维安全管理系统为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问权利的唯一账号,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问题。
支持主机系统账号的密码维护托管功能,系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。
自动密码管理支持以下功能:
设定密码复杂度策略;针对不同设备制定不同改密计划;设定改密计划的自动改密周期;支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略;改密结果自动发送至指定密码管理员邮箱;设定指定的改密对象,支持AD域账号改密;手工下载部分或全部密码列表;自动改密结果确认功能,密码管理员必须人工确认已经下载或收到密码文件;否则改密计划自动停止执行,确保改密过程可靠性;改密结果高强度保护功能,必须经过专用密码查看器加密码以及设备序列号才能访问
支持自动化在多台机器上批量执行指令。通过批量执行功能,管理员可以方便实现对多台主机的升级、备份等工作任务。
支持通过SSH、Telnet、Rlogin执行系统命令;支持MySQL批量指令执行;支持MySQL over SSH模式;可设定任务执行开始时间;可设定执行的目标主机与系统账号;执行过程与结果审核;
支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。
支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。
支持两种查询功能,快速查询(单一条件)和高级查询(多重组合条件),审计人员可以根据操作时间、源、目标IP地址、用户名(运维、主机)、操作指令等条件对历史数据进行查询,快速定位历史事件。
漏洞扫描系统:
针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试。测试系统补丁更新情况,网络设备漏洞情况,远程服务端口开放等情况进行综合评估,在黑客发现系统漏洞前期提供给客户安全隐患评估报告,提前进行漏洞修复,提前预防黑客攻击事件的发生。
针对 Web 安全方面,漏洞扫描系统针对 SQL 注入、XSS 跨站脚本、信息泄露、网络爬虫、目录遍历等 Web 攻击方式进行模拟黑客渗透攻击评估。评估客户网站存在的各种 Web 安全隐患,针对网站开发中出现的安全隐患进行评估,在黑客攻击网站前期预知 Web 安全漏洞,提前告知客户问题所在,提醒客户及时修复 Web 漏洞,避免造成“网站被黑”的发生。
内置有弱口令字典,针对账户和密码相同、密码相对比较简单、默认密码等问题进行自动探测,测试口令是否存在弱口令现象。提高账号防破解的安全性。破解密码主要是长度和密码的难度,密码长度和设置难度越高,黑客破解的时间越长,破解难度越大