软考-信息安全-网站安全需求分析与安全保护工程

22.1 网站安全威胁与需求分析

• 网站安全保护是网络安全的重要工作之一。主要阐述网站安全的相关概念，网站安全问题分析，网站安全需求。

22.1.1 网站安全概念

• 网站是一个基于B/S技术架构的综合信息服务平台，主要提供网页信息及业务后台对外接口服务。
• 一般网站涉及网络通信，操作系统，数据库，Web服务器软件，Web应用，浏览器，域名服务，以及HTML，XML，SSL，Web Services等相关协议。
• 网站还有防火墙，漏洞扫描，网页防篡改等相关安全措施。
• 网站安全主要是有关网站的机密性，完整性，可用性及可控性。
• 网站的机密性是指网站信息及相关数据不被授权查看或泄露。
• 网站的完整性是指网站的信息及数据不能非授权修改，网站服务不被劫持。
• 网站的可用性是指网站可以持续为相关用户提供不中断的服务的能力，满足用户的正常请求服务。
• 网站的可控性是指网站的责任主体及运营者的管理及控制的能力，网站不能被恶意利用。

22.1.2 网站安全分析

• 1.非授权访问

  • 网站的认证机制的安全缺陷导致网站服务及信息被非授权访问。
  • 例如：攻击者通过口令猜测及撞库攻击技术手段，获取网站用户的访问权限。

• 2.网页篡改

  • 网站相关的组件存在安全隐患，被攻击者利用，恶意篡改网页。

• 3.数据泄露

  • 网站的访问控制措施不当，导致外部非授权用户获取敏感数据。

• 4.恶意代码

  • 网页木马是一个含有恶意功能的网页文件，其目的是使得网页访问者自动下载设置好的木马程序并执行。
  • 网页木马将导致用户账户密码私密信息泄露，终端设备被黑客连接控制。

• 5.网站假冒

  • 攻击者通过网站域名欺骗，网站域名劫持，中间人等技术手段，诱骗网站用户访问以获取敏感信息或提供恶意服务。

• 6.拒绝服务

  • 攻击利用目标网站的带宽资源有限性以及TCP/IP协议的安全缺陷，针对目标网站发起ddos/DoS攻击，使得用户无法正常访问网站服务。

• 7.网站后台管理安全威胁

  • 1）网站管理员身份及密码被窃取。
    • 口令设置复杂，后台管理页面使用WAF设置白名单IP可以访问，或者直接隐藏后台管理页面，或者设置一个极其复杂无序的后台管理地址，使攻击者很难猜测。
  • 2）后台管理网页存在安全漏洞。
    • SQL注入，或存在认证旁路。
  • 3）内部管理权限分配不合理
    • 网站安全管理没有细分系统管理，网页发布，安全审计等角色，导致管理员权限过于集中，形成内部安全隐患。

22.1.3 网站安全需求

• 网站安全需求涉及多个方面，主要包括 物理环境，网络通信，操作系统，数据库，应用服务器，Web服务软件，Web应用程序，数据等安全威胁防护。
• 网站运行维护需要建立一个相应的 组织管理体系以及相应的安全运维工具和平台。
• 网站作为一个业务运行承载平台，其相关业务必须符合 国家法律政策要求，如内容安全，等级保护，安全测评以及数据存储安全要求。

22.2 Apache Web安全分析与增强

• Apache Httpd是常用的构建网站服务器的软件，简称Apache Web。主要分析Apache Web的安全性及安全机制，然后给出Apache Web的安全增强措施。

22.2.1 Apache Web 概述

• 1.httpd.conf
  • 是Apache主配置文件，启动时会先读取httpd.conf，该文件设定Apache服务器一般的属性，端口，执行者身份等。
• 2.conf/srm.conf
  • 是数据配置文件，主要设置读取文件的目录，目录索引时的画面，CGI执行时的目录等。srm.conf不是必需的，完全可以在httpd.conf里面设定。
• 3.conf/access.conf
  • 负责基本的读取文件控制，限制目录所能执行的功能及访问目录的权限，设置access.conf不是必需的，可以在httpd.conf里设定。
• 4.conf/mime.conf
  • 设定Apache所能辨别的MIME格式，一般而言，无须动此文件。若要增强MIME格式，可以参考srm.conf中AddType的语法说明。

22.2.2 Apache Web安全分析

• 1.Apache Web软件程序威胁

  • Apache软件包自身存在安全隐患。例如：缓冲区溢出。

• 2.Apache Web软件配置威胁

  • 攻击者利用Apache网站管理配置漏洞，访问网站敏感信息。
  • 典型实例有目录索引（Directory Indexing），资源位置预测（Predictable Resource Location），信息泄露（Information Leakage）。

• 3.Apache Web安全机制威胁

  • 攻击者利用Apache安全机制的漏洞，进行攻击非授权访问的Apache服务，典型实例有口令暴力攻击（Brute Force），授权不当（Insufficient Authorization），弱口令恢复验证（Weak Password Recovery Validation）

• 4.Apache Web应用程序威胁

  • 攻击者利用Apache应用程序漏洞来攻击网站，典型实例有SQL注入

• 5.Apache Web服务通信威胁

  • 一般情况下使用HTTP协议进行明文传输，攻击者可以通过监听手段获取Apache服务器和浏览器之间的通信内容。

• 6.Apache Web服务内容威胁

  • 攻击者利用网站服务的漏洞，修改网页信息或者发布虚假信息。典型实例有网页恶意篡改和网络钓鱼。

• 7.Apache Web服务器拒绝服务威胁

  • 攻击者通过某些手段使服务器拒绝对HTTP应答，使得Apache对系统资源（CPU时间和内存）需求剧增，最终造成系统变慢甚至完全瘫痪。

22.2.3 Apache Web安全机制

• 1.Apache Web本地文件安全
  • Apache安装后默认设置的文件属主和权限是比较合理与安全的。
• 2.Apache Web模块管理机制
  • Apache软件体系采用模块化结构，使得Apache的功能可以灵活配置。
  • 当Apache服务不需要某项功能时，就可以通过配置方式，禁止相应的模块。
• 3.Apache Web认证机制
  • Apache提供了非常简单方便的用户认证机制。
• 4.连接耗尽应对机制
  • 1）减少Apache超时（Timeout）设置，增大MaxClients设置，例如，httpd.conf配置文件
  • Timeout 30,Max Clients 256
  • 2)限制同一IP的最大连接数。
    • 除了使用防火墙流量限制功能来完成这项工作外，还可以使用xinetd来启动Apache，xinetd中有一个参数per_source可以进行设置。
  • 3）多线程下载保护机制
    • 用户多线程下载对服务器的负载非常重，可能会导致服务器僵死。比较简单的解决办法就是根据User_Agent判断，把已知的多线程工具都禁止掉。
• 5.Apache Web自带的访问机制
  • 基于IP地址或域名的访问控制是Apache提供的一种根据客户机的IP地址或域名信息进行网站访问授权控制的措施。
  • Apache的access.conf文件负责设置文件的访问权限，可以实现互联网域名和IP地址的访问控制。
• 6.Apache Web审计和日志
  • Apache提供了一个记录所有访问请求的机制，而且错误的请求也会记录。这些请求记录存放在access.log和error.log两个文件。
  • access.log记录对Web站点的每个进入请求。
  • error.log记录产生错误状态的请求。
• 7.Apache Web服务器防范DoS
  • Apache服务器对拒绝服务攻击的防范主要通过软件Apache DoS Evasive Maneuvers Module来实现。

22.2.4 Apache Web安全增强

• 1.及时安装Apache Web补丁
• 2.启用》htaccess文件保护网页
• 3.为Apache Web服务软件设置专门的用户和组
  • 按照最小特权原则，给Apache Web服务程序分配一个合适的权限，让其能够完成Web服务。
  • 必须保证Apache使用一个专门的用户和用户组，不要使用系统预定义的账户，比如nobody用户和nobody用户组。
• 4.隐藏Apache Web软件的版本号
  • Apache Web软件包版本号的屏蔽方法是，修改配置文件httpd.conf，找到关键字ServerSignature和ServerTokens将其参数设定为ServerSignature Off和ServerTokens Prod ，然后重启Apache服务器。
• 5.Apache Web目录访问安全增强
  • 1）设定禁止使用目录索引文件。
  • 2）禁止默认访问。
  • 3）禁止用户重载
• 6.Apache Web文件目录保护
  • 可以通过操作系统来实现。
• 7.删除Apache Web默认目录或不必要的文件
  • 需要删除的默认目录或不必要的文件如下：
    • Apache源代码文件
    • 默认HTML文件
    • CGI程序样例
    • 默认用户文件
• 8.使用第三方软件安全增强Apache Web服务
  • 1）构建Apache Web服务器“安全沙箱”
    • 所谓“安全沙箱”就是指通过chroot机制来更改某个软件运行时所能看到的根目录，即将某软件运行限制在指定目录中。
  • 2）使用Open SSL增强Apache Web安全通信
  • 3）增强Apache Web服务器访问控制
    • 部署TCP Wrappers的Web服务器，可以通过配置TCP Wrappers的hosts.allow, hosts.deny文件，指定IP地址访问特定服务。

22.3 IIS 安全分析与增强

• IIS是Microsoft公司提供的Web服务器软件。

22.3.1 IIS概述

• IIS(Internet Information Services)是微软公司的Web服务软件的简称，主要提供Web服务。

22.3.2 IIS安全分析

• 非授权访问
• 网络蠕虫
• 网页篡改
• 拒绝服务
• IIS软件漏洞

22.3.3 IIS安全机制

• 1.IIS认证机制
  • 匿名认证（Anonymous Authentication）
  • 基本验证（Basic Authentication）
  • 证书认证（Certificate Mapping Authentication）
    • 实施基于活动目录（Active Directory）的证书认证
  • 数字签名认证（Digest Authentication）
    • 实施数字签名认证
  • IIS证书认证（IIS Certificate Mapping Authentication）
    • 实施按照IIS配置开展的证书认证
  • Windows认证（Windows Authentication）
    • 集成(NTLM)身份认证
• 2.IIS访问控制
  • IIS具有请求过滤，URL授权控制，IP地址限制，文件授权等访问控制。
• 3.IIS日志审计

22.3.4 IIS安全增强

• 1.及时安装IIS补丁
• 2.启用动态IP限制
• 3.启用URLScan
• 4.启用IIS Web应用防火墙
• 5.启用SSL服务

22.4 Web应用漏洞分析与防护

22.4.1 Web应用安全概述

• Web安全漏洞有两个方面：
  • 一是技术安全漏洞
  • 二是业务逻辑安全漏洞

22.4.2 OWASP Top 10

• 国际开放Web应用安全项目组（Open Web Application Security Project，OWASP）
  • 1.A1-注入漏洞（Injection）
  • 2.A2-遭受破坏的认证（Broken Authentication）
  • 3.A3-敏感数据暴漏漏洞（Sensitive Data Exposure）
  • 4.A4-XML外部实体引用漏洞（XML External Entities，XXE）
  • 5.A5-受损害的访问控制漏洞（Broken Access Control）
  • 6.A6-安全配置错误（Security Misconfiguration）
  • 7.A7-跨站脚本漏洞（Cross-Site Scripting，XSS）
  • 8.A8-非安全反序列化漏洞（Insecure Deserialization）
  • 9.A9-使用含有已知漏洞的组件（Using Components with Known Vulnerabilities）
  • 10.A10-非充分的日志记录和监控（Insufficient Logging and Monitoring）
  • 推进参考：https://cheatsheetseries.owasp.org/

22.4.3 Web应用漏洞防护

• 1.SQL注入漏洞分析与防护
• 2.文件上传漏洞分析与防护
• 3.跨站脚本攻击

22.5 网站安全保护机制与技术方案

22.5.1 网站安全保护机制

• 网站除了物理环境安全保护外，基本安全保护机制还包括 身份鉴别，访问控制，内容安全，数据安全，安全防护，安全审计与监控，应急响应和灾备，合规管理，安全测评等
• 1.身份鉴别
  • 常见的身份鉴别技术措施有用户名和口令，U盾，人脸识别以及基于证书的统一用户身份管理
• 2.访问控制
• 3.网站内容安全
• 4.网站数据安全
• 5.网站安全防护
• 6.网站安全审计与监控
• 7.网站应急响应
• 8.网站合规管理
  • 包括网站备案，网站防伪标识，网站等保测评等
• 9.网站安全测评
  • 漏洞扫描，渗透测试，代码审计，风险分析等。
• 10.网站安全管理机制
  • 包括网站安全保障工作的总体方针和安全策略，建立网站建设，网站运维，网站内容，网站域名，网站应急预案等方面的安全管理制度，应确保各项安全管理制度的有效执行，及时修订完善。

22.5.2 网站构成组件安全加固

• 操作系统安全加固
• 数据库系统安全加固
• Web服务器软件安全加固
• Web应用程序安全加固
• Web通信安全加固
• 网站域名服务安全加固
• 网站后台管理安全加固
• 安全加固最佳实践参考CIS标准规范

22.5.3 网站攻击防护及安全监测

• 1.防火墙
• 2.漏洞扫描
• 3.网站防篡改
• 4.网络流量清洗
• 5.网站安全监测
  • 网站安全漏洞监测
  • 网站挂马监测
  • 网站ICP备案监测
  • 网站合规性监测
  • 网站性能监测
  • 网站DNS监测
  • 网站入侵检测

22.6 网站安全综合应用案例分析

22.6.1 政务网站安全防护

• 直接参考标准规范《信息安全技术 政府门户网站系统安全技术指南》（GB/T 31506-2015)
• 层面防护
  • 网站层
    • Web应用安全
    • 域名安全
  • 数据层
    • 内容发布及数据安全
  • 主机层
    • 服务器安全
    • 管理终端安全
  • 网络层
    • 边界安全
  • 物理层
    • 物理安全
• 整体防护
  • 运行支撑
  • 攻击防范
  • 安全监控
  • 应急响应
• 网站安全防护方案如下：
  • 1）DDoS防御
  • 2）网络访问控制
  • 3）网页防篡改
  • 4）网站应用防护
  • 5）入侵防御和病毒防护
  • 6）网络/数据库审计
  • 7）网站安全监控

22.6.2 网上银行安全保护

• 参考《网上银行系统信息安全通用规范》