专利名称:web应用安全综合防御保障系统的制作方法
技术领域:
本发明涉及一种网络防御系统,更具体地说,是涉及一种web应用安全综合防御保障系统。
背景技术:
随着信息技术的不断发展,互联网已成为各种媒体信息发布、交换的重要平台。在这个平台上基于WEB技术的网络应用发展迅速,应用日益广泛。其中作为普遍采用的高速、 高覆盖信息发布平台,各政府部门、行业网站发布的信息每天24小时都在被查询、阅读、下载或转载。可以想象如果内容被篡改,恶意的网页将会被迅速、广泛传播,直接危害网站所有人的利益,甚至造成重大的政治经济损失和恶劣的社会影响。外部网站因需要被公众访问而暴露于因特网上,因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统和应用系统的复杂性、多样性导致系统漏洞层出不穷,防不胜防。黑客入侵和篡改页面的事件时有发生。有鉴于上述局面,网页防篡改技术应运而生。目前市场上的网页防篡改系统产品虽历经了几代的发展,但仍存在一些缺点,例如单个系统防护技术比较单一,防御能力不够强壮,防护系统间无法有机配合,部署网页防篡改系统复杂,往往需要改变现有的web信息维护模式等。现举例如下(1) web应用防火墙类这种类型的安全设施部署在网关位置,他们在系统上设置了针对web安全的各种防攻击技术手段,从网络协议分析到应用层分析、过滤等等,涉及到防注入、防跨站攻击、防劫持、防伪装等。这种技术以网络防护为主,进而达到网页防攻击和防篡改的目标。网关型web安全防篡改保护,技术单一,一旦由于某种原因被新型攻击手段攻破或绕过,将失去对web数据的安全保护。它们前提假设网络防御手段是完备的,网络攻击不可能穿透或绕过它们的防御,事实上大多数防御技术总是滞后于攻击手段的,典型的例子就是所谓远程网络“零日攻击”。(2)主机防护类该类型的安全系统以主机防护为主,采用轮询、web核心嵌入、内核文件和网络驱动对web访问实施安全检测,对不符合安全策略的访问加以拒绝并报警。有的系统还可以从本机系统的备份对遭篡改的网页进行恢复。主机型web安全防护考虑到效率因素,往往不能对网络数据进行过多的安全处理,主要采用文件访问监控手段来简单保护web网页及关键数据,并配合以本机的篡改恢复来弥补防护的不足,对网络层次的攻击防护主要依赖网关型安全设施。因此,单主机型防护技术难以应对复杂的综合安全型攻击手段,安全等级也不够高。另外主机型的安全备份与恢复技术,对各种类型的web高级工具维护模式也不能很好的兼容,给用户日常数据维护造成困扰。
发明内容
本发明所要解决的技术问题是提供一种综合性的web应用安全防御保障系统。本发明为解决上述技术问题而采用的技术方案是提出一种web应用安全综合防御保障系统,配置于一 web安全网关设备和一个或多个web服务器上,该web安全网关设备位于一网络交换机前端,该web服务器位于该网络交换机后端,该web应用安全综合防御保障系统包括网关防护模块、web集群虚拟镜像模块、主机核心监控模块以及篡改恢复模块。网关防护模块布置于该web安全网关设备中,用于执行网络报文拦截,并按照系统网络安全策略配置信息,完成报文的网络协议分析、报文分析和内容过滤。web集群虚拟镜像模块布置于该web安全网关设备中,用于创建并维护各web服务器的虚拟镜像。主机核心监控模块配置于各web服务器,该主机核心监控模块在系统内核文件驱动级完成文件访问控制以及文件数据合法性检测,并能够按系统指定策略激发篡改恢复机制。篡改恢复模块包括篡改恢复模块客户端和篡改恢复模块服务端,该篡改恢复模块客户端配置于各web服务器,接收来自主机核心监控模块的篡改报警信息,根据恢复策略,向web服务器的虚拟镜像请求对指定网页或数据的恢复;该篡改恢复模块服务端配置于该web集群虚拟镜像模块之上,并接收该篡改恢复模块客户端发来的篡改恢复请求,检查合法性,并与该篡改恢复模块客户端一起完成数据及时恢复功能。在本发明的一实施例中,上述的web应用安全综合防御保障系统还包括变更同步模块,包括变更同步模块客户端和变更同步模块服务端;该变更同步模块客户端配置于该 web集群虚拟镜像模块之上,用于实时检测web服务器的虚拟镜像上的数据变更事件,并根据系统安全同步策略,将变更的数据和相关数字指纹信息及时同步更新到各web服务器和主机核心监控模块;该变更同步模块服务端配置于各web服务器,用于接收来自该变更同步模块客户端的数据变更同步更新请求,实施对web服务器上发布数据的同步更新,以及对主机核心监控模块的检测数据指纹库的实时更新。在本发明的一实施例中,该篡改恢复模块服务端与该篡改恢复模块客户端间实施 SSL安全协议。在本发明的一实施例中,该变更同步模块服务端与该变更同步模块客户端间实施 SSL安全协议。在本发明的一实施例中,上述的web应用安全综合防御保障系统还包括网络空间映射模块,布置于该web安全网关设备中,用于将该网关防护模块、该主机核心监控模块、以及该篡改恢复模块的部分或全部有机地连接在一起,形成多层级联防御架构。在本发明的一实施例中,上述的web应用安全综合防御保障系统还包括网络空间映射模块,布置于该web安全网关设备中,用于将该网关防护模块、该主机核心监控模块、该篡改恢复模块、以及该变更同步模块的部分或全部有机地连接在一起,形成多层级联防御架构。在本发明的一实施例中,该网络空间映射模块根据web服务器部署以及服务器虚拟镜像部署,完成地址和/或端口的捆绑映射。在本发明的一实施例中,上述的web应用安全综合防御保障系统还包括远程控制与维护模块,通过因特网连接该web安全网关设备。本发明由于采用以上技术方案,使之与现有技术相比,具有如下显著优点
1、多层次综合防御。包含了针对网络协议、应用协议和数据内容的网络安全防护; 以及具备独特优势的主机文件数据访问防护。因此,系统无单点失败。2、失败保险安全措施。除了防御不法攻击和破坏之外,还提供一旦数据遭遇篡改或损坏后的实时检测与远程恢复功能。弥补了由于防御技术往往滞后于新型攻击手段所造成的“失败窗口 ”,譬如“零日攻击”。3、关键数据硬件隔离。将web等关键服务的数据采用硬件方式隔离到网关设备之上,大大提高攻击数据的门槛。4、安全设备透明部署。新架构系统的安全设备可做到部署完全用户透明。不改变原有网络结构和web主机系统和配置。对客户访问无影响。5、支持各种web维护模式保持不变,保护用户投资不受影响。
为让本发明的上述目的、特征和优点能更明显易懂,以下结合附图对本发明的具体实施方式
作详细说明,其中图1示出本发明一实施例的系统架构图。图2示出网络安全综合防御保障系统执行主机核心访问检测与篡改恢复控制过程。
具体实施例方式根据本发明的构思,采用网络空间映射和虚拟系统技术将网关型攻击防护、主机型访问防护与篡改检测、关键数据硬件隔离与篡改恢复、数据变更同步等多种技术有机的融合到一起,创建一个真正具备多层防御架构,并具备失败保险措施的web信息发布安全保障设施。图1示出本发明一实施例的系统架构图。参照图1所示,防御系统运行在一个包含web服务器100a、100b、100c,网络交换机200,以及web安全网关设备300的网络环境中。 web安全网关设备300设置于网络交换机200前端,各个web服务器100a、100b、IOOc作为 web发布平台,布置在网络交换机200后端。防御系统可包括网关防护模块10、网络空间映射模块12、主机核心监控模块14、变更同步模块15、篡改恢复模块16、web集群虚拟镜像模块18、以及远程控制与维护模块20。现对各个模块或模块描述如下网关防护模块10、网络空间映射模块12、以及web集群虚拟镜像模块18布置于 web安全网关设备300中。主机核心监控模块14,——对应地配置于对应的web发布平台100a_100c中。变更同步模块15包括客户端15a和服务端15b。各个服务端15b —一对应地配置于各个web发布平台lOOa-lOOc,客户端15a配置于web安全网关设备300内,并且是配置于web集群虚拟镜像模块18之上,以便使用web集群虚拟镜像模块18所创建的虚拟镜像。 客户端15a通过网络交换机200与各web发布平台IOOa-IOOc交互。篡改恢复模块16包括客户端16a和服务端16b。各个客户端16a—一对应地配置于各个web发布平台lOOa-lOOc,各个服务端16b配置于web安全网关设备300内,并且是配置于web集群虚拟镜像模块18之上,以便使用web集群虚拟镜像模块18所创建的虚拟镜像。服务端16b通过网络交换机200与各web发布平台lOOa-lOOc交互。远程控制与维护模块20通过因特网400连接web安全网关设备300。网关防护模块10主要完成以下任务1.网络报文拦截。2.按照系统网络安全策略配置信息,完成报文的网络协议分析、报文分析、内容过滤等网络访问监视与控制功能。实现防SQL注入、跨站攻击等安全策略。3.该模块以硬件系统的模式部署在网关位置。网络空间映射模块12根据系统配置的网络映射策略,按系统指定的web服务器 (或集群)部署、其它网络服务器部署(如FTP等)、以及虚拟镜像服务器部署等信息,完成地址和/或端口等的捆绑映射,实现安全设备的透明接入及内部模块的网络互联。这种映射是对用户透明的,对网络访问不造成任何影响。由此,网络空间映射模块12可将防御系统的各个模块/模块有机的连接在一起,形成多层级联防御架构。主机核心监控模块14主要完成以下任务1.在系统内核文件驱动级完成文件访问控制。能够按web安全策略实施监视与控制,防止对web数据的非法访问和破坏。2.在系统内核文件驱动级完成文件数据合法性检测(数字指纹技术)。能够按系统指定策略激发篡改恢复机制,完成对遭篡改/损坏数据的及时恢复。篡改恢复模块16由两部分组成,主要完成以下任务1.客户端16a是数据恢复配套网络机制客户端部分。它接收来自主机核心监控模块检测的篡改报警信息,根据恢复策略,向web虚拟镜像服务器请求对指定网页/数据的恢复。客户端16a部署在web发布服务器(如服务器100a、100b、100c) —端。2.服务端16b是数据恢复更新配套网络机制服务端部分。它接收客户端发来的篡改恢复请求,检查合法性,并与客户端一起完成数据及时恢复功能。服务端16b部署在web 安全网关设备300 —端。在一实施例中,服务端16b与客户端16a间实施SSL安全协议。变更同步模块15主要完成以下任务1.客户端15a是数据同步更新网络机制客户端部分。客户端15a实时检测web虚拟镜像服务器上的数据变更事件,并根据系统安全同步策略,将变更的数据和相关数字指纹信息及时同步更新到web发布服务器的实际发布环境和核心监控模块14。客户端15a部署在web安全网关设备300 —端的web虚拟镜像服务器上。2.服务端15b是数据同步更新网络机制服务端部分。接收来自客户端15a的数据变更同步更新请求,实施对web发布服务器上发布数据的同步更新,以及对核心检测数据指纹库的实时更新。服务端15b部署在web发布服务器一端。在一实施例中,服务端15b与客户端15a间实施SSL安全协议。web集群虚拟镜像模块18主要完成以下任务1.创建并维护对web服务器的虚拟镜像,向web服务数据维护人员提供一致的 web数据维护环境,包括系统平台、web服务器平台(如apache、IIS)等。2. web系统关键数据的远程硬件备份与管理;3. web系统数据安全监控;
远程控制与维护模块20主要完成以下任务1.提供远程操作窗口界面;2.远程管理、控制网关模块;3.远程管理、控制虚拟镜像系统;4.远程管理、控制web服务器安全模块;5.远程发布web服务信息。6.记录各种系统信息。包括安全报警信息、操作日志信息、系统管理信息等;7.提供对各类信息的查询与统计。下面描述以上各个模块和模块所执行的5个主要控制操作流程网关防护模块10执行网络报文路径映射过程如下a.首先由系统管理人员配置路径映射数据库表。指定web服务、虚拟镜像服务等所在内部网络地址与端口,相应对外开放的网络地址与服务端口,以及映射支持的协议类型等信息;b.开启地址/端口映射处理;c.接收外部网络报文,判断报文是否需要映射,如需映射处理,则根据配置说明完成报文网络路径的映射处理;d.如无需映射处理,则根据网络包安全配置策略处理;e.将映射后的报文向前发送。发送给“报文安全检测与处理过程”。f.接收并处理下一个报文。并且,网关防护模块10执行报文安全检测与处理过程如下g.接收一个报文;h. TCP/IP协议头处理、状态处理;i. web报文URL头信息处理;j · web报文内容过滤处理;k.按地址映射向前发送报文。发送到web服务器,或发送给镜像服务器上的web 服务器;或发送给镜像服务上的控制台服务进程等。参照图2所示,主机核心监控模块14的执行主机核心访问检测与篡改恢复控制过程如下S10.初始化web发布信息MD5指纹检测数据库;初始化文件、数据访问策略库;初始化并加载初始控制策略。S12.接收网络客户端数据、文件服务请求;S14.根据文件访问策略检查请求合法性,并作出访问许可仲裁。如访问违法转步骤g,否则继续;S16.形成文件md5数字指纹,与指纹库对照,并判断是否遭篡改或破坏。如已被篡改或损坏,则转步骤S22 ;如比对正确,则继续;S18.继续对文件的合法访问请求处理,转步骤S12 ;S20.形成异常或异常恢复报警信息,并发给本地恢复守护进程(同步与恢复客户端);S22.若此次访问为非法访问,拒绝此次文件访问,转步骤S12 ;
S24.如发现文件、数据遭篡改,则向镜像恢复服务守护进程发恢复请求。并等待回答;S26.收到回答后,如已正确恢复,则转步骤e,否则进入步骤S28拒绝此次访问,转步骤S12。服务端16b执行的文件/数据恢复服务处理流程如下a.接收远程文件或数据恢复请求;b.检查参数合法性,指定文件是否存在?请求源是否合法?c.如通过参数合法性检查,将文件及MD5检查和打包发送给请求者。否则,返回给请求者相关错误信息。转步骤a。镜像web服务器执行的web数据变更检测与同步处理过程如下a.初始化变更检测范围、变更检测类型、变更处理规则等策略信息;b.启动变更检测守护进程(服务端);c.探测文件等变更事件;d.事件涉及文件内容、属性等变更并符合变更同步策略时,将文件及对应MD5指纹信息打包发送给变更检测与同步处理客户端(web服务器端);并等客户端确认,否则重复发送处理。web发布服务器执行的web数据变更检测与同步处理过程如下检测来自数据变更同步更新客户端更新请求;检查更新合法性;完成web发布数据的更新;完成与更新数据相关的核心MD5指纹数据库更新;返回第一个步骤。其它系统管理控制过程(远程控制与维护模块20的窗口界面操作平台执行)如下a.启动远程控制台客户端;b.根据界面功能设置和操作指南完成希望的控制功能;客户可用的功能分为创建/撤销对象类创建监控引擎、创建监控网站、创建镜像数据、创建md5指纹数据库等;控制类启动/撤销网站监控、启动/撤销网站同步、启动/撤销实时报警发送等;策略类设置/编辑文件监控监控策略、设置/编辑地址映射策略、设置/编辑网络包检测策略等;信息统计/查询类报警信息统计/查询、日志信息统计/查询;等等。与现有的防御系统相比,本发明所揭示的新的防御系统具备以下优势1、多层次综合防御。包含了针对网络协议、应用协议和数据内容的网络安全防护; 以及具备独特优势的主机文件数据访问防护。因此,系统无单点失败。2、失败保险安全措施。除了防御不法攻击和破坏之外,还提供一旦数据遭遇篡改或损坏后的实时检测与远程恢复功能。弥补了由于防御技术往往滞后于新型攻击手段所造成的“失败窗口 ”,譬如“零日攻击”。
9
3、关键数据硬件隔离。将web等关键服务的数据采用硬件方式隔离到网关设备之上,大大提高攻击数据的门槛。4、安全设备透明部署。新架构系统的安全设备可做到部署完全用户透明。不改变原有网络结构和web主机系统和配置。对客户访问无影响。5、支持各种web维护模式保持不变,保护用户投资不受影响。虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作些许的修改和完善,因此本发明的保护范围当以权利要求书所界定的为准。
权利要求
1.一种web应用安全综合防御保障系统,配置于一 web安全网关设备和一个或多个 web服务器上,该web安全网关设备位于一网络交换机前端,该web服务器位于该网络交换机后端,该web应用安全综合防御保障系统包括网关防护模块,布置于该web安全网关设备中,用于执行网络报文拦截,并按照系统网络安全策略配置信息,完成报文的网络协议分析、报文分析和内容过滤;web集群虚拟镜像模块,布置于该web安全网关设备中,用于创建并维护各web服务器的虚拟镜像;主机核心监控模块,配置于各web服务器,该主机核心监控模块在系统内核文件驱动级完成文件访问控制以及文件数据合法性检测,并能够按系统指定策略激发篡改恢复机制;篡改恢复模块,包括篡改恢复模块客户端和篡改恢复模块服务端,该篡改恢复模块客户端配置于各web服务器,接收来自主机核心监控模块的篡改报警信息,根据恢复策略, 向web服务器的虚拟镜像请求对指定网页或数据的恢复;该篡改恢复模块服务端配置于该 web集群虚拟镜像模块之上,并接收该篡改恢复模块客户端发来的篡改恢复请求,检查合法性,并与该篡改恢复模块客户端一起完成数据及时恢复功能。
2.如权利要求1所述的web应用安全综合防御保障系统,其特征在于,还包括变更同步模块,包括变更同步模块客户端和变更同步模块服务端;该变更同步模块客户端配置于该web集群虚拟镜像模块之上,用于实时检测web服务器的虚拟镜像上的数据变更事件,并根据系统安全同步策略,将变更的数据和相关数字指纹信息及时同步更新到各web服务器和主机核心监控模块;该变更同步模块服务端配置于各web服务器,用于接收来自该变更同步模块客户端的数据变更同步更新请求,实施对web服务器上发布数据的同步更新,以及对主机核心监控模块的检测数据指纹库的实时更新。
3.如权利要求1所述的web应用安全综合防御保障系统,其特征在于,该篡改恢复模块服务端与该篡改恢复模块客户端间实施SSL安全协议。
4.如权利要求1所述的web应用安全综合防御保障系统,其特征在于,该变更同步模块服务端与该变更同步模块客户端间实施SSL安全协议。
5.如权利要求1所述的web应用安全综合防御保障系统,其特征在于,还包括网络空间映射模块,布置于该web安全网关设备中,用于将该网关防护模块、该主机核心监控模块、以及该篡改恢复模块的部分或全部有机地连接在一起,形成多层级联防御架构。
6.如权利要求2所述的web应用安全综合防御保障系统,其特征在于,还包括网络空间映射模块,布置于该web安全网关设备中,用于将该网关防护模块、该主机核心监控模块、该篡改恢复模块、以及该变更同步模块的部分或全部有机地连接在一起,形成多层级联防御架构。
7.如权利要求5或6所述的web应用安全综合防御保障系统,其特征在于,该网络空间映射模块根据web服务器部署以及服务器虚拟镜像部署,完成地址和/或端口的捆绑映射。
8.如权利要求1-6任一项所述的web应用安全综合防御保障系统,其特征在于,还包括远程控制与维护模块,通过因特网连接该web安全网关设备。
全文摘要
本发明涉及一种web应用安全综合防御保障系统,主要包括网关防护模块和主机核心监控模块。网关防护模块布置于一web安全网关设备中,该web安全网关设备位于一网络交换机前端。主机核心监控模块配置于一对应的web发布平台,该web发布平台位于该网络交换机后端。在web安全网关设备和web发布平台之间采用虚拟系统技术引入主机型访问防护与篡改检测、关键数据隔离与篡改恢复等措施。由此本发明建立了多层次综合防御,包含了针对网络协议、应用协议和数据内容的网络安全防护以及具备独特优势的主机文件数据访问防护。因此,系统无单点失败。
文档编号H04L29/06GK102480521SQ201110211730
公开日2012年5月30日 申请日期2011年7月27日 优先权日2010年11月28日
发明者李翔, 米明安, 韩欣 申请人:上海浦东软件园信息技术股份有限公司