中超偉業(yè)web應(yīng)用安全防護系統(tǒng)

李冠蕊　羅遠哲　李雪茹　王玲潔

摘 ? 要：用戶在訪問Web網(wǎng)站時，常會遭遇惡意腳本或代碼的攻擊，在這種情況下，計算機會被橫向感染，并出現(xiàn)類似彈出廣告、瀏覽器進程被阻止或是被重定向到其他釣魚網(wǎng)站等效果。惡意攻擊者還會使用更深層次的攻擊和感染，如利用惡意代碼來占用磁盤空間、搶占系統(tǒng)資源、竊取用戶數(shù)據(jù)等，從而造成更嚴重的后果。

關(guān)鍵詞：Web應(yīng)用 ?防御機制 ?安全策略 ?實現(xiàn)方案

中圖分類號：U279.5 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）06（b）-0130-02

由惡意代碼、病毒、木馬等感染引起的網(wǎng)絡(luò)災難常會產(chǎn)生相當大的修復工作量和重建成本，例如，在2017年末—2018年初的9個月內(nèi)，國內(nèi)產(chǎn)生了大約2700個感染惡意代碼和病毒案例，對于惡意代碼的安全防御已經(jīng)成為國內(nèi)信息安全廠商的共同責任。

1 ?中超ZCWF

當計算機通過URL直接連接或者使用遠程的VPN進行連接時受到惡意攻擊或感染，中超Web頁面安全防護系統(tǒng)（以下簡稱中超ZCWF）便可以針對惡意軟件進行捕獲，保護網(wǎng)絡(luò)和主機避免遭到惡意入侵。若沒有中超ZCWF的實時保護，用戶的計算機可能會感染惡意軟件或受到攻擊，從而影響用戶的正常使用，并使病毒傳播到其他網(wǎng)絡(luò)和設(shè)備，帶來數(shù)據(jù)安全或隱私泄露的風險。

具體來說，中超ZCWF可以針對減少感染數(shù)量、管理開銷、策略實施、網(wǎng)絡(luò)復雜性等多種業(yè)務(wù)需求進行部署。

（1）減少惡意軟件感染的數(shù)量。中超ZCWF可以為用戶設(shè)備提供強大的保護，這意味可以極大地減少被惡意代碼感染的幾率。這種防護方案大大減少了數(shù)據(jù)被盜、資源嚴重消耗的現(xiàn)象，節(jié)省了修復這些感染及漏洞所需的資源成本。

（2）降低管理開銷。當主機被數(shù)個甚至更多的遠程鏈接訪問時，中超ZCWF可以避免因分散管理模式而造成的高成本開銷。

（3）一致的策略實施。中超ZCWF可以完全控制用戶設(shè)備上的Web流量，通過設(shè)置有關(guān)用戶訪問風險網(wǎng)站的一致策略，可以更好地監(jiān)控和報告外部風險和感染。

（4）網(wǎng)絡(luò)復雜性。中超ZCWF擁有靈活的部署選項，這有助于ZCWF系統(tǒng)針對不同用戶的復雜網(wǎng)絡(luò)安全需求進行經(jīng)濟、高效地部署。

2 ?解決方案

中超ZCWF可實現(xiàn)與Internet之間的安全通信。在使用安裝有該系統(tǒng)的電腦時，系統(tǒng)可為遠程工作人員提供與現(xiàn)場員工相同的安全級別。其包含兩個主要功能，即Web過濾和Web安全。圖1提供了中超ZCWF的概念視圖。

中超ZCWF中的Web過濾服務(wù)可以通過應(yīng)用基于規(guī)則的實時過濾器并檢查最新且準確的數(shù)據(jù)庫來對網(wǎng)站進行分類，從而創(chuàng)建、實施和監(jiān)控Web使用策略。當用戶在Web瀏覽器中輸入URL時，該請求將路由到指定的中超ZCWF數(shù)據(jù)中心，使用其搭載的中超可信檢測服務(wù)，應(yīng)用相關(guān)檢測技術(shù)、自動機器學習啟發(fā)式掃描和多個掃描引擎來檢測和阻止網(wǎng)站上的惡意軟件，無論其已知或未知。中超ZCWF獨立于用戶設(shè)備運行，所有對URL訪問和惡意軟件檢測的控制都在中超云中執(zhí)行。

（1）部署：中超ZCWF作為中超網(wǎng)絡(luò)安全設(shè)備被部署在用戶的計算機中。所有通過VPN或本地連接到達的公司網(wǎng)絡(luò)上的Internet流量都將經(jīng)過中超ZCWF的監(jiān)控與審核。

在中超ZCWF的試點部署中有三個主要組件：

①用于個人用戶連接的中超ZCWF客戶端;

②托管在中超網(wǎng)絡(luò)安全云的中超數(shù)據(jù)中心;

③ZCWF數(shù)據(jù)庫和日志報告。

ZCWF服務(wù)在掃描代理服務(wù)器上運行，該服務(wù)器位于北京海淀的中超數(shù)據(jù)中心。中超ZCWF客戶端和路由器會以最快的響應(yīng)時間自動將用戶流量路由到數(shù)據(jù)中心，以最大程度地減少延遲。

所有發(fā)往Internet的Web流量都將受到中超ZCWF的檢查，僅當ZCWF客戶端檢測到它連接到受信任的公司網(wǎng)絡(luò)時，網(wǎng)絡(luò)流量才會成功通過掃描代理。用戶可以在中超ZCWF客戶端配置文件中添加服務(wù)器地址，從而使中超 ZCWF服務(wù)排除該地址和從中生成的所有HTTP流量。

中超ZCWF在中超企業(yè)網(wǎng)絡(luò)中的實施將分兩個階段完成。截至2018年底，部署處于250個用戶的試驗階段，允許進行服務(wù)測試，記錄體系結(jié)構(gòu)和設(shè)計，以及驗證完整的部署計劃。

之前安裝了中超ZCWF客戶端的用戶已收到了有關(guān)下載和配置ZCWF升級的說明，并為客戶端的新用戶配置了ZCWF功能。

在部署之前需要解決的一個問題是關(guān)于是否將發(fā)起請求的用戶與存儲在ZCWF數(shù)據(jù)庫中的URL請求相關(guān)聯(lián)。如果公司選擇監(jiān)控誰在發(fā)出特定的URL請求，中超可能面臨潛在的法律風險。根據(jù)全球不同的當?shù)胤?，中超IT部門決定匿名所有用戶數(shù)據(jù)。表1顯示了2018年1月至2018年5月中超ZCWF中超IT試點項目的結(jié)果。

修復由惡意軟件感染引起的系統(tǒng)和網(wǎng)絡(luò)中斷會給用戶帶來巨大的工作量和成本。例如，在2012年末至2013年初的9個月內(nèi)，由惡意軟件感染產(chǎn)生的病毒修復案例達200多個，總計接收超過2700個修復請求。

（2）管理：中超 ZCWF在管理中心系統(tǒng)上集成了針對用戶主機的所有管理和報告功能。中超 ZCWF報告提供了一個集中用戶URL請求的數(shù)據(jù)庫，可以清楚地了解外部設(shè)備遭受的威脅和出現(xiàn)的漏洞。通過分析這些數(shù)據(jù)，中超IT部門針對性地調(diào)整了中超ZCWF的功能和研究研發(fā)方向。

（3）服務(wù)與支持：中超官方網(wǎng)站為用戶提供了FAQ文檔和自助查詢文檔，以便用戶在使用中超ZCWF的過程中能夠合理地配置ZCWF服務(wù)。同時中超擁有頂尖的技術(shù)支持團隊，為用戶的安裝和使用提供完整的技術(shù)支持服務(wù)。

（4）安全：中超 ZCWF在中超指定的標準網(wǎng)絡(luò)安全體系結(jié)構(gòu)中運行。

（5）收獲與改進：基于該試點項目，中超IT部門提供了以下有關(guān)實施中超 ZCWF的意見和建議。

①在有限的試點項目上運行并組建用戶團隊，以確定用戶體驗中所需的任何更改。

②將中超 ZCWF集成到整個遠程解決方案中，以幫助用戶適應(yīng)Internet訪問方式的變化。

③確定是僅將中超 ZCWF用于Windows和Liunx客戶端，還是用于所有類型的移動設(shè)備。

④查看并管理用戶對網(wǎng)站訪問權(quán)限的策略，以確定用戶是否了解相關(guān)的安全規(guī)則和安全問題。

⑤確定在阻止訪問特定網(wǎng)站時，是否允許用戶覆蓋ZCWF。

⑥準備相關(guān)FAQ文檔以解答用戶的問題，如系統(tǒng)限制訪問某些網(wǎng)站的原因以及如何在ZCWF報告中跟蹤和使用其數(shù)據(jù)等。

參考文獻

[1] 雷敏，劉曉明，張鴻，等.面向Web信息系統(tǒng)安全威脅和風險評估分析[J].北京郵電大學學報，2016（S1）：87-93.

[2] 肖云.基于Spring Security安全的Web應(yīng)用開發(fā)[J].計算機與現(xiàn)代化，2011（6）：134.

[3] 張紅瑞.Web應(yīng)用安全漏洞構(gòu)造與防范設(shè)計[J].無線互聯(lián)科技，2014（4）：98.