李冠蕊 羅遠哲 李雪茹 王玲潔
摘 ? 要:用戶在訪問Web網(wǎng)站時,常會遭遇惡意腳本或代碼的攻擊,在這種情況下,計算機會被橫向感染,并出現(xiàn)類似彈出廣告、瀏覽器進程被阻止或是被重定向到其他釣魚網(wǎng)站等效果。惡意攻擊者還會使用更深層次的攻擊和感染,如利用惡意代碼來占用磁盤空間、搶占系統(tǒng)資源、竊取用戶數(shù)據(jù)等,從而造成更嚴重的后果。
關(guān)鍵詞:Web應(yīng)用 ?防御機制 ?安全策略 ?實現(xiàn)方案
中圖分類號:U279.5 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼:A ? ? ? ? ? ? ? ? ? ? ? 文章編號:1674-098X(2019)06(b)-0130-02
由惡意代碼、病毒、木馬等感染引起的網(wǎng)絡(luò)災難常會產(chǎn)生相當大的修復工作量和重建成本,例如,在2017年末—2018年初的9個月內(nèi),國內(nèi)產(chǎn)生了大約2700個感染惡意代碼和病毒案例,對于惡意代碼的安全防御已經(jīng)成為國內(nèi)信息安全廠商的共同責任。
1 ?中超ZCWF
當計算機通過URL直接連接或者使用遠程的VPN進行連接時受到惡意攻擊或感染,中超Web頁面安全防護系統(tǒng)(以下簡稱中超ZCWF)便可以針對惡意軟件進行捕獲,保護網(wǎng)絡(luò)和主機避免遭到惡意入侵。若沒有中超ZCWF的實時保護,用戶的計算機可能會感染惡意軟件或受到攻擊,從而影響用戶的正常使用,并使病毒傳播到其他網(wǎng)絡(luò)和設(shè)備,帶來數(shù)據(jù)安全或隱私泄露的風險。
具體來說,中超ZCWF可以針對減少感染數(shù)量、管理開銷、策略實施、網(wǎng)絡(luò)復雜性等多種業(yè)務(wù)需求進行部署。
(1)減少惡意軟件感染的數(shù)量。中超ZCWF可以為用戶設(shè)備提供強大的保護,這意味可以極大地減少被惡意代碼感染的幾率。這種防護方案大大減少了數(shù)據(jù)被盜、資源嚴重消耗的現(xiàn)象,節(jié)省了修復這些感染及漏洞所需的資源成本。
(2)降低管理開銷。當主機被數(shù)個甚至更多的遠程鏈接訪問時,中超ZCWF可以避免因分散管理模式而造成的高成本開銷。
(3)一致的策略實施。中超ZCWF可以完全控制用戶設(shè)備上的Web流量,通過設(shè)置有關(guān)用戶訪問風險網(wǎng)站的一致策略,可以更好地監(jiān)控和報告外部風險和感染。
(4)網(wǎng)絡(luò)復雜性。中超ZCWF擁有靈活的部署選項,這有助于ZCWF系統(tǒng)針對不同用戶的復雜網(wǎng)絡(luò)安全需求進行經(jīng)濟、高效地部署。
2 ?解決方案
中超ZCWF可實現(xiàn)與Internet之間的安全通信。在使用安裝有該系統(tǒng)的電腦時,系統(tǒng)可為遠程工作人員提供與現(xiàn)場員工相同的安全級別。其包含兩個主要功能,即Web過濾和Web安全。圖1提供了中超ZCWF的概念視圖。
中超ZCWF中的Web過濾服務(wù)可以通過應(yīng)用基于規(guī)則的實時過濾器并檢查最新且準確的數(shù)據(jù)庫來對網(wǎng)站進行分類,從而創(chuàng)建、實施和監(jiān)控Web使用策略。當用戶在Web瀏覽器中輸入URL時,該請求將路由到指定的中超ZCWF數(shù)據(jù)中心,使用其搭載的中超可信檢測服務(wù),應(yīng)用相關(guān)檢測技術(shù)、自動機器學習啟發(fā)式掃描和多個掃描引擎來檢測和阻止網(wǎng)站上的惡意軟件,無論其已知或未知。中超ZCWF獨立于用戶設(shè)備運行,所有對URL訪問和惡意軟件檢測的控制都在中超云中執(zhí)行。
(1)部署:中超ZCWF作為中超網(wǎng)絡(luò)安全設(shè)備被部署在用戶的計算機中。所有通過VPN或本地連接到達的公司網(wǎng)絡(luò)上的Internet流量都將經(jīng)過中超ZCWF的監(jiān)控與審核。
在中超ZCWF的試點部署中有三個主要組件:
①用于個人用戶連接的中超ZCWF客戶端;
②托管在中超網(wǎng)絡(luò)安全云的中超數(shù)據(jù)中心;
③ZCWF數(shù)據(jù)庫和日志報告。
ZCWF服務(wù)在掃描代理服務(wù)器上運行,該服務(wù)器位于北京海淀的中超數(shù)據(jù)中心。中超ZCWF客戶端和路由器會以最快的響應(yīng)時間自動將用戶流量路由到數(shù)據(jù)中心,以最大程度地減少延遲。
所有發(fā)往Internet的Web流量都將受到中超ZCWF的檢查,僅當ZCWF客戶端檢測到它連接到受信任的公司網(wǎng)絡(luò)時,網(wǎng)絡(luò)流量才會成功通過掃描代理。用戶可以在中超ZCWF客戶端配置文件中添加服務(wù)器地址,從而使中超 ZCWF服務(wù)排除該地址和從中生成的所有HTTP流量。
中超ZCWF在中超企業(yè)網(wǎng)絡(luò)中的實施將分兩個階段完成。截至2018年底,部署處于250個用戶的試驗階段,允許進行服務(wù)測試,記錄體系結(jié)構(gòu)和設(shè)計,以及驗證完整的部署計劃。
之前安裝了中超ZCWF客戶端的用戶已收到了有關(guān)下載和配置ZCWF升級的說明,并為客戶端的新用戶配置了ZCWF功能。
在部署之前需要解決的一個問題是關(guān)于是否將發(fā)起請求的用戶與存儲在ZCWF數(shù)據(jù)庫中的URL請求相關(guān)聯(lián)。如果公司選擇監(jiān)控誰在發(fā)出特定的URL請求,中超可能面臨潛在的法律風險。根據(jù)全球不同的當?shù)胤?,中超IT部門決定匿名所有用戶數(shù)據(jù)。表1顯示了2018年1月至2018年5月中超ZCWF中超IT試點項目的結(jié)果。
修復由惡意軟件感染引起的系統(tǒng)和網(wǎng)絡(luò)中斷會給用戶帶來巨大的工作量和成本。例如,在2012年末至2013年初的9個月內(nèi),由惡意軟件感染產(chǎn)生的病毒修復案例達200多個,總計接收超過2700個修復請求。
(2)管理:中超 ZCWF在管理中心系統(tǒng)上集成了針對用戶主機的所有管理和報告功能。中超 ZCWF報告提供了一個集中用戶URL請求的數(shù)據(jù)庫,可以清楚地了解外部設(shè)備遭受的威脅和出現(xiàn)的漏洞。通過分析這些數(shù)據(jù),中超IT部門針對性地調(diào)整了中超ZCWF的功能和研究研發(fā)方向。
(3)服務(wù)與支持:中超官方網(wǎng)站為用戶提供了FAQ文檔和自助查詢文檔,以便用戶在使用中超ZCWF的過程中能夠合理地配置ZCWF服務(wù)。同時中超擁有頂尖的技術(shù)支持團隊,為用戶的安裝和使用提供完整的技術(shù)支持服務(wù)。
(4)安全:中超 ZCWF在中超指定的標準網(wǎng)絡(luò)安全體系結(jié)構(gòu)中運行。
(5)收獲與改進:基于該試點項目,中超IT部門提供了以下有關(guān)實施中超 ZCWF的意見和建議。
①在有限的試點項目上運行并組建用戶團隊,以確定用戶體驗中所需的任何更改。
②將中超 ZCWF集成到整個遠程解決方案中,以幫助用戶適應(yīng)Internet訪問方式的變化。
③確定是僅將中超 ZCWF用于Windows和Liunx客戶端,還是用于所有類型的移動設(shè)備。
④查看并管理用戶對網(wǎng)站訪問權(quán)限的策略,以確定用戶是否了解相關(guān)的安全規(guī)則和安全問題。
⑤確定在阻止訪問特定網(wǎng)站時,是否允許用戶覆蓋ZCWF。
⑥準備相關(guān)FAQ文檔以解答用戶的問題,如系統(tǒng)限制訪問某些網(wǎng)站的原因以及如何在ZCWF報告中跟蹤和使用其數(shù)據(jù)等。
參考文獻
[1] 雷敏,劉曉明,張鴻,等.面向Web信息系統(tǒng)安全威脅和風險評估分析[J].北京郵電大學學報,2016(S1):87-93.
[2] 肖云.基于Spring Security安全的Web應(yīng)用開發(fā)[J].計算機與現(xiàn)代化,2011(6):134.
[3] 張紅瑞.Web應(yīng)用安全漏洞構(gòu)造與防范設(shè)計[J].無線互聯(lián)科技,2014(4):98.