證券交易業(yè)務網(wǎng)站安全解決方案北京中軟華泰信息技術(shù)有限責任公司2008-5-10 ,目 錄1. 證券交易業(yè)務網(wǎng)站安全形勢 .......................

證券交易業(yè)務網(wǎng)站

安全解決方案

北京中軟華泰信息技術(shù)有限責任公司

2008-5-10

目 錄

1. 證券交易業(yè)務網(wǎng)站安全形勢 .......................................................................................................... 3

2. 證券交易業(yè)務網(wǎng)站安全需求及現(xiàn)有技術(shù)現(xiàn)狀 ............................................................................. 4

2.1 網(wǎng)站常見攻擊分析 ................................................................................................................. 4

2.1.1 惡意代碼攻擊 . ............................................................................................................. 4

2.1.2 利用系統(tǒng)漏洞的攻擊 ................................................................................................. 4

2.1.3 XSS 攻擊 . .................................................................................................................... 4

2.1.4 DDoS/DoS攻擊 ......................................................................................................... 5

2.1.5 SQL注入攻擊 ............................................................................................................ 5

2.2 目前已有網(wǎng)站防護技術(shù)及其缺陷分析................................................................................ 6

2.2.1 傳統(tǒng)防惡意代碼技術(shù)弊端 . ........................................................................................ 6

2.2.2 常見網(wǎng)頁防篡改技術(shù)及其缺陷................................................................................. 6

2.2.3 防SQL 注入技術(shù)情況 . ................................................................................................. 7

3. 華泰證券交易業(yè)務網(wǎng)站安全解決方案 . ......................................................................................... 8

3.1

3.2 網(wǎng)站防護方案概述 . ........................................................................................................... 8 HuaTech 網(wǎng)站防護系統(tǒng)具體技術(shù)方案 ............................................................................ 9

3.2.1 惡意代碼主動防御 ..................................................................................................... 9

3.2.2 網(wǎng)頁的文件過濾驅(qū)動保護 . ...................................................................................... 10

3.2.3 防跨站攻擊 . ............................................................................................................... 10

3.2.4 防SQL 注入 ................................................................................................................ 10

3.2.5 雙機熱備 .................................................................................................................... 11

3.2.6 自身抗網(wǎng)絡攻擊能力 ............................................................................................... 11

3.2.7采用內(nèi)核性能優(yōu)化和安全加固技術(shù) ....................................................................... 11

3.3 方案創(chuàng)新內(nèi)容 .................................................................................................................. 12

3.3.1 對未知病毒具備免疫能力 . ...................................................................................... 12

3.3.2 更有效的網(wǎng)頁防篡改技術(shù) . ...................................................................................... 12

3.3.3 更簡便的布署與管理過程 . ...................................................................................... 12 4. 系統(tǒng)部署方案 ................................................................................................................................ 13

1. 證券交易業(yè)務網(wǎng)站安全形勢

隨著證券交易業(yè)務的快速發(fā)展，越來越多的人開始選擇通過網(wǎng)絡查詢交易相關(guān)信息、實現(xiàn)網(wǎng)上交易。目前，我國的各種證券交易機構(gòu)，紛紛建立了網(wǎng)上查詢交易系統(tǒng)，方便、快捷的交易特點促使這幾年我國的網(wǎng)上證券用戶數(shù)量急劇增長。在這種環(huán)境下，信息安全問題已經(jīng)成為證券交易業(yè)務發(fā)展中亟待解決的重要問題。

證券交易業(yè)務系統(tǒng)主要包括三個關(guān)鍵組成部分：證券交易服務器、證券交易客戶端以及傳輸過程。其中，證券交易網(wǎng)站服務器的安全是重中之重。網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，由于處于一個相對開放的環(huán)境中，加之各類網(wǎng)頁應用系統(tǒng)的復雜性和多樣性導致系統(tǒng)漏洞層出不窮，極易成為黑客的攻擊目標。根據(jù)CNCERT 調(diào)查報告顯示，2007年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢，被篡改網(wǎng)站總數(shù)達到28367個，比去年全年增加了近16。而僅在2007年11月1日至30日，大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達到了5499個，較上月增加537個，其中代號為“Kml! ”和“@SL@N_BEY”的攻擊者對大陸網(wǎng)站進行了大量的篡改。針對金融類網(wǎng)站的攻擊事件也呈不斷上升趨勢。2005年，美國爆發(fā)了當今最大的金融數(shù)據(jù)泄密事件，有黑客侵入了為萬事達、Visa 、AmericanExpress 和Discover 服務的“信用卡第三方付款處理器”的網(wǎng)絡系統(tǒng)，造成4000多萬信用卡用戶的數(shù)據(jù)資料被竊；2006年，某犯罪組織竟然在某銀行的證券交易服務器內(nèi)成功植入了木馬程序，每隔0.5秒掃描一次，凡是此時登陸的客戶，其帳號和口令通通被竊取，這一事件甚至驚動了國務院……。因此，提高證券交易網(wǎng)站的安全性刻不容緩。

1

2．證券交易業(yè)務網(wǎng)站安全需求及現(xiàn)有技術(shù)現(xiàn)狀

2.1 網(wǎng)站常見攻擊分析

目前常見的網(wǎng)站攻擊方式主要有利用系統(tǒng)漏洞的攻擊；利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼實施攻擊；利用DOS 、DDOS 等攻擊方式以及SQL 注入等，這些攻擊方式無一例外地成為了威脅證券交易網(wǎng)站安全的因素。

2.1.1 惡意代碼攻擊

如今，惡意程序也以每天數(shù)百的數(shù)量激增。由于證券交易網(wǎng)站服務器的訪問量巨大，因此，惡意代碼攻擊者不僅把證券交易業(yè)務網(wǎng)站作為實施攻擊的重點目標，而且還會把網(wǎng)站作為傳播惡意代碼的重要載體。新類型的病毒、木馬等出現(xiàn)后，其制造者通常會先選擇網(wǎng)站作為攻擊對象，在成功感染網(wǎng)站系統(tǒng)后采用網(wǎng)頁“掛馬”的方式向更多的終端機器傳播惡意代碼。

2.1.2 利用系統(tǒng)漏洞的攻擊

這種攻擊方式是使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改網(wǎng)頁內(nèi)容，竊取信息。系統(tǒng)漏洞是指應用軟件或操作系統(tǒng)軟件在邏輯設計上的缺陷或在編寫時產(chǎn)生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，從而竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。

2.1.3 XSS攻擊

XSS 又叫CSS (Cross Site Script) ，即跨站腳本攻擊。它指的是惡意攻擊者往Web 頁面里插入惡意html 代碼，當用戶瀏覽該頁之時，嵌入其Web 里面的html 代碼就會被執(zhí)行，從而達到惡意用戶的特殊目的。XSS 屬于被動式的攻

2

擊，由于其被動且不容易被發(fā)現(xiàn)，所以許多人經(jīng)常忽略其危害性。

2.1.4 DDoS/DoS攻擊

DoS （Denial of Service），即拒絕服務，是指攻擊者通過消耗受害網(wǎng)絡的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS 信息，致使被攻擊目標不能正常工作。

DDOS (Distributed Denial of Service)即分布式拒絕服務攻擊，相當于DOS 攻擊的升級版，是同時發(fā)動分布于全球的幾千臺主機對目的主機攻擊，即使對于帶寬較寬的站點也會產(chǎn)生致命的效果。

2.1.5 SQL注入攻擊

這種攻擊手法利用網(wǎng)頁漏洞使用SQL 注入攻擊方式，獲得系統(tǒng)或數(shù)據(jù)庫管理員權(quán)限，從而任意修改數(shù)據(jù)庫。所謂SQL 注入，就是通過把SQL 命令插入到Web 表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL 命令，比如很多網(wǎng)站泄露VIP 會員密碼大多就是通過WEB 表單遞交查詢字符暴露出來的，這類表單特別容易受到SQL 注入式攻擊。

例如某個ASP .NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權(quán)訪問應用，它要求用戶輸入一個名稱和密碼。登錄頁面中輸入的內(nèi)容將直接用來構(gòu)造動態(tài)的SQL 命令，或者直接用作存儲過程的參數(shù)。攻擊者在用戶名字和密碼輸入框中輸入“‘或’1‘=’1”之類的內(nèi)容。用戶輸入的內(nèi)容提交給服務器之后，服務器運行上面的ASP .NET 代碼構(gòu)造出查詢用戶的SQL 命令，但由于攻擊者輸入的內(nèi)容非常特殊，所以最后得到的SQL 命令變成：SELECT * from Users WHERE login =‘’or ‘1’=‘1’AND password =‘’or ‘1’=‘1’。 服務器執(zhí)行查詢或存儲過程，將用戶輸入的身份信息和服務器中保存的身份信息進行對比。由于SQL 命令實際上已被注入式攻擊修改，已經(jīng)不能真正驗證用戶身份，所以系統(tǒng)會錯誤地授權(quán)給攻擊者

3

2.2 目前已有網(wǎng)站防護技術(shù)及其缺陷分析

2.2.1 傳統(tǒng)防惡意代碼技術(shù)弊端

目前市場上的計算機病毒防殺類產(chǎn)品大都是基于惡意代碼特征指令序列的靜態(tài)判定方法形成的，這種技術(shù)的最嚴重缺陷是它不能對變體或未知特征的惡意代碼進行判斷，其技術(shù)的先天安全滯后性已經(jīng)不能滿足用戶（尤其是像證券交易業(yè)務這樣關(guān)系到國家經(jīng)濟命脈和社會穩(wěn)定的業(yè)務）的安全要求。每一次的大規(guī)模病毒爆發(fā)都伴隨著用戶業(yè)務和經(jīng)濟上的巨大損失，因此，市場迫切需要一種更加積極主動的安全技術(shù)和產(chǎn)品來阻止包括未知惡意代碼在內(nèi)的安全事件的發(fā)生。

2.2.2 常見網(wǎng)頁防篡改技術(shù)及其缺陷

目前市場上比較常見的網(wǎng)頁防篡改技術(shù)有以下三種：

1）外掛輪詢技術(shù)：利用一個網(wǎng)頁讀取和檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進行報警和恢復。

2）核心內(nèi)嵌技術(shù)：將篡改檢測模塊內(nèi)嵌在Web 服務器軟件里，它在每一個網(wǎng)頁流出時都進行完整性檢查，對于篡改網(wǎng)頁進行實時訪問阻斷，并予以報警和恢復。

3）事件觸發(fā)技術(shù)：利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件的被修改時進行合法性檢查，對于非法操作進行報警和恢復。

外掛輪詢方式以輪詢方式檢測監(jiān)控網(wǎng)頁，在兩次檢測中間就會出現(xiàn)一個時間間隙，如果攻擊發(fā)生在這個時間間隙中，則被篡改的網(wǎng)頁內(nèi)容已經(jīng)被提供出去，危害已經(jīng)造成，再恢復就沒什么意義了。此外，由于從外部不斷地和獨立地掃描Web 服務器文件，對Web 服務器會形成相當?shù)呢撦d，并且掃描頻度（亦即安全程度）和負載總是矛盾的。

核心內(nèi)嵌技術(shù)需要對每一個流出的網(wǎng)頁進行完整性檢查，如果瀏覽人數(shù)眾多，網(wǎng)頁需要頻繁的被檢測，將會極大的影響系統(tǒng)的性能。另外，這項技術(shù)在

4

實現(xiàn)時需要備份要監(jiān)控的網(wǎng)頁，以便和流出的網(wǎng)頁進行對比。但是，如果備份的網(wǎng)頁也被篡改，將會造成巨大的影響。

事件觸發(fā)技術(shù)的缺陷是需要不斷偵測受控網(wǎng)頁。如果是大中型網(wǎng)站，或者提供下載服務的網(wǎng)站，那么就需要對所有的網(wǎng)頁及文件進行監(jiān)控，至使其設備會產(chǎn)生過大的壓力。另外，與核心內(nèi)嵌技術(shù)相同，事件觸發(fā)技術(shù)也需要備份要監(jiān)控的網(wǎng)頁，如果備份服務器也被篡改，則不可能再恢復正常。

以上三種方法的共同安全隱患是，需要備份要監(jiān)控的網(wǎng)頁，以便在網(wǎng)頁被篡改之后能夠恢復。但是，其備份服務器同時也面臨著被攻擊的風險，一旦備份的網(wǎng)頁也被篡改，就不再具有恢復的可能。

2.2.3 防SQL 注入技術(shù)情況

目前市場上常見的防止SQL 注入的方式為在網(wǎng)頁代碼中加入過濾語句，但這種方式是在應用層基礎上實現(xiàn)，需要針對不同的網(wǎng)頁作不同的處理，不能通用。

5

3. 華泰證券交易業(yè)務網(wǎng)站安全解決方案

3.1 網(wǎng)站防護方案概述

HuaTech 網(wǎng)站防護系統(tǒng)方案，是華泰公司網(wǎng)絡安全研發(fā)團隊在深厚技術(shù)積累和應用實踐經(jīng)驗的基礎上，對目前國內(nèi)外相關(guān)計算機數(shù)據(jù)進行詳盡搜集、仔細研究，對同類安全產(chǎn)品進行縱橫比較分析后，自主創(chuàng)新設計的一套針對證券交易業(yè)務網(wǎng)站的安全防護方案。

本方案試圖從以下幾方面提高證券交易服務器的安全性：

a) 通過信任鏈傳遞機制實現(xiàn)對證券交易服務器的應用安全管理，阻止惡意代碼在證券交易服務器上傳播和運行，從而保證證券交易業(yè)務正常、可信地運行；

b) 通過“管道封裝技術(shù)”達到“網(wǎng)站安全防護”功能，防止溢出類黑客攻擊對證券交易服務器系統(tǒng)重要數(shù)據(jù)和信息（比如網(wǎng)頁）的篡改和破壞，并阻止黑客對證券交易服務器采取的SQL 注入攻擊和跨站攻擊，有效防范對證券交易數(shù)據(jù)庫的攻擊；

c) 通過在證券交易服務器前部署“網(wǎng)站保護墻”，對DDoS 攻擊等類型攻擊進行有效過濾，阻止黑客對證券交易業(yè)務服務的破壞。

整個系統(tǒng)由軟件和硬件部分共同組成，主要實現(xiàn)了惡意代碼主動防御、網(wǎng)頁的文件過濾驅(qū)動保護、防SQL 注入、雙機熱備、抗網(wǎng)絡攻擊能力等功能。以期防止黑客入侵、網(wǎng)站篡改，從而更有效地對網(wǎng)站網(wǎng)頁安全進行保護。 HuaTech 網(wǎng)站防護系統(tǒng)由惡意代碼主動防御子系統(tǒng)、網(wǎng)頁防篡改子系統(tǒng)和Web Wall 子系統(tǒng)等三部分構(gòu)成。其中惡意代碼主動防御子系統(tǒng)、網(wǎng)頁防篡改子系統(tǒng)為軟件實現(xiàn)，Web Wall子系統(tǒng)是一個高速穩(wěn)定的硬件平臺和經(jīng)過安全加固的操作系統(tǒng)的組合。

配置管理器（軟件）：系統(tǒng)提供了GUI 管理程序，用于網(wǎng)站防護系統(tǒng)進行配置及日常管理，其中GUI 管理器支持遠程集中統(tǒng)一管理。管理軟件均可運行于Microsoft Windows /2000/XP/2003 環(huán)境下。

配置管理界面：系統(tǒng)支持兩種配置管理界面，（1）GUI 管理界面管理方式，

6

用于網(wǎng)站防護系統(tǒng)進行配置及日常管理，其中GUI 管理器支持遠程集中統(tǒng)一管理。管理軟件均可運行于Microsoft Windows /2000/XP/2003 環(huán)境下。（2）Web 界面管理方式，網(wǎng)站防護系統(tǒng)可以通過Web 界面進行統(tǒng)一集中管理。

圖1給出了HuaTech

網(wǎng)站防護系統(tǒng)體系結(jié)構(gòu)。

圖1：證券交易業(yè)務網(wǎng)站防護系統(tǒng)體系結(jié)構(gòu)

3.2 HuaTech 網(wǎng)站防護系統(tǒng)具體技術(shù)方案 3.2.1 惡意代碼主動防御

通過利用信任鏈機制，對系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如EXE 、DLL 、COM 等）進行控制，所有可執(zhí)行文件代碼在加載運行之間都需要先經(jīng)過檢驗，只有通過驗證的代碼才可以加載，從而有效地阻止惡意代碼的運行。驗證方法為：首先為系統(tǒng)制定可信白名單，即允許執(zhí)行代碼文件的hash ，在進程裝載二進制文件之前首先計算其hash 值，并與可信白名單進行比較，不在白名單中的一概不允許執(zhí)行，這樣既可以防止惡意代碼運行，又可以防止惡意代碼依附其他系統(tǒng)或應用程序運行，確保執(zhí)行代碼的真實性和完整性，同時效率上不會有明顯影響。

7

3.2.2 網(wǎng)頁的文件過濾驅(qū)動保護

利用操作系統(tǒng)漏洞，應用緩沖區(qū)溢出等方法可以獲得管理員權(quán)限，從而可以任意修改網(wǎng)頁文件，以達到攻擊的目的。針對這種攻擊方式，采用安全管道封裝技術(shù)來保護網(wǎng)頁不被篡改。即網(wǎng)站管理員可以自行選擇需要保護的網(wǎng)頁文件并將之設定為受控對象，對于每一個受保護的對象，管理員為其設定一個對象相關(guān)授權(quán)碼。對于所有受保護的對象，網(wǎng)站防護系統(tǒng)在操作系統(tǒng)內(nèi)核對其加以保護，在不知道對象相關(guān)授權(quán)碼的情況下，即使是系統(tǒng)管理員，系統(tǒng)也禁止其對受保護對象（比如主頁）進行任何特定操作，例如修改內(nèi)容、刪除、重命名等。

通過安全管道封裝技術(shù)，即使攻擊者拿到系統(tǒng)管理員的權(quán)限，由于不知道受控對象的授權(quán)碼，因而也無法對其進行修改，從而可以有效阻止溢出類攻擊對系統(tǒng)網(wǎng)頁的篡改。

對于Web 服務（例如IIS 、APACHE ）的相關(guān)配置文件也采用同樣的方式進行保護，防止通過修改配置文件達到篡改網(wǎng)頁的目的。

需要指出的是由于對于受保護對象的讀操作沒有任何的限制，因而可以保證Web 正常向外提供服務。只有在提供授權(quán)碼的情況下才可以對受保護對象進行修改，使得管理員可以方便的更新網(wǎng)頁內(nèi)容。

3.2.3 防跨站攻擊

跨站攻擊的攻擊者通過向Web 頁面里插入惡意html 代碼，從而達到特殊目的。網(wǎng)站防護系統(tǒng)通過先進的數(shù)據(jù)包正則表達式匹配原理，可以準確地過濾數(shù)據(jù)包中含有的跨站攻擊的關(guān)鍵字。從而保護用戶的WEB 服務器安全。

3.2.4 防SQL 注入

使用硬件模塊截獲所有收到的網(wǎng)絡數(shù)據(jù)包，在URL 地址中查找是否有這些關(guān)鍵字的存在，如果發(fā)現(xiàn)數(shù)據(jù)包中包含這些關(guān)鍵字，則將該數(shù)據(jù)包丟掉，從而過濾掉SQL 注入攻擊所使用的注入代碼，保證數(shù)據(jù)庫的安全，防止非法修改數(shù)

8