软硬兼施 杜绝挂马

　　随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的一部分。越来越多的政府机关、企事业等部门为了适应社会的发展，树立自身良好的形象，扩大社会影响，提升工作效率，纷纷建立起自己的网站。众所周知，网站在中央提出的“网络文化建设工作”中将履行极为重要和核心的职能，它既是媒体，也是窗口和基础平台。《国家信息化领导小组关于我国电子政务建设指导意见》中强调，国家“十五”信息化专项规划已经将电子政务作为国家信息化的重点内容。整个“十五”期间，从中央到地方政府，将有60%以上的政府业务和30%以上的政府对企业和公众的办公业务上网进行。

　　然而，由于网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，黑客入侵和篡改网站的安全事件时有发生，特别是病毒木马和恶意代码网上肆虐，严重危及国家安全和人民利益以及政府、企业的形象。总体而言，当前网站安全形势与其重要性不相匹配，安全问题尤为突出，杜绝网站挂马已成当务之急。

　　·木马危害现状

　　根据11月11日国家应急响应中心公布的网站挂马监控信息显示，政府机关(*.gov.cn)的被挂马网站有438个,PR值大于7的有17个;校园网(*.edu.cn) 被挂马网站有1743个，PR值大于7的有838个。

　　可见网站挂马已成为影响政府及企事业单位正常业务的隐形杀手。就木马本身来讲，它是一种远程控制工具，以简便、易行、有效而深受黑客关注。当一台电脑中了木马，它就变成了一台傀儡机，对方可以在你的电脑做任何操作，如上传下载文件，偷窥文件，偷取各种密码及口令信息等等，也就是说中了木马的您，一切秘密都将暴露在别人面前，隐私?已荡然无存!

　　挂马原理，网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。上网者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制上网者的主机。

　　网页后门，是一段网页代码，主要以ASP和PHP代码为主。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

　　·网站挂马应对办法

　　根据木马的传播途径和原理，天融信提出了“软硬兼施，协调防范”的解决方案，该方案从事前的网站脆弱性扫描，事中的网站监控和严格的访问控制，到事后的恢复与响应，采用软件的网站加固与扫描，结合硬件的边界隔离与访问控制手段，实现“全程”的木马检测与控制，真正有效保护您的网站，避免受到挂马攻击。

　　从实现方式上，天融信推出了Topdefense网站防护解决方案，该系统基于主动防御体系，利用文件过滤驱动技术保护网页和动态脚本不被非法篡改，从而从源头上杜绝各类非法篡改行为和远程溢出漏洞等各种攻击方式对软件自身的非法卸载。采用合理的硬件性能来抵抗WEB层次的各种攻击，采用软件部分实现主动防篡改、主动防未知病毒、木马等攻击。通过这种软件与硬件相结合的方式，实现边界防护、传输防护到终端加固防护，对WEB服务器机群进行整体有效的防护。

　　天融信网站防护系统包含三个部分，其中恶意代码主动防御子系统、网页防篡改子系统为软件实现，Web Wall子系统是一个由专用硬件平台和专用安全操作系统组成的硬件设备，如下图所示：

　　图2-1 天融信网站防护解决方案

　　1.事先的脆弱性分析与加固

　　防止网站挂马，要涉及多个方面，如主机操作系统、WEB服务、脚本等，所以防止网站挂马也不能从某一个方面考虑，需要从结构性安全的角度来全面思考其安全。

　　天融信Topdefense网站防护系统针对网站服务器，在部署前就要对主页服务器从操作系统内核级进行全面的分析与检测，杜绝了旁路和隐通道，增强了安全性。具体分析内容包括：

　　1) Web主机隐患性分析;

　　2) Web主机健康性检查(补丁、服务、帐号、IIS帐号、进程等);

　　3) Web主机渗透性测试;

　　4) Web主机运行状态监控(流量、并发数历史分析);

　　5) Web程序代码分析(缓冲区溢出检测)。

　　2.事中的检测与主动防御

　　Topdefense网站防护系统对恶意代码主动防御子系统，设置信任链机制，对系统中所有装载的可执行文件代码(例如，EXE、DLL、COM等)进行控制，所有可执行文件代码在加载运行之前都需要先经过检验，只有通过验证的代码才可以加载。从而有效地阻止恶意代码的运行。验证方法为：首先为系统制定可信白名单，即允许执行代码文件的hash，在进程装载二进制文件之前首先计算其hash值，并与可信白名单进行比较，不在白名单中的一概不允许执行，这样既可以防止恶意代码运行，又可以防止恶意代码依附其他系统或应用程序运行，确保执行代码的真实性和完整性，同时效率上不会有明显影响。

　　大多数木马都是利用操作系统漏洞，应用缓冲区溢出等方法可以获得管理员权限，从而可以任意修改网页文件，以达到攻击的目的。针对典型木马的攻击方式，Topdefense网站防护系统采用对象相关(Object—Specific)保护方式来保护网页不被篡改。在网页防篡改子系统中选择需要保护的网页文件并将之设定为受控对象，对于每一个受保护的对象，管理员为其设定一个对象相关授权码。对于所有受保护的对象，网站防护系统在操作系统内核对其加以保护，在不知道对象相关授权码的情况下，即使是系统管理员，也被禁止对受保护对象(比如主页)进行任何特定操作，例如修改内容、删除、重命名等。

　　由于采取了以上的措施，使得木马在网站系统内根本无法隐形。

　　3.事后的快速响应与恢复

　　Topdefense网站防护系统内置了网页管理系统，在系统被部署到网站服务器时，系统会自动将网页的当前状态记录下来，并通过部署在服务器上的软件检测模块，实时查看网页的状态，并于保存的初始状态进行HASH匹对，当发现存在网页被非法修改，则判断为有可能遭到木马攻击，系统则启用木马扫描系统对网页进行侦测，一旦侦测到系统将自动执行网页恢复动作，并通过管理中心通知给安全管理人员进行响应。

　　·部署办法

　　图3-1 天融信TopDenfense网站防护解决方案部署示意图

　　在部署TopDenfense网站防护系统时，主要包含以下步骤：

　　1) 管理员首先对网站服务器安装网页防篡改子系统，目的是保护Web服务器的网页不被篡改,防止网页被插入非正常代码;

　　2) 网站服务器中安装恶意代码主动防御子系统，其目的是为了防止Web服务器不被病毒可执行程序和木马可执行程序攻击服务器的操作系统;

　　3) 在WEB区域前部署硬件Web Wall子系统，通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的关键字。从而保护用户的WEB服务器安全，防止挂马。

　　4) 安装集中管理平台，根据业务需求设置安全策略。

　　网络卫士TopDenfense集中管理平台，负责策略制定、下发，以及对各子系统的管理，各子系统按照既定策略执行，并把相关事件上传到控制中心，由控制中心统一分析或审计。对TopDenfense集中管理平台的管理可以在本机操作或远程通过IE浏览器进行管理。

　　·结束语

　　网站挂马的防护是系统化的工程，必须从全生命周期的角度来有效防范，天融信提出的解决方案也正是从事前、事中和事后三个角度，通过软硬件结合的方式(边界的强控制加上服务器的自身免疫)，对网站进行了全程化的监控，解除网站受到挂马的威胁。

　　当然，网站挂马只是针对网站类攻击的一部分，其他还包括有XSS跨站脚本攻击、拒绝服务攻击、SQL注入攻击等，这些通过天融信TopDenfense网站防护系统能够得到有效的解决。

　　天融信“软硬兼施”的网站防护解决方案，并不是简单地把边界的Web Wall硬件网关，和主页服务器上的软件检测加固系统组合起来，两者通过统一的策略，开放的底层平台，可以做到步调一致，协调防范，当Web Wall硬件网关检测到攻击行为，则会通知主页服务器上的恶意代码主动防御软件，针对攻击行为瞄准的弱点进行扫描和分析;当恶意代码主动防御软件检测到存在的隐患，Web Wall硬件网关也会主动添加相关的策略，并对类似特征的访问数据包进行检测与阻断。