馮銘能，王 欣，梁辰愷（中訊郵電咨詢設(shè)計院有限公司廣東分公司，廣東廣州 510627）

1 概述

近年來，Web 應(yīng)用的攻擊事件層出不窮，2019 年上半年，CNCERT 監(jiān)測發(fā)現(xiàn)并協(xié)調(diào)處置我國境內(nèi)遭篡改的網(wǎng)站有近4 萬個，其中被篡改的政府網(wǎng)站有222個，Web 安全形勢不容樂觀。在應(yīng)對網(wǎng)站W(wǎng)eb 攻擊中，Web 應(yīng)用防火墻（Web Application Firewall，WAF）提供應(yīng)用層安全防護，通過對HTTP/HTTPS 應(yīng)用層數(shù)據(jù)的深度檢測分析識別，阻斷傳統(tǒng)網(wǎng)絡(luò)防火墻無法識別的Web 應(yīng)用攻擊行為。傳統(tǒng)WAF 主要的功能如圖1所示。

圖1 WAF部署示意圖

a）漏洞攻擊防護：網(wǎng)站安全防護目前可攔截常見的Web 漏洞攻擊，如SQL 注入、XSS 跨站、獲取敏感信息、利用開源組件漏洞進行攻擊等常見的攻擊行為。

b）自定義攻擊特征：當(dāng)發(fā)現(xiàn)有未公開的0Day 漏洞，或者剛公開但未修復(fù)的NDay 漏洞被利用時，WAF可以在發(fā)現(xiàn)漏洞到用戶修復(fù)漏洞這段空檔期通過自定義的正則表達式，對漏洞特征進行識別，抵擋黑客的攻擊，保障網(wǎng)站安全。

隨著Web攻擊的變異升級，傳統(tǒng)WAF過于依賴特征庫，存在誤報和漏報、維護成本高等問題，已無法滿足日益增多的網(wǎng)頁攻擊防護需求，傳統(tǒng)WAF主要存在以下問題。

a）規(guī)則依賴性高：傳統(tǒng)WAF 基于特征庫的防護方式，對0day 攻擊等新型攻擊和各種自動化和程序化的惡意流量，無法有效防御，并且經(jīng)常出現(xiàn)誤判。由于WAF是基于事前的規(guī)則和簽名技術(shù)，使用規(guī)則匹配引擎，WAF的好壞就取決于簽名和引擎規(guī)則的質(zhì)量。

b）維護復(fù)雜：由于攻擊種類繁多，并且企業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)更新速度加快，傳統(tǒng)WAF 產(chǎn)品運維復(fù)雜，企業(yè)的安全運維成本不斷攀高。部署新的Web 應(yīng)用后，需要投入大量的運維人員，運維人員需要掌握配置規(guī)則，人工成本高。

c）防護被動性高：由于WAF 是基于事先的規(guī)則和簽名技術(shù)，只能對已發(fā)現(xiàn)且已配置規(guī)則的攻擊進行防護。

d）人員要求高：通常在Web 應(yīng)用程序新版本發(fā)布后，需要重新修改WAF 的配置，要求維護人員必須能掌握基于新應(yīng)用的規(guī)則。

傳統(tǒng)防御方式屬于戰(zhàn)術(shù)手段，見招拆招、被動防守，治標(biāo)不治本，攻擊者總有辦法繞過。因此Web 應(yīng)用防護需要從戰(zhàn)略層面引入主動防御機制。

2 電網(wǎng)Web應(yīng)用安全需求分析

根據(jù)國家能源局的《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范》文件要求，電力監(jiān)控系統(tǒng)安全防護的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”。安全防護主要是針對電力監(jiān)控系統(tǒng)，需重點強化邊界防護，加強內(nèi)部的物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)安全，完善安全管理制度、機構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運維的管理，提高系統(tǒng)整體安全防護能力，保證電力監(jiān)控系統(tǒng)及重要數(shù)據(jù)的安全。

參考《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的要求，安全防護總體方案的框架結(jié)構(gòu)如圖2所示。

圖2 電網(wǎng)安全防護總體方案的框架結(jié)構(gòu)

根據(jù)要求允許非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)采用B/S 結(jié)構(gòu)，但僅限于業(yè)務(wù)系統(tǒng)內(nèi)部使用。允許提供縱向安全Web 服務(wù)，但應(yīng)當(dāng)優(yōu)先采用專用協(xié)議和專用瀏覽器的圖形瀏覽技術(shù)，也可以采用經(jīng)過安全加固且支持HTTPS的安全Web服務(wù)。

當(dāng)前電網(wǎng)Web 應(yīng)用仍采用傳統(tǒng)WAF 防火墻進行防護，Web 應(yīng)用安全面臨前所未有的挑戰(zhàn)，傳統(tǒng)WAF疲于應(yīng)對越發(fā)復(fù)雜多變的攻擊，急需引入主動的防御手段，對攻擊者進行降維打擊，動靜結(jié)合構(gòu)建戰(zhàn)略性Web應(yīng)用安全防御體系。

3 基于Web動態(tài)防御的安全防護方案

3.1 整體架構(gòu)

采用先進的動態(tài)防御理念以及傳統(tǒng)的靜態(tài)特征過濾，構(gòu)建“動態(tài)欺騙”+“靜態(tài)防御”的防御體系可以極大地提升黑客入侵的難度和Web 業(yè)務(wù)的安全防護能力，同時這種防御體系的易用性和兼容性極大地降低了安全部門的運維成本，也對業(yè)務(wù)系統(tǒng)提供了非常有價值的純凈的用戶訪問數(shù)據(jù)“。WAF+動態(tài)防御”Web應(yīng)用安全總體架構(gòu)如圖3所示。

圖3 “WAF+動態(tài)防御”Web應(yīng)用安全總體架構(gòu)

3.2 技術(shù)原理

動態(tài)防御技術(shù)的核心是對網(wǎng)頁的敏感接口的URL 地址進行動態(tài)變換，客戶端環(huán)境和客戶行為進行動態(tài)驗證，并且為網(wǎng)頁提供一次性動態(tài)Cookie 令牌，具體如圖4所示。

圖4 動態(tài)防御系統(tǒng)部署示意圖

3.2.1 URL 地址變換

動態(tài)防御技術(shù)通過對網(wǎng)頁URL 地址做動態(tài)封裝，隱藏攻擊入口，避免其成為網(wǎng)絡(luò)攻擊目標(biāo)。每個用戶每次請求的URL 地址都是隨機的，無法被預(yù)測的，并且該動態(tài)URL 可配置有效次數(shù)和有效時間。這樣可保障業(yè)務(wù)邏輯的正確運行并防止攻擊者發(fā)出非法請求，抵御越權(quán)訪問、網(wǎng)頁后門、重放攻擊、應(yīng)用層DDoS等自動化惡意攻擊行為。

3.2.2 Cookie變換

動態(tài)防御技術(shù)在網(wǎng)頁中插入一個新Cookie，動態(tài)生成新的Cookie，根據(jù)用戶行為模型和二次計算來確定是正常訪問還是攻擊行為。通過Cookie 的動態(tài)變化可以有效阻擋各種腳本和程序的攻擊，提升攻擊復(fù)雜度和難度，增加時間和經(jīng)濟成本。

3.2.3 客戶端環(huán)境及行為驗證

動態(tài)防御技術(shù)通過對客戶端環(huán)境和行為進行校驗，驗證是“人”還是“自動化”，根據(jù)瀏覽器的特征、環(huán)境參數(shù)以及用戶的行為、動作來進行判斷，包括但不限于鼠標(biāo)、鍵盤等行為。

客戶端環(huán)境及行為驗證方式可以有效防護各種攻擊軟件，包括常用代理調(diào)試工具、惡意插件等惡意軟件，可以識別攻擊者通過修改瀏覽器的屬性冒充新用戶進行攻擊的行為。

3.3 部署方案

Web 動態(tài)防御平臺并非完全替代傳統(tǒng)的WAF，而是在原有的WAF 上增加一道防線，補齊WAF 的短板。Web動態(tài)防御平臺以軟件安裝包的形式安裝在服務(wù)器上，實現(xiàn)負載均衡，反向代理，以及業(yè)務(wù)安全防護等功能，這樣更加容易部署和管理，并且不需要對現(xiàn)有的應(yīng)用架構(gòu)做任何的改動。具體部署方式如圖5所示。

圖5 “WAF+動態(tài)防御”部署示意圖

3.4 效果分析

Web動態(tài)防御平臺通過欺騙手段來阻止和擾亂攻擊者的認知過程，對抗各種自動化攻擊工具，極大地提升黑客攻擊難度和成本。實驗室攻防演練結(jié)果顯示部署防御系統(tǒng)后效果非常明顯，在使用Web 動態(tài)防御平臺的保護后，掃描工具檢測不到strust2 漏洞的存在，部署效果如圖6所示。

圖6 部署效果分析

經(jīng)過實驗室和現(xiàn)網(wǎng)的真實環(huán)境測試，平臺可涵蓋目前已知的99%的攻擊和漏洞。

4 Web動態(tài)防御電網(wǎng)應(yīng)用場景分析

4.1 電網(wǎng)Web應(yīng)用防護

目前電網(wǎng)企業(yè)運行各類Web 網(wǎng)站，可在“WAF+動態(tài)防御”Web 應(yīng)用安全總體架構(gòu)下，對非法的請求予以實時阻斷，對各類網(wǎng)站進行有效防護。具體部署情況如圖7所示。

圖7 電網(wǎng)Web應(yīng)用防護

4.2 電網(wǎng)物聯(lián)網(wǎng)防護

隨著泛在電力物聯(lián)網(wǎng)建設(shè)不斷推進，中低壓配電網(wǎng)各類傳感感知類裝置快速增長，這使安全風(fēng)險防范壓力劇增。結(jié)合等保2.0 要求，電網(wǎng)物聯(lián)網(wǎng)在“WAF+動態(tài)防御”Web 應(yīng)用安全總體防護下，能有效對抗物聯(lián)網(wǎng)的安全威脅與挑戰(zhàn)。具體部署位置如圖8所示。

圖8 電網(wǎng)物聯(lián)網(wǎng)防護示意圖

4.3 電網(wǎng)MEC防護

目前MEC 僅部署普通防火墻進行防護，安全防護較薄弱，可以通過引入“WAF+動態(tài)防御”Web 應(yīng)用安全系統(tǒng)，對MEC 及相關(guān)業(yè)務(wù)進行全面防護，提升安全等級，具體部署方式如圖9所示。

圖9 電網(wǎng)MEC防護示意圖

5 Web動態(tài)防御應(yīng)用價值分析

動態(tài)防御技術(shù)不需要修改任何應(yīng)用服務(wù)器代碼，部署于應(yīng)用服務(wù)器前，即可保護應(yīng)用服務(wù)器免于自動化攻擊，大幅降低企業(yè)對抗新興安全威脅的難度；同時其沒有規(guī)則庫、簽名文件等，部署簡單方便。具體的應(yīng)用價值如下。

a）增強業(yè)務(wù)安全防護。動態(tài)防御技術(shù)可以有效對抗各種基于腳本和工具的自動化或半自動化的攻擊，極大減少了業(yè)務(wù)在互聯(lián)網(wǎng)上的暴露面，大大降低了業(yè)務(wù)被攻擊的幾率，保障互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)布和推廣。

b）增強大數(shù)據(jù)安全防護。對后臺大數(shù)據(jù)平臺進行用戶數(shù)據(jù)“降噪”處理，提升后臺大數(shù)據(jù)對業(yè)務(wù)系統(tǒng)的分析效率；同時防止惡意爬取大數(shù)據(jù)后臺數(shù)據(jù)的惡意行為。

c）等保2.0 監(jiān)管合規(guī)。可以有效應(yīng)對0Day 漏洞以及各種監(jiān)管機構(gòu)的監(jiān)管合規(guī)要求，也可以在緊急情況下為企業(yè)贏得更多的安全應(yīng)急響應(yīng)時間。

d）降低運維成本及人力要求：不依賴規(guī)則庫的防御機制，大大降低了企業(yè)的后期安全運維成本；同時通過阻擋大量的自動化請求或攻擊，可以節(jié)省網(wǎng)絡(luò)帶寬和服務(wù)器系統(tǒng)資源，減少企業(yè)每年在系統(tǒng)運維方面的投入。

6 結(jié)束語

本文根據(jù)電力監(jiān)控系統(tǒng)安全防護總體要求，分析電網(wǎng)企業(yè)Web 應(yīng)用部署現(xiàn)狀和存在的問題，提出在電網(wǎng)典型應(yīng)用場景部署Web 動態(tài)防御系統(tǒng)，構(gòu)建“動態(tài)欺騙”+“靜態(tài)防御”的防御體系，這樣可以增加黑客入侵的難度和提升Web 業(yè)務(wù)的安全防護能力，降低企業(yè)安全運維成本，全面提升電網(wǎng)網(wǎng)絡(luò)安全性。