物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

全面建設(shè)煙草網(wǎng)站安全防護(hù)

作者:newslink
來(lái)源:聯(lián)合電訊社
日期:2010-07-13 22:12:48
摘要:眾所周知,Web 2.0是注重用戶(hù)交互的一種新興互聯(lián)網(wǎng)模式。這種模式強(qiáng)調(diào)了,用戶(hù)不僅僅是信息的瀏覽者,也是信息的制造者。
關(guān)鍵詞:網(wǎng)站安全

聯(lián)合電訊社/北京--眾所周知,Web 2.0是注重用戶(hù)交互的一種新興互聯(lián)網(wǎng)模式。這種模式強(qiáng)調(diào)了,用戶(hù)不僅僅是信息的瀏覽者,也是信息的制造者。

  隨著Web 2.0概念的不斷深入,互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化,交互式業(yè)務(wù)隨之也成為互聯(lián)網(wǎng)應(yīng)用的主流,而作為最典型的互聯(lián)網(wǎng)應(yīng)用的網(wǎng)站,當(dāng)仁不讓的站在了Web 2.0大潮的浪尖上。但與之前有所不同的是,現(xiàn)在我們所見(jiàn)到的網(wǎng)站,大部分都已經(jīng)脫離了最初僅僅作為簡(jiǎn)單信息發(fā)布的載體,而是越來(lái)越多地承載了很多的業(yè)務(wù)和應(yīng)用。

  伴隨著眾多業(yè)務(wù)和應(yīng)用的增加,網(wǎng)站變得越來(lái)越“有用”。但是,俗話(huà)說(shuō),方便與安全是一對(duì)天生的矛盾體:人們?cè)谙硎苤憬莼ヂ?lián)網(wǎng)服務(wù)的同時(shí),也在面臨著復(fù)雜的信息系統(tǒng)所帶來(lái)的更多安全風(fēng)險(xiǎn)和隱患。我們不難發(fā)現(xiàn),在Web 1.0年代,所謂的“網(wǎng)站被黑”,大多是其頁(yè)面被修改,如首頁(yè)被篡改、頁(yè)面被增加等;而到了Web 2.0年代,諸如網(wǎng)站頁(yè)面被掛馬、跨站腳本植入、注入式攻擊等各式各樣的攻擊行為更是層出不窮。

  那么,如何在保證業(yè)務(wù)和應(yīng)用紛繁復(fù)雜的同時(shí),還能繼續(xù)保持信息系統(tǒng)的安全性,也就是達(dá)到效率和安全之間的平衡這恐怕是所有網(wǎng)站都必須要關(guān)注的問(wèn)題。

  網(wǎng)站安全“三防”

  大部分的網(wǎng)站在設(shè)計(jì)之初,更多考慮的是如何滿(mǎn)足用戶(hù)的應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù),很少甚至沒(méi)有考慮網(wǎng)站的安全性。而與之相對(duì)應(yīng)的是,網(wǎng)上的黑客工具、黑客教程多如牛毛。這使得那些腳本小子們攻擊網(wǎng)站并不會(huì)比考駕照更困難。更加不幸的是,網(wǎng)站的管理者們往往并沒(méi)有采用什么有效的手段來(lái)對(duì)付這些“自學(xué)成才”的“安全愛(ài)好者”,用來(lái)保護(hù)網(wǎng)站的僅僅是最普通不過(guò)的防火墻,或者更徹底:什么都沒(méi)有。此外,和現(xiàn)實(shí)社會(huì)中不同的是,網(wǎng)絡(luò)中的盜竊和搶劫,受害者往往并不知情:頁(yè)面上被掛上木馬長(zhǎng)達(dá)數(shù)月而不自知的大有人在。

  下面,我們不妨用著名的CIA三要素:Confidentiality保密性,Integrity完整性,和 Availability可用性,來(lái)闡述一下作為互聯(lián)網(wǎng)經(jīng)典應(yīng)用載體的網(wǎng)站,需要從哪些方面著手安全防護(hù)的建設(shè)工作。

  CIA是信息安全的建設(shè)目標(biāo),相應(yīng)的,網(wǎng)站安全防護(hù)也可以從這3個(gè)維度進(jìn)行考慮。

  1、保密性:防止黑客隨意獲取內(nèi)部的私密信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防攻擊;

  2、完整性:防止黑客在未授權(quán)情況下修改信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防篡改;

  3、可用性:確保有權(quán)限者可隨時(shí)正常獲取信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防病毒木馬。

  這便是網(wǎng)站安全“三防”的概念。

  為網(wǎng)站全面防御支招

  那么,該如何實(shí)踐網(wǎng)站安全“三防”呢

  業(yè)內(nèi)著名專(zhuān)業(yè)安全公司啟明星辰提出了網(wǎng)站全面防御的觀點(diǎn)——360度視角的全方位網(wǎng)站安全解決方案。該方案結(jié)合了標(biāo)準(zhǔn)的PDR模型,從檢測(cè)、防護(hù)和響應(yīng)三個(gè)層面全方位的進(jìn)行網(wǎng)站安全防護(hù)。

  1、360度安全防御之檢測(cè)

  和直觀的頁(yè)面被篡改不同的是,網(wǎng)頁(yè)掛馬由于其隱蔽性,甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害。這就需要有一套相應(yīng)的檢測(cè)機(jī)制,來(lái)定期對(duì)網(wǎng)站進(jìn)行掛馬檢查以便及時(shí)發(fā)現(xiàn)。啟明星辰公司推出的安星遠(yuǎn)程網(wǎng)站掛馬檢查服務(wù),利用“沙箱”技術(shù),模擬執(zhí)行網(wǎng)頁(yè)訪(fǎng)問(wèn),而非單純的模式匹配方式,對(duì)網(wǎng)頁(yè)木馬有很高的準(zhǔn)確發(fā)現(xiàn)率。同時(shí),還提供了安星遠(yuǎn)程網(wǎng)站漏洞檢查服務(wù),結(jié)合后臺(tái)安全專(zhuān)家的人工分析,可以準(zhǔn)確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞,并給出修補(bǔ)建議。

  有些網(wǎng)站管理人員平時(shí)對(duì)網(wǎng)站安全關(guān)注不夠,往往是發(fā)生攻擊后,損失已經(jīng)產(chǎn)生了,才臨時(shí)抱佛腳進(jìn)行響應(yīng),甚至很多情況下的解決措施也僅僅是恢復(fù)原有頁(yè)面,而沒(méi)有解決導(dǎo)致攻擊的安全問(wèn)題。利用安星的漏洞檢查服務(wù),可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞,從源頭杜絕攻擊的發(fā)生。

  2、360度安全防御之防護(hù)

  對(duì)于那些由于設(shè)計(jì)上的原因?qū)е碌陌踩┒矗赡軙?huì)由于需要使用某些應(yīng)用,而無(wú)法進(jìn)行修補(bǔ)或更新。針對(duì)這類(lèi)漏洞的攻擊行為大多基于應(yīng)用,夾雜在正常的訪(fǎng)問(wèn)行為當(dāng)中,防火墻類(lèi)安全產(chǎn)品,由于無(wú)法準(zhǔn)確識(shí)別應(yīng)用層攻擊行為,對(duì)這類(lèi)攻擊往往束手無(wú)策。如果需要防范此類(lèi)攻擊,必須選擇可以對(duì)應(yīng)用層威脅進(jìn)行準(zhǔn)確發(fā)現(xiàn)和防御的安全產(chǎn)品,特別是,針對(duì)這類(lèi)攻擊以SQL注入,XSS攻擊為代表,由于變種極多,傳統(tǒng)的應(yīng)用層威脅防御產(chǎn)品采用的特征匹配技術(shù)無(wú)法全面覆蓋,有較高的漏報(bào)和誤報(bào)率。

  啟明星辰公司為Web業(yè)務(wù)防御專(zhuān)門(mén)推出了其WIPS系列產(chǎn)品,采用專(zhuān)利技術(shù),從攻擊機(jī)理而非攻擊數(shù)據(jù)特征入手,采用行為分析的手段,實(shí)現(xiàn)了很好的Web威脅防御效果。

  3、360度安全防御之響應(yīng)

  針對(duì)有些網(wǎng)站用戶(hù)的技術(shù)力量相對(duì)單薄,無(wú)法自行修補(bǔ)和進(jìn)行監(jiān)控的狀況。啟明星辰還推出了網(wǎng)頁(yè)安全修復(fù)服務(wù),對(duì)網(wǎng)站中的應(yīng)用程序存在的漏洞、頁(yè)面中存在的惡意代碼進(jìn)行徹底清除,同時(shí)用戶(hù)還可以選擇白盒測(cè)試、黑盒測(cè)試對(duì)網(wǎng)站相關(guān)的安全源代碼進(jìn)行檢查,找出源代碼方面所問(wèn)題,通過(guò)服務(wù)用戶(hù)能夠獲得源代碼問(wèn)題所在以及安全修復(fù)建議或修改服務(wù),該類(lèi)服務(wù)由啟明星辰國(guó)家級(jí)實(shí)驗(yàn)室的專(zhuān)業(yè)攻防技術(shù)團(tuán)隊(duì)提供支持。

  一些缺乏專(zhuān)業(yè)外援團(tuán)隊(duì)的重要網(wǎng)站,能夠通過(guò)這個(gè)專(zhuān)業(yè)團(tuán)隊(duì)的服務(wù)來(lái)強(qiáng)化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計(jì),加強(qiáng)系統(tǒng)自身的安全性。

人物訪(fǎng)談