物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

重視“三防” 保障煙草網(wǎng)站的信息安全

作者:
日期:2010-04-28 21:45:45
摘要:網(wǎng)站,作為企業(yè)網(wǎng)絡(luò)公眾形象的載體,承擔(dān)了企業(yè)形象宣傳的重任。在我國,煙草施行的是國家專賣制度,既關(guān)注行業(yè)行政管理,又關(guān)注企業(yè)的生產(chǎn)運(yùn)營,煙草網(wǎng)站既擔(dān)負(fù)著政策信息發(fā)布、政府信息公開的職責(zé),又兼有面對(duì)煙草企業(yè)、消費(fèi)者等進(jìn)行信息交互的職責(zé)。
關(guān)鍵詞:煙草網(wǎng)站

  (聯(lián)合電訊社/北京)--網(wǎng)站,作為企業(yè)網(wǎng)絡(luò)公眾形象的載體,承擔(dān)了企業(yè)形象宣傳的重任。在我國,煙草施行的是國家專賣制度,既關(guān)注行業(yè)行政管理,又關(guān)注企業(yè)的生產(chǎn)運(yùn)營,煙草網(wǎng)站既擔(dān)負(fù)著政策信息發(fā)布、政府信息公開的職責(zé),又兼有面對(duì)煙草企業(yè)、消費(fèi)者等進(jìn)行信息交互的職責(zé)。

  有鑒于此,2009年,國家煙草局下發(fā)《國家煙草專賣局辦公室關(guān)于行業(yè)信息安全工作有關(guān)情況的通知》。該通知明確提出:“加強(qiáng)網(wǎng)站‘三防’建設(shè),提高重要信息系統(tǒng)安全防護(hù)能力,各單位要按照國務(wù)院辦公廳文件要求,重點(diǎn)做好行業(yè)對(duì)外網(wǎng)站網(wǎng)頁防攻擊、防病毒、防篡改的安全保障?!?/P>

  那么,如何來理解所謂的網(wǎng)站“三防”呢?

  煙草網(wǎng)站第一防:防攻擊

  煙草網(wǎng)站往往具備在線辦事等電子政務(wù)功能,一旦黑客利用網(wǎng)頁漏洞進(jìn)入系統(tǒng)后臺(tái),則可以輕易破壞這些對(duì)外提供的服務(wù),令其無法正常工作,又或者是利用DoS/DDoS等攻擊行為,占用系統(tǒng)的服務(wù)資源,令其無法正常工作……諸如此類的現(xiàn)象,通常被形象的稱為“網(wǎng)站癱了”。

  對(duì)上述致使“網(wǎng)站癱了”的行為的防范,可以納入到“防攻擊”的層面。因?yàn)?,一般來說,網(wǎng)站的代碼編寫人員并不具備足夠的安全知識(shí),在編碼時(shí)往往并不考慮網(wǎng)站是否會(huì)因此而存在漏洞,更有甚者,還有一些網(wǎng)站直接借用其他站點(diǎn)框架來搭建。

  據(jù)業(yè)內(nèi)專業(yè)安全公司啟明星辰的安星遠(yuǎn)程網(wǎng)站安全檢查服務(wù)網(wǎng)站(www.websec360.com)的數(shù)據(jù)顯示,平均約700個(gè)頁面就會(huì)存在一個(gè)網(wǎng)頁漏洞。煙草網(wǎng)站一般都擁有1000個(gè)以上的頁面,存在網(wǎng)頁漏洞的概率極大。而利用這些漏洞(如果是動(dòng)態(tài)網(wǎng)站,最常見的就是SQL注入漏洞,該漏洞的危害巨大,網(wǎng)絡(luò)上已有大量相關(guān)文章,本文不再贅述),黑客可以輕易獲得權(quán)限,進(jìn)而攻擊整個(gè)網(wǎng)站。

  煙草網(wǎng)站第二防:防病毒

  網(wǎng)站防病毒,指的不僅僅是“蠕蟲”之類的計(jì)算機(jī)病毒,更多的是指“網(wǎng)頁木馬病毒”。很多人都見過Google在某些返回的搜索結(jié)果中顯示“該網(wǎng)站可能含有惡意軟件,可能會(huì)危害您的電腦”。類似這樣的說明,就是指網(wǎng)站很可能已經(jīng)中了“網(wǎng)頁木馬病毒”,業(yè)內(nèi)通常稱之為“掛馬”。

  試想,如果在Google中搜索某某省煙草公司,返回的卻是一個(gè)掛著“小尾巴”的地址,這對(duì)企業(yè)形象的影響將會(huì)是巨大的。特別是,如果有人不小心訪問了被“掛馬”的頁面,那么也將會(huì)在不知不覺中感染上木馬,進(jìn)而泄露自己的私密信息。

  煙草網(wǎng)站第三防:防篡改

  頁面被篡改,是網(wǎng)站遭遇攻擊的最常見現(xiàn)象,比如首頁被替換、頁面發(fā)布內(nèi)容被修改等。這類也是被曝光數(shù)量最多的黑客行為。

  對(duì)此,煙草網(wǎng)站既然同時(shí)作為信息展示和交互的平臺(tái),那么頁面被篡改也是必然要考慮的一大安全風(fēng)險(xiǎn)。

  在了解網(wǎng)站威脅所包括的內(nèi)容后,接下來需要關(guān)注的就是“如何應(yīng)對(duì)這些狀況?”“如何將‘三防’要求落地執(zhí)行?”

  

  上圖描述了一類較為典型的煙草公司網(wǎng)站防護(hù)示意圖,正在考慮“網(wǎng)站三防”建設(shè)的機(jī)構(gòu)不妨參考實(shí)踐。

  系統(tǒng)解決“三防”問題

  防篡改是網(wǎng)站安全中最容易想到的要求,這與頁面被篡改現(xiàn)象屢見不鮮有很大關(guān)系。最直接的解決辦法就是采用網(wǎng)站防篡改產(chǎn)品。

  通過網(wǎng)站防篡改產(chǎn)品,可以將網(wǎng)站所有信息備份存儲(chǔ),同時(shí)監(jiān)視網(wǎng)站頁面文件,一旦發(fā)現(xiàn)網(wǎng)頁被修改,系統(tǒng)可以馬上從備份庫中提取并進(jìn)行恢復(fù)。這種防范手段不受攻擊手法的限制,即不論黑客利用何種手段攻擊網(wǎng)站,只要頁面發(fā)生更改,網(wǎng)站防篡改產(chǎn)品都可以及時(shí)響應(yīng)和恢復(fù)。

  在純靜態(tài)頁面的網(wǎng)站中,頁面防篡改可以防范幾乎全部的針對(duì)Web系統(tǒng)的攻擊行為,而在動(dòng)態(tài)頁面的網(wǎng)站中,防篡改產(chǎn)品也有盲區(qū)。主要有2類盲區(qū):一類就是有信息交互的網(wǎng)站,如在線留言、在線辦理等業(yè)務(wù),用戶需要對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行寫入或者修改的操作,網(wǎng)站防篡改系統(tǒng)無法判斷這些修改是黑客行為還是用戶正常操作;另外一類就是數(shù)據(jù)竊取,如竊取賬號(hào)口令等信息,頁面并未因此發(fā)生變化,因此,網(wǎng)站防篡改產(chǎn)品自然也就無法防御了。

  而上述這兩種盲區(qū),恰好就是“網(wǎng)站三防”中另外兩防可以解決的問題——防病毒、防攻擊。如果用戶交互頁面(在線留言系統(tǒng)等)存在一種被稱為XSS(跨站腳本攻擊)的Web漏洞,黑客就可以提交一個(gè)精心構(gòu)造的字符串,將網(wǎng)頁木馬鏈接到頁面上。如果頁面存在SQL注入漏洞,黑客則可以通過URL中提交的特殊的字符串進(jìn)行攻擊,獲得后臺(tái)數(shù)據(jù)庫權(quán)限。針對(duì)這兩種情況,可以考慮選擇帶有Web威脅防御能力的安全產(chǎn)品,如入侵防御產(chǎn)品或者是Web應(yīng)用防火墻來實(shí)現(xiàn)安全防御。

  當(dāng)然,除了部署相應(yīng)的安全產(chǎn)品外,清晰劃分內(nèi)部網(wǎng)絡(luò)安全域也是必不可少的工作,最簡單的就是將那些需要對(duì)外提供服務(wù)的服務(wù)器單獨(dú)列出服務(wù)器域,避免利用內(nèi)部PC進(jìn)行跳板攻擊的黑客行為。一般來說,將服務(wù)器域單獨(dú)劃分管理域,并且設(shè)置必要的訪問控制措施,輔助部署網(wǎng)站防篡改、入侵防御或Web應(yīng)用防火墻產(chǎn)品,就能很好地滿足“三防”需求,保障網(wǎng)站的安全穩(wěn)定運(yùn)營。