實例解析如何做好網站安全“三防”工作
網站情況分析
伴隨著眾多業務和應用的增加,網站變得越來越“有用”。但是,俗話說,方便與安全是一對天生的矛盾體:人們在享受著便捷互聯網服務的同時,也在面臨著復雜的信息系統所帶來的更多安全風險和隱患。我們不難發現,在Web 1.0年代,所謂的“網站被黑”,大多是其頁面被修改,如首頁被篡改、頁面被增加等;而到了Web 2.0年代,諸如網站頁面被掛馬、跨站腳本植入、注入式攻擊等各式各樣的攻擊行為更是層出不窮。
那么,如何在保證業務和應用紛繁復雜的同時,還能繼續保持信息系統的安全性,也就是達到效率和安全之間的平衡?這恐怕是所有網站都必須要關注的問題。
網站安全“三防”
大部分的網站在設計之初,更多考慮的是如何滿足用戶的應用,如何實現業務,很少甚至沒有考慮網站的安全性。而與之相對應的是,網上的黑客工具、黑客教程多如牛毛。這使得那些腳本小子們攻擊網站并不會比考駕照更困難。更加不幸的是,網站的管理者們往往并沒有采用什么有效的手段來對付這些“自學成才”的“安全愛好者”,用來保護網站的僅僅是最普通不過的防火墻,或者更徹底:什么都沒有。此外,和現實社會中不同的是,網絡中的盜竊和搶劫,受害者往往并不知情:頁面上被掛上木馬長達數月而不自知的大有人在。
下面,我們不妨用著名的CIA三要素:Confidentiality(保密性),Integrity(完整性),和 Availability(可用性),來闡述一下作為互聯網經典應用載體的網站,需要從哪些方面著手安全防護的建設工作。
CIA是信息安全的建設目標,相應的,網站安全防護也可以從這3個維度進行考慮。
1.保密性:防止黑客隨意獲取內部的私密信息。相對應的網站安全防護措施,即防攻擊;
2.完整性:防止黑客在未授權情況下修改信息。相對應的網站安全防護措施,即防篡改;
3.可用性:確保有權限者可隨時正常獲取信息。相對應的網站安全防護措施,即防病毒(木馬)。
這便是網站安全“三防”的概念。
為網站全面防御支招
那么,該如何實踐網站安全“三防”呢?
我們為大家推薦:360度視角的全方位網站安全解決方案。該方案結合了標準的PDR模型,從檢測、防護和響應三個層面全方位的進行網站安全防護。
1.360度安全防御之檢測
和直觀的頁面被篡改不同的是,網頁掛馬由于其隱蔽性,甚至在攻擊發生數月之后還能繼續為害。這就需要有一套相應的檢測機制,來定期對網站進行掛馬檢查以便及時發現。啟明星辰公司推出的安星遠程網站掛馬檢查服務,利用“沙箱”技術,模擬執行網頁訪問,而非單純的模式匹配方式,對網頁木馬有很高的準確發現率。同時,還提供了安星遠程網站漏洞檢查服務,結合后臺安全專家的人工分析,可以準確發現網站是否存在可利用的漏洞,并給出修補建議。
有些網站管理人員平時對網站安全關注不夠,往往是發生攻擊后,損失已經產生了,才臨時抱佛腳進行響應,甚至很多情況下的解決措施也僅僅是恢復原有頁面,而沒有解決導致攻擊的安全問題。利用安星的漏洞檢查服務,可以從根源上發現已經存在的漏洞,從源頭杜絕攻擊的發生。
2.360度安全防御之防護
對于那些由于設計上的原因導致的安全漏洞,可能會由于需要使用某些應用,而無法進行修補或更新。針對這類漏洞的攻擊行為大多基于應用,夾雜在正常的訪問行為當中,防火墻類安全產品,由于無法準確識別應用層攻擊行為,對這類攻擊往往束手無策。如果需要防范此類攻擊,必須選擇可以對應用層威脅進行準確發現和防御的安全產品,特別是,針對這類攻擊(以SQL注入,XSS攻擊為代表),由于變種極多,傳統的應用層威脅防御產品采用的特征匹配技術無法全面覆蓋,有較高的漏報和誤報率。
3.360度安全防御之響應
針對有些網站用戶的技術力量相對單薄,無法自行修補和進行監控的狀況。啟明星辰還推出了網頁安全修復服務,對網站中的應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時用戶還可以選擇白盒測試、黑盒測試對網站相關的安全源代碼進行檢查,找出源代碼方面所問題,通過服務用戶能夠獲得源代碼問題所在以及安全修復建議或修改服務。一些缺乏專業外援團隊的重要網站,能夠通過這個專業團隊的服務來強化網站系統的安全源代碼設計,加強系統自身的安全性。
如何做好網站安全“三防”工作的方案就為大家介紹到這里,希望大家已經掌握。
【編輯推薦】
