WEB應用安全技術白皮書解析
應用安全技術的描述有很多,國內大多信息安全公司也大呼“全民進入了應用安全時代”,似乎只有應用安全才是信息時代未來的關鍵。深究一下,到底應用安全指什么,最終用戶到底需要什么樣的Web應用安全,筆者從事信息安全十余載,站在一個客觀角度來給每個用戶進行分析。
下一代移動互聯,物聯網,三網融合,云計算,幾乎每個互聯網產業都有應用有著密不可分的聯系,傳統的網站系統、郵件系統、微博、電子商務、電子政務應用更離不開應用安全,應用安全幾乎滲透了每個角落,在“網絡安全”、“信息安全”進入高速發展階段,應用安全領域正異軍突起,成為信息安全中最具活力的生力軍。然而應用安全又涉及到應用系統的多個方面,復雜性程度高,稍不留意,要么影響應用系統性能,要么留有安全隱患。什么樣的安全解決方案符合客戶自身需要,把風險控制在可接受的范圍內,又能夠不影響性能,資金投入控制適中,不至于浪費。
我們把用戶的應用歸為幾類,并分別結合國家公安部等級保護進行方案設計,下面先把涉及到的幾類安全產品功能進行簡單描述。
WebGuard網頁防篡改產品,分為靜態防護和動態防護。靜態防護為基本模塊,主要是對網站操作系統漏洞風險或網站發布系統漏洞對網站中相關文件造成威脅而進行的保護措施,保護對象如網站框架文件、圖片、視頻等,可以做到即使網站遭受到惡意攻擊,也可以確保網站主體文件不受篡改。
動態防護模塊主要針對網站的數據庫操作進行防護,目前大多網站均涉及到復雜的數據庫應用,里面涉及到用戶重要數據,這類篡改事件也時有發生,如某政府國家級資質認證查詢數據庫常遭受攻擊篡改,這和目前猖獗的證書造假黑色產業鏈聯系緊密,制作了個假證書確在官網上能查詢到,自然售價和可信度高,這類犯法事件時有發生,還衍生到教育領域學校招生等,干擾正常秩序。此外,還有盜取網站用戶信息進行惡意傳播兜售,均涉及到數據庫安全,動態防護模塊對此類攻擊進行有效保護。
WAF(Web Application Firewall,網站應用防火墻)這個系統是網站防護的硬件解決方案,串聯在網站的出口,對來自互聯網80端口的惡意訪問攻擊進行防護,常見攻擊有注入、跨站、DDos等。WAF系統還涉及到了事前評估技術,對網站進行掃描,事先發現風險進行修復,可以防止90%以上的已知漏洞攻擊。這個系統可以和防篡改系統部分功能替代,如可以替代防篡改的動態模塊,但DDos攻擊等動態防護模塊是無法替代的。
硬件解決方案在大多情況下有一定的優勢,但也存在不足,不能對文件進行保護,硬件的性能成為該類解決方案的瓶頸。如用戶網站服務器配置很高,性能很好,而WAF系統配置相對不高,所以選擇時要注意考慮WAF的性能指標,而不要一味追求低價而影響到網站性能。
下圖反應了攻擊過程所造成的影響進行了詳細拆解,幫助用戶進行準確的判斷分析。
目前國內網站主要涉及到幾個領域:電信運營商、政府、金融、證券、電子商務、教育、企事業單位。按照等級保護防護要求,除個別網站系統三級之外,大多屬于二級或一級。按照網站安全事件大多以下幾類。
1、網站上出現惡意的非法信息;
i. 各類疆獨、藏獨、法輪功等反動言論;
ii. 色情、暴力、賭博等信息;
iii. 政府政策虛假信息、金融非法言論、謠言等;
2、 網站遭受大量掛馬攻擊(通過網站掛馬傳播木馬已經占到木馬傳播總量的 90%以上,黑客產業鏈發達,大多受經濟利益驅動。);
i. 反動組織的間諜軟件;
ii. 各類帳號信息盜取類;
iii. 文件盜取類;
iv. 惡意破壞類;
v. 掛馬隱蔽性較強且長期潛伏,使得木馬變種傳播更為猖獗;
3、 網站的漏洞百出,遭受惡意篡改;
i. 頁面完全篡改;
ii. 部分內容篡改;
iii. 數據庫內容惡意刪除或破壞;
大多用戶遭受攻擊所造成的影響是信譽受損、政治風險、經濟利益受損。綜上所述,我們進行量身解決方案定制。
以上主要涉及到外部安全攻擊防護,對于具有大量內部服務器,除了web服務器,還涉及到數據庫服務器、生產服務器、各類OA、文件服務器,如何實現規范化管理,杜絕內部安全隱患,需要進行安全運維審計系統的部署,結合電信行業4A標準以及國際金融法案進行必要的安全防護,這類解決方案主要根據服務器數量及應用規模,外部運維團隊規模等進行相應解決方案選擇。安全運維審計系統綜合了國內最先進的防護理念,實現了精細化管理、規范化管理、流程化管理等多個角度,清晰人性化的操作界面得到國內廣泛應用。
應用安全隨著國內外安全技術的發展,黑客技術的發展,互聯網應用的發展,總體可以說是任重而道遠。
【編輯推薦】
