如何做好網(wǎng)站安全“三防”工作
- 作者:創(chuàng)新互聯(lián) 文章來源:網(wǎng)站運(yùn)維部 點(diǎn)擊數(shù):
更新時(shí)間:2010-07-30
- 眾所周知��,Web 2.0是注重用戶交互的一種新興互聯(lián)網(wǎng)模式。這種模式強(qiáng)調(diào)了�����,用戶不僅僅是信息的瀏覽者����,也是信息的制造者�����。
隨著Web 2.0概念的不斷深入�,互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化����,交互式業(yè)務(wù)隨之也成為互聯(lián)網(wǎng)應(yīng)用的主流,而作為最典型的互聯(lián)網(wǎng)應(yīng)用的網(wǎng)站�,當(dāng)仁不讓的站在了Web 2.0大潮的浪尖上���。但與之前有所不同的是,現(xiàn)在我們所見到的網(wǎng)站���,大部分都已經(jīng)脫離了最初僅僅作為簡單信息發(fā)布的載體�����,而是越來越多地承載了很多的業(yè)務(wù)和應(yīng)用�。
伴隨著眾多業(yè)務(wù)和應(yīng)用的增加�����,網(wǎng)站變得越來越“有用”��。但是���,俗話說��,方便與安全是一對天生的矛盾體:人們在享受著便捷互聯(lián)網(wǎng)服務(wù)的同時(shí)����,也在面臨著復(fù)雜的信息系統(tǒng)所帶來的更多安全風(fēng)險(xiǎn)和隱患。我們不難發(fā)現(xiàn)����,在Web 1.0年代�����,所謂的“網(wǎng)站被黑”��,大多是其頁面被修改����,如首頁被篡改�、頁面被增加等;而到了Web 2.0年代�,諸如網(wǎng)站頁面被掛馬、跨站腳本植入�����、注入式攻擊等各式各樣的攻擊行為更是層出不窮。
那么,如何在保證業(yè)務(wù)和應(yīng)用紛繁復(fù)雜的同時(shí)����,還能繼續(xù)保持信息系統(tǒng)的安全性�,也就是達(dá)到效率和安全之間的平衡����?這恐怕是所有網(wǎng)站都必須要關(guān)注的問題����。
網(wǎng)站安全“三防”
大部分的網(wǎng)站在設(shè)計(jì)之初���,更多考慮的是如何滿足用戶的應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù)���,很少甚至沒有考慮網(wǎng)站的安全性。而與之相對應(yīng)的是��,網(wǎng)上的黑客工具����、黑客教程多如牛毛。這使得那些腳本小子們攻擊網(wǎng)站并不會(huì)比考駕照更困難�。更加不幸的是����,網(wǎng)站的管理者們往往并沒有采用什么有效的手段來對付這些“自學(xué)成才”的“安全愛好者”����,用來保護(hù)網(wǎng)站的僅僅是最普通不過的防火墻����,或者更徹底:什么都沒有�。此外��,和現(xiàn)實(shí)社會(huì)中不同的是,網(wǎng)絡(luò)中的盜竊和搶劫,受害者往往并不知情:頁面上被掛上木馬長達(dá)數(shù)月而不自知的大有人在��。
下面���,我們不妨用著名的CIA三要素:Confidentiality(保密性),Integrity(完整性)���,和 Availability(可用性)�����,來闡述一下作為互聯(lián)網(wǎng)經(jīng)典應(yīng)用載體的網(wǎng)站�,需要從哪些方面著手安全防護(hù)的建設(shè)工作�。
CIA是信息安全的建設(shè)目標(biāo)����,相應(yīng)的�����,網(wǎng)站安全防護(hù)也可以從這3個(gè)維度進(jìn)行考慮���。
1.保密性:防止黑客隨意獲取內(nèi)部的私密信息�。相對應(yīng)的網(wǎng)站安全防護(hù)措施�����,即防攻擊;
2.完整性:防止黑客在未授權(quán)情況下修改信息�。相對應(yīng)的網(wǎng)站安全防護(hù)措施,即防篡改���;
3.可用性:確保有權(quán)限者可隨時(shí)正常獲取信息�。相對應(yīng)的網(wǎng)站安全防護(hù)措施��,即防病毒(木馬)�。
這便是網(wǎng)站安全“三防”的概念�。
為網(wǎng)站全面防御支招
那么�,該如何實(shí)踐網(wǎng)站安全“三防”呢?
業(yè)內(nèi)著名專業(yè)安全公司創(chuàng)新互聯(lián)提出了網(wǎng)站全面防御的觀點(diǎn)——360度視角的全方位網(wǎng)站安全解決方案�����。該方案結(jié)合了標(biāo)準(zhǔn)的PDR模型�,從檢測��、防護(hù)和響應(yīng)三個(gè)層面全方位的進(jìn)行網(wǎng)站安全防護(hù)���。
1、360度安全防御之檢測
和直觀的頁面被篡改不同的是��,網(wǎng)頁掛馬由于其隱蔽性�,甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害�。這就需要有一套相應(yīng)的檢測機(jī)制�����,來定期對網(wǎng)站進(jìn)行掛馬檢查以便及時(shí)發(fā)現(xiàn)��。創(chuàng)新互聯(lián)公司推出的安星遠(yuǎn)程網(wǎng)站掛馬檢查服務(wù)���,利用“沙箱”技術(shù)���,模擬執(zhí)行網(wǎng)頁訪問�,而非單純的模式匹配方式,對網(wǎng)頁木馬有很高的準(zhǔn)確發(fā)現(xiàn)率�����。同時(shí),還提供了安星遠(yuǎn)程網(wǎng)站漏洞檢查服務(wù)��,結(jié)合后臺(tái)安全專家的人工分析��,可以準(zhǔn)確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞,并給出修補(bǔ)建議���。
有些網(wǎng)站管理人員平時(shí)對網(wǎng)站安全關(guān)注不夠,往往是發(fā)生攻擊后�����,損失已經(jīng)產(chǎn)生了,才臨時(shí)抱佛腳進(jìn)行響應(yīng)�����,甚至很多情況下的解決措施也僅僅是恢復(fù)原有頁面���,而沒有解決導(dǎo)致攻擊的安全問題���。利用安星的漏洞檢查服務(wù)��,可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞�,從源頭杜絕攻擊的發(fā)生。
2.360度安全防御之防護(hù)
對于那些由于設(shè)計(jì)上的原因?qū)е碌陌踩┒�,可能?huì)由于需要使用某些應(yīng)用�,而無法進(jìn)行修補(bǔ)或更新���。針對這類漏洞的攻擊行為大多基于應(yīng)用,夾雜在正常的訪問行為當(dāng)中���,防火墻類安全產(chǎn)品����,由于無法準(zhǔn)確識(shí)別應(yīng)用層攻擊行為����,對這類攻擊往往束手無策�。如果需要防范此類攻擊,必須選擇可以對應(yīng)用層威脅進(jìn)行準(zhǔn)確發(fā)現(xiàn)和防御的安全產(chǎn)品�,特別是,針對這類攻擊(以SQL注入�,XSS攻擊為代表),由于變種極多�,傳統(tǒng)的應(yīng)用層威脅防御產(chǎn)品采用的特征匹配技術(shù)無法全面覆蓋,有較高的漏報(bào)和誤報(bào)率��。
創(chuàng)新互聯(lián)公司為Web業(yè)務(wù)防御專門推出了其WIPS系列產(chǎn)品�,采用專利技術(shù),從攻擊機(jī)理而非攻擊數(shù)據(jù)特征入手�,采用行為分析的手段,實(shí)現(xiàn)了很好的Web威脅防御效果����。
3.360度安全防御之響應(yīng)
針對有些網(wǎng)站用戶的技術(shù)力量相對單薄,無法自行修補(bǔ)和進(jìn)行監(jiān)控的狀況�。創(chuàng)新互聯(lián)還推出了網(wǎng)頁安全修復(fù)服務(wù),對網(wǎng)站中的應(yīng)用程序存在的漏洞��、頁面中存在的惡意代碼進(jìn)行徹底清除���,同時(shí)用戶還可以選擇白盒測試����、黑盒測試對網(wǎng)站相關(guān)的安全源代碼進(jìn)行檢查����,找出源代碼方面所問題���,通過服務(wù)用戶能夠獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù)���,該類服務(wù)由創(chuàng)新互聯(lián)國家級(jí)實(shí)驗(yàn)室的專業(yè)攻防技術(shù)團(tuán)隊(duì)提供支持。
一些缺乏專業(yè)外援團(tuán)隊(duì)的重要網(wǎng)站���,能夠通過這個(gè)專業(yè)團(tuán)隊(duì)的服務(wù)來強(qiáng)化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計(jì)����,加強(qiáng)系統(tǒng)自身的安全性。
-
什么叫冗余電源��? :上一篇
怎樣租用服務(wù)器才最劃算 :下一篇
