眾所周知���,Web 2.0是注重用戶交互的一種新興互聯(lián)網(wǎng)模式����。這種模式強調(diào)了����,用戶不僅僅是信息的瀏覽者����,也是信息的制造者。
隨著Web 2.0概念的不斷深入�����,互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化���,交互式業(yè)務(wù)隨之也成為互聯(lián)網(wǎng)應(yīng)用的主流�����,而作為最典型的互聯(lián)網(wǎng)應(yīng)用的網(wǎng)站�����,當仁不讓的站在了Web 2.0大潮的浪尖上���。但與之前有所不同的是��,現(xiàn)在我們所見到的網(wǎng)站���,大部分都已經(jīng)脫離了最初僅僅作為簡單信息發(fā)布的載體,而是越來越多地承載了很多的業(yè)務(wù)和應(yīng)用�。
伴隨著眾多業(yè)務(wù)和應(yīng)用的增加,網(wǎng)站變得越來越“有用”����。但是,俗話說��,方便與安全是一對天生的矛盾體:人們在享受著便捷互聯(lián)網(wǎng)服務(wù)的同時����,也在面臨著復(fù)雜的信息系統(tǒng)所帶來的更多安全風險和隱患。我們不難發(fā)現(xiàn)��,在Web 1.0年代��,所謂的“網(wǎng)站被黑”�����,大多是其頁面被修改,如首頁被篡改�����、頁面被增加等;而到了Web 2.0年代��,諸如網(wǎng)站頁面被掛馬����、跨站腳本植入�、注入式攻擊等各式各樣的攻擊行為更是層出不窮。
那么��,如何在保證業(yè)務(wù)和應(yīng)用紛繁復(fù)雜的同時��,還能繼續(xù)保持信息系統(tǒng)的安全性����,也就是達到效率和安全之間的平衡?這恐怕是所有網(wǎng)站都必須要關(guān)注的問題。
網(wǎng)站安全“三防”
大部分的網(wǎng)站在設(shè)計之初����,更多考慮的是如何滿足用戶的應(yīng)用,如何實現(xiàn)業(yè)務(wù)�,很少甚至沒有考慮網(wǎng)站的安全性��。而與之相對應(yīng)的是��,網(wǎng)上的黑客工具����、黑客教程多如牛毛�。這使得那些腳本小子們攻擊網(wǎng)站并不會比考駕照更困難。更加不幸的是�,網(wǎng)站的管理者們往往并沒有采用什么有效的手段來對付這些“自學(xué)成才”的“安全愛好者”,用來保護網(wǎng)站的僅僅是最普通不過的防火墻��,或者更徹底:什么都沒有�。此外,和現(xiàn)實社會中不同的是�����,網(wǎng)絡(luò)中的盜竊和搶劫��,受害者往往并不知情:頁面上被掛上木馬長達數(shù)月而不自知的大有人在���。
下面����,我們不妨用著名的CIA三要素:Confidentiality(保密性),Integrity(完整性)�����,和 Availability(可用性)��,來闡述一下作為互聯(lián)網(wǎng)經(jīng)典應(yīng)用載體的網(wǎng)站�,需要從哪些方面著手安全防護的建設(shè)工作。
CIA是信息安全的建設(shè)目標���,相應(yīng)的�,網(wǎng)站安全防護也可以從這3個維度進行考慮��。
1. 保密性:防止黑客隨意獲取內(nèi)部的私密信息���。相對應(yīng)的網(wǎng)站安全防護措施,即防攻擊;
2. 完整性:防止黑客在未授權(quán)情況下修改信息����。相對應(yīng)的網(wǎng)站安全防護措施,即防篡改;
3. 可用性:確保有權(quán)限者可隨時正常獲取信息���。相對應(yīng)的網(wǎng)站安全防護措施���,即防病毒(木馬)�。
這便是網(wǎng)站安全“三防”的概念�。
為網(wǎng)站全面防御支招
那么,該如何實踐網(wǎng)站安全“三防”呢?
業(yè)內(nèi)著名專業(yè)安全公司啟明星辰提出了網(wǎng)站全面防御的觀點——360度視角的全方位網(wǎng)站安全解決方案���。該方案結(jié)合了標準的PDR模型���,從檢測、防護和響應(yīng)三個層面全方位的進行網(wǎng)站安全防護�。
1.360度安全防御之檢測
和直觀的頁面被篡改不同的是,網(wǎng)頁掛馬由于其隱蔽性��,甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害���。這就需要有一套相應(yīng)的檢測機制�,來定期對網(wǎng)站進行掛馬檢查以便及時發(fā)現(xiàn)�。啟明星辰公司推出的安星遠程網(wǎng)站掛馬檢查服務(wù),利用“沙箱”技術(shù)����,模擬執(zhí)行網(wǎng)頁訪問,而非單純的模式匹配方式,對網(wǎng)頁木馬有很高的準確發(fā)現(xiàn)率�����。同時�,還提供了安星遠程網(wǎng)站漏洞檢查服務(wù),結(jié)合后臺安全專家的人工分析��,可以準確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞���,并給出修補建議���。
有些網(wǎng)站管理人員平時對網(wǎng)站安全關(guān)注不夠,往往是發(fā)生攻擊后��,損失已經(jīng)產(chǎn)生了����,才臨時抱佛腳進行響應(yīng)���,甚至很多情況下的解決措施也僅僅是恢復(fù)原有頁面���,而沒有解決導(dǎo)致攻擊的安全問題。利用安星的漏洞檢查服務(wù)����,可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞���,從源頭杜絕攻擊的發(fā)生。
2.360度安全防御之防護
對于那些由于設(shè)計上的原因?qū)е碌陌踩┒����,可能會由于需要使用某些?yīng)用,而無法進行修補或更新���。針對這類漏洞的攻擊行為大多基于應(yīng)用��,夾雜在正常的訪問行為當中����,防火墻類安全產(chǎn)品���,由于無法準確識別應(yīng)用層攻擊行為����,對這類攻擊往往束手無策�����。如果需要防范此類攻擊,必須選擇可以對應(yīng)用層威脅進行準確發(fā)現(xiàn)和防御的安全產(chǎn)品���,特別是�����,針對這類攻擊(以SQL注入���,XSS攻擊為代表),由于變種極多�����,傳統(tǒng)的應(yīng)用層威脅防御產(chǎn)品采用的特征匹配技術(shù)無法全面覆蓋��,有較高的漏報和誤報率��。
啟明星辰公司為Web業(yè)務(wù)防御專門推出了其WIPS系列產(chǎn)品���,采用專利技術(shù)�,從攻擊機理而非攻擊數(shù)據(jù)特征入手��,采用行為分析的手段�,實現(xiàn)了很好的Web威脅防御效果。
3.360度安全防御之響應(yīng)
針對有些網(wǎng)站用戶的技術(shù)力量相對單薄�����,無法自行修補和進行監(jiān)控的狀況����。啟明星辰還推出了網(wǎng)頁安全修復(fù)服務(wù),對網(wǎng)站中的應(yīng)用程序存在的漏洞��、頁面中存在的惡意代碼進行徹底清除�����,同時用戶還可以選擇白盒測試���、黑盒測試對網(wǎng)站相關(guān)的安全源代碼進行檢查�,找出源代碼方面所問題�,通過服務(wù)用戶能夠獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù),該類服務(wù)由啟明星辰國家級實驗室的專業(yè)攻防技術(shù)團隊提供支持���。
一些缺乏專業(yè)外援團隊的重要網(wǎng)站����,能夠通過這個專業(yè)團隊的服務(wù)來強化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計,加強系統(tǒng)自身的安全性�。
原文出自【比特網(wǎng)】,轉(zhuǎn)載請保留原文鏈接:http://sec.chinabyte.com/138/11519138.shtml |
