一些缺乏專業外援團隊的重要網站,能夠通過這個專業團隊的服務來強化網站系統的安全源代碼設計,加強系統自身的安全性
眾所周知,web 2.0是注重用戶交互的一種新興互聯網模式這種模式強調了,用戶不僅僅是信息的瀏覽者,也是信息的制造者
隨著web 2.0概念的不斷深入,互聯網發生了翻天覆地的變化,交互式業務隨之也成為互聯網應用的主流,而作為最典型的互聯網應用的網站,當仁不讓的站在了web 2.0大潮的浪尖上但與之前有所不同的是,現在我們所見到的網站,大部分都已經脫離了最初僅僅作為簡單信息發布的載體,而是越來越多地承載了很多的業務和應用
伴隨著眾多業務和應用的增加,網站變得越來越“有用”但是,俗話說,方便與安全是一對天生的矛盾體:人們在享受著便捷互聯網服務的同時,也在面臨著復雜的信息系統所帶來的更多安全風險和隱患我們不難發現,在web 1.0年代,所謂的“網站被黑”,大多是其頁面被修改,如首頁被篡改、頁面被增加等;而到了web 2.0年代,諸如網站頁面被掛馬、跨站腳本植入、注入式攻擊等各式各樣的攻擊行為更是層出不窮
那么,如何在保證業務和應用紛繁復雜的同時,還能繼續保持信息系統的安全性,也就是達到效率和安全之間的平衡?這恐怕是所有網站都必須要關注的問題
網站安全“三防”
大部分的網站在設計之初,更多考慮的是如何滿足用戶的應用,如何實現業務,很少甚至沒有考慮網站的安全性而與之相對應的是,網上的黑客工具、黑客教程多如牛毛這使得那些腳本小子們攻擊網站并不會比考駕照更困難更加不幸的是,網站的管理者們往往并沒有采用什么有效的手段來對付這些“自學成才”的“安全愛好者”,用來保護網站的僅僅是最普通不過的防火墻,或者更徹底:什么都沒有此外,和現實社會中不同的是,網絡中的盜竊和搶劫,受害者往往并不知情:頁面上被掛上木馬長達數月而不自知的大有人在
下面,我們不妨用著名的cia三要素:confidentiality(保密性),integrity(完整性),和 availability(可用性),來闡述一下作為互聯網經典應用載體的網站,需要從哪些方面著手安全防護的建設工作
cia是信息安全的建設目標,相應的,網站安全防護也可以從這3個維度進行考慮
1.保密性:防止黑客隨意獲取內部的私密信息相對應的網站安全防護措施,即防攻擊;
2.完整性:防止黑客在未授權情況下修改信息相對應的網站安全防護措施,即防篡改;
3.可用性:確保有權限者可隨時正常獲取信息相對應的網站安全防護措施,即防病毒(木馬)
這便是網站安全“三防”的概念
為網站全面防御支招
那么,該如何實踐網站安全“三防”呢?
業內著名專業安全公司啟明星辰提出了網站全面防御的觀點——360度視角的全方位網站安全解決方案該方案結合了標準的pdr模型,從檢測、防護和響應三個層面全方位的進行網站安全防護
1.360度安全防御之檢測
和直觀的頁面被篡改不同的是,網頁掛馬由于其隱蔽性,甚至在攻擊發生數月之后還能繼續為害這就需要有一套相應的檢測機制,來定期對網站進行掛馬檢查以便及時發現啟明星辰公司推出的安星遠程網站掛馬檢查服務,利用“沙箱”技術,模擬執行網頁訪問,而非單純的模式匹配方式,對網頁木馬有很高的準確發現率同時,還提供了安星遠程網站漏洞檢查服務,結合后臺安全專家的人工分析,可以準確發現網站是否存在可利用的漏洞,并給出修補建議
有些網站管理人員平時對網站安全關注不夠,往往是發生攻擊后,損失已經產生了,才臨時抱佛腳進行響應,甚至很多情況下的解決措施也僅僅是恢復原有頁面,而沒有解決導致攻擊的安全問題利用安星的漏洞檢查服務,可以從根源上發現已經存在的漏洞,從源頭杜絕攻擊的發生
2.360度安全防御之防護
對于那些由于設計上的原因導致的安全漏洞,可能會由于需要使用某些應用,而無法進行修補或更新針對這類漏洞的攻擊行為大多基于應用,夾雜在正常的訪問行為當中,防火墻類安全產品,由于無法準確識別應用層攻擊行為,對這類攻擊往往束手無策如果需要防范此類攻擊,必須選擇可以對應用層威脅進行準確發現和防御的安全產品,特別是,針對這類攻擊(以sql注入,xss攻擊為代表),由于變種極多,傳統的應用層威脅防御產品采用的特征匹配技術無法全面覆蓋,有較高的漏報和誤報率
啟明星辰公司為web業務防御專門推出了其wips系列產品,采用專利技術,從攻擊機理而非攻擊數據特征入手,采用行為分析的手段,實現了很好的web威脅防御效果
3.360度安全防御之響應
針對有些網站用戶的技術力量相對單薄,無法自行修補和進行監控的狀況啟明星辰還推出了網頁安全修復服務,對網站中的應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時用戶還可以選擇白盒測試、黑盒測試對網站相關的安全源代碼進行檢查,找出源代碼方面所問題,通過服務用戶能夠獲得源代碼問題所在以及安全修復建議或修改服務,該類服務由啟明星辰國家級實驗室的專業攻防技術團隊提供支持
