眾所周知���,Web 2.0是注重用戶交互的一種新興互聯(lián)網(wǎng)模式。這種模式強(qiáng)調(diào)了��,用戶不僅僅是信息的瀏覽者�����,也是信息的制造者�����。
隨著Web 2.0概念的不斷深入�����,互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化���,交互式業(yè)務(wù)隨之也成為互聯(lián)網(wǎng)應(yīng)用的主流���,而作為最典型的互聯(lián)網(wǎng)應(yīng)用的網(wǎng)站,當(dāng)仁不讓的站在了Web 2.0大潮的浪尖上����。但與之前有所不同的是�,現(xiàn)在我們所見到的網(wǎng)站����,大部分都已經(jīng)脫離了最初僅僅作為簡單信息發(fā)布的載體,而是越來越多地承載了很多的業(yè)務(wù)和應(yīng)用����。
伴隨著眾多業(yè)務(wù)和應(yīng)用的增加,網(wǎng)站變得越來越“有用”�����。但是�,俗話說��,方便與安全是一對(duì)天生的矛盾體:人們?cè)谙硎苤憬莼ヂ?lián)網(wǎng)服務(wù)的同時(shí)��,也在面臨著復(fù)雜的信息系統(tǒng)所帶來的更多安全風(fēng)險(xiǎn)和隱患����。我們不難發(fā)現(xiàn),在Web 1.0年代�����,所謂的“網(wǎng)站被黑”,大多是其頁面被修改���,如首頁被篡改����、頁面被增加等;而到了Web 2.0年代����,諸如網(wǎng)站頁面被掛馬、跨站腳本植入���、注入式攻擊等各式各樣的攻擊行為更是層出不窮��。
那么����,如何在保證業(yè)務(wù)和應(yīng)用紛繁復(fù)雜的同時(shí)��,還能繼續(xù)保持信息系統(tǒng)的安全性�����,也就是達(dá)到效率和安全之間的平衡?這恐怕是所有網(wǎng)站都必須要關(guān)注的問題。
網(wǎng)站安全“三防”
大部分的網(wǎng)站在設(shè)計(jì)之初����,更多考慮的是如何滿足用戶的應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù)�,很少甚至沒有考慮網(wǎng)站的安全性。而與之相對(duì)應(yīng)的是���,網(wǎng)上的黑客工具���、黑客教程多如牛毛。這使得那些腳本小子們攻擊網(wǎng)站并不會(huì)比考駕照更困難����。更加不幸的是,網(wǎng)站的管理者們往往并沒有采用什么有效的手段來對(duì)付這些“自學(xué)成才”的“安全愛好者”����,用來保護(hù)網(wǎng)站的僅僅是最普通不過的防火墻�,或者更徹底:什么都沒有。此外��,和現(xiàn)實(shí)社會(huì)中不同的是��,網(wǎng)絡(luò)中的盜竊和搶劫,受害者往往并不知情:頁面上被掛上木馬長達(dá)數(shù)月而不自知的大有人在�。
下面,我們不妨用著名的CIA三要素:Confidentiality(保密性)���,Integrity(完整性)��,和 Availability(可用性)���,來闡述一下作為互聯(lián)網(wǎng)經(jīng)典應(yīng)用載體的網(wǎng)站,需要從哪些方面著手安全防護(hù)的建設(shè)工作��。
CIA是信息安全的建設(shè)目標(biāo)��,相應(yīng)的�,網(wǎng)站安全防護(hù)也可以從這3個(gè)維度進(jìn)行考慮。
1. 保密性:防止黑客隨意獲取內(nèi)部的私密信息�。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防攻擊;
2. 完整性:防止黑客在未授權(quán)情況下修改信息�。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防篡改;
3. 可用性:確保有權(quán)限者可隨時(shí)正常獲取信息�����。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防病毒(木馬)��。
這便是網(wǎng)站安全“三防”的概念����。
為網(wǎng)站全面防御支招
那么,該如何實(shí)踐網(wǎng)站安全“三防”呢?
業(yè)內(nèi)著名專業(yè)安全公司啟明星辰提出了網(wǎng)站全面防御的觀點(diǎn)——360度視角的全方位網(wǎng)站安全解決方案�。該方案結(jié)合了標(biāo)準(zhǔn)的PDR模型,從檢測(cè)����、防護(hù)和響應(yīng)三個(gè)層面全方位的進(jìn)行網(wǎng)站安全防護(hù)。
1.360度安全防御之檢測(cè)
和直觀的頁面被篡改不同的是��,網(wǎng)頁掛馬由于其隱蔽性����,甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害。這就需要有一套相應(yīng)的檢測(cè)機(jī)制��,來定期對(duì)網(wǎng)站進(jìn)行掛馬檢查以便及時(shí)發(fā)現(xiàn)��。啟明星辰公司推出的安星遠(yuǎn)程網(wǎng)站掛馬檢查服務(wù)����,利用“沙箱”技術(shù),模擬執(zhí)行網(wǎng)頁訪問�����,而非單純的模式匹配方式���,對(duì)網(wǎng)頁木馬有很高的準(zhǔn)確發(fā)現(xiàn)率����。同時(shí)���,還提供了安星遠(yuǎn)程網(wǎng)站漏洞檢查服務(wù)��,結(jié)合后臺(tái)安全專家的人工分析�����,可以準(zhǔn)確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞����,并給出修補(bǔ)建議���。
有些網(wǎng)站管理人員平時(shí)對(duì)網(wǎng)站安全關(guān)注不夠���,往往是發(fā)生攻擊后�,損失已經(jīng)產(chǎn)生了�����,才臨時(shí)抱佛腳進(jìn)行響應(yīng)����,甚至很多情況下的解決措施也僅僅是恢復(fù)原有頁面,而沒有解決導(dǎo)致攻擊的安全問題�����。利用安星的漏洞檢查服務(wù)�,可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞,從源頭杜絕攻擊的發(fā)生�。
2.360度安全防御之防護(hù)
對(duì)于那些由于設(shè)計(jì)上的原因?qū)е碌陌踩┒矗赡軙?huì)由于需要使用某些應(yīng)用�����,而無法進(jìn)行修補(bǔ)或更新���。針對(duì)這類漏洞的攻擊行為大多基于應(yīng)用��,夾雜在正常的訪問行為當(dāng)中����,防火墻類安全產(chǎn)品�����,由于無法準(zhǔn)確識(shí)別應(yīng)用層攻擊行為�����,對(duì)這類攻擊往往束手無策�����。如果需要防范此類攻擊�,必須選擇可以對(duì)應(yīng)用層威脅進(jìn)行準(zhǔn)確發(fā)現(xiàn)和防御的安全產(chǎn)品,特別是���,針對(duì)這類攻擊(以SQL注入�,XSS攻擊為代表)�����,由于變種極多,傳統(tǒng)的應(yīng)用層威脅防御產(chǎn)品采用的特征匹配技術(shù)無法全面覆蓋�����,有較高的漏報(bào)和誤報(bào)率�����。
啟明星辰公司為Web業(yè)務(wù)防御專門推出了其WIPS系列產(chǎn)品����,采用專利技術(shù),從攻擊機(jī)理而非攻擊數(shù)據(jù)特征入手��,采用行為分析的手段�����,實(shí)現(xiàn)了很好的Web威脅防御效果�����。
3.360度安全防御之響應(yīng)
針對(duì)有些網(wǎng)站用戶的技術(shù)力量相對(duì)單薄�����,無法自行修補(bǔ)和進(jìn)行監(jiān)控的狀況。啟明星辰還推出了網(wǎng)頁安全修復(fù)服務(wù)����,對(duì)網(wǎng)站中的應(yīng)用程序存在的漏洞、頁面中存在的惡意代碼進(jìn)行徹底清除�����,同時(shí)用戶還可以選擇白盒測(cè)試�、黑盒測(cè)試對(duì)網(wǎng)站相關(guān)的安全源代碼進(jìn)行檢查�,找出源代碼方面所問題,通過服務(wù)用戶能夠獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù)�����,該類服務(wù)由啟明星辰國家級(jí)實(shí)驗(yàn)室的專業(yè)攻防技術(shù)團(tuán)隊(duì)提供支持��。
一些缺乏專業(yè)外援團(tuán)隊(duì)的重要網(wǎng)站��,能夠通過這個(gè)專業(yè)團(tuán)隊(duì)的服務(wù)來強(qiáng)化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計(jì)����,加強(qiáng)系統(tǒng)自身的安全性。
原文出自【比特網(wǎng)】�����,轉(zhuǎn)載請(qǐng)保留原文鏈接:http://sec.chinabyte.com/138/11519138.shtml |
