眾所周知,Web 2.0是注重用戶交互的一種新興互聯(lián)網(wǎng)模式。這種模式強(qiáng)調(diào)了,用戶不僅僅是信息的瀏覽者,也是信息的制造者。
隨著Web 2.0概念的不斷深入,互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化,交互式業(yè)務(wù)隨之也成為互聯(lián)網(wǎng)應(yīng)用的主流,而作為最典型的互聯(lián)網(wǎng)應(yīng)用的網(wǎng)站,當(dāng)仁不讓的站在了Web 2.0大潮的浪尖上。但與之前有所不同的是,現(xiàn)在我們所見到的網(wǎng)站,大部分都已經(jīng)脫離了最初僅僅作為簡單信息發(fā)布的載體,而是越來越多地承載了很多的業(yè)務(wù)和應(yīng)用。
伴隨著眾多業(yè)務(wù)和應(yīng)用的增加,網(wǎng)站變得越來越“有用”。但是,俗話說,方便與安全是一對(duì)天生的矛盾體:人們?cè)谙硎苤憬莼ヂ?lián)網(wǎng)服務(wù)的同時(shí),也在面臨著復(fù)雜的信息系統(tǒng)所帶來的更多安全風(fēng)險(xiǎn)和隱患。我們不難發(fā)現(xiàn),在Web 1.0年代,所謂的“網(wǎng)站被黑”,大多是其頁面被修改,如首頁被篡改、頁面被增加等;而到了Web 2.0年代,諸如網(wǎng)站頁面被掛馬、跨站腳本植入、注入式攻擊等各式各樣的攻擊行為更是層出不窮。
那么,如何在保證業(yè)務(wù)和應(yīng)用紛繁復(fù)雜的同時(shí),還能繼續(xù)保持信息系統(tǒng)的安全性,也就是達(dá)到效率和安全之間的平衡?這恐怕是所有網(wǎng)站都必須要關(guān)注的問題。
網(wǎng)站安全“三防”
大部分的網(wǎng)站在設(shè)計(jì)之初,更多考慮的是如何滿足用戶的應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù),很少甚至沒有考慮網(wǎng)站的安全性。而與之相對(duì)應(yīng)的是,網(wǎng)上的黑客工具、黑客教程多如牛毛。這使得那些腳本小子們攻擊網(wǎng)站并不會(huì)比考駕照更困難。更加不幸的是,網(wǎng)站的管理者們往往并沒有采用什么有效的手段來對(duì)付這些“自學(xué)成才”的“安全愛好者”,用來保護(hù)網(wǎng)站的僅僅是最普通不過的防火墻,或者更徹底:什么都沒有。此外,和現(xiàn)實(shí)社會(huì)中不同的是,網(wǎng)絡(luò)中的盜竊和搶劫,受害者往往并不知情:頁面上被掛上木馬長達(dá)數(shù)月而不自知的大有人在。
下面,我們不妨用著名的CIA三要素:Confidentiality(保密性),Integrity(完整性),和 Availability(可用性),來闡述一下作為互聯(lián)網(wǎng)經(jīng)典應(yīng)用載體的網(wǎng)站,需要從哪些方面著手安全防護(hù)的建設(shè)工作。
CIA是信息安全的建設(shè)目標(biāo),相應(yīng)的,網(wǎng)站安全防護(hù)也可以從這3個(gè)維度進(jìn)行考慮。
1. 保密性:防止黑客隨意獲取內(nèi)部的私密信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防攻擊;
2. 完整性:防止黑客在未授權(quán)情況下修改信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防篡改;
3. 可用性:確保有權(quán)限者可隨時(shí)正常獲取信息。相對(duì)應(yīng)的網(wǎng)站安全防護(hù)措施,即防病毒(木馬)。
這便是網(wǎng)站安全“三防”的概念。
為網(wǎng)站全面防御支招
那么,該如何實(shí)踐網(wǎng)站安全“三防”呢?
業(yè)內(nèi)著名專業(yè)安全公司啟明星辰提出了網(wǎng)站全面防御的觀點(diǎn)——360度視角的全方位網(wǎng)站安全解決方案。該方案結(jié)合了標(biāo)準(zhǔn)的PDR模型,從檢測(cè)、防護(hù)和響應(yīng)三個(gè)層面全方位的進(jìn)行網(wǎng)站安全防護(hù)。
1.360度安全防御之檢測(cè)
和直觀的頁面被篡改不同的是,網(wǎng)頁掛馬由于其隱蔽性,甚至在攻擊發(fā)生數(shù)月之后還能繼續(xù)為害。這就需要有一套相應(yīng)的檢測(cè)機(jī)制,來定期對(duì)網(wǎng)站進(jìn)行掛馬檢查以便及時(shí)發(fā)現(xiàn)。啟明星辰公司推出的安星遠(yuǎn)程網(wǎng)站掛馬檢查服務(wù),利用“沙箱”技術(shù),模擬執(zhí)行網(wǎng)頁訪問,而非單純的模式匹配方式,對(duì)網(wǎng)頁木馬有很高的準(zhǔn)確發(fā)現(xiàn)率。同時(shí),還提供了安星遠(yuǎn)程網(wǎng)站漏洞檢查服務(wù),結(jié)合后臺(tái)安全專家的人工分析,可以準(zhǔn)確發(fā)現(xiàn)網(wǎng)站是否存在可利用的漏洞,并給出修補(bǔ)建議。
有些網(wǎng)站管理人員平時(shí)對(duì)網(wǎng)站安全關(guān)注不夠,往往是發(fā)生攻擊后,損失已經(jīng)產(chǎn)生了,才臨時(shí)抱佛腳進(jìn)行響應(yīng),甚至很多情況下的解決措施也僅僅是恢復(fù)原有頁面,而沒有解決導(dǎo)致攻擊的安全問題。利用安星的漏洞檢查服務(wù),可以從根源上發(fā)現(xiàn)已經(jīng)存在的漏洞,從源頭杜絕攻擊的發(fā)生。
2.360度安全防御之防護(hù)
對(duì)于那些由于設(shè)計(jì)上的原因?qū)е碌陌踩┒矗赡軙?huì)由于需要使用某些應(yīng)用,而無法進(jìn)行修補(bǔ)或更新。針對(duì)這類漏洞的攻擊行為大多基于應(yīng)用,夾雜在正常的訪問行為當(dāng)中,防火墻類安全產(chǎn)品,由于無法準(zhǔn)確識(shí)別應(yīng)用層攻擊行為,對(duì)這類攻擊往往束手無策。如果需要防范此類攻擊,必須選擇可以對(duì)應(yīng)用層威脅進(jìn)行準(zhǔn)確發(fā)現(xiàn)和防御的安全產(chǎn)品,特別是,針對(duì)這類攻擊(以SQL注入,XSS攻擊為代表),由于變種極多,傳統(tǒng)的應(yīng)用層威脅防御產(chǎn)品采用的特征匹配技術(shù)無法全面覆蓋,有較高的漏報(bào)和誤報(bào)率。
啟明星辰公司為Web業(yè)務(wù)防御專門推出了其WIPS系列產(chǎn)品,采用專利技術(shù),從攻擊機(jī)理而非攻擊數(shù)據(jù)特征入手,采用行為分析的手段,實(shí)現(xiàn)了很好的Web威脅防御效果。
3.360度安全防御之響應(yīng)
針對(duì)有些網(wǎng)站用戶的技術(shù)力量相對(duì)單薄,無法自行修補(bǔ)和進(jìn)行監(jiān)控的狀況。啟明星辰還推出了網(wǎng)頁安全修復(fù)服務(wù),對(duì)網(wǎng)站中的應(yīng)用程序存在的漏洞、頁面中存在的惡意代碼進(jìn)行徹底清除,同時(shí)用戶還可以選擇白盒測(cè)試、黑盒測(cè)試對(duì)網(wǎng)站相關(guān)的安全源代碼進(jìn)行檢查,找出源代碼方面所問題,通過服務(wù)用戶能夠獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù),該類服務(wù)由啟明星辰國家級(jí)實(shí)驗(yàn)室的專業(yè)攻防技術(shù)團(tuán)隊(duì)提供支持。
一些缺乏專業(yè)外援團(tuán)隊(duì)的重要網(wǎng)站,能夠通過這個(gè)專業(yè)團(tuán)隊(duì)的服務(wù)來強(qiáng)化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計(jì),加強(qiáng)系統(tǒng)自身的安全性。
原文出自【比特網(wǎng)】,轉(zhuǎn)載請(qǐng)保留原文鏈接:http://sec.chinabyte.com/138/11519138.shtml |