《网站安全项目解决方案》由会员分享,可在线阅读,更多相关《网站安全项目解决方案(27页珍藏版)》请在金锄头文库上搜索。
1、.网站安全解决方案北京启明星辰信息安全技术有限公司二零壹零年.专业学资料.目录1为何关注网站安全11.1网站的作用日益凸显11.2攻击给网站带来巨大损失31.2.1经济损失31.2.2名誉损失31.2.3政治风险42网站安全现状42.1安全威胁分析42.1.1网站攻击越来越密集52.1.2黑客为什么攻击网站52.1.3黑客如何攻击网站52.2现有安全措施分析62.3问题总结与解决思路72.3.1网站安全问题总结82.3.2网站安全问题解决思路93网站安全解决方案103.1主动的检测机制103.1.1建立主动检查机制133.1.2实施对客户透明133.1.3节约网站运维成本133.1.4专业化的
2、检查结果133.2完善的Web业务防护143.2.1为网站提供最佳防护153.2.2部署便捷不影响业务163.2.3充分保障Web业务连续性163.3响应修复174案例分析175方案总结19.专业学资料.1为何关注网站安全WEB应用的发展,使网站发挥了越来越重要的作用,与此同时,越来越多的网站也因为存在安全隐患而频繁遭受到各种攻击,导致网站敏感数据、页面被篡改、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。那么,网站到底发挥着多大的作用?网站被攻击后到底会带来什么样的损失呢?这两个问题的答案会告诉我们,为何人们会如此关注网站安全。1.1网站的作用日益凸显人们的生活已经跟网站
3、紧密相关,获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股(基金、期货),网站给人们带来的便利实在难以一一列举。据CNNIC统计,截至2008年6月底,中国网民数量达到2.53亿。中国网站数量也已达191.9万个,年增长率为46.3%,继续保持快速增长的势头。现在均每132个网民,就拥有一个互联网网站。图1.中国网站数量增长情况可以看出,网站正在对越来越多的人产生影响,作为个人,我们正享受着越来越多网站带来的生活便利,作为组织,我们也在不失时机的利用网站拓展着自己的业务。因此,不管对于个人,还是对组织,网站都已经非常重要。以下列举了一些我们熟知的事实,已不难说明网站的价值日益凸显:l政府网站
4、作为电子政务建设的最重要的内容之一,政府的门户网站目前普及率已经非常高,肩负着政务公开、信息发布、公众服务以及政民交互等重要任务,关乎政府形象。几年,政府网站的电子化参与度不断上升,信息公开程度不断提高,公众决策参与水也有显著提升。l金融网站银行、证券等机构的门户网站,提供的服务已不仅限于信息发布和业务咨询,而是更多的跟实际业务交易关联了起来,通过网上银行,可以方便实现以前要去营业厅排队才能完成的业务,也可以用网上银行进行理财投资,在线交易股票,基金等。据CNNIC的数据,网银用户增长率较快,目前的用户量已经超过4000万人,半年增长率达到47.1%,进行网上炒股的用户也已达到4288万。l电
5、子商务网站提供在线购物,在线交易服务,电子商务网站的存在正在正在改变人们购物惯,随着应用的普及,电子商务网站带来的经济影响也是不可估量的。拿一个例子来说:仅成立5年的淘宝,07年的网络销售额达到433亿,这一数字已超越家乐福和沃尔玛销售额之和。l企业门户展示企业产品、服务以及解决方案情况,开展跟合作伙伴以及客户的在线沟通(如客户关系管理等),能够拓展业务渠道,为客户和合作伙伴提供极大便利。l互联网公司网站我们对再它们熟悉不过了:Google、新浪、土豆、Facebook,这些网站提供的内容最丰富,搜索,新闻咨询,论坛,博客,视频分享、游戏,已经成为我们生活的一部分。我们在享受这一切便利时,网站
6、的所有者也在靠提供这些服务获取应得的利益。总之,网站已经被赋予太多的内容,也正在发挥着巨大的作用,一旦网站遭受到攻击,无疑会给个人和组织带来危害。而现实情况恰恰是人们所担心的有人在合法享受网站提供的服务,也有不少人对网站别有用心。1.2攻击给网站带来巨大损失那些别有用心的攻击者,正是看中了网站的价值,为了博名获利,无时无刻不在对网站进行着攻击。随着Web应用技术的深入普及,网站攻击的技术门槛在不断降低,当攻击跟金钱、名誉甚至政治阴谋联系在一起的时候,我们的网站很可能已经处于多个攻击者的视线之内。正因为如此,网页挂马、数据篡改等网站安全事件层出不穷,网站被攻击而遭受损失的媒体报道屡见不鲜,网站安
7、全形势日益严峻。而网站被攻击后造成的巨大损失,也已经成为网站所有者和访问者不能承受之痛。1.2.1经济损失虽然没有一个确切的统计数字说明网站被攻击造成的经济损失有多大,但仅从媒体报道的事件中我们就能体会到,这个经济损失不但不小,并且对某些网站所有者来说,来说可能是致命的。尤其对与银行,证券以及游戏类网站,攻击成功后黑客可修改敏感数据,实施网页挂马,也可窃取用户的帐户信息,直接划转资金或者虚拟游戏币,不仅给用户带来直接的经济损失,而且会降低用户使用网站服务的信心,这对金融类企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。1.2.2名誉损失网站代表着企业、政府机构等组织在互联网用户中的形象
8、,试想一下,如果有一天,当你通过搜索引擎打开网站被提示有恶意代码,或者打开网站就看到防病毒程序报警,首页被篡改,甚至于留有一些侮辱性文字和图片,你会对这个网站的所有者产生什么样的质疑?组织的声誉将因此会受到多大影响?从不断翻新的媒体报道中,我们可以看到这种事件的主角不乏知名企业,甚至是知名的信息安全企业。以下是被媒体披露的一小部分:2006年,河南省政府网主页遭篡改;2006年,数字安徽网、中国银联、必胜客&肯德基网页挂马;2007年,成都市档案局网站主页篡改;2007年3月,东方卫士网站网页挂马;2007年8月,海尔官方网站网页挂马;2007年12月,千千静听官方网站网页挂马;2008年4月
9、,酷狗网网页挂马;2008年5月,中国红十字基金会首页被篡改2008年9月,味多美网站被挂马;这样的媒体报道举不胜举,但这并非全部,而只是冰山一角,仍有很多组织的网站正遭受着攻击,造成持续的名誉损失而浑然不觉。1.2.3政治风险尤其对于政府机构的网站,一旦被、等反动势力入侵并利用网站散播反动言论,不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后果十分严重。2008年4月,红心中国活动的发起网站“我赛网”,不断遭受来自欧洲黑客的攻击。攻击的高峰出现在4月20日凌晨,均一秒钟就会有两个黑客在攻击网站。网站的网页一度被篡改,出现旗帜和大量反动语言,造成了非常严重的政治影响,最后工
10、作人员不得不将服务器长时间关闭。2008年5月,正当全国人们都在齐心协力抗震救灾时,有多个地方的地震局网站遭到入侵,攻击者发布虚假的地震消息,致使很多关注地震信息的人获知虚假信息并迅速传播,产生了极大社会恐慌,数十万人露宿街头,有家不敢回,这对已经深受震灾打击的人们来说无疑是雪上加霜。2网站安全现状由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须清晰认识得关键问题。接下来,我们就从客观的威胁环境以及主观的应对情况来分析一下目前网站安全的现状。2.1安全威胁分析从客观方面看,如今网站所处的威胁
11、环境已日益恶化,各种攻击事件层出不穷,在这些事件的背后,我们还要分析一下黑客为什么要攻击网站?他们主要已用什么方式攻击网站?这对我们采取针对性的安全措施是非常有帮助的。2.1.1网站攻击越来越密集根据CNCERT/CC2007年网络安全工作报告,2007年中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍,均每天168个。而最新的数据显示,截止2008年7月底,我国大陆地区被篡改网站的数量已经达到40664个,同比增长20%,均每天更是达到188个。而且,以上统计数据只限网页或数据被篡改,其他数据窃取,未报案等事件尚不包含在其中。2.1.2黑客为什么攻击网站攻击越来越容易,成
12、本越来越低在Internet上,自动化技术使得网站攻击轻而易举就能成功,计算能力和网络带宽一天比一天廉价,可供攻击的目标主机在呈指数增长,这意味这几乎所有攻击付出的代价很少,因此不论其成功率有多低,对黑客来说都值得一试。攻击的主要目的是获利黑客攻击网站的目的无外乎两种,一是为名,一是为利。只不过在市场经济时代,大多数黑客攻击网站的目的都是后者,获取利益。而要进行攻击并获得利益,自然是要中招的人越多越好,再就是每个中招的人带来的利益越大越好。因此,黑客在选取攻击网站时会考虑两个方面,一是网站的访问量,要选取访问量相对较大的网站;二是网站利益类型,选取特定类型的网站如电子商务、网络游戏、金融类网站
13、等,这样获取的利益也会更大。2.1.3黑客如何攻击网站Web应用层攻击是主流由于针对网站的网络访问控制措施被广泛采用,且一般只开放HTTP等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越块,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对网站成功的攻击中,超过7成都是基于Web应用层,而非网络层。前不久OWASP(OpenWebApplicationSecurityProject)机构发布了“2007年十大Web安
14、全漏洞”,XSS和SQL注入漏洞排名前两位,是目前存在最为普遍,利用最为广泛,造成危害最为严重的两类Web漏洞。黑客获利的两种主要方式黑客通过Web应用程序安全漏洞攻击网站,一般会采取两种手段来达到博名、获利的目的:1、篡改网站数据通过SQL注入等漏洞获得网站权限后,可以进行网页挂马,网页篡改,修改数据等活动。例如,黑客可以通过网页挂马,利用被攻击的网站作为后续攻击的工具,致使更多人受害;也可以通过网页篡改,丑化网站所有者的声誉甚至造成政治影响;还也可以通过修改网站敏感数据,直接达到获取利益的目的。2、窃取用户信息利用网站漏洞,构造特殊网页或链接引诱网站管理员,普通用户点击,以达到窃取用户数据的目的。例如游戏、网银、论坛等账号的窃取,大多是利用了网站的XSS漏洞实现的。总之,随着攻击技术的不断进步,越来越多的攻击者利用更容易被利用的、普遍存在的Web漏洞对网站进行攻击并频频得手,目前网站的生存环境已经日益恶化。部分网站的所有者已经遭受到攻击,并从攻击造成的损失中深刻认识到网站安全问题的紧迫性。但大多数网站的所有者仍然处在已经被攻击而浑然不觉,或者即将被攻击而无应对的
