《网站安全建设规划方案探讨》由会员分享,可在线阅读,更多相关《网站安全建设规划方案探讨(2页珍藏版)》请在金锄头文库上搜索。
1、网站安全建设规划方案探讨 汪庚 洋 ( 吉林市住房公积金管理中心 ,吉林 吉林 1 3 2 0 1 1 ) 1为何关注网站安全 We b应用的发展 ,使网站发挥着越来越重要的作用。 与此同时,越来越多的网站也因安全隐患而频繁遭到各种 攻击,导致网站敏感数据丢失、网页被篡改,甚至成为传 播木马的傀儡,最终令更多访问者中招 ,给访问者带来严 重 损失 。 1 1 网站的作用 日益 凸显 如今 ,人们的生活已经跟网站密切相关,获取知识、 浏览新闻、游戏娱乐 、在线购物甚至网上炒股 ( 基金、期 货 )等,网络 生活 已成 为人 们现 实生 活 的一部 分。据 CNNI C统计,截至 2 0 0 8年
2、 6月底,中国网民数量达到 2 5 3亿 ,中国网站数量也已达 l 9 1 9万个 ,年增长率为 4 6 3 ,并继续保持快速增长的势头。现在平均每 1 3 2个 网民,就拥有一个互联网网站。 网站正在对越来越多的人产生影 响,作为个人 ,我们 正享受着越来越多网站带来的生活便利 ,作为组织 ,我们 也在不失时机地利用网站拓展着自己的业务。因此,不管 对于个人,还是对组织,网站都已经非常重要。 1 2攻击给网站带来巨大损失 那些别有用心的攻击者,正是看中了网站的价值 ,为 了博 名获 利 ,无时 无刻 不在 对 网站进 行 着攻 击。随着 W e b应用技术 的深入普及 ,网站攻击的技术 门槛
3、在不断 降低,当攻击跟金钱 、名誉甚至政治阴谋联系在一起的时 候 ,我们的网站很可能已经处于多个攻击者的视线之内。 正因为如此,网页挂马、数据篡改等网站安全事件层出不 穷,网站被攻击而遭受损失的媒体报道屡见不鲜,网站安 全形势 日益严峻。而网站被攻击后造成的巨大损失 ,也 已 经成为网站所有者和访问者不能承受之痛 。 ( 1 ) 经济损失 虽然没有一个确切的统计数字说明网站被攻击造成的 经济损失有多大,但仅从媒体报道的事件中我们就能体会 到 ,这个经济损失不但不小 ,并且对某些网站所有者来说 可能是致命的。尤其对与银行、证券以及游戏类网站 ,攻 击成功后,黑客可修改敏感数据 ,实施网页挂马 ,
4、也可窃 取用户的账户信息,直接划转资金或者虚拟游戏币,不仅 给用户带来直接的经济损失,而且会降低用户使用网站服 务的信心 ,这对金融企业无疑是巨大打击,有可能造成客 户流失,形成直接或 间接的经济损失。 ( 2 ) 名誉损失 网站代表着企业 、政府机构等组织在互联网用户中的 形象,试想一下 ,如果有一天,当你通过搜索引擎打开网 站被提示有恶意代码 ,或者打开网站就看到防病毒程序报 警 ,首页被篡改 ,甚至于留有一些侮辱性文字和图片,你 会对这个网站的所有者产生什么样的质疑?组织的声誉将 因此会受到多大影响?从不断翻新的媒体报道中,我们可 以看到这种事件的主角不乏知名企业,甚至是知名的信息 安全
5、企业。以下是被媒体披露的一小部分 : 2 0 0 7年,成都市档案局网站主页篡改; 2 0 0 7年 3月,东方卫士网站网页挂马 ; 2 0 0 7年 8月,海尔官方网站网页挂马; 2 0 0 7年 l 2月 ,千千静听官方网站网页挂马; 2 0 0 8年 4月,酷狗网网页挂马; 2 0 0 8年 5月 ,中国红十字基金会首页被篡改 2 0 0 8年 9月,味多美网站被挂马; 以上并非全部 ,只是冰山一角,仍有很 多组织的网站 正遭受着攻击 ,造成持续的名誉损失而浑然不觉。 ( 3 ) 政治风险 尤其对于政府机构的网站 ,一旦被敌对势力或反动势 力入侵并利用网站故播反动言论,不仅会严重影响政府
6、形 象,而且会带来极大的政治风险,产生社会动荡 ,后果十 分严重。 2网站安全现状分析 由于网站的价值 日益凸显,网站安全 问题也逐渐得到 组织和个人的关注。然而,面对不断变化的网站安全威胁, 当前的安全措施是否能够很好地应对 ,这是关注网站安全 需要认识清楚的关键问题。接下来,我们就从客观的威胁 环境以及主观的应对情况来分析一下 目前网站安全的现状。 就客观环境而言,网站所处的威胁环境已经 日益恶化 ,就 主观方面来讲 ,造成 目前攻击事件不断发生的局面,深层 次的原因到底是什么?针对这些问 匦, 我们要怎么应对呢? l l = I l L l l J -一 , V 广C3l -, 匕一 丌
7、 丌r c L一 网站安全形势堪忧 ,究其原因,主要是因为存在以下 几个方 面的 问题 : 2 。 1大多数网站设计,只关注正常应用,未关注代码安全 一个网站设计者更多的是考虑满足用户应用,如何实 现业务。很少考虑网站应用开发过程中所存在的漏洞,达 些漏洞在不关注安全代码设计的人员眼里几乎不可见,大 多数网站设计开发者、网站维护人员对网站攻防技术的了 解甚少,并末引起足够重视。 2 2黑客入侵后 ,未及时发现 有些黑客通过篡改网页来传播一些非法信息或炫耀自 己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用 获得了网站控制权限。可怕的是,通常黑客在获取网站的 控制权限之后,并不暴露 自己,而是
8、持续利用所控制网站 产生直接利益。如网页挂马就是 一 种利用网站给访问者种 植木马,非常隐蔽且直接获取利益的主要方式之一 一 。 2 3网站防御措施滞后,甚至没有真正的防御 大多数 防御传统访 问控制,入侵防御设备,保护网 站抵御黑客攻击的效果不佳。比如对应用层的 $ QL注入 、 XS S攻击这些基于应用层构建的攻击 ,防火墙束手无策 , 甚至是基于特征匹配技术的入侵防御产品,也由于这类攻 击特征不具有惟一性,不能精确阻断攻击。因此 ,导致目 前有很多黑客将 SQL注入 、XS S攻击作为入侵网站的首 选攻击技术。 2 4发现安全问题不能彻底解 决 网站技术发展较快 、安全问题 日益突出,但
9、由于关注 莺点不同,绝大多数的网站开发与设计公司,网站安全代 码设计方面了解甚少,发现网站安全存在问题和漏洞 ,其 修补方式只能停留在页面修复 ,很难针对网站具体的漏洞 原理对 源代码 进行 改造 。 3网站安全规划方案探讨 亡羊补牢,为时未晚。事实表明,针对新形势下网站 安全问题的考虑,需要变被动应对为主动关注,实施积极 防御,这就需要以一 个全面的视角看待网站安全问题 ,并 依靠各个方面的相互配合 ,对网站安全做到心中有数,防 护有方。具体的思路如下: ( 1 ) 建立主动的安全检测机制 面对 We b应用的威胁,首先要建立一个主动的网站 安全检查机制 ,确保网站安全情况的及时获知是否已
10、经遭到攻击,是否存还在被攻击的风险。 ( 2 ) 进行有效的入侵防护 一 面对 We b应用的攻击,需要部署针对网站的入侵防 护产品,加强网站防入侵能力,能够对网站主流的应用层 攻击 ( 如 S QL注入和 XS S攻击)进行防护。 ( 3 ) 针对网站安全问题,建直及时响应机制 面对 We b应用程序漏洞和已经造成的危害,需要确 立专业支持团队的外援保障 ,解决及时响应问题,在网站 安全问题被验证后,能确保对网站进行木马清除以及针对 We b漏洞的安全代码审核修补等工作。 网站安全规划模型如图 l 所示。 0 0 S0, - 、V 网站安 全规 划模型 4规划效果总体分析 网站的价值在 日益
11、提升,其安全问题也变得愈加重要。 作为网站所有者,组织虽然采取了一些传统的安全措施, 但应对新的 We b应用层威胁却显得力不从心,主要表现 在:缺乏 We b应用安全的主动检查机制,简陋的防护不 足以应对 We b应用层攻击,以及未能采取及时有效的修 复措施。这些问题使得组织仍持续遭受网站攻击事件的困 扰 。 本文以多视角审视 了目前普遍存在的网站安全问题, 并在此基础上提出建立一个有检测、防护、响应三个环节 相互促进的网站安全的保障机制: ( 1 ) 在检测环节,通过 定期 的人 _ r检查、 : 具扫描, 组织可及时掌握网站的安全状况; ( 2 ) 在防护环节 ,通过部署 W e b应用安全防护产品可 精确检测和防御主要的 We b应用 攻击,解决 We b安全 漏洞修复期间的攻击防护问题 ,并应对针对新的 We b安 全漏洞的攻击; ( 3 ) 在响应环节 ,通过部署网页防篡改系统实现网页 被篡改后的实时恢复 ,降低名誉损失,建立或雇佣具有专 业 We b安全代码审查和修复技术的团队,能够根据检测 阶段检查的结果 ,对发现的 We b安全问题及时实施修复, 降低网站被攻击的风险。 通过三个环节不断地循环促进 ,有效应对 W e b应用 变化带来的新安全威胁,保障网站的持续正常运营。 _ I - H 3u山 山 _ l _ 3 0u
