智恒聯(lián)盟WEB安全技術(shù)白皮書(shū)

2013-10-22 10:40:48 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

前言；Web安全介紹的技術(shù)文章在互聯(lián)網(wǎng)上可以搜羅出很多有用的文章，國(guó)內(nèi)大多信息安全公司也大呼全民進(jìn)入了應(yīng)用安全時(shí)代，似乎只有應(yīng)用安全才是信息時(shí)代未來(lái)的關(guān)鍵。深究一下，到底應(yīng)用安全指什么，最終用戶(hù)到

前言；Web安全介紹的技術(shù)文章在互聯(lián)網(wǎng)上可以搜羅出很多有用的文章，國(guó)內(nèi)大多信息安全公司也大呼“全民進(jìn)入了應(yīng)用安全時(shí)代”，似乎只有應(yīng)用安全才是信息時(shí)代未來(lái)的關(guān)鍵。深究一下，到底應(yīng)用安全指什么，最終用戶(hù)到底需要什么樣的Web應(yīng)用安全，筆者從事信息安全十余載，站在一個(gè)客觀角度來(lái)給每個(gè)用戶(hù)“把把脈”。

　　下一代移動(dòng)互聯(lián)，物聯(lián)網(wǎng)，三網(wǎng)融合，云計(jì)算，幾乎每個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)都有應(yīng)用有著密不可分的聯(lián)系，傳統(tǒng)的網(wǎng)站系統(tǒng)、郵件系統(tǒng)、微博、電子商務(wù)、電子政務(wù)應(yīng)用更離不開(kāi)應(yīng)用安全，應(yīng)用安全幾乎滲透了每個(gè)角落，在“網(wǎng)絡(luò)安全”、“信息安全”進(jìn)入高速發(fā)展階段，應(yīng)用安全領(lǐng)域正異軍突起，成為信息安全中最具活力的生力軍。然而應(yīng)用安全又涉及到應(yīng)用系統(tǒng)的多個(gè)方面，復(fù)雜性程度高，稍不留意，要么影響應(yīng)用系統(tǒng)性能，要么留有安全隱患。什么樣的安全解決方案符合客戶(hù)自身需要，把風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，又能夠不影響性能，資金投入控制適中，不至于浪費(fèi)。

　　我們把用戶(hù)的應(yīng)用歸為幾類(lèi)，并分別結(jié)合國(guó)家公安部等級(jí)保護(hù)進(jìn)行方案設(shè)計(jì)，下面先把涉及到的幾類(lèi)安全產(chǎn)品功能進(jìn)行簡(jiǎn)單描述，我們以智恒聯(lián)盟公司產(chǎn)品為例。

　　WebGuard網(wǎng)頁(yè)防篡改產(chǎn)品，分為靜態(tài)防護(hù)和動(dòng)態(tài)防護(hù)。靜態(tài)防護(hù)為基本模塊，主要是對(duì)網(wǎng)站操作系統(tǒng)漏洞風(fēng)險(xiǎn)或網(wǎng)站發(fā)布系統(tǒng)漏洞對(duì)網(wǎng)站中相關(guān)文件造成威脅而進(jìn)行的保護(hù)措施，保護(hù)對(duì)象如網(wǎng)站框架文件、圖片、視頻等，可以做到即使網(wǎng)站遭受到惡意攻擊，也可以確保網(wǎng)站主體文件不受篡改。動(dòng)態(tài)防護(hù)模塊主要針對(duì)網(wǎng)站的數(shù)據(jù)庫(kù)操作進(jìn)行防護(hù)，目前大多網(wǎng)站均涉及到復(fù)雜的數(shù)據(jù)庫(kù)應(yīng)用，里面涉及到用戶(hù)重要數(shù)據(jù)，這類(lèi)篡改事件也時(shí)有發(fā)生，如某政府國(guó)家級(jí)資質(zhì)認(rèn)證查詢(xún)數(shù)據(jù)庫(kù)常遭受攻擊篡改，這和目前猖獗的證書(shū)造假黑色產(chǎn)業(yè)鏈聯(lián)系緊密，制作了個(gè)假證書(shū)確在官網(wǎng)上能查詢(xún)到，自然售價(jià)和可信度高，這類(lèi)犯法事件時(shí)有發(fā)生，還衍生到教育領(lǐng)域?qū)W校招生等，干擾正常秩序。此外，還有盜取網(wǎng)站用戶(hù)信息進(jìn)行惡意傳播兜售，均涉及到數(shù)據(jù)庫(kù)安全，動(dòng)態(tài)防護(hù)模塊對(duì)此類(lèi)攻擊進(jìn)行有效保護(hù)。

　　WAF（Web Application Firewall，網(wǎng)站應(yīng)用防火墻）這個(gè)系統(tǒng)是網(wǎng)站防護(hù)的硬件解決方案，串聯(lián)在網(wǎng)站的出口，對(duì)來(lái)自互聯(lián)網(wǎng)80端口的惡意訪問(wèn)攻擊進(jìn)行防護(hù)，常見(jiàn)攻擊有注入、跨站、DDos等。智恒聯(lián)盟WAF系統(tǒng)還涉及到了事前評(píng)估技術(shù)，對(duì)網(wǎng)站進(jìn)行掃描，事先發(fā)現(xiàn)風(fēng)險(xiǎn)進(jìn)行修復(fù)，可以防止90%以上的已知漏洞攻擊。這個(gè)系統(tǒng)可以和防篡改系統(tǒng)部分功能替代，如可以替代防篡改的動(dòng)態(tài)模塊，但DDos攻擊等動(dòng)態(tài)防護(hù)模塊是無(wú)法替代的。硬件解決方案在大多情況下有一定的優(yōu)勢(shì)，但也存在不足，不能對(duì)文件進(jìn)行保護(hù)，硬件的性能成為該類(lèi)解決方案的瓶頸。如用戶(hù)網(wǎng)站服務(wù)器配置很高，性能很好，而WAF系統(tǒng)配置相對(duì)不高，所以選擇時(shí)要注意考慮WAF的性能指標(biāo)，而不要一味追求低價(jià)而影響到網(wǎng)站性能。

　　下圖反應(yīng)了攻擊過(guò)程所造成的影響進(jìn)行了詳細(xì)拆解，幫助用戶(hù)進(jìn)行準(zhǔn)確的判斷分析。

　　

　　目前國(guó)內(nèi)網(wǎng)站主要涉及到幾個(gè)領(lǐng)域：電信運(yùn)營(yíng)商、政府、金融、證券、電子商務(wù)、教育、企事業(yè)單位。按照等級(jí)保護(hù)防護(hù)要求，除個(gè)別網(wǎng)站系統(tǒng)三級(jí)之外，大多屬于二級(jí)或一級(jí)。按照網(wǎng)站安全事件大多以下幾類(lèi)。

　1、網(wǎng)站上出現(xiàn)惡意的非法信息；

　　i. 各類(lèi)疆獨(dú)、藏獨(dú)、法輪功等反動(dòng)言論；

　　ii. 色情、暴力、賭博等信息；

　　iii. 政府政策虛假信息、金融非法言論、謠言等；

　　2、網(wǎng)站遭受大量掛馬攻擊（通過(guò)網(wǎng)站掛馬傳播木馬已經(jīng)占到木馬傳播總量的 90%以上，黑客產(chǎn)業(yè)鏈發(fā)達(dá)，大多受經(jīng)濟(jì)利益驅(qū)動(dòng)。）；

　　i. 反動(dòng)組織的間諜軟件；

　　ii. 各類(lèi)帳號(hào)信息盜取類(lèi)；

　　iii. 文件盜取類(lèi)；

　　iv. 惡意破壞類(lèi)；

　　v. 掛馬隱蔽性較強(qiáng)且長(zhǎng)期潛伏，使得木馬變種傳播更為猖獗；

　　3、網(wǎng)站的漏洞百出，遭受惡意篡改；

　　i. 頁(yè)面完全篡改；

　　ii. 部分內(nèi)容篡改；

　　iii. 數(shù)據(jù)庫(kù)內(nèi)容惡意刪除或破壞；

　　大多用戶(hù)遭受攻擊所造成的影響是信譽(yù)受損、政治風(fēng)險(xiǎn)、經(jīng)濟(jì)利益受損。綜上所述，我們進(jìn)行量身解決方案定制。

　　

　　以上主要涉及到外部安全攻擊防護(hù)，對(duì)于具有大量?jī)?nèi)部服務(wù)器，除了web服務(wù)器，還涉及到數(shù)據(jù)庫(kù)服務(wù)器、生產(chǎn)服務(wù)器、各類(lèi)OA、文件服務(wù)器，如何實(shí)現(xiàn)規(guī)范化管理，杜絕內(nèi)部安全隱患，需要進(jìn)行安全運(yùn)維審計(jì)系統(tǒng)的部署，結(jié)合電信行業(yè)4A標(biāo)準(zhǔn)以及國(guó)際金融法案進(jìn)行必要的安全防護(hù)，這類(lèi)解決方案主要根據(jù)服務(wù)器數(shù)量及應(yīng)用規(guī)模，外部運(yùn)維團(tuán)隊(duì)規(guī)模等進(jìn)行相應(yīng)解決方案選擇。智恒聯(lián)盟安全運(yùn)維審計(jì)系統(tǒng)綜合了國(guó)內(nèi)最先進(jìn)的防護(hù)理念，實(shí)現(xiàn)了精細(xì)化管理、規(guī)范化管理、流程化管理等多個(gè)角度，清晰人性化的操作界面得到國(guó)內(nèi)廣泛應(yīng)用。

　　結(jié)束語(yǔ)：應(yīng)用安全涉及到外部和內(nèi)部，外部涉及到多種類(lèi)型以及根據(jù)風(fēng)險(xiǎn)、網(wǎng)站規(guī)模等進(jìn)行方案的確認(rèn)，具體某個(gè)用戶(hù)可以咨詢(xún)相關(guān)安全專(zhuān)業(yè)人士進(jìn)行方案設(shè)計(jì)。隨著國(guó)內(nèi)外安全技術(shù)的發(fā)展，黑客技術(shù)的發(fā)展，互聯(lián)網(wǎng)應(yīng)用的發(fā)展，應(yīng)用安全任重而道遠(yuǎn)，需要研究的課題還很多。北京智恒聯(lián)盟科技有限公司作為國(guó)內(nèi)應(yīng)用安全領(lǐng)軍企業(yè)率先提出此《WEB安全技術(shù)白皮書(shū)》，希望能為更多用戶(hù)清晰理性的選擇適合自身解決方案提供幫助。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊