淺談網(wǎng)站安全現(xiàn)狀及防護(hù)措施

淺談網(wǎng)站安全現(xiàn)狀及防護(hù)措施摘要】：隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，有關(guān)網(wǎng)絡(luò)安全的話題越來(lái)越受社會(huì)的關(guān)注。網(wǎng)站作為企業(yè)面向互聯(lián)網(wǎng)用戶提供各類業(yè)務(wù)信息及企業(yè)宣傳的窗口，已經(jīng)成為企業(yè)信息系統(tǒng)建設(shè)的重要組成部分，如果網(wǎng)站遭到黑客攻擊，發(fā)布的重要信息被篡改，會(huì)嚴(yán)重影響企業(yè)的業(yè)務(wù)開展和企業(yè)形象，造成極壞的社會(huì)影響及聲譽(yù)影響。因此，如何使企業(yè)網(wǎng)站不受黑客和病毒的入侵，如何保障企業(yè)網(wǎng)站核心數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃?，成為企業(yè)信息系統(tǒng)建設(shè)中所必須考慮的重要事情之一。

【關(guān)鍵詞】：網(wǎng)站

安全現(xiàn)狀

防護(hù)措施

一、現(xiàn)行網(wǎng)站安全現(xiàn)狀：

1、?DDoS規(guī)?；?/p>

DDoS（DistributedDenialofService）分布式拒絕服務(wù)是最常見的網(wǎng)絡(luò)攻擊之一。攻擊者控制大量主機(jī)對(duì)互聯(lián)網(wǎng)上的目標(biāo)進(jìn)行攻擊，占用服務(wù)器資源，導(dǎo)致業(yè)務(wù)中斷，造成客戶直接經(jīng)濟(jì)損失同時(shí)也對(duì)企業(yè)的聲譽(yù)造成不同程度的影響。電子商務(wù)、游戲和政務(wù)等網(wǎng)站，經(jīng)常遭受大規(guī)模的拒絕服務(wù)攻擊，靠單點(diǎn)自身部署的安全防護(hù)設(shè)備和自身資源無(wú)法解決問題。

2、現(xiàn)有?WEB?安WEB?應(yīng)用防火防護(hù)設(shè)備更新不及時(shí)

全防護(hù)主要是前端部署墻，其識(shí)別和防御攻擊的效果主要依賴于現(xiàn)有的規(guī)則庫(kù)，隨著攻擊手段的不斷提高，需要在運(yùn)行過(guò)程中實(shí)施升級(jí)和調(diào)整規(guī)則庫(kù)，現(xiàn)有?WAF?防火墻大部分是信息孤島，無(wú)法實(shí)時(shí)根據(jù)攻擊特點(diǎn)全網(wǎng)同步安全規(guī)則，隨著時(shí)間推移，防御效果會(huì)明顯下降。

3、安全攻擊上升至應(yīng)用層

據(jù)有關(guān)調(diào)查顯示，目前成功的攻擊案例中有?75%發(fā)生在應(yīng)用層。這些攻擊這么有效的原因是黑客們成功繞過(guò)了過(guò)去10年安全人員實(shí)施的所有以網(wǎng)絡(luò)為中心的控制措施，如防火墻、IDS、?IPS。傳統(tǒng)防火墻工作在OSI模型的三、四層，不能理解?HTTP?協(xié)議所承載的數(shù)據(jù)，也無(wú)從判斷對(duì)Web應(yīng)用服務(wù)器的訪問行為是否合法，防火墻完全向外部網(wǎng)絡(luò)開放HTTP?應(yīng)用端口。市面上大部分?DDoS防火墻對(duì)應(yīng)用層?DDoS?的防御效果很不理想。以?Web應(yīng)用攻擊為例，傳統(tǒng)防火墻為了保護(hù)?Web?服務(wù)器所包含的規(guī)則是通過(guò)阻止所有非預(yù)期數(shù)據(jù)流，僅允許流量通過(guò)80和443端口。不幸的是，防火墻不能區(qū)分出?80?端口中的哪些數(shù)據(jù)流是預(yù)期數(shù)據(jù)流，哪些是非預(yù)期的。IDS/IPS?入侵檢測(cè)系統(tǒng)作為防火墻的有力補(bǔ)充，加強(qiáng)了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測(cè)使用消極防御模型，基于已知漏洞和攻擊行為形成特征進(jìn)行比對(duì)從而實(shí)現(xiàn)的防護(hù)，需要預(yù)先構(gòu)造攻擊特征庫(kù)來(lái)匹配網(wǎng)絡(luò)數(shù)據(jù)，對(duì)于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測(cè)系統(tǒng)不能檢測(cè)和防御。對(duì)于應(yīng)用攻擊，入侵防御系統(tǒng)可以有效的防御部分攻擊，但不是全部。

4、后知后覺的網(wǎng)頁(yè)防篡改

基于服務(wù)器端的網(wǎng)頁(yè)防篡改應(yīng)用程序?qū)粜袨椴⒉贿M(jìn)行分析和識(shí)別，屬于事后緩解攻擊危害的產(chǎn)品，不會(huì)阻止攻擊的發(fā)生。

二、網(wǎng)站安全威脅的防護(hù)措施

針對(duì)企業(yè)網(wǎng)站安全威脅的攻擊特征，基于企業(yè)對(duì)網(wǎng)站安全防護(hù)的保障需要，網(wǎng)站安全防護(hù)措施應(yīng)按照信息安全管理的事前、事中及事后全過(guò)程，閉環(huán)一體化的管理思想，將網(wǎng)站安全防護(hù)措施分為三個(gè)階段，分別是事前分析預(yù)防階段、事中監(jiān)測(cè)防護(hù)階段，以及事后優(yōu)化改善階段。

1.事前分析預(yù)防階段

這個(gè)階段主要是針對(duì)待上線的網(wǎng)站W(wǎng)eb應(yīng)用，進(jìn)行全面的安全評(píng)估，參照OWASPTOP10對(duì)網(wǎng)站W(wǎng)eb應(yīng)用進(jìn)行全面檢測(cè)，可以使企業(yè)管理人員充分了解Web應(yīng)用存在的安全隱患，建立安全可靠的Web應(yīng)用服務(wù)，改善并提升網(wǎng)站應(yīng)用對(duì)抗各類Web應(yīng)用攻擊的能力。安全評(píng)估的內(nèi)容主要包括漏洞掃描、配置核查、滲透測(cè)試、源代碼審計(jì)等。

安全漏洞掃描：網(wǎng)站風(fēng)險(xiǎn)漏洞是Web應(yīng)用被攻擊的根源。通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程對(duì)網(wǎng)站進(jìn)行漏洞掃描，即可獲得網(wǎng)站漏洞態(tài)勢(shì)，對(duì)漏洞進(jìn)行生命周期管理，以便后續(xù)做好漏洞閉環(huán)整改和處置工作。安全配置核查：安全配置檢查是對(duì)承載網(wǎng)站的服務(wù)器操作系統(tǒng)、應(yīng)用的脆弱性和安全配置錯(cuò)誤等方面進(jìn)行安全檢查的有效手段。主機(jī)安全檢查包括主機(jī)操作系統(tǒng)和常見應(yīng)用服務(wù)兩大部分的檢查。評(píng)估操作系統(tǒng)、應(yīng)用軟件的安全配置錯(cuò)誤等并不能通過(guò)安全掃描工具全面發(fā)現(xiàn)，因此有必要在評(píng)估工具掃描范圍之外進(jìn)行安全配置的檢查。滲透測(cè)試：滲透測(cè)試是在獲得用戶授權(quán)后，通過(guò)模擬黑客使用的工具、攻擊思路對(duì)網(wǎng)站進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。這種測(cè)試方法可以非常有效的發(fā)現(xiàn)安全漏洞，尤其是與全面的代碼審計(jì)相比，其使用的時(shí)間更短，也更有效率。源代碼審計(jì)：源代碼審計(jì)是對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查，目的在于充分挖掘當(dāng)前代碼中存在的安全缺陷以及規(guī)范性缺陷，從而讓開發(fā)人員了解其開發(fā)的應(yīng)用系統(tǒng)可能會(huì)面臨的威脅，并指導(dǎo)開發(fā)人員正確修復(fù)程序缺陷。

2.事中監(jiān)測(cè)防護(hù)階段

這個(gè)階段主要是采取有效的安全防護(hù)措施，針對(duì)網(wǎng)站的各類攻擊行為及異常訪問行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)和防護(hù)，對(duì)于發(fā)現(xiàn)攻擊實(shí)時(shí)阻斷，并通過(guò)告警通知企業(yè)安全管理員，以便于快速處理安全事件。這一階段的防護(hù)措施可以分為網(wǎng)絡(luò)層安全防護(hù)和應(yīng)用層安全防護(hù)兩個(gè)部分。

（1）網(wǎng)絡(luò)層安全防護(hù)：網(wǎng)絡(luò)層安全防護(hù)主要是針對(duì)網(wǎng)站系統(tǒng)的DDoS攻擊行為進(jìn)行防護(hù)，利用部署在企業(yè)互聯(lián)網(wǎng)出口的抗DDoS攻擊設(shè)備，實(shí)現(xiàn)針對(duì)網(wǎng)站系統(tǒng)的DDoS攻擊的實(shí)時(shí)檢測(cè)、響應(yīng)和阻斷機(jī)制?？笵DoS攻擊系統(tǒng)采用基于行為模式的異常檢測(cè)，從背景流量中識(shí)別攻擊流量；提供針對(duì)海量DDoS攻擊的防護(hù)能力；系統(tǒng)能夠?qū)YNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別，并通過(guò)集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷，從而有效保護(hù)網(wǎng)站系統(tǒng)的應(yīng)用服務(wù)器。

（2）應(yīng)用層安全防護(hù)：針對(duì)的應(yīng)用層安全防護(hù)，主要依賴Web應(yīng)用防火墻、網(wǎng)頁(yè)防篡改，以及7*24小時(shí)的網(wǎng)站安全監(jiān)測(cè)等措施來(lái)完成。

Web應(yīng)用防火墻：Web應(yīng)用防火墻是應(yīng)對(duì)網(wǎng)站不安全因素的重要防護(hù)措施，其實(shí)現(xiàn)針對(duì)網(wǎng)站系統(tǒng)HTTP和HTTPS應(yīng)用下各類安全威脅的有效檢測(cè)和阻斷，通過(guò)Web應(yīng)用防火墻上的策略配置實(shí)現(xiàn)網(wǎng)站系統(tǒng)的應(yīng)用防護(hù)。Web應(yīng)用防火墻需要對(duì)用戶提交Web服務(wù)器端以及Web服務(wù)器端向用戶返回的雙方向數(shù)據(jù)進(jìn)行檢查。對(duì)于用戶提交服務(wù)器端的數(shù)據(jù)，Web應(yīng)用防火墻可以實(shí)時(shí)發(fā)現(xiàn)用戶提交數(shù)據(jù)中的惡意腳本和問題代碼/命令，可以進(jìn)行必要的內(nèi)容過(guò)濾，充分保證了用戶側(cè)的安全，同時(shí)避免了服務(wù)器端重要信息的泄露。網(wǎng)頁(yè)防篡改防護(hù)：網(wǎng)頁(yè)防篡改系統(tǒng)提供了針對(duì)網(wǎng)站W(wǎng)eb應(yīng)用的事中防護(hù)以及事后補(bǔ)償?shù)木W(wǎng)頁(yè)篡改防護(hù)綜合解決方案。事中，對(duì)各種網(wǎng)頁(yè)文件屬性進(jìn)行保護(hù)，防止網(wǎng)頁(yè)篡改攻擊事件的發(fā)生，實(shí)時(shí)阻斷篡改事件；事后，對(duì)網(wǎng)站W(wǎng)eb頁(yè)面提供補(bǔ)償機(jī)制，確保WEB網(wǎng)站不響應(yīng)被篡改內(nèi)容并實(shí)現(xiàn)文件自動(dòng)恢復(fù)。7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)：通過(guò)7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)做到實(shí)時(shí)發(fā)現(xiàn)網(wǎng)站掛馬、篡改、黑鏈、敏感內(nèi)容、頁(yè)面異常變更等多方面Web頁(yè)面的安全問題。在發(fā)現(xiàn)安全事件后還可以通過(guò)短信、郵件、電話等多種方式第一時(shí)間向企業(yè)安全管理員告警。目前綠盟科技的托管式網(wǎng)站安全監(jiān)測(cè)服務(wù)，可以在無(wú)需安裝任何硬件或軟件的情況下，提供7*24小時(shí)的網(wǎng)站安全監(jiān)測(cè)服務(wù)，可以使企業(yè)整體掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及安全趨勢(shì)。

網(wǎng)站防護(hù)措施應(yīng)該是前面提到的網(wǎng)絡(luò)層防護(hù)和應(yīng)用層防護(hù)措施的有效結(jié)合，從而形成一套完整的事中網(wǎng)站安全防護(hù)解決方案，從不同維度保障企業(yè)網(wǎng)站系統(tǒng)的安全穩(wěn)定運(yùn)行。

3.事后優(yōu)化改善階段

在網(wǎng)站安全防護(hù)的事后階段，通過(guò)安全設(shè)備日志及告警信息，對(duì)攻擊源進(jìn)行定位，分析攻擊路徑，找出引發(fā)攻擊的網(wǎng)站脆弱點(diǎn)，有針對(duì)性的對(duì)網(wǎng)站安全防護(hù)策略進(jìn)行優(yōu)化，改善安全防護(hù)措施，加固企業(yè)網(wǎng)站系統(tǒng)。

最后，針對(duì)網(wǎng)站安全防護(hù)措施的優(yōu)化和完善提供以下建議：①企業(yè)應(yīng)定期對(duì)網(wǎng)站進(jìn)行全面的安全評(píng)估，并且針對(duì)安全評(píng)估結(jié)果對(duì)網(wǎng)站實(shí)施安全加固；②建立和完善可落地的網(wǎng)站安全管理制度，規(guī)范企業(yè)網(wǎng)站的日常運(yùn)維管理和操作。③建立和完善有效的應(yīng)急響應(yīng)預(yù)案和流程，并定期進(jìn)行應(yīng)急演練，做到當(dāng)發(fā)生異常狀況時(shí)能夠及時(shí)有效的進(jìn)行處置和恢復(fù)，避免網(wǎng)站業(yè)務(wù)中斷給企業(yè)帶來(lái)?yè)p失。

④定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)，提高安全技術(shù)能力和實(shí)際操作能力。

三、結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用和飛速發(fā)展，黑客技術(shù)也不斷翻新，網(wǎng)站安全防護(hù)變得越來(lái)越重要，只有采取有效的網(wǎng)站安全防護(hù)措施，才能夠更好的防御黑客的