淺談網(wǎng)站安全現(xiàn)狀及防護措施

淺談網(wǎng)站安全現(xiàn)狀及防護措施摘要】：隨著計算機網(wǎng)絡的普及，有關網(wǎng)絡安全的話題越來越受社會的關注。網(wǎng)站作為企業(yè)面向互聯(lián)網(wǎng)用戶提供各類業(yè)務信息及企業(yè)宣傳的窗口，已經(jīng)成為企業(yè)信息系統(tǒng)建設的重要組成部分，如果網(wǎng)站遭到黑客攻擊，發(fā)布的重要信息被篡改，會嚴重影響企業(yè)的業(yè)務開展和企業(yè)形象，造成極壞的社會影響及聲譽影響。因此，如何使企業(yè)網(wǎng)站不受黑客和病毒的入侵，如何保障企業(yè)網(wǎng)站核心數(shù)據(jù)傳輸?shù)陌踩?、可靠性，成為企業(yè)信息系統(tǒng)建設中所必須考慮的重要事情之一。

【關鍵詞】：網(wǎng)站

安全現(xiàn)狀

防護措施

一、現(xiàn)行網(wǎng)站安全現(xiàn)狀：

1、?DDoS規(guī)?；?/p>

DDoS（DistributedDenialofService）分布式拒絕服務是最常見的網(wǎng)絡攻擊之一。攻擊者控制大量主機對互聯(lián)網(wǎng)上的目標進行攻擊，占用服務器資源，導致業(yè)務中斷，造成客戶直接經(jīng)濟損失同時也對企業(yè)的聲譽造成不同程度的影響。電子商務、游戲和政務等網(wǎng)站，經(jīng)常遭受大規(guī)模的拒絕服務攻擊，靠單點自身部署的安全防護設備和自身資源無法解決問題。

2、現(xiàn)有?WEB?安WEB?應用防火防護設備更新不及時

全防護主要是前端部署墻，其識別和防御攻擊的效果主要依賴于現(xiàn)有的規(guī)則庫，隨著攻擊手段的不斷提高，需要在運行過程中實施升級和調(diào)整規(guī)則庫，現(xiàn)有?WAF?防火墻大部分是信息孤島，無法實時根據(jù)攻擊特點全網(wǎng)同步安全規(guī)則，隨著時間推移，防御效果會明顯下降。

3、安全攻擊上升至應用層

據(jù)有關調(diào)查顯示，目前成功的攻擊案例中有?75%發(fā)生在應用層。這些攻擊這么有效的原因是黑客們成功繞過了過去10年安全人員實施的所有以網(wǎng)絡為中心的控制措施，如防火墻、IDS、?IPS。傳統(tǒng)防火墻工作在OSI模型的三、四層，不能理解?HTTP?協(xié)議所承載的數(shù)據(jù)，也無從判斷對Web應用服務器的訪問行為是否合法，防火墻完全向外部網(wǎng)絡開放HTTP?應用端口。市面上大部分?DDoS防火墻對應用層?DDoS?的防御效果很不理想。以?Web應用攻擊為例，傳統(tǒng)防火墻為了保護?Web?服務器所包含的規(guī)則是通過阻止所有非預期數(shù)據(jù)流，僅允許流量通過80和443端口。不幸的是，防火墻不能區(qū)分出?80?端口中的哪些數(shù)據(jù)流是預期數(shù)據(jù)流，哪些是非預期的。IDS/IPS?入侵檢測系統(tǒng)作為防火墻的有力補充，加強了網(wǎng)絡的安全防御能力。但是，入侵檢測使用消極防御模型，基于已知漏洞和攻擊行為形成特征進行比對從而實現(xiàn)的防護，需要預先構造攻擊特征庫來匹配網(wǎng)絡數(shù)據(jù)，對于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統(tǒng)不能檢測和防御。對于應用攻擊，入侵防御系統(tǒng)可以有效的防御部分攻擊，但不是全部。

4、后知后覺的網(wǎng)頁防篡改

基于服務器端的網(wǎng)頁防篡改應用程序對攻擊行為并不進行分析和識別，屬于事后緩解攻擊危害的產(chǎn)品，不會阻止攻擊的發(fā)生。

二、網(wǎng)站安全威脅的防護措施

針對企業(yè)網(wǎng)站安全威脅的攻擊特征，基于企業(yè)對網(wǎng)站安全防護的保障需要，網(wǎng)站安全防護措施應按照信息安全管理的事前、事中及事后全過程，閉環(huán)一體化的管理思想，將網(wǎng)站安全防護措施分為三個階段，分別是事前分析預防階段、事中監(jiān)測防護階段，以及事后優(yōu)化改善階段。

1.事前分析預防階段

這個階段主要是針對待上線的網(wǎng)站W(wǎng)eb應用，進行全面的安全評估，參照OWASPTOP10對網(wǎng)站W(wǎng)eb應用進行全面檢測，可以使企業(yè)管理人員充分了解Web應用存在的安全隱患，建立安全可靠的Web應用服務，改善并提升網(wǎng)站應用對抗各類Web應用攻擊的能力。安全評估的內(nèi)容主要包括漏洞掃描、配置核查、滲透測試、源代碼審計等。

安全漏洞掃描：網(wǎng)站風險漏洞是Web應用被攻擊的根源。通過互聯(lián)網(wǎng)遠程對網(wǎng)站進行漏洞掃描，即可獲得網(wǎng)站漏洞態(tài)勢，對漏洞進行生命周期管理，以便后續(xù)做好漏洞閉環(huán)整改和處置工作。安全配置核查：安全配置檢查是對承載網(wǎng)站的服務器操作系統(tǒng)、應用的脆弱性和安全配置錯誤等方面進行安全檢查的有效手段。主機安全檢查包括主機操作系統(tǒng)和常見應用服務兩大部分的檢查。評估操作系統(tǒng)、應用軟件的安全配置錯誤等并不能通過安全掃描工具全面發(fā)現(xiàn)，因此有必要在評估工具掃描范圍之外進行安全配置的檢查。滲透測試：滲透測試是在獲得用戶授權后，通過模擬黑客使用的工具、攻擊思路對網(wǎng)站進行實際的漏洞發(fā)現(xiàn)和利用的安全測試方法。這種測試方法可以非常有效的發(fā)現(xiàn)安全漏洞，尤其是與全面的代碼審計相比，其使用的時間更短，也更有效率。源代碼審計：源代碼審計是對系統(tǒng)的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查，目的在于充分挖掘當前代碼中存在的安全缺陷以及規(guī)范性缺陷，從而讓開發(fā)人員了解其開發(fā)的應用系統(tǒng)可能會面臨的威脅，并指導開發(fā)人員正確修復程序缺陷。

2.事中監(jiān)測防護階段

這個階段主要是采取有效的安全防護措施，針對網(wǎng)站的各類攻擊行為及異常訪問行為進行實時的監(jiān)測和防護，對于發(fā)現(xiàn)攻擊實時阻斷，并通過告警通知企業(yè)安全管理員，以便于快速處理安全事件。這一階段的防護措施可以分為網(wǎng)絡層安全防護和應用層安全防護兩個部分。

（1）網(wǎng)絡層安全防護：網(wǎng)絡層安全防護主要是針對網(wǎng)站系統(tǒng)的DDoS攻擊行為進行防護，利用部署在企業(yè)互聯(lián)網(wǎng)出口的抗DDoS攻擊設備，實現(xiàn)針對網(wǎng)站系統(tǒng)的DDoS攻擊的實時檢測、響應和阻斷機制。抗DDoS攻擊系統(tǒng)采用基于行為模式的異常檢測，從背景流量中識別攻擊流量；提供針對海量DDoS攻擊的防護能力；系統(tǒng)能夠對SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識別，并通過集成的機制實時對這些攻擊流量進行阻斷，從而有效保護網(wǎng)站系統(tǒng)的應用服務器。

（2）應用層安全防護：針對的應用層安全防護，主要依賴Web應用防火墻、網(wǎng)頁防篡改，以及7*24小時的網(wǎng)站安全監(jiān)測等措施來完成。

Web應用防火墻：Web應用防火墻是應對網(wǎng)站不安全因素的重要防護措施，其實現(xiàn)針對網(wǎng)站系統(tǒng)HTTP和HTTPS應用下各類安全威脅的有效檢測和阻斷，通過Web應用防火墻上的策略配置實現(xiàn)網(wǎng)站系統(tǒng)的應用防護。Web應用防火墻需要對用戶提交Web服務器端以及Web服務器端向用戶返回的雙方向數(shù)據(jù)進行檢查。對于用戶提交服務器端的數(shù)據(jù)，Web應用防火墻可以實時發(fā)現(xiàn)用戶提交數(shù)據(jù)中的惡意腳本和問題代碼/命令，可以進行必要的內(nèi)容過濾，充分保證了用戶側的安全，同時避免了服務器端重要信息的泄露。網(wǎng)頁防篡改防護：網(wǎng)頁防篡改系統(tǒng)提供了針對網(wǎng)站W(wǎng)eb應用的事中防護以及事后補償?shù)木W(wǎng)頁篡改防護綜合解決方案。事中，對各種網(wǎng)頁文件屬性進行保護，防止網(wǎng)頁篡改攻擊事件的發(fā)生，實時阻斷篡改事件；事后，對網(wǎng)站W(wǎng)eb頁面提供補償機制，確保WEB網(wǎng)站不響應被篡改內(nèi)容并實現(xiàn)文件自動恢復。7*24小時網(wǎng)站安全監(jiān)測：通過7*24小時網(wǎng)站安全監(jiān)測做到實時發(fā)現(xiàn)網(wǎng)站掛馬、篡改、黑鏈、敏感內(nèi)容、頁面異常變更等多方面Web頁面的安全問題。在發(fā)現(xiàn)安全事件后還可以通過短信、郵件、電話等多種方式第一時間向企業(yè)安全管理員告警。目前綠盟科技的托管式網(wǎng)站安全監(jiān)測服務，可以在無需安裝任何硬件或軟件的情況下，提供7*24小時的網(wǎng)站安全監(jiān)測服務，可以使企業(yè)整體掌握網(wǎng)站的風險狀況及安全趨勢。

網(wǎng)站防護措施應該是前面提到的網(wǎng)絡層防護和應用層防護措施的有效結合，從而形成一套完整的事中網(wǎng)站安全防護解決方案，從不同維度保障企業(yè)網(wǎng)站系統(tǒng)的安全穩(wěn)定運行。

3.事后優(yōu)化改善階段

在網(wǎng)站安全防護的事后階段，通過安全設備日志及告警信息，對攻擊源進行定位，分析攻擊路徑，找出引發(fā)攻擊的網(wǎng)站脆弱點，有針對性的對網(wǎng)站安全防護策略進行優(yōu)化，改善安全防護措施，加固企業(yè)網(wǎng)站系統(tǒng)。

最后，針對網(wǎng)站安全防護措施的優(yōu)化和完善提供以下建議：①企業(yè)應定期對網(wǎng)站進行全面的安全評估，并且針對安全評估結果對網(wǎng)站實施安全加固；②建立和完善可落地的網(wǎng)站安全管理制度，規(guī)范企業(yè)網(wǎng)站的日常運維管理和操作。③建立和完善有效的應急響應預案和流程，并定期進行應急演練，做到當發(fā)生異常狀況時能夠及時有效的進行處置和恢復，避免網(wǎng)站業(yè)務中斷給企業(yè)帶來損失。

④定期對相關管理人員和技術人員進行安全培訓，提高安全技術能力和實際操作能力。

三、結語

隨著互聯(lián)網(wǎng)技術的廣泛應用和飛速發(fā)展，黑客技術也不斷翻新，網(wǎng)站安全防護變得越來越重要，只有采取有效的網(wǎng)站安全防護措施，才能夠更好的防御黑客的