下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
淺談網(wǎng)站安全現(xiàn)狀及防護(hù)措施摘要】:隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,有關(guān)網(wǎng)絡(luò)安全的話題越來越受社會(huì)的關(guān)注。網(wǎng)站作為企業(yè)面向互聯(lián)網(wǎng)用戶提供各類業(yè)務(wù)信息及企業(yè)宣傳的窗口,已經(jīng)成為企業(yè)信息系統(tǒng)建設(shè)的重要組成部分,如果網(wǎng)站遭到黑客攻擊,發(fā)布的重要信息被篡改,會(huì)嚴(yán)重影響企業(yè)的業(yè)務(wù)開展和企業(yè)形象,造成極壞的社會(huì)影響及聲譽(yù)影響。因此,如何使企業(yè)網(wǎng)站不受黑客和病毒的入侵,如何保障企業(yè)網(wǎng)站核心數(shù)據(jù)傳輸?shù)陌踩?、可靠性,成為企業(yè)信息系統(tǒng)建設(shè)中所必須考慮的重要事情之一。
【關(guān)鍵詞】:網(wǎng)站
安全現(xiàn)狀
防護(hù)措施
一、現(xiàn)行網(wǎng)站安全現(xiàn)狀:
1、?DDoS規(guī)模化
DDoS(DistributedDenialofService)分布式拒絕服務(wù)是最常見的網(wǎng)絡(luò)攻擊之一。攻擊者控制大量主機(jī)對(duì)互聯(lián)網(wǎng)上的目標(biāo)進(jìn)行攻擊,占用服務(wù)器資源,導(dǎo)致業(yè)務(wù)中斷,造成客戶直接經(jīng)濟(jì)損失同時(shí)也對(duì)企業(yè)的聲譽(yù)造成不同程度的影響。電子商務(wù)、游戲和政務(wù)等網(wǎng)站,經(jīng)常遭受大規(guī)模的拒絕服務(wù)攻擊,靠單點(diǎn)自身部署的安全防護(hù)設(shè)備和自身資源無法解決問題。
2、現(xiàn)有?WEB?安WEB?應(yīng)用防火防護(hù)設(shè)備更新不及時(shí)
全防護(hù)主要是前端部署墻,其識(shí)別和防御攻擊的效果主要依賴于現(xiàn)有的規(guī)則庫(kù),隨著攻擊手段的不斷提高,需要在運(yùn)行過程中實(shí)施升級(jí)和調(diào)整規(guī)則庫(kù),現(xiàn)有?WAF?防火墻大部分是信息孤島,無法實(shí)時(shí)根據(jù)攻擊特點(diǎn)全網(wǎng)同步安全規(guī)則,隨著時(shí)間推移,防御效果會(huì)明顯下降。
3、安全攻擊上升至應(yīng)用層
據(jù)有關(guān)調(diào)查顯示,目前成功的攻擊案例中有?75%發(fā)生在應(yīng)用層。這些攻擊這么有效的原因是黑客們成功繞過了過去10年安全人員實(shí)施的所有以網(wǎng)絡(luò)為中心的控制措施,如防火墻、IDS、?IPS。傳統(tǒng)防火墻工作在OSI模型的三、四層,不能理解?HTTP?協(xié)議所承載的數(shù)據(jù),也無從判斷對(duì)Web應(yīng)用服務(wù)器的訪問行為是否合法,防火墻完全向外部網(wǎng)絡(luò)開放HTTP?應(yīng)用端口。市面上大部分?DDoS防火墻對(duì)應(yīng)用層?DDoS?的防御效果很不理想。以?Web應(yīng)用攻擊為例,傳統(tǒng)防火墻為了保護(hù)?Web?服務(wù)器所包含的規(guī)則是通過阻止所有非預(yù)期數(shù)據(jù)流,僅允許流量通過80和443端口。不幸的是,防火墻不能區(qū)分出?80?端口中的哪些數(shù)據(jù)流是預(yù)期數(shù)據(jù)流,哪些是非預(yù)期的。IDS/IPS?入侵檢測(cè)系統(tǒng)作為防火墻的有力補(bǔ)充,加強(qiáng)了網(wǎng)絡(luò)的安全防御能力。但是,入侵檢測(cè)使用消極防御模型,基于已知漏洞和攻擊行為形成特征進(jìn)行比對(duì)從而實(shí)現(xiàn)的防護(hù),需要預(yù)先構(gòu)造攻擊特征庫(kù)來匹配網(wǎng)絡(luò)數(shù)據(jù),對(duì)于未知攻擊和不能有效提取攻擊特征的攻擊,入侵檢測(cè)系統(tǒng)不能檢測(cè)和防御。對(duì)于應(yīng)用攻擊,入侵防御系統(tǒng)可以有效的防御部分攻擊,但不是全部。
4、后知后覺的網(wǎng)頁(yè)防篡改
基于服務(wù)器端的網(wǎng)頁(yè)防篡改應(yīng)用程序?qū)粜袨椴⒉贿M(jìn)行分析和識(shí)別,屬于事后緩解攻擊危害的產(chǎn)品,不會(huì)阻止攻擊的發(fā)生。
二、網(wǎng)站安全威脅的防護(hù)措施
針對(duì)企業(yè)網(wǎng)站安全威脅的攻擊特征,基于企業(yè)對(duì)網(wǎng)站安全防護(hù)的保障需要,網(wǎng)站安全防護(hù)措施應(yīng)按照信息安全管理的事前、事中及事后全過程,閉環(huán)一體化的管理思想,將網(wǎng)站安全防護(hù)措施分為三個(gè)階段,分別是事前分析預(yù)防階段、事中監(jiān)測(cè)防護(hù)階段,以及事后優(yōu)化改善階段。
1.事前分析預(yù)防階段
這個(gè)階段主要是針對(duì)待上線的網(wǎng)站W(wǎng)eb應(yīng)用,進(jìn)行全面的安全評(píng)估,參照OWASPTOP10對(duì)網(wǎng)站W(wǎng)eb應(yīng)用進(jìn)行全面檢測(cè),可以使企業(yè)管理人員充分了解Web應(yīng)用存在的安全隱患,建立安全可靠的Web應(yīng)用服務(wù),改善并提升網(wǎng)站應(yīng)用對(duì)抗各類Web應(yīng)用攻擊的能力。安全評(píng)估的內(nèi)容主要包括漏洞掃描、配置核查、滲透測(cè)試、源代碼審計(jì)等。
安全漏洞掃描:網(wǎng)站風(fēng)險(xiǎn)漏洞是Web應(yīng)用被攻擊的根源。通過互聯(lián)網(wǎng)遠(yuǎn)程對(duì)網(wǎng)站進(jìn)行漏洞掃描,即可獲得網(wǎng)站漏洞態(tài)勢(shì),對(duì)漏洞進(jìn)行生命周期管理,以便后續(xù)做好漏洞閉環(huán)整改和處置工作。安全配置核查:安全配置檢查是對(duì)承載網(wǎng)站的服務(wù)器操作系統(tǒng)、應(yīng)用的脆弱性和安全配置錯(cuò)誤等方面進(jìn)行安全檢查的有效手段。主機(jī)安全檢查包括主機(jī)操作系統(tǒng)和常見應(yīng)用服務(wù)兩大部分的檢查。評(píng)估操作系統(tǒng)、應(yīng)用軟件的安全配置錯(cuò)誤等并不能通過安全掃描工具全面發(fā)現(xiàn),因此有必要在評(píng)估工具掃描范圍之外進(jìn)行安全配置的檢查。滲透測(cè)試:滲透測(cè)試是在獲得用戶授權(quán)后,通過模擬黑客使用的工具、攻擊思路對(duì)網(wǎng)站進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。這種測(cè)試方法可以非常有效的發(fā)現(xiàn)安全漏洞,尤其是與全面的代碼審計(jì)相比,其使用的時(shí)間更短,也更有效率。源代碼審計(jì):源代碼審計(jì)是對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查,目的在于充分挖掘當(dāng)前代碼中存在的安全缺陷以及規(guī)范性缺陷,從而讓開發(fā)人員了解其開發(fā)的應(yīng)用系統(tǒng)可能會(huì)面臨的威脅,并指導(dǎo)開發(fā)人員正確修復(fù)程序缺陷。
2.事中監(jiān)測(cè)防護(hù)階段
這個(gè)階段主要是采取有效的安全防護(hù)措施,針對(duì)網(wǎng)站的各類攻擊行為及異常訪問行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)和防護(hù),對(duì)于發(fā)現(xiàn)攻擊實(shí)時(shí)阻斷,并通過告警通知企業(yè)安全管理員,以便于快速處理安全事件。這一階段的防護(hù)措施可以分為網(wǎng)絡(luò)層安全防護(hù)和應(yīng)用層安全防護(hù)兩個(gè)部分。
(1)網(wǎng)絡(luò)層安全防護(hù):網(wǎng)絡(luò)層安全防護(hù)主要是針對(duì)網(wǎng)站系統(tǒng)的DDoS攻擊行為進(jìn)行防護(hù),利用部署在企業(yè)互聯(lián)網(wǎng)出口的抗DDoS攻擊設(shè)備,實(shí)現(xiàn)針對(duì)網(wǎng)站系統(tǒng)的DDoS攻擊的實(shí)時(shí)檢測(cè)、響應(yīng)和阻斷機(jī)制??笵DoS攻擊系統(tǒng)采用基于行為模式的異常檢測(cè),從背景流量中識(shí)別攻擊流量;提供針對(duì)海量DDoS攻擊的防護(hù)能力;系統(tǒng)能夠?qū)YNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別,并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷,從而有效保護(hù)網(wǎng)站系統(tǒng)的應(yīng)用服務(wù)器。
(2)應(yīng)用層安全防護(hù):針對(duì)的應(yīng)用層安全防護(hù),主要依賴Web應(yīng)用防火墻、網(wǎng)頁(yè)防篡改,以及7*24小時(shí)的網(wǎng)站安全監(jiān)測(cè)等措施來完成。
Web應(yīng)用防火墻:Web應(yīng)用防火墻是應(yīng)對(duì)網(wǎng)站不安全因素的重要防護(hù)措施,其實(shí)現(xiàn)針對(duì)網(wǎng)站系統(tǒng)HTTP和HTTPS應(yīng)用下各類安全威脅的有效檢測(cè)和阻斷,通過Web應(yīng)用防火墻上的策略配置實(shí)現(xiàn)網(wǎng)站系統(tǒng)的應(yīng)用防護(hù)。Web應(yīng)用防火墻需要對(duì)用戶提交Web服務(wù)器端以及Web服務(wù)器端向用戶返回的雙方向數(shù)據(jù)進(jìn)行檢查。對(duì)于用戶提交服務(wù)器端的數(shù)據(jù),Web應(yīng)用防火墻可以實(shí)時(shí)發(fā)現(xiàn)用戶提交數(shù)據(jù)中的惡意腳本和問題代碼/命令,可以進(jìn)行必要的內(nèi)容過濾,充分保證了用戶側(cè)的安全,同時(shí)避免了服務(wù)器端重要信息的泄露。網(wǎng)頁(yè)防篡改防護(hù):網(wǎng)頁(yè)防篡改系統(tǒng)提供了針對(duì)網(wǎng)站W(wǎng)eb應(yīng)用的事中防護(hù)以及事后補(bǔ)償?shù)木W(wǎng)頁(yè)篡改防護(hù)綜合解決方案。事中,對(duì)各種網(wǎng)頁(yè)文件屬性進(jìn)行保護(hù),防止網(wǎng)頁(yè)篡改攻擊事件的發(fā)生,實(shí)時(shí)阻斷篡改事件;事后,對(duì)網(wǎng)站W(wǎng)eb頁(yè)面提供補(bǔ)償機(jī)制,確保WEB網(wǎng)站不響應(yīng)被篡改內(nèi)容并實(shí)現(xiàn)文件自動(dòng)恢復(fù)。7*24小時(shí)網(wǎng)站安全監(jiān)測(cè):通過7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)做到實(shí)時(shí)發(fā)現(xiàn)網(wǎng)站掛馬、篡改、黑鏈、敏感內(nèi)容、頁(yè)面異常變更等多方面Web頁(yè)面的安全問題。在發(fā)現(xiàn)安全事件后還可以通過短信、郵件、電話等多種方式第一時(shí)間向企業(yè)安全管理員告警。目前綠盟科技的托管式網(wǎng)站安全監(jiān)測(cè)服務(wù),可以在無需安裝任何硬件或軟件的情況下,提供7*24小時(shí)的網(wǎng)站安全監(jiān)測(cè)服務(wù),可以使企業(yè)整體掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及安全趨勢(shì)。
網(wǎng)站防護(hù)措施應(yīng)該是前面提到的網(wǎng)絡(luò)層防護(hù)和應(yīng)用層防護(hù)措施的有效結(jié)合,從而形成一套完整的事中網(wǎng)站安全防護(hù)解決方案,從不同維度保障企業(yè)網(wǎng)站系統(tǒng)的安全穩(wěn)定運(yùn)行。
3.事后優(yōu)化改善階段
在網(wǎng)站安全防護(hù)的事后階段,通過安全設(shè)備日志及告警信息,對(duì)攻擊源進(jìn)行定位,分析攻擊路徑,找出引發(fā)攻擊的網(wǎng)站脆弱點(diǎn),有針對(duì)性的對(duì)網(wǎng)站安全防護(hù)策略進(jìn)行優(yōu)化,改善安全防護(hù)措施,加固企業(yè)網(wǎng)站系統(tǒng)。
最后,針對(duì)網(wǎng)站安全防護(hù)措施的優(yōu)化和完善提供以下建議:①企業(yè)應(yīng)定期對(duì)網(wǎng)站進(jìn)行全面的安全評(píng)估,并且針對(duì)安全評(píng)估結(jié)果對(duì)網(wǎng)站實(shí)施安全加固;②建立和完善可落地的網(wǎng)站安全管理制度,規(guī)范企業(yè)網(wǎng)站的日常運(yùn)維管理和操作。③建立和完善有效的應(yīng)急響應(yīng)預(yù)案和流程,并定期進(jìn)行應(yīng)急演練,做到當(dāng)發(fā)生異常狀況時(shí)能夠及時(shí)有效的進(jìn)行處置和恢復(fù),避免網(wǎng)站業(yè)務(wù)中斷給企業(yè)帶來?yè)p失。
④定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn),提高安全技術(shù)能力和實(shí)際操作能力。
三、結(jié)語(yǔ)
隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用和飛速發(fā)展,黑客技術(shù)也不斷翻新,網(wǎng)站安全防護(hù)變得越來越重要,只有采取有效的網(wǎng)站安全防護(hù)措施,才能夠更好的防御黑客的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國(guó)機(jī)械密封水泵項(xiàng)目可行性研究報(bào)告
- 2024-2030年中國(guó)木門行業(yè)發(fā)展現(xiàn)狀投資策略分析報(bào)告
- 2024-2030年中國(guó)有機(jī)棉市場(chǎng)動(dòng)態(tài)分析及投資策略研究報(bào)告
- 數(shù)字經(jīng)濟(jì)背景下的眾創(chuàng)空間方案
- 2024-2030年中國(guó)無木涂層紙行業(yè)運(yùn)營(yíng)狀況與需求規(guī)模預(yù)測(cè)報(bào)告
- 高校外來人員管理方案
- 2025年康家灘小學(xué)膳食委員會(huì)工作計(jì)劃
- 管道與橋梁施工聯(lián)動(dòng)方案
- EPC項(xiàng)目采購(gòu)管理措施
- 家長(zhǎng)志愿者安全管理制度
- 水電站廠房設(shè)計(jì)-畢業(yè)設(shè)計(jì)
- 綜合金融服務(wù)方案課件
- 《鎮(zhèn)原民俗》課件
- 球磨機(jī)崗位作業(yè)指導(dǎo)書
- 眼科護(hù)理滴眼藥水論文
- 市級(jí)社?;疬\(yùn)行分析報(bào)告
- 2024年遼寧省水資源管理集團(tuán)招聘筆試參考題庫(kù)附帶答案詳解
- 小學(xué)信息技術(shù)畫圖課件巧妙的直線和曲線
- 《籃球原地單手肩上投籃》教案
- 2023母嬰行業(yè)趨勢(shì)分析
- 電子游戲行業(yè)市場(chǎng)調(diào)研報(bào)告
評(píng)論
0/150
提交評(píng)論