来源:中关村在线 更新时间:2012-04-14
最近,北京邮电大学互联网治理与法律研究中心的网站遭遇黑客攻击,网站页面被篡改为了一个类似于“愤怒的小鸟”的游戏,只不过“愤怒的小鸟”游戏中的目标被换成了北邮校长的头像,武器也由小鸟变成了鞋子。这个游戏被起名为“AngryShoes”(愤怒的鞋子)。
一、我国网络安全现状
网站被黑已经不是什么新鲜事,近年来,国内被入侵的网站多为XX、学校、信息综合门户、知名企业等影响力高、受众面广的网站,且不论黑客攻击的动机,仅在后果上,这些网站可谓遭遇了不同程度的尴尬。在被入侵的网站中,XX网站成了重灾区。XX网站的比例大于20%,对电子政务构成严重威胁。
国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的XX网站被黑客入侵的情况,被入侵的.org.cn网站近1万个,占到大陆网站总体被入侵量的6.25%,这个数字是远远大于.org.cn网站在大陆网站总数内占的比例,可见,黑客对XX类网站的破坏是明显有针对性的。也就是说,一年来,五个XX网站中就有一个被入侵,这个数字实在令人堪忧。而且,近年来,网站被入侵的数目仍以每年2-3倍的速度在不断递增。
二、Web应用成为最大的安全盲点
根据新近公布的一份现实威胁分析报告,Web应用正成为最大的安全盲点。
OWASP最新发布的WEB脆弱性10大排名,给出的各类应用攻击列表中,排在最前面的是跨站脚本攻击,这类攻击通常占针对Web应用的所有攻击的30%至50%。
目前黑客攻击所用到的技术一般有以下几类:
SQL注入、网络钓鱼、跨站攻击、溢出漏洞、拒绝服务攻击、社会工程学等。
目前恶意Web攻击呈指数形式增长,对抗类似威胁的有效方法之一,就是对Web系统进行主动的安全防御:WEB安全网关应运而生。
Web安全网关诞生于2006年,经过近两年的发展,已经解决了性能跟不上、功能与检测准确度不够、部署比较复杂、维护难度较高等难题。
XXXXX 门户网站作为电子政务的窗口和基本服务平台,经过多年的建设,已初具影响。现在系统配置了网络防火墙,但网站系统没有得到有效的防护,随时都有被攻击和篡改的可能。因为防火墙是针对网络层的防护,无法对应用层的攻击进行有效的防护。因此对网站的应用层防护非常迫切。
三、网站安全需求分析
3.1、网站的作用
3.2、网站安全中的薄弱环节
目前的信息安全事件还主要局限于篡改网页和直接攻击,当然也不排除更大更严重的安全威胁,如利用网站漏洞侵入后台窃取信息;散播病毒进入系统,使系统瘫痪;干扰XX网站的正常服务等。如黑客通过网页隐蔽地传播木马程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比,更像一个威力强大的“看不见的敌人”,可以暗中控制攻击系统进行很多破坏活动,而且这种攻击将越来越专业化。
如此看来,电子政务安全建设一刻都不能放松,尤其是XX门户网站的信息安全问题要纳入电子政务安全体系建设范畴。电子政务信息安全管理不是一成不变的,它是一个动态的过程,但又是一个必须“长抓不懈”的系统过程。随着安全攻击和防范技术的发展,电子政务的安全策略、技术和管理也在不断地发展。通过建立良好的应用安全防范机制,做到技术和管理的良好配合,是实现XXXXX市劳动和社会保障局电子政务信息系统WEB安全风险防范长期有效的重要途径。
3.3、网站的安全现状
“Web 网站使用了防火墙,所以很安全?”
无论是应用级还是端口级的防火墙针对的都是网络层面的攻击,通过设置可访问的端口或者应用,把恶意访问排除在外,然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙所能应对的了。
“Web 网站使用了 IDS,所以很安全?”
通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙,通过利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理。
“漏洞扫描工具没发现问题,所以很安全?”
当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理,扫描工具无法对网站应用程序进行检测,无法查找应用本身的漏洞。
针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如:最为常见的 SQL注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言,这是最为正常的访问连接,没有任何特征能够说明此种访问连接存在恶意攻击。所以,一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。
令人惊诧的是,几乎所有关注 Web 安全领域的人都会存在着上面我们阐述的误区,而当前 Web 的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS 是主要安全手段,SSL 保证了安全性,…”与之相对的是:互联网发展到今天,75%的安全问题竟然是出现在应用程序本身。正如上面介绍的 SQL 注入攻击一样,这是防火墙、SSL、入侵检测系统无法预防、解决和应对的!
如下图所示,目前安全投资中,只有 10%花在了如何防护应用安全漏洞,而这却是 75%的攻击来源——10% Vs 75%,这是多么大的差距!这也是造成当前 Web 站点频频被攻陷的一个重要因素。
当前安全现状统计分析图:
|
转播到腾讯微博  |
我国网站安全分析
四、 WEB安全网关防护网站系统
4.1、设计目标及需求分析
针对目前日益增多的应用层网络攻击行为,需要对网站能够提供有效的安全防护,选用天泰WEB安全网关对网站进行安全防护,防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝DDoS攻击,保障系统服务的持续性。通过访问审计,帮助用户了解整个网站的使用情况,提供辅助决策功能。
4.2、在设备选型时,需要考虑以下几个因素:
安全性:对网站进行有效的防护,加强应用层的综合防护;
可靠性:提供的安全防护设备具有较高的可靠性;
先进性:采用先进、成熟的技术和主流的产品,使网络建设能适应未来的需求;
实用性:系统设计以实用性为原则,同时应考虑到系统的开放性,兼容性、技术支持服务等能力;
兼容性:要求对现有的系统具有良好的兼容性。
4.3、WEB安全网关部署的目标和范围
|
转播到腾讯微博  |
网站拓扑结构
对XXXXX网站提供全方位的安全防护;
对常见的WEB攻击进行安全防护。例如:SQL注入攻击,跨站脚本攻击,应用层DDoS防护,已知的蠕虫攻击,以及系统漏洞和系统溢出攻击防护等;
对敏感资源和数据的非法访问进行阻断;
提供多种技术的网站加速功能;
灵活多变的伪装技术使系统避免探测和攻击;
提供全面的Web流量管理,包括基于网站的流量控制,基于URL的流量控制,基于规则的URL流量控制,最大并发访问数,每秒最大并发访问,URL最大消费带宽等;
强大的Web资源访问审计,高效的日志处理引擎,实时Web资源访问统计,海量日志处理,丰富的统计报表,详细的访问日志,访问者/访问时间统计报表,客户端操作系统/浏览器统计报表,被访问文件统计报表等;
针对指定页面,可以查询该页面的访问状况。
4.4、WEB安全防护产品必备:
|
|
梭子鱼 BYFI310
梭子鱼WEB安全网关可以轻松地阻断试图感染企业内部网络的间谍软件、病毒,以及其他形形色色的恶意软件。利用梭子鱼WEB安全网关内置的间谍软件删除工具,一种可以安装在终端电脑中的Active X控件,可以实现对终端电脑的间谍软件自动扫描和删除。(推荐:梭子鱼 BMAI950、梭子鱼 BYFI310、梭子鱼 BYFI810)
1、阻断间谍软件、病毒和其他木马程序。
2、通过对不同业务的流量管理,提高网络的整体性能。
3、强化互联网的使用策略,确保工作环境下合理使用互联网。
4、通过对非正式互联网使用的管理,来提高公司内部生产力。
|
转播到腾讯微博  |
eWorld多功能服务器
|
|
eWorld宽带主机是针对企业网络安全、网络管理、网络基本应用提供的企业信息化一体化解决方案。
|
转播到腾讯微博  |
eWorld宽带主机
eWorld宽带主机不仅将网络防火墙发挥的淋漓尽致,更将强大的上网行为审计监控、QoS(带宽管理)、IM/P2P管理、文件类型下载控制、流量连接监控等多种网络管理整合为一体,为企业提供整体网络管理解决方案。同时,针对企业标准化应用如Mail Server(邮件服务)、Web Server(网站服务)、Ftp Server (FTP服务)、File Server(文件服务)、Backup(数据备份与恢复)整合,提供基本应用解决方案。也可根据应用情况扩展如虚拟专用网(VPN)、负载均衡(WAN Load Balance)以及企业级JAVA应用。增强应用扩展性,保护企业投资。(推荐:eWorld 宽带主机S20、eWorld 宽带主机S5000、eWorld 宽带主机S200)
eWorld宽带主机不仅将网络防火墙发挥的淋漓尽致,更将强大的上网行为审计监控、QoS(带宽管理)、IM/P2P管理、文件类型下载控制、流量连接监控等多种网络管理整合为一体,为企业提供整体网络管理解决方案。同时,针对企业标准化应用如Mail Server(邮件服务)、Web Server(网站服务)、Ftp Server (FTP服务)、File Server(文件服务)、Backup(数据备份与恢复)整合,提供基本应用解决方案。也可根据应用情况扩展如虚拟专用网(VPN)、负载均衡(WAN Load Balance)以及企业级JAVA应用。增强应用扩展性,保护企业投资。(推荐:eWorld 宽带主机S20、eWorld 宽带主机S5000、eWorld 宽带主机S200)