安全现状
互联网技术的快速发展,逐渐成为人们工作和生活必不可少的一部分,政府机关和企事业单位为顺应时代的发展,纷纷利用互联网的资源进行快速建设,利用自建的网站进行业务快速推广,现如今网站逐渐成为单位信息化建设的重点工作内容,中央在网络文化建设工作中对网站的建设也定义为企业事业单位的窗口和基础平台。然而在大规模业务扩展过程中,有的不仅仅是效率的提升,同时也浮现出来特别严重的安全问题,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2013年的统计报告,我国境内被篡改的网站数量为2万4千多个,相比2012年的1万6千大幅增长了46.7%,而次状况还依然在持续增长,网站安全形势依然很严峻。
在网站建设方面,国家层面也一再强调安全建设的重要性,从公安部第82号令《互联网安全保护技术措施规定》和等级保护,以及《信息安全技术 基于互联网电子政务信息安全实施指南》相关条例中明确要求在网站建设过程应该遵循的安全条款,以保障后期业务的可用性。所以在业务基础设施发展的同时也一定要考虑安全层面的迫切需求。
安全需求
网站问题归根结底为网站整体防护不到位,在建设和维护过程中都不可避免的引入安全漏洞,而这些漏洞在后期业务开展过程中又缺乏完善,从而导致篡改和信息泄露。针对网站的攻击主要集中在以下方面:
利用网站应用程序漏洞,使用SQL注入攻击针对缺陷的操作进行攻击,以获取系统或数据库管理员权限,从而破坏网站信息。
利用XSS(跨站脚本攻击)攻击危害访问网站业务的用户,攻击者在网站中插入恶意的攻击代码,使用户在浏览网站或办理业务时执行恶意的代码,从而达到窃取访问用户的隐私信息。
利用木马、病毒、蠕虫和间谍软件,对网站后台系统进行攻击,从而破坏网站的可用性。
恶意人员常用的网站攻击手段莫属DDOS攻击,利用数量众多的业务请求使服务器过载,从而瘫痪服务器使得网站不能正常提供业务。
安全防护方案
鉴于网站安全问题的多面性,以及根据我们多年的安全建设经验,网站的安全防护应以预防控制为主,并结合国家有关信息安全的法律法规的建设要求,强调全过程和动态控制的重要性,确保关键信息资产的保密性、完整性和可用性,利用动态安全管理来支持业务高效持续性运行。
为了更有针对性的对网站进行安全建设,在对客户业务进行方案设计前,通过捷普脆弱性智能评估系统对客户网站进行安全评估,发现其系统的脆弱性,将关键问题解决,再结合捷普WEB应用防火墙系统对网站的业务请求实现SQL注入、跨站攻击、恶意代码等攻击的防御,从而达到防止黑客入侵、网站篡改的全方位的保护。
安全建设收益
通过捷普网站安全防护方案的落实,有效提高了网站安全可信度,对恶意攻击者使的SQL注入手段、XSS手段、恶意木马病毒手段和DDOS攻击手法都可以有效过滤,将可见攻击手段进行有效拦截,防止网站因为常见攻击带来的业务不稳定,并结合捷普公司针对WEB应用内容安全形成的一整套的策略和方法,从Web应用安全评估、Web应用安全加固、对外部威胁的过滤、Web安全状态检测、事件应急响应、安全知识培训六大方面为出发点,通过切实有效的产品和策略保障WEB业务系统的高效可用,提供及时的漏洞防护和安全响应,持续不断地执行并改进相关安全措施,保障Web应用的安全,将关键系统可能发生的风险控制在可接受的范围之内,从而实现网站的安全可持续发展