1 网站安全刻不容缓最近,CSDN、人人网、7K7K、天涯 、开心网、多玩等多个国内大型站点相继出现用户数据库曝光事件,网站安全似乎一下子成为了大众的关注焦点。其实,网站安全问题由来已久,特别是近年来网站攻击事件日益严重,据国家互联网应急中心统计,仅2010年国内就有近3.5万个网站被黑客篡改。
大量网站安全问题的曝光,究其根本是由于网站处于互联网这样一个相对开放的环境中,网站整体防护中的任何一点漏洞或不足都可能在网络上被迅速放大和利用,从而导致网站安全事件层出不穷。网站安全性不高不仅影响了企业形象和网站业务的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。
2 网站防护应该关注什么网站作为典型的信息系统,必然会面临各种安全威胁,这些威胁可能来自外部,比如DDoS攻击、SQL注入攻击,也可能来自网站内部,如恶意的合作伙伴、管理人员的误操作等,而且没有一种防护措施能够包治百病。所以,网站安全防护需要多管齐下,不能简单的头痛医头,脚痛医脚。
针对网站的内、外威胁,应当采用完善的措施,来降低威胁,保障安全,根据天融信多年来网站安全防护的建设经验,网站安全防护应当关注以下五个环节的安全问题:
A、 对抗外部攻击
网站不同于其他应用系统的是,威胁更多来自于外部,主要指来自互联网的主动和被动攻击行为,这是网站最迫切的安全建设需求,具体包括:
防范恶意攻击:网站应具备对抗恶意攻击的能力,应当对互联网的访问进行控制,限制只有被许可的访问方可进入网站,杜绝非许可的访问,杜绝对网站的频繁多次连接,并能够监视对网站的请求连接数量和类型,保障网站的受访始终在许可的方式下;另外,还应当对常见的网站攻击行为(包括SQL注入攻击、跨站脚本攻击、网站挂马攻击等)进行有效防范;
防范恶意代码:网站应具备防范恶意代码攻击的能力,能否有效过滤并查杀针对网站服务器的病毒、蠕虫和木马等恶意代码,防止恶意代码对服务器的破坏;
对抗拒绝服务攻击:拒绝服务攻击利用了TCP/IP协议先天的不足,因此成为互联网上常见的攻击行为,该行为严重影响了网站系统的可用性,给用户造成很大的损失,因此设计网站安全防护系统中,对于拒绝服务攻击一直是个重点,网站系统应当有能力对抗常见的拒绝服务攻击行为,具备持续运行的能力;
实现访问内容深度监测:对网站的访问进行监视,应能够区分出哪些是非法的访问,哪些是合法的访问,特别需要针对采用TCP/80(HTTP)以及TCP/443(HTTPS)的访问,应能够深入到内容层,防止SQL注入攻击、跨站脚本攻击,以及挂马攻击等行为,保障网站的深度安全;
防范网页篡改:应对网页的修改行为进行深度监控,防范网页内容被非法篡改的行为,同时还要保障正常的网页修改能够进行,这就要求必须具备识别非法与合法修改网页的行为;
保障数据传输保密性:对通过互联网传递的数据采取必要的保密措施,特别是一些以提供服务为主的网站,比如政务门户网站、电子商务网站、网上购物网站等,要防范以明文方式在互联网传递过程中的安全问题;
