管理方面,加强对WEB应用和数据库对应的组织人员、开发规范、运维策略、安全培训等的建设,在单业务系统的范围内,达到体系完善。如:对数据库用户权限和备份文件加强管理,针对于某些攻击手段的防御效果可能高于产品部署而大幅降低成本。
实现控制安全事件发生的可能性和对业务造成的影响。
解决方案国内对网络信息安全存在一定的误区,如用户普遍认为没有必要制订符合企业长远发展的安全策略;面对不法分子日益猖獗的复合式攻击不少行业用户试图通过单点产品的简单堆砌来加以应对,而对产品之间的协调工作考虑较少,导致了安全防护体系的整体防御能力低下;对复杂多变的网络环境和层出不穷的安全漏洞认识不足,许多行业用户把已经部署了的安全防御体系看成是“完美工事”。安恒信息根据一般WEB应用和数据库常见的部署情况,推荐了几款针对性的防御产品:
1.1.1.1. WEB应用弱点扫描器
WEB应用弱点扫描器(简称:WEBSCAN)的主要功能是发现WEB应用的常见技术弱点,本质是一种模拟常见WEB攻击的非破坏性的工具。在WEB应用的开发、测试、运维阶段,WEBSCAN经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,常见功能如图所示:
▲图4-1 WEBSCAN主要功能
1.1.1.2. 数据库弱点扫描器
数据库弱点扫描器(简称:DBSCAN)是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具。DBSCAN主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如图所示:
▲图4-2 DBSCAN主要功能
目前,除各系统运维单位外,国内各公安部门、测评中心、检验所等检查机构也将WEBSCAN和DBSCAN作为等级保护测评工具,它们是事前系统弱点检测的有效工具。一般部署扫描工具,只需要对应网络协议可达,并不会影响现有网络结构。
1.1.1.3. WEB应用防火墙
Web应用防火墙(Web Application Firewall,简称: WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:
