Web服务信息安全涉及了网络通信、系统应用以及数据文件等多层面的安全防护技术,关联到从硬件设备到系统服务等多方面的问题,单一的安全技术很难完善的解决。
首先,在系统安全防护方面,传统防火墙、IPS等设备对于操作系统、Web服务软件的弱点漏洞、蠕虫、拒绝服务等攻击行为具有很好的防御能力,但是面对Web应用程序的威胁却缺乏有效防护;Web应用防火墙虽然可以有效防范诸如SQL注入、跨站脚本、CSRF、文件路径猜测、系统代码执行、会话劫持等针对Web应用的攻击,但面对网络层面及操作系统的攻击却无计可施。
其次,在客户端方面,大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全,都可能导致恶意攻击者利用远程木马或是钓鱼网站获取用户的个人账号及密码,最终损害用户的直接利益。
基于对各类安全问题的分析,安氏领信的工程师对国内三大主流门户网站做了注入攻击检测,发现同样存在明显的注入漏洞,安全被轻意瓦解。同时安氏领信的工程师们给出了一套经过深入研究后的完善的领信Web盾安全解决方案:
首先,安氏领信专门针对Web服务所面临的安全问题将网络防火墙、入侵防护系统、 Web应用防火墙、 DOS防护网关、网页防篡改系统等多种安全产品和技术进行高效的整合后设计了领信Web盾系统;此外,根据多年对黑客攻击行为的追踪和渗透测试的经验,安氏领信建立了对黑客行为特征的完整数据库,据此对黑客的各种攻击方式进行检测,从而对已知的Web应用程序漏洞进行防护,并且对基于正常行为认知和协议(行为)异常的情况也有很完善的检测防护机制,从根本上杜绝由于Web防护的漏洞被黑客入侵导致重要数据泄露的情况。
同时,领信Web盾针对Web服务器防护特点及管理员的使用习惯,提供了最简洁方便的策略配置逻辑,无需专业安全技术背景也能很好的对其进行操作。领信Web盾的部署无需更改网络拓扑、无需变更服务器配置,以极具竞争力的管理维护成本,实现用户投资回报的最大化。
虽然目前并不存在能够100%免疫黑客入侵的产品或者解决方案,但是企业应该提高网络安全防范意识,尽力做到全面积极的防护,从而在力所能防的范围内,有效应对已知的入侵攻击,妥善保管企业的数据资料,避免此类“信息泄露”事件再次发生,给予用户充分的安全保障。
