普通用户: 对于普通用户的访问提供对WEB服务器的身份认证,并对敏感数据的传输通道进行加密,由“XX网站平台”向安全证书机构申请WEB服务器证书。
特殊用户: 对于重要用户(一般指企业用户)的访问,系统可以采用基于电子证书和安全基础设施(PKI)的双向认证方式。系统提供对WEB服务器与用户身份的双向认证,所有用户在访问WEB服务器时必须提供同样有安全证书机构发放的用户安全证书。 3.7数据支撑平台安全“三防”
1. 保密性:防止黑客随意获取内部的私密信息。相对应的网站安全防护措施,即防攻击;
2. 完整性:防止黑客在未授权情况下修改信息。相对应的网站安全防护措施,即防篡改;
3. 可用性:确保有权限者可随时正常获取信息。相对应的网站安全防护措施,即防病毒(木马)。
结合了标准的PDR模型,从检测、防护和响应三个层面全方位的进行网站安全防护。
- 16 -
图 网站安全“三防”图解
检测
和直观的页面被篡改不同的是,网页挂马由于其隐蔽性,甚至在攻击发生数月之后还能继续为害。这就需要有一套相应的检测机制,来定期对网站进行挂马检查以便及时发现。远程网站挂马检查服务,模拟执行网页访问,而非单纯的模式匹配方式,对网页木马有很高的准确发现率。同时,结合后台安全专家的人工分析,可以准确发现网站是否存在可利用的漏洞,并给出修补建议。
防护
对于那些由于设计上的原因导致的安全漏洞,可能会由于需要使用某些应用,而无法进行修补或更新。针对这类漏洞的攻击行为大多基于应用,夹杂在正常的访问行为当中,防火墙类安全产品,由于无法准确识别应用层攻击行为,对这类攻击往往束手无策。如果需要防范此类攻击,必须选择可以对应用层威胁进行准确发现和防御的安全产品,特别是,针对这类攻击(以SQL注入,XSS攻击为代表),由于
- 17 -
变种极多,传统的应用层威胁防御产品采用的特征匹配技术无法全面覆盖,有较高的漏报和误报率。
响应
针对有些网站用户的技术力量相对单薄,无法自行修补和进行监控的状况。启明星辰还推出了网页安全修复服务,对网站中的应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除,同时用户还可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查,找出源代码方面所问题,通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务。 3.8安全防护
在“XX网站平台”信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略:
图 网站安全防护拓扑图
对平台及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题;
- 18 -
对平台进行WEB隐藏,避免利用扫描软件对其进行信息获取分析;设置平台页面防篡改功能及恢复功能,避免恶意篡改页面;
对平台进行应用层控制,限制部分用户上传文件及对敏感页面的访问;
对访问平台信息系统网络进行安全监控以及审计,对可疑IP行为进行全面跟踪分析。
3.8.1 WEB应用防火墙的价值体现
1)彻底防御因网站篡改带来的负面影响
平台作为窗口,其页面一旦被篡改将造成多种严重的后果。部署KILL-WEB应用防火墙,通过其缓存原始网站页面可有效防护其网页不被篡改。
2)彻底防御应用层针对WEB的攻击
WEB应用防火墙内置上千种WEB应用攻击特征库,可有效抵御各种已知的、针对WEB服务器的攻击行为,保障平台系统的安全运行。
3)WEB应用的审计工具
WEB应用防火墙不但具有强大的防攻击、防篡改功能,还可通过其审计分析功能对过滤数据进行分析;对异常IP用户进行行为跟踪及对敏感用户进行过滤等。
4)即插即用保证连续性
WEB应用防火墙产品的部署十分便捷,无需改变现有的网络拓扑结构。安装后,只需简单的配置安全策略,就可为应用系统提供强大的安全防御,可保障平台的连续性。
- 19 -
图 WEB防火墙应用事例
3.8.2物理安全防护
机房采用环境实时监控录像和门禁系统,进行严格的身份控制,对不同的功能区和不同的客户系统进行物理隔离,同时加以严格的管理制度,对内部人员的权限管理,外部客户和参观人员的出入管理、制定网络运营规范,包括设备访问权限设置、安全事故分级和汇报制度、安全紧急事件响应流程和处理规范;实行对客户的安全服务规范,包括安全服务内容、服务流程、服务品质保证(SLA)。对环境(温度、湿度)进行严格的指标限制,有完善的环境控制系统;配备先进火灾报警系统和消防系统。
3.8.3网络安全防护
核心骨干网络的防护——布署千M级集群防护能力防火墙与搭配CISCO顶级路由设备与自我防御体系布署有国内最顶级的超高标准集群防护区域。在骨干网处布署的高级安全策略与虚拟独享的流量策略
- 20 -