【#第一文档网# 导语】以下是®第一文档网的小编为您整理的《浅谈网站安全现状及防护措施》,欢迎阅读!
浅谈网站安全现状及防护措施 摘要】:随着计算机网络的普及,有关网络安全的话题越来越受社会的关注。网站作为企业面向互联网用户提供各类业务信息及企业宣传的窗口,已经成为企业信息系统建设的重要组成部分,如果网站遭到黑客攻击,发布的重要信息被篡改,会严重影响企业的业务开展和企业形象,造成极坏的社会影响及声誉影响。因此,如何使企业网站不受黑客和病毒的入侵,如何保障企业网站核心数据传输的安全性、可靠性,成为企业信息系统建设中所必须考虑的重要事情之一。 【关键词】:网站 安全现状 防护措施 一、现行网站安全现状: 1、?DDoS规模化 DDoS(Distributed Denial of Service)分布式拒绝服务是最常见的网络攻击之一。攻击者控制大量主机对互联网上的目标进行攻击,占用服务器资源,导致业务中断,造成客户直接经济损失同时也对企业的声誉造成不同程度的影响。电子商务、游戏和政务等网站,经常遭受大规模的拒绝服务攻击,靠单点自身部署的安全防护设备和自身资源无法解决问题。 2、现有?WEB?安WEB?应用防火防护设备更新不及时 全防护主要是前端部署墙,其识别和防御攻击的效果主要依赖于现有的规则库,随着攻击手段的不断提高,需要在运行过程中实施升级和调整规则库,现有?WAF?防火墙大部分是信息孤岛,无法实时根据攻击特点全网同步安全规则,随着时间推移,防御效果会明显下降。 3、安全攻击上升至应用层 据有关调查显示,目前成功的攻击案例中有?75%发生在应用层。这些攻击这么有效的原因是黑客们成功绕过了过去10年安全人员实施的所有以网络为中心的控制措施,如防火墙、IDS、?IPS。传统防火墙工作在OSI模型的三、四层,不能理解?HTTP?协议所承载的数据,也无从判断对Web应用服务器的访问行为是否合法,防火墙完全向外部网络开放HTTP?应用端口。市面上大部分?DDoS防火墙对应用层?DDoS?的防御效果很不理想。以?Web应用攻击为例,传统防火墙为了保护?Web?服务器所包含的规则是通过阻止所有非预期数据流,仅允许流量通过80和443端口。不幸的是,防火墙不能区分出?80?端口中的哪些数据流是预期数据流,哪些是非预期的。IDS/IPS?入侵检测系统作为防火墙的有力补充,加强了网络的安全防御能力。但是,入侵检测使用消极防御模型,基于已知漏洞和攻击行为形成特征进行比对从而实现的防护,需要预先构造攻击特征库来匹配网络数据,对于未知攻击和不能有效提取攻击特征的攻击,入侵检测系统不能检测和防御。对于应用攻击,入侵防御系统可以有效的防御部分攻击,但不是全部。 4、后知后觉的网页防篡改 基于服务器端的网页防篡改应用程序对攻击行为并不进行分析和识别,属于事后缓解攻击危害的产品,不会阻止攻击的发生。 二、网站安全威胁的防护措施 针对企业网站安全威胁的攻击特征,基于企业对网站安全防护的保障需要,网站安全防护措施应按照信息安全管理的事前、事中及事后全过程,闭环一体化的管理思想,将网站安全防护措施分为三个阶段,分别是事前分析预防阶段、事中监测防护阶段,以及事后优化改善阶段。 1.事前分析预防阶段 这个阶段主要是针对待上线的网站Web应用,进行全面的安全评估,参照OWASP TOP10对网站Web应用进行全面检测,可以使企业管理人员充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升网站应用对抗各类Web应用攻击的能力。安全评估的内容主要包括漏洞扫描、配置核查、渗透测试、源代码审计等。 安全漏洞扫描:网站风险漏洞是Web应用被攻击的根源。通过互联网远程对网站进行漏洞扫描,即可获得网站漏洞态势,对漏洞进行生命周期管理,以便后续做好漏洞闭环整改和处置工作。安全配置核查:安全配置检查是对承载网站的服务器操作系统、应用的脆弱性和安全配置错误等方面进行安全检查的有效手段。主机安全检查包括主机操作系统和常见应用服务两大部分的检查。评估操作系统、应用软件的安全配置错误等并不能通过安全扫描工具全面发现,因此有必要在评估工具扫描范围之外进行安全配置的检查。渗透测试:渗透测试是在获得用户授权后,通过模拟黑客使用的工具、攻击思路对网站进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。源代码审计:源代码审计是对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查,目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。 2.事中监测防护阶段 这个阶段主要是采取有效的安全防护措施,针对网站的各类攻击行为及异常访问行为进行实时的监测和防护,对于发现攻击实时阻断,并通过告警通知企业安全管理员,以便于快速处理安全事件。这一阶段的防护措施可以分为网络层安全防护和应用层安全防护两个部分。 (1)网络层安全防护:网络层安全防护主要是针对网站系统的DDoS攻击行为进行防护,利用部署在企业互联网出口的抗DDoS攻击设备,实现针对网站系统的DDoS攻击的实时检测、响应和阻断机制。抗DDoS攻击系统采用基于行为模式的异常检测,从背景流量中识别攻击流量;提供针对海量DDoS攻击的防护能力;系统能够对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断,从而有效保护网站系统的应用服务器。 (2)应用层安全防护:针对的应用层安全防护,主要依赖Web应用防火墙、网页防篡改,以及7*24小时的网站安全监测等措施来完成。 Web应用防火墙:Web应用防火墙是应对网站不安全因素的重要防护措施,其实现针对网站系统HTTP和HTTPS应用下各类安全威胁的有效检测和阻断,通过Web应用防火墙上的策略配置实现网站系统的应用防护。Web应用防火墙需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。对于用户提交服务器端的数据,Web应用防火墙可以实时发现用户提交数据中的恶意脚本和问题代码/命令,可以进行必要的内容过滤,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。网页防篡改防护:网页防篡改系统提供了针对网站Web应用的事中防护以及事后补偿的网页篡改防护综合解决方案。事中,对各种网页文件属性进行保护,防止网页篡改攻击事件的发生,实时阻断篡改事件;事后,对网站Web页面提供补偿机制,确保WEB网站不响应被篡改内容并实现文件自动恢复。7*24小时网站安全监测:通过7*24小时网站安全监测做到实时发现网站挂马、篡改、黑链、敏感内容、页面异常变更等多方面Web页面的安全问题。在发现安全事件后还可以通过短信、邮件、电话等多种方式第一时间向企业安全管理员告警。目前绿盟科技的托管式网站安全监测服务,可以在无需安装任何硬件或软件的情况下,提供7*24小时的网站安全监测服务,可以使企业整体掌握网站的风险状况及安全趋势。 网站防护措施应该是前面提到的网络层防护和应用层防护措施的有效结合,从而形成一套完整的事中网站安全防护解决方案,从不同维度保障企业网站系统的安全稳定运行。 3.事后优化改善阶段 在网站安全防护的事后阶段,通过安全设备日志及告警信息,对攻击源进行定位,分析攻击路径,找出引发攻击的网站脆弱点,有针对性的对网站安全防护策略进行优化,改善安全防护措施,加固企业网站系统。 最后,针对网站安全防护措施的优化和完善提供以下建议:① 企业应定期对网站进行全面的安全评估,并且针对安全评估结果对网站实施安全加固;② 建立和完善可落地的网站安全管理制度,规范企业网站的日常运维管理和操作。③ 建立和完善有效的应急响应预案和流程,并定期进行应急演练,做到当发生异常状况时能够及时有效的进行处置和恢复,避免网站业务中断给企业带来损失。 ④ 定期对相关管理人员和技术人员进行安全培训,提高安全技术能力和实际操作能力。 三、结语 随着互联网技术的广泛应用和飞速发展,黑客技术也不断翻新,网站安全防护变得越来越重要,只有采取有效的网站安全防护措施,才能够更好的防御黑客的攻击,因此我们必须把网站安全防护措施的建立放在网络安全的首要位置。希望通过本文对企业网站安全防护措施的介绍,可以协助企业形成一套完整的,闭环的网站安全防护体系,为企业的网站安全保驾护航。 【参考文献】: [1]黄小龙,Web网页安全策略的研究及其实现方案,科学技术创新,2019。 [2]贺静,针对计算机网络信息安全和防护措施探究,中国高新区,2018。 本文来源:https://www.dywdw.cn/556c416f340cba1aa8114431b90d6c85ec3a8889.html
下载此文档
搜索文档
阅读:
文档下载
2022-05-24
