网站安全问题及其防护措施分析.docVIP

网站安全问题及其防护措施分析摘要：随着互联网应用的增多，网络安全问题也日益突出。“信息化程度越高，国家安全、社会安全面临的风险就越大。”在2008年3月5日召开的第十一届全国人民代表大会上，信息安全等级保护制度的落实和实施再次成为两会代表们建言的核心内容。那么如何来保护网站不会遭到攻击呢?随着攻击向应用层发展，网络中的WEB应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防护设备――WEB专用应用防御系统来解决。它需要通过执行应用会话内部的请求来处理应用层，专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。 关键词：防护；SQL注入；攻击；应用层；WEB专用应用防御系统 中图分类号：TP393.08　文献标识码：A　文章编号：1672-3198(2009)04-0271-01 随着互联网应用的增多，网络安全问题也日益突出。“信息化程度越高，国家安全、社会安全面临的风险就越大。”在3月5日召开的第十一届全国人民代表大会上，信息安全等级保护制度的落实和实施再次成为两会代表们建言的核心内容。 CNNIC统计显示的07年上半年TCP协议流量端口排名，HTTP80端口服务居第1位，占所有业务的23.97％，网页服务网站已成为网上交流的最重要的手段。网站安全问题已成为网络防护的主要问题。由于Web架构在成本与应用能力方面的优势，越来越多的企业和机构将应用迁移到基于Web的架构。Web应用已经从最初提供简单的静态内容演变到提供丰富的动态内容，还可以同数据库进行通信以生成对用户有用的内容，这些都为攻击提供了机会。 2007年上半年抽样监测发现我国大陆约有3百多万个IP地址的主机被植入僵尸程序。2007年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT／CC监测到中国大陆被篡改网站总数达到28367个，比去年全年增加了近16％。CNCERT／CC在2007年上半年抽样监测。境内外控制者利用木马控制端对主机进行控制的事件中。木马控制端IP地址总数为209949个，被控制端IP地址总数为1863753个。 怎样来构建一个安全的Web应用平台呢?Web设计人员首先必须在Web应用的每个层面精心设计安全性。但是，许多企业在设计Web应用时，Web设计人员并未全面考虑安全性。从实际的案例中，我们发现。大部分被攻击的网站也都有防火墙防护。但由于黑客多采用SQL代码注入等协议层的攻击，以及采用大规模僵尸网络DDOS攻击，对于这类攻击，防火墙则显得无能为力。 其根本的原因是，传统的防火墙设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤(基于TCP／IP报文头部的ACL)实现访问控制的功能I通过状态包过滤防火墙可以保证内部网络不会被外部网络非法接入，而应用层攻击的特征在网络层次上是无法检测出来的。 目前常见的Web攻击主要分为三类；一是利用web服务器的漏洞进行攻击，如CGI缓冲区溢出、目录遍历漏洞等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入、跨站脚本攻击、Cookie假冒、认证逃避、非法输入、强制访问、隐藏变量篡改等；三是利用僵尸网络的分布式DOS攻击，造成网站拒绝服务。利用网上随处可见的攻击软件，攻击者甚至不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。 随着网络攻击向应用层发展，网络中的WEB应用部署面临的安全问题现在可以通过一种全新设计的高性能防护应用层攻击的安全防护设备――WEB专用应用防御系统来解决。它需要通过执行应用会话内部的请求来处理应用层，专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。Web应用层防御系统可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。 下面简单的介绍一下WEB专用应用防御系统的几个主要功能： 1　恶意代码主动防御 利用信任链机制，对系统中所有装载的可执行文件代码(例如,EXE、DLL、COM等)进行控制，所有可执行文件代码在加载运行之间都需要先经过检验，只有通过验证的代码才可