通用_网站安全防护方案.docx

网站安全防护解决方案杭州迪普科技有限公司2012年11月一、需求分析1、Web安全现状随着市场需求以及产业的发展，互联网已迈进Web应用时代。如今，Web业务平台已经在电信信息化中得到广泛应用，很多都将应用架设在Web平台上，在通过浏览器方式实现展现与交互的同时，用户的业务系统所受到的威胁也随之而来，并且随着业务系统的复杂化及互联网环境的变化，所受威胁也在飞速增长。Web业务的迅速发展同时引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。近几年，国内因为Web安全漏洞引发的安全事件常有发生，从电信网站、到互动社区，都受到来自黑客的攻击，攻击事件造成的经济损失及影响极大。电信在向客户提供通过浏览器访问电信业务信息功能的同时，电信所面临的风险在不断增加。随着Web应用程序的增多和网络技术的发展，Web应用所带来的安全漏洞越来越多，同时，被用来进行攻击的黑客攻击也越来越多，伴随而来的是在经济利益的驱动下，黑客活动主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显。2、Web系统安全问题总结Web系统安全形势堪忧，究其原因，主要是因为存在以下几个方面的问题：大多数Web系统设计，只关注正常应用，未关注代码安全一个Web系统设计者更多地考虑满足用户应用，如何实现业务。很少考虑Web系统开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、系统维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个网站取样测试，检测到有11.3%存在SQL注入漏洞。黑客入侵后，未及时发现有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了Web系统的控制权限。可怕的是，通常黑客在获取Web系统的控制权限之后，并不暴露自己，而是持续利用所控制Web系统产生直接利益。如网页挂马就是一种利用网站，给访问者种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。被种植木马的人通常是在不知情的情况下，被黑客窃取了自身的机密信息。这样，网站成了黑客散布木马的一个渠道：Web系统本身虽然能够提供正常服务，但Web系统的访问者却遭受着持续的危害。Web系统防御措施滞后，甚至没有真正的防御大多数防御传统访问控制，入侵防御设备，保护Web系统抵御黑客攻击的效果不佳。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击，防火墙束手无策，甚至是基于特征匹配技术的检测产品，也由于这类攻击特征不唯一性，不能精确阻断攻击。因此，导致目前有很多黑客将SQL注入，XSS攻击作为入侵Web系统的首选攻击技术。Web系统防御不佳另一个原因是，有很多系统管理员对Web系统的价值认识仅仅是一台服务器或者是系统的建设成本，为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际Web系统遭受攻击之后，带来的间接损失往往不能用一个服务器或者是Web系统建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多拥有网站的组织和个人，只有在Web系统遭受攻击后，造成的损失远超过Web系统本身造价之后才意识Web系统安全问题的严重性。目前针对Web攻击的常用防护手段发现安全问题不能彻底解决Web系统技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的Web系统开发与设计公司，Web系统安全代码设计方面了解甚少，发现Web系统安全存在问题和漏洞，其修补方式只能停留在页面修复，很难针对Web系统具体的漏洞原理对源代码进行改造。这些也是为什么有些Web系统安装网页防篡改、Web系统恢复软件后仍然遭受攻击。我们在一次Web系统安全检查过程中，曾经戏剧化的发现，Web系统的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解Web系统安全漏洞解决的问题是否彻底。3、网站安全建设思路目前，网络安全建设主要是由防火墙、入侵检测构成的两层防护体系。出现如此严峻的网站安全问题，充分说明了该体系对于网站篡改攻击防范的局限性。FBI统计表明：95%攻击是通过Web进行的，国际权威调研机构Gartner的最新调查显示：互联网信息安全攻击有75%都是发生在Web 应用而非网络层面上，即Web应用是黑客攻击的主要目标。同时，数据也显示三分之二的Web 站点都相当