Web系统网络安全分析及应对方式.docVIP

Web系统网络安全分析及应对方式 　　摘 要 随着基于web环境的应用类型的日益丰富，而其Web应用系统多处于互联网这样一个相对开放的环境中，使得网络安全问题变得愈发凸显。本文针对基于WEB系统的网络安全防护并结合新疆人民广播电台的部署情况，分析了Web应用系统受到的安全威胁，并详述了如何针对安全威胁进行多层次、全面安全防护的方式。 　　关键词 Web安全；WAF；防篡改 　　中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2015）144-0037-02 　　1 WEB系统面临的典型网络安全威胁 　　近年来，我台的Web 应用系统功能日趋丰富，但网站网站安全保障能力还相对薄弱，多次成为网络攻击的目标，造成网站服务中断，主页内容被篡改，系统数据丢失等安全事件。针对各类WEB系统的攻击（如DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等）正在日趋泛滥，使得我们在以下几个方面的安全威胁日趋严峻。 　　1.1 页面被篡改 　　广播电台网站作为本地媒体信息对外发布的交互平台，代表了广播电台自身的社会形象，如果网站页面被篡改，如出现反动言论、不良画面或者造假数据等信息，不仅将影响正常业务的开展，更会给广播电台及宣传媒体的形象及信誉带来极其不好的影响。 　　1.2 网站被挂马 　　网页挂马近年来一直是广播电台网站面临的最严重的安全威胁之一，尤其在重要宣传时期，一旦访问被挂马的网站，就会受到恶意木马的入侵感染而受到恶意攻击者的远程控制，给网站造成严重的利益损害。 　　1.3 服务被攻击 　　目前，广播电台对Web依赖性日益加强，办公、文稿、媒资系统都借助网络进行运行，一旦受到拒绝服务攻击将造成服务瘫痪、终止，会严重影响台里的正常业务工作。 　　由此可见，复杂多样的Web安全问题，使得广播电台网站潜在着巨大的安全隐患和风险，也是信息化安全建设过程中亟需解决的重要问题之一。 　　2 WEB系统的网络安全应对方案 　　随着针对WEB系统的网络攻击的愈发频繁，只针对网络层面和终端层面防护手段的安全防护效果愈发不理想，总是处于一种非常被动的状态，针对终端层面的防病毒解决方案并不能解决目前WEB系统不断变化升级的安全威胁。因此我台根据安全事件的事前、事中、事后三个时间周期，通过预防威胁、处理威胁以及分析威胁和网页防篡改和优化安全策略三个方面将网络安全体系进行不断的良性循环。现将方案做如下详细介绍。 　　2.1 事前――网络区域的划分，网站漏洞扫描 　　2.1.1 网络区域的划分 　　为了更好地进行安全防护，我台将内部网络规划为多个网络区域，不同业务系统根据业务需要部署在不同的网络区域内，在不同区域上通不同防护技术手段进行多层次的安全防护。通过部署防火墙，将网络分为三个区域，互联网外网、对外服务区、内部数据中心， 　　互联网外网通过出口路由器进行网络互联，完成内外网的互联互通。 WEB服务器区部署在外网防火墙的DMZ区域，内部数据中心部署在内网防火墙的内部区域。 　　互联网和对外发布网络之间部署外部防火墙，在防火墙上部署NAT地址转换协议，完成对外发布服务器集群的NAT映射和互联网访问的NAT转换。同时，防火墙的部署让内部地址相对外部做到了有效的保护和隔离，使内部网络的IP不会轻易被外部网络进行探测和攻击。同时在网络攻击的检测和防护功能方面，防火墙进行了显著地加强，通过部署相应的安全防护策略有效地保护内部网络，确保内部网络及相关系统的正常运行。 　　在对外服务器区和内部数据中心之间部署内部防火墙，防火墙采用透明桥接方式，部署严格的安全策略控制。通过网络区域的划分，将内部数据库隐藏在数据中心的安全区域，对其访问权限进行严格限定，最大限度地保护系统数据库的安全。 　　2.1.2 漏洞扫描 　　通过运用漏洞扫描系统对WEB系统的应用漏洞的扫描，将SQL注入、跨站脚本及决绝服务等WEB常见漏洞进行重点扫描。并且根据业务情况调整漏洞扫描的时间周期。通过扫描结束后自动生成全网站漏洞分析报告，直观地了解到网站存在的安全漏洞情况，并根据漏洞安全报告针对WEB系统的进行相关系统的修补工作。 　　2.2 事中――WAF的部署 　　网络边界防火墙虽然是网络安全策略中不可缺少的重要模块，但受限于自身的产品架构和功能，无法对千变万化的Web应用攻击提供周密而完善的解决方案。因此，在We b 服务区边界，部署了一台WEB应用防火墙（WAF），WAF通过检测引擎进行协议分析、模式识别、URL过滤技术、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击，从而实现防SQL注入、防跨站攻击等安全防护。 　　为了使WEB防护更具有针对性，同时又不影响DMZ区域内WEB以外其