网站入侵方式与防护机理.docxVIP

网站入侵方式与防护机理 安全态势： 1、“互联网+”安全背景 2、网络安全政策背景 3、网络安全现状 现行网站面临的安全痛点 1、网络架构演进 现行的网络架构正在从传统架构向融合架构演进，云计算平台已是大势所趋，由于网络已经虚拟化，无法简单的通过部署硬件防护设备和扩容来应对云环境下大流量的攻击，因此需要新的技术手段来解决云平台下的安全问题； 2、DDoS规模化 电子商务、游戏和政务网站等由于各自行业的特点，经常遭受大规模的拒绝服务攻击，靠单点自身部署的安全防护设备和自身资源无法解决问题； 3、网站节点单一 现有网站内容发布仅有单一节点，在业务高峰期可能导致访问速度下降，甚至无法访问，需要借助CDN和智能DNS技术将内容实现多点发布和缓存，通过就近原则访问需要的资源，避免单一节点攻击而影响业务； 4、防护设备更新不及时 现有WEB安全防护主要是前端部署WEB应用防火墙（WAF），其识别和防御攻击的效果主要依赖于现有的规则库，随着攻击手段的不断提高，需要在运行过程中实施升级和调整规则库，现有WAF防火墙大部分是信息孤岛，无法实时根据攻击特点全网同步安全规则，随着时间推移，防御效果会明显下降。 5、安全攻击上升至应用层 据有关调查显示，目前成功的攻击案例中有75%发生在应用层。这些攻击这么有效的原因是黑客们成功绕过了过去10年安全人员实施的所有以网络为中心的控制措施，如防火墙、IDS、IPS。 传统防火墙工作在OSI模型的三、四层，不能理解HTTP协议所承载的数据，也无从判断对Web应用服务器的访问行为是否合法，防火墙完全向外部网络开放HTTP应用端口。市面上大部分DDoS防火墙对应用层DDoS的防御效果很不理想。 以Web应用攻击为例，传统防火墙为了保护Web服务器所包含的规则是通过阻止所有非预期数据流，仅允许流量通过80和443端口。不幸的是，防火墙不能区分出80端口中的哪些数据流是预期数据流，哪些是非预期的。 IDS/IPS入侵检测系统作为防火墙的有力补充，加强了网络的安全防御能力。但是，入侵检测使用消极防御模型，基于已知漏洞和攻击行为形成特征进行比对从而实现的防护，需要预先构造攻击特征库来匹配网络数据，对于未知攻击和不能有效提取攻击特征的攻击，入侵检测系统不能检测和防御。对于应用攻击，入侵防御系统可以有效的防御部分攻击，但不是全部。 6、后知后觉的网页防篡改 基于服务器端的网页防篡改应用程序对攻击行为并不进行分析和识别，属于事后缓解攻击危害的产品，不会阻止攻击的发生。 三、应对思路 为最大限度的解决上述痛点，建议依靠安全云防护平台，该平台的架构须采用能够动态在线持续改进的先进技术和高效攻击识别算法，具备网站CDN加速、域名知能解析、网站应用攻击防御和抗DDOS四大功能，并且防御系统应合理的分布在全国各地，形成有效的分布式布署，真正地做到在攻击的源头进行阻击。 应对策略 替身云防护 通过强大的云端防御系统替代用户网络真实地址承受来自黑客及恶意攻击者的探测、攻击，帮助政企网站在一次基于域名配置的轻量级部署模式下，建立起强大的云盾替身防御体系。 图3-1 替身防御示意图 图3-2 中测云盾替身防护示意图 云Web应用防护系统 通过与领先的硬件Web应用防火墙提供商合作，针对用户所面临的安全问题，监控HTTP/HTTPS双向流量，通过防御引擎、防护策略、行为规则的多层次安全防护模型分析来识别定位攻击行为，提供便捷有效的全方位防护功能，充分保障Web应用的安全性和高可用性、连续性。 防攻击 全面覆盖黑客对Web应用的攻击，如SQL注入攻击、XSS跨站攻击、CSRF跨站请求伪造等。 在事前，“SQL注入漏洞防护策略”、“XSS跨站攻击防护策略”、“Web应用缺陷防护策略”可避免黑客进行攻击前的安全性测试。 在事中，“URL权限控制策略”可中断攻击行为，阻止每个恶意请求，“上传文件限制策略”可阻止黑客通过非法手段上传恶意程序，“Web应用缺陷防护策略”持续对抗攻击行为。 在事后，“后门检测策略”可发现成功入侵的痕迹，通过“URL权限控制策略”限制黑客无法再次通过管理后台、后门进行入侵。 防泄露 对政企网站中的敏感信息、服务器信息进行屏蔽或伪装，达到避免数据泄露的隐患。成功的攻击往往需要利用服务器的IP、操作系统信息、应用信息、服务器出错信息、数据库出错信息，中测云盾接管所有返回给用户端的信息，并可中止会话，避免黑客利用敏感信息及服务器信息发动社会工程学攻击等各类攻击行为。 3.2.3 防暗链 中测云盾系统内置针对当前流行的暗链攻击恶意指纹库，在服务器端已被植入暗链的情况下可精准识别并进行及时报警，协助管理员清除暗链代码。 防盗链 中测云盾通过实现URL级别的访问控制，对用