随着互联网技术的广泛应用,政府、企业、新闻、社交、娱乐等各类网站已经融入到人们的生活。然而近年来,网站面临的安全问题越来越复杂,安全威胁日益严峻,突出表现如下:
web应用防御能力差,频繁遭受SQL注入,网站被恶意挂马、网站敏感数据被非法篡改,影响了网站所有者的声誉和形象。
网站敏感数据缺乏有效的安全防护措施,一旦数据库被通过XSS漏洞入侵,将直接导致网站用户账号、口令等敏感信息泄露。
网站主页通常承载着后台业务系统管理入口,但其接入访问控制能力较弱,往往成为黑客侵入内部服务器的“跳板”,进而窃取敏感数据或对内网发动恶意攻击。
网站管理人员身份的真实合法性无法进行有效鉴别,采用用户名结合口令的方式登录,易遭受社会工程学攻击,操作人员身份很容易被假冒和伪造。
网站频繁遭受拒绝服务攻击,页面迟迟打不开,无法正常访问。
缺乏有效的内容审核、应急处置等管理措施,网站安全管理制度不完善,存在安全隐患。
针对网站面临的各种安全威胁,现有的应对方案大多采用边界防火墙、防病毒网关及IDS/IPS等网络安全设备进行安全防护,但是由于这些网络安全产品技术实现的固有缺陷,无法从根本上解决网站安全问题。
防火墙:为了保证正常访问,80和443应用端口是始终开放的,防火墙可以阻挡对网站其他服务端口的访问,但对于通过HTTP服务端口发送到Web应用程序的恶意攻击行为,防火墙并不能识别和阻止。
IDS/IPS:IDS、IPS的原理都是基于策略库或特征库,只能对网络传输中已知具有违法行为特征的信息进行检测和阻断,但无法对具有安全威胁的合法输入中隐含的入侵行为进行防御。
防病毒:防病毒系统无法识别网页中存在的恶意代码,即网页木马。由于网页木马通常表现为网页程序中的一段正常的脚本,只有在被执行的时候才可能去下载有害的程序或直接盗取受害访问者的隐私,因此对于Web应用程序中的漏洞,防病毒系统难以识别。
漏洞扫描工具:在查找和修补网站的操作系统漏洞、数据库漏洞、发布系统等漏洞方面,漏扫系统发挥了很大作用,但是由于Web应用程序漏洞并非某一特定软件或者服务器上的漏洞,通常需要通过人工审核才可能准确定位,因此漏扫工具对Web漏洞的识别极其有限。
综上所述,仅依靠漏洞扫描、防病毒、IDS/IPS等现有的应对方案是难以真正保障网站安全,信息防篡改、信息安全传输、信息安全存储、身份识别等仍是互联网网站的薄弱环节,只有从网络安全、应用安全、主机安全、数据安全等多个角度进行综合安全防护,才能从根本上解决网站安全问题。
山东渔翁信息技术股份有限公司深入分析国内网站的业务特性、网络特点、管理要求,以具有自主知识产权的网站专用身份认证系统为核心,采用网站专用安全接入网关、网站后台数据库加密服务器等密码产品,结合WEB应用防火墙、网页防篡改系统等网站安全防护产品,提出多层次、立体式的网站安全整体解决方案,有效解决网站存在的安全短板、防护缺陷等问题,实现网站信息资源的可靠、可用、可管、可控、可审计,保证网站信息的机密性、完整性和操作行为的不可抵赖性。
实现网络安全、主机安全、应用安全、数据安全多维度安全防护,构建多层次、立体式的安全防御体系。
通过网站专用身份认证系统,实现网站身份认证、权限管理和责任认定,构建可信的网络信任体系。
坚固的Web应用安全防护,具备防SQL注入、防篡改、防跨站、防挂马、防暗链等能力,达到全方位网页防篡改的效果。
采用网站专用数据库加密服务器对敏感数据加密存储,有效降低数据安全风险。
健全的网站安全管理体系,做到技术和管理的有效结合,增强网站整体防护能力。
对网络层、主机层、应用层、数据层进行多维度实时防护,有效降低网站整体安全风险,提高安全等级。
采用身份认证、数据加密、系统防御等安全措施,全方位保障网站的可用性和可靠性。
建立规范的安全管理机制,提高应急处置能力,保障网站安全有效运行。