应用安全技术的描述有很多,国内大多信息安全公司也大呼“全民进入了应用安全时代”,似乎只有应用安全才是信息时代未来的关键。深究一下,到底应用安全指什么,最终用户到底需要什么样的Web应用安全,笔者从事信息安全十余载,站在一个客观角度来给每个用户进行分析。
下一代移动互联,物联网,三网融合,云计算,几乎每个互联网产业都有应用有着密不可分的联系,传统的网站系统、邮件系统、微博、电子商务、电子政务应用更离不开应用安全,应用安全几乎渗透了每个角落,在“网络安全”、“信息安全”进入高速发展阶段,应用安全领域正异军突起,成为信息安全中最具活力的生力军。然而应用安全又涉及到应用系统的多个方面,复杂性程度高,稍不留意,要么影响应用系统性能,要么留有安全隐患。什么样的安全解决方案符合客户自身需要,把风险控制在可接受的范围内,又能够不影响性能,资金投入控制适中,不至于浪费。
我们把用户的应用归为几类,并分别结合国家公安部等级保护进行方案设计,下面先把涉及到的几类安全产品功能进行简单描述。
WebGuard网页防篡改产品,分为静态防护和动态防护。静态防护为基本模块,主要是对网站操作系统漏洞风险或网站发布系统漏洞对网站中相关文件造成威胁而进行的保护措施,保护对象如网站框架文件、图片、视频等,可以做到即使网站遭受到恶意攻击,也可以确保网站主体文件不受篡改。
动态防护模块主要针对网站的数据库操作进行防护,目前大多网站均涉及到复杂的数据库应用,里面涉及到用户重要数据,这类篡改事件也时有发生,如某政府国家级资质认证查询数据库常遭受攻击篡改,这和目前猖獗的证书造假黑色产业链联系紧密,制作了个假证书确在官网上能查询到,自然售价和可信度高,这类犯法事件时有发生,还衍生到教育领域学校招生等,干扰正常秩序。此外,还有盗取网站用户信息进行恶意传播兜售,均涉及到数据库安全,动态防护模块对此类攻击进行有效保护。
WAF(Web Application Firewall,网站应用防火墙)这个系统是网站防护的硬件解决方案,串联在网站的出口,对来自互联网80端口的恶意访问攻击进行防护,常见攻击有注入、跨站、DDos等。WAF系统还涉及到了事前评估技术,对网站进行扫描,事先发现风险进行修复,可以防止90%以上的已知漏洞攻击。这个系统可以和防篡改系统部分功能替代,如可以替代防篡改的动态模块,但DDos攻击等动态防护模块是无法替代的。
硬件解决方案在大多情况下有一定的优势,但也存在不足,不能对文件进行保护,硬件的性能成为该类解决方案的瓶颈。如用户网站服务器配置很高,性能很好,而WAF系统配置相对不高,所以选择时要注意考虑WAF的性能指标,而不要一味追求低价而影响到网站性能。
下图反应了攻击过程所造成的影响进行了详细拆解,帮助用户进行准确的判断分析。
目前国内网站主要涉及到几个领域:电信运营商、政府、金融、证券、电子商务、教育、企事业单位。按照等级保护防护要求,除个别网站系统三级之外,大多属于二级或一级。按照网站安全事件大多以下几类。
1、网站上出现恶意的非法信息;
i. 各类疆独、藏独、法轮功等反动言论;
ii. 色情、暴力、赌博等信息;
iii. 政府政策虚假信息、金融非法言论、谣言等;
2、 网站遭受大量挂马攻击(通过网站挂马传播木马已经占到木马传播总量的 90%以上,黑客产业链发达,大多受经济利益驱动。);
i. 反动组织的间谍软件;
ii. 各类帐号信息盗取类;
iii. 文件盗取类;
iv. 恶意破坏类;
v. 挂马隐蔽性较强且长期潜伏,使得木马变种传播更为猖獗;
3、 网站的漏洞百出,遭受恶意篡改;
i. 页面完全篡改;
ii. 部分内容篡改;
iii. 数据库内容恶意删除或破坏;
大多用户遭受攻击所造成的影响是信誉受损、政治风险、经济利益受损。综上所述,我们进行量身解决方案定制。
以上主要涉及到外部安全攻击防护,对于具有大量内部服务器,除了web服务器,还涉及到数据库服务器、生产服务器、各类OA、文件服务器,如何实现规范化管理,杜绝内部安全隐患,需要进行安全运维审计系统的部署,结合电信行业4A标准以及国际金融法案进行必要的安全防护,这类解决方案主要根据服务器数量及应用规模,外部运维团队规模等进行相应解决方案选择。安全运维审计系统综合了国内最先进的防护理念,实现了精细化管理、规范化管理、流程化管理等多个角度,清晰人性化的操作界面得到国内广泛应用。
应用安全随着国内外安全技术的发展,黑客技术的发展,互联网应用的发展,总体可以说是任重而道远。
【编辑推荐】
