网站安全防护策略
◆罗传军 武国良 王 琪
【摘 要】摘要:网站是各单位树立形象和扩大社会影响的有效工具,安全防护是其必须解决的重要问题。本文分析了网站常见安全隐患,从安全设备、网站建设、网站管理三方面阐述了防护策略。 【期刊名称】网络安全技术与应用 【年(卷),期】2016(000)012 【总页数】2
【关键词】网站安全;安全设备;网站建设;管理制度
0 引言
互联网已经成为人们工作和生活不可或缺的部分,网站在各单位发挥着重要的作用。网站处于互联网的相对开放环境中,病毒木马和恶意代码网上肆虐,网站本身存在漏洞和安全隐患,容易被植入木马程序、系统管理员账户和数据库账户易泄露、服务器易被上传非法网站内容。黑客入侵和篡改网站的安全事件时有发生,造成了重大经济损失和形象损坏。网站安全防护策略需从网站的安全设备、网站建设、网站管理三方面设计,保障网站安全运行。
1 安全设备
网站一般放置在互联网DMZ区,该区是对外提供服务的区域,面临来自互联网的各种主动攻击,如黑客扫描和渗透攻击、病毒或蠕虫侵袭、DDoS/DoS攻击、Web相关攻击、SQL注入等【1】,需要进行重点防护。为有效保护网站的安全性、可用性、稳定性,应加强安全设备建设,如图1所示。主要包括部署防Ddos攻击系统、Web应用防火墙、入侵防御系统、网页防篡改系统、网
络防病毒系统、堡垒机、审计系统。
防DDoS攻击系统在吞吐量、最大新建连接数、http并发连接数等性能方面要求较高,以串联部署方式为主,可将设备管理功能与业务流量处理分离。防DDoS攻击系统针对SYN Flood、ACK Flood、ICMP Flood等流量型攻击,Smurf、Fragment Flood等漏洞型攻击,HTTP Proxy Flood、CC Proxy Flood等连接型攻击进行有效识别和过滤【2】。防DDoS攻击系统应具备对连接耗尽型攻击的防御能力,利用TCP重传等机制实现自我防护。入侵防护系统集成了网络数据包分析系统、风险特征库、网络响应系统等多种内在安全措施,通过设置检测与阻断策略,对流经入侵防御系统的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断。应用防火墙包含目的地址、源地址转换功能,实现真实地址隐藏。对网站、应用、文件等实施带宽分配和流量控制。通过分析应用层的用户请求数据,如URL、参数、链接,可以有效地保护Web站点和应用免受来自于应用层的攻击,对网站内容过滤,实现文件过滤上传与下载。 防篡改系统分析网站的静态网页和动态网页,可以杜绝篡改内容流出,实现Web页面自动恢复。防病毒软件病毒库及时更新,实时监控病毒、木马、广告软件、恶意插件,对多层数的存档和压缩格式包内病毒扫描和清除。审计系统通过syslog、snmp、agent代理等多种方式对各类网络设备、操作系统、安全设备、数据库等实现日志收集,实现各类系统日志、事件等信息的审计。 日志收集完成后,可实现统一的分析、查询,为整体安全提供安全指导意见。堡垒机为多个用户与业务系统提供了安全记录与处理平台,记录地址、端口、操作指令、访问结果等消息,支持telnet、ssh等远程终端服务,具有密码、动态口令、指纹识别等多种认证方式。
2 网站建设
若网站代码漏洞多、用户名及密码简单、系统权限大,网站架构存在问题,运行时将存在安全隐患。网站应统一管理建设,建立独立的信息发布平台,web发布平台和数据库分离,管理员合理设置网站权限。
网站安全建设覆盖了网站计划、设计、实现、测试以及运行各阶段,应与网站建设同步进行。网站计划、设计阶段,需分析所有潜在威胁,确定网站访问控制、信息加密、审计跟踪等安全需求,确定安全策略。网站实现阶段,网站开发者应使用最新的漏洞较少的网页设计语言,设计时充分考虑网站架构的合理性、技术的先进性和网站的安全性,要防止开发公司技术人员故意保留漏洞,确保最终网站的安全。网站测试阶段,必须充分进行功能、压力测试,还应对系统安全性能、操作流程、应急方案等重要安全指标测试,测试结果存档。网站在正式使用前请专业公司进行安全评测,通过评测的网站才正式上线发布。 定期采用漏洞扫描设备进行漏洞扫描,服务器操作系统升级成稳定的最高版本,并及时更新操作系统补丁,能够对最新漏洞进行发现,应对最新漏洞风险。关掉无关服务、修改密码为强密码、修改系统或服务配置、打补丁、升级软件版本、设置合理的安全访问策略,增强网站部署系统环境安全。
3 网站管理
完善网站运维安全管理,包括制定网站运维人员管理制度、网站信息安全通报制度、网站值班制度、安全责任追究制度等,定期对各项制度的落实情况进行自查和监督检查。网站安全管理应确定总体目标,保护网站信息系统的所有通讯网络设备、服务器、软件和数据等资源的安全,确保网站提供安全高效稳定的服务。安全管理制度不定期根据网站安全风险进行完善,保证制度符合实际
网站安全防护策略
