随着信息化的发展,政府以及大型企业的对外宣传及服务、对内办公逐渐向Web上迁移,从而出现了众多的门户网站以及业务系统。随着这些网站及业务系统与政府、企业的形象及业务的不断融合,其重要程度也不断提升,尤其是在垂直行业中更为重要。因此,网站和业务系统也成为黑客的主要攻击目标。本文既是围绕垂直行业的门户网站及业务系统的安全建设展开。为了表达上的简洁,后文所提到的网站无特殊说明均是指广义上的网站——以http/https协议进行通信并使用浏览器进行访问的系统,既包含门户网站及业务系统。
垂直行业的网站有哪些问题?
1. 篡改问题:篡改主要集中在门户网站以及对外提供服务的业务系统,而且一旦发生篡改,影响范围较广,是管理人员普遍关心的问题。
2. 数据泄露:数据泄露从途径可以分为两大类,一种为通过外部攻击者通过攻击对外提供服务的网站非法获取数据,此类途径泄露的数据往往涉及用户个人信息;第二种则是内部业务系统的数据泄露,而此类数据泄露同样也会引起严重问题。例如某大型公司就出现过此类问题,刚刚上线的新HR系统,第二天全员的工资情况及股权分配情况则被公布,引起公司“大地震”……
3. 其他问题:除了篡改、数据泄露外,网站还面临许多问题,比如钓鱼、挂马、暗链、敏感词等等。而这些攻击往往也具备某些行业特征,例如钓鱼就可能在金融类行业比较严重;又例如在每年的7月份,招生类网站的钓鱼情况会大幅升高。政府网站的暗链情况较其他行业更为严重等。
造成这些问题的原因有哪些?
1. 配置不当
对于在垂直行业内有多年运维经验的管理人员来说,配置核查的重要性不言而喻。而配置核查的目的就是为了达到安全基线。简单来说所谓安全基线规范,是为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准,是一套统一的安全设置指标。类比于木桶原理,安全基线就相当于木桶的最短板,是最基本的安全要求。而这最基本的要求在实现上却问题重重。
2. 漏洞缺乏管理
从计算机诞生开始漏洞就一直是安全的天敌,绝大多数的网络攻击是利用漏洞发起的。而漏洞缺乏管理是一个统称,其包含两大方面:漏洞数量众多且频发更新,管理人员很难及时发现;由于技术或安全意识不足,导致发现后未能及时修复
3. 弱口令
弱口令往往是管理员的一个噩梦,有些是管理员自身的疏忽,比如图例中某省的人口流动管理系统,可利用用户名:ldrk,密码:ldrk,登录查看多市的流动人口情况。而更多的则是垂直行业内部用户的弱口令,123456、000000等均是常用口令。其他的并不一一列举。
4. 安全“外刚内柔”
据统计80%的网络攻击来源自内部,这种“内部”攻击分为两种情况,一种是内部人员由于操作不当,个人电脑被黑客控制,从而被动地成为黑客攻击的跳板。第二种则是内部人员的有意为之,垂直行业内部用户众多,此类情况更容易发生。而实际上,大量的防御设备均部署在边界,内部疏于防范。从而导致一旦边界失守,或内部发起攻击,服务器往往轻易沦陷。
对于垂直行业网站国家的政策要求
国家对网站安全提出过多个文件,其中最应该关注的应该是去年9月30日四部委联合发布的“网站安全专项政治行动方案”,该方案除了对“党政机关、事业单位和国有企业”提出了行动要求外,其实还包括了很多具体的安全建议。核心内容如下:
其中的“网站统一管理、统一防护、统一监测”,”查找网站安全隐患并及时整改”等内容,都体现了国家相关安全部门对于网站安全的思考。
讲过了垂直行业网站安全目前的问题、造成问题的原因以及国家的相应政策,下面将要讲一讲在垂直行业被广泛接受的监控预警与态势感知平台的应用。但需要明确的是,没有绝对的安全,安全的本质还是(至少目前还是)增加攻击的成本。本文也是在一定限度上,利用一些安全圈比较热门的技术理念来解决垂直行业的网站在运行时遇到的某几类问题。
解决之道:监控预警与态势感知平台的应用
习大大在“网络安全和信息化工作座谈会”上说过——“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓‘聪者听于无声,明者见于未形’。感知网络安全态势是最基本最基础的工作”。
习大大在“419”会议上提出的内容,拥有丰富的理论基础。而这个理论基础则是安全正从传统的以防护为核心朝两个方向发展——风险控制与态势感知。
基于这个理论,也引出了相应的应对策略,即垂直行业网站的监控预警与态势感知方案。
典型的拓扑如下:
在安全管理区部署监控预警与态势感知总控中心,作为大数据汇总分析、统一呈现以及策略下发平台;并在各含有服务器的安全域以分布式方式部署探针,作为检测引擎进行数据采集;在服务器区前部署Web防护设备以及边界部署抗D等设备,进行攻击防御的同时将攻击情况发送给总控中心。
各分支机构通常只承担建设各自门户网站,对于分支机构的网站有两种监控方式:1.总部增加引擎数量,批量导入分支域名或IP,实现无感知远程监测。2.各分支部署探针,在监测的同时进行防御。
方案核心能力
本方案包含四大核心能力,分别为资产发现及管理能力、监控能力、安全基线配置核查能力、攻击防护能力。
资产发现通过在网络总出口或各安全域旁路部署的探针,通过流量学习自动发现内部网站,并能进行被动的Webshell检测。从而发现内部私搭滥建网站以及网站后门。
日常的监控包括三大类——合规性检查、风险控制、以及态势感知。其中态势感知中的攻击监测需要与防御设备联动。通过监控能力,及时发现篡改、弱口令、钓鱼、木马、后门、可用性等网站常见问题。
安全基线核查部分通过各安全域部署的探针引擎或者单独的可移动检测设备均可实现。安全基线方面,主要以合作方OWASP的各类安全基线为主,同时支持定制本行业的安全基线。
攻击防护主要以各安全域及边界部署的防御设备与管控中心联动,实现以管控中心为大脑来控制手和脚(防御设备)的统一协作能力。实现对于外部以及内部攻击的防御。
通过该方案的建设,来帮助垂直行业的信息中心建立起一套针对其网站的监控预警与态势感知系统。从而实现2562号文件中所提及的“网站统一管理、统一防护、统一检测”、“满足等保要求”、“安全事件通报”。并解决基线核查、内部攻击、篡改、数据泄露等问题。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
2017合肥网络安全大会:以技术创新驱动产业发展
合肥市高新区、新华三及来自IDC的领导接受媒体采访,就新时期下网络安全的发展走势及技术如何驱动产业和区域经济发展等话题进行相关探讨。
-
安全与性能可以兼得:优化SSL/TLS保障网站安全
如今,HTTPS更快也更安全,使用HTTPS的企业网站也比以往更多。尽管Web开发人员或网络架构师忙碌依旧,却很难跟上互联网技术的最新发展……
-
构建开源安全工具包的正确姿势
企业开源安全工具包中的工具越多,企业就能更好地保护其数据,而不会受到特定开源安全程序中漏洞的影响……
-
安全宝入驻新浪云计算平台构建安全Web开发环境
安全宝于近日同新浪达成合作,并正式入驻新浪云计算平台,以整合新浪的云计算平台优势与安全宝的网站安全保护优势。