層次化防禦保證企業入口網站安全
目前,針對Web的攻擊手段日益增多,拒絕服務攻擊、網路釣魚、SQL注入等等層出不窮,而企業入口網站是企業的“臉面”,如何保證其安全是運維人員、安全管理人員、CIO等需要深思熟慮、全盤考慮的問題。本文將針對這個問題,首先對企業門戶Web系統進行詳細的安全威脅分析,然後給出相應的解決方案的原則和技術,並根據原則來提供具體實施的網路拓撲和部署要點。
一、 企業入口網站系統面臨的威脅
企業入口網站系統在執行安全和資料安全方面面臨著非常大的威脅,主要包括執行安全威脅和資料安全威脅。
(1) 執行安全威脅
主要是指企業入口網站在提供對外服務的過程中,惡意使用者(黑客)可以通過一些公開的服務埠、公開的服務資訊等來組織和實施攻擊,從而使得企業入口網站服務不可用,從而導致其執行安全問題。
主要的攻擊行為包括:惡意使用者採用黑客工具構造惡意報文對暴露在公網的網上系統進行拒絕服務攻擊,甚至是利用多個網路結點形成的殭屍網路,構成分散式拒絕服務攻擊;並且,面臨在遭受攻擊後,由於伺服器側網路架構劃分和隔離措施不嚴謹,黑客可能利用這個部署上的漏洞,而導致整個伺服器機群的癱瘓,比如,由於Web伺服器癱瘓,黑客以Web伺服器為跳板,從而攻擊後臺資料庫伺服器等內閘道器鍵資源等。
(2) 資料安全威脅
主要是指企業入口網站在服務中涉及的使用者資料、通訊資料等由於黑客的竊聽、重定向等,而導致的資料非法洩露。
主要的攻擊行為包括:惡意使用者通過Web瀏覽器的登陸介面對合法使用者的使用者名稱和密碼進行猜測,從而冒充合法使用者進行網頁訪問和系統使用;惡意使用者通過構造非法的、可能被網上系統錯誤識別和執行的程式碼嵌入在提交的表單中,引起不正常的資訊洩露,甚至系統崩潰;惡意使用者可能在傳輸網路中通過非法竊取合法使用者的通訊報文,從而獲得本不應該獲得的敏感資訊;使用者被引導進入其他的非法網站,如現在流行的釣魚網站(phishing)等等,從而在不知情的情況下洩露個人機密資訊,造成經濟損失等。
二、 層次化防禦方案
2.1 設計安全網路拓撲
設計安全的拓撲,是保證企業入口網站安全的第一步,也是非常重要的一步,它可以有效地從網路層和應用層來抵禦外來的攻擊,從而保證執行安全。
其中主要包括如下幾個層面:
(1)網路層防禦
部署防火牆可以有效地進行網路層防禦,阻止外來攻擊,包括拒絕服務攻擊和分散式拒絕服務攻擊,重點過濾惡意流量、突發流量等。更為重要的是:在防火牆上通過有效地使用DMZ(demilitarized zone,非軍事化區),可以將外部網路和內部網路進行有效地隔離,從而達到即時DMZ區域被攻擊,也不會影響到內網資源安全的目的。
在部署過程中,建議採用異構的二路防火牆方式。也就是,使用不同廠家不同型號的兩種防火牆,分別來作為企業的內部和外部防火牆,這樣,能夠很好地達到分離內外網以及安全增強的目的,因為即算一路防火牆被攻擊,也很難影響到二路防火牆,因為黑客需要更多地精力來對不同的防火牆進行分析和實施攻擊行為。
(2)應用層防禦
在防火牆的後面,加入應用層防禦的裝置,如IPS(Intrusion Prevention System,入侵防禦系統)、WAF(Web Application Firewall,應用防火牆)、UTM(Unified Threat Management,統一威脅管理)等,從應用層來對來自外部對企業門戶的網站從應用層(包括URL連結、網頁內容等)進行細粒度的過濾和檢測,出現惡意內容等即進行實時阻斷。並且,對於SQL注入攻擊、緩衝區溢位攻擊、篡改網頁、刪除檔案等也有很好的抑制和阻斷作用。
(3)負載均衡
企業入口網站系統伺服器側需要軍揹負載均衡及負載保護機制。因為,系統面臨著巨大的服務量,伺服器端的裝置基本上都需要有多臺伺服器進行業務分擔,這樣才能提高效能,避免處理瓶頸的出現,因此,需要採用合理的負載均衡和負載保護機制對各伺服器的業務流量進行有效地分擔,可按照Round Robin、LRU(Least Recently Used)等方式來進行負載均衡;另外,負載保護機制需要實時地對每臺伺服器的CPU資源、記憶體資源等進行評估,如果一旦超過設定的閾值(80%或者以上),將馬上進行過載保護,從而保證伺服器自身的安全。
通常,有2種實現方式。一種是購買成熟的硬體負載均衡產品,如F5等來對網站的流量進行控制和分流,以保證後臺各伺服器的流量均衡以及高可用,不過花費較高;一種是通過使用開源系統軟體LVS(Linux Virtual Server,Linux虛擬伺服器)、Nginx(Engine X)等負載均衡軟體來構建應用,這樣可以節約一定的資金。
2.2 強化使用者訪問控制
設計好的訪問控制策略和手段,可以從很大程度上避免非法使用者的訪問,從而保護企業入口網站安全。目前適合企業入口網站的認證方式如下,可以採用一種或者結合幾種方式:
l 使用者名稱+密碼:最為傳統的驗證方式;
l 數字證書:對於重要的Web系統應用,需要根據PKI(Public Key Infrastructure,公鑰體制)機制,驗證使用者提供的證書,從而對使用者身份認證(通常情況下是伺服器對客戶端認證,也可以建立雙向認證,即使用者對伺服器進行認證,以防止假冒的非法網站),並確保交易的不可抵賴性。證書的提供可以採用兩種方式:
1) 檔案證書:儲存在使用者磁碟和檔案系統上,有一定的安全風險;
2) USB裝置儲存的證書:儲存在USB裝置上,安全性很高。
2.3 加密通訊資料
可以採用成熟的SSL(Secure Socket Layer,安全套接字層)機制,來保證Web系統資料的加密傳輸和使用者對Web系統伺服器的驗證。對於使用Web瀏覽器的網上系統應用,採用SSL+數字證書結合的方式(即HTTPS協議),保證通訊資料的加密傳輸,同時也保證了使用者端對伺服器端的認證,避免使用者被冒充合法網站的“釣魚網站”欺騙,從而洩露機密資訊(使用者名稱和密碼等),造成不可挽回的經濟損失。
在使用SSL的過程中,首先需要申請好相應的數字證書。一般來說,有兩種處理方法。
1) 一種是申請權威機構頒發的數字證書,如VeriSign,GlobalSign等機構頒發的數字證書,這需要一定的費用,好處是當前幾乎所有的主流瀏覽器都能夠很好地支援,也就是隻需要在企業入口網站的伺服器上部署該證書即能在客戶端和伺服器端建立SSL加密通道;
2) 另一種是由企業使用OpenSSL等開源工具來生成相應的根證書和伺服器證書,這樣能夠節約一大筆費用,但是缺點是主流瀏覽器並不能很好地支援,需要在客戶端和伺服器端分別部署根證書和伺服器證書,這樣在客戶端非常多的時候不好處理,同時使用者體驗也很差。
2.4 做好風險控制
風險控制是在攻擊發生前對企業入口網站使用滲透測試等技術手段來挖掘、分析、評價,並使用打補丁、實施安全技術和裝置的辦法來解決網站可能存在的各種風險、漏洞。這需要週期性、自發地對Web系統的漏洞進行自我挖掘,並根據挖掘的漏洞通過各種安全機制和補丁等方式進行防護,以有效地避免“零日攻擊”等。
目前,企業入口網站可以通過使用埠掃描、攻擊模擬等方式來對企業入口網站的開放埠、服務、作業系統型別等進行獲取,並利用其相關漏洞進行攻擊測試。並根據測試的結果來通過各種方式加固該系統的安全,以避免被黑客等利用來進行攻擊。
2.5 健全訪問日誌審計
企業入口網站作為開放門戶,且基於HTTP協議,因此在使用者訪問時會產生大量的訪問日誌。網站管理者需要對這些日誌進行詳細地記錄、儲存,並以備日後的分析取證。實踐證明,很多的拒絕服務攻擊以及其他攻擊方式都會在系統中留下日誌,比如IP地址資訊、訪問的URL連結等,這都可以作為網站管理員的審計素材,為阻斷黑客的下一次進攻,保證網站安全打下基礎。
2.6 事前災難備份
任何系統都不能說100%的安全,都需要考慮在遭受攻擊或者是經受自然災害後的備份恢復工作,需要著重考慮如下幾點:
1) 選擇合適的備份策略,做好提前備份,包括全備份、差分備份、增量備份等等
2) 選擇合適的備份介質,包括磁帶、光碟、RAID磁碟陣列等
3) 選擇合適的備份地點,包括本地備份、遠端備份等等
4) 選擇合適的備份技術,包括NAS、SAN、DAS等等
5) 作好備份的後期維護和安全審計跟蹤
2.7 統籌安全管理
企業入口網站系統一般功能複雜,業務資料敏感,保密級別比較高,並且對不同管理人員的許可權、角色要求都不盡相同,為了保證安全管理,避免內部管理中出現安全問題,建議作如下要求:
1) 嚴格劃分管理人員的角色及其對應的許可權,避免一權獨攬,引起安全隱患;
2) 作好伺服器機房的物理條件管理,避免電子洩露、避免由於靜電等引起的故障;
3) 應作好伺服器管理員的帳號/口令管理,要求使用強口令,避免內部人員盜用;
4) 作好伺服器的埠最小化管理,避免內部人員掃描得出伺服器的不必要的開放埠及其漏洞,實行內部攻擊;
5) 作好伺服器系統軟體、應用軟體的日誌管理和補丁管理工作,便於審計和避免由於安全漏洞而遭受到內部人員的攻擊;
6) 根據業務和資料的機密等級需求,嚴格劃分伺服器的安全域,避免資訊洩露。
本文轉自samsunglinuxl51CTO部落格,原文連結:http://blog.51cto.com/patterson/751352 ,如需轉載請自行聯絡原作者
相關文章
- 企業WiFi認證,如何保證企業WiFi安全?WiFi
- 保護企業網站安全,華為雲網站安全解決方案有絕招網站
- IPS主動式防護 多層深層保護企業網路(轉)
- 企業網站的全能保鏢——華為雲網站安全解決方案網站
- PHP網站常見安全漏洞及防禦方法PHP網站
- 多層次保證筆記檔案安全的方式筆記
- 企業網路安全:防範駭客要從公司高層做起
- 企業WiFi認證,怎麼確保企業WiFi安全?WiFi
- 網站被攻擊如何防禦網站
- Sectigo:20%中小企業遭到駭客攻擊,企業應如何保護網站安全?Go網站
- 企業如何保障網站安全?網站
- 華為雲網站安全方案為企業資料保駕護航網站
- 網站最近攻擊防禦心得,個人網站搭建心得網站
- 保護網站安全網站
- 雲防火牆:防禦企業上雲“億”點網路攻擊防火牆
- 安全知識圖譜|威脅建模助力企業“建防禦 抓運營”
- 綠盟雲WAF | 政府入口網站的專業安全防護利器網站
- 企業WiFi認證 保護企業的資訊WiFi
- DV證書——網站安全的第一道防線網站
- 怎麼解決網站被DDOS攻擊 利用7層協議進行防禦網站協議
- Ixia推出ThreatARMOR,加強企業對網路攻擊的防禦能力
- 極企辦公路由安全版堅固防禦破解工具路由
- 網路安全太枯燥?“遊戲”防禦展拳腳遊戲
- 中國銀行總行網路安全深度防禦
- 企業IT安全:國防安全之縮影
- 三分鐘帶你瞭解網路安全主動防禦與被動防禦!
- 直播行業如何防禦網路攻擊?行業
- 思科網路安全新概念:自防禦網路(轉)
- 入口網站 模板網站
- 《個人資訊保護法》正式實施,企業如何保證資料安全合規?
- API安全的防禦建設API
- 線上教育網站原始碼保證教學影片安全的方法網站原始碼
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- 一文帶你瞭解網路安全中的主動防禦與被動防禦!
- 如何用第三層交換保證資料安全
- 企業網站SEO如何最佳化?網站
- 如何防禦DDoS攻擊?學習網路安全多久?
- 網路安全對企業的危害及防範措施(轉)