網站安全狀況不容樂觀

弄潮兒ly發表於2014-12-29

 

 

網站安全問題中最受關注的要數政府網站了,政府網站的特殊性使政府網站很容易成為攻擊的目標,因此政府網站的安全問題也不斷的突出。中國軟體測評中心(中國國家工業和資訊化部下屬單位)2014123日釋出《2014年中國政府網站績效評估總報告》顯示,今年評估的900餘家政府網站當中,超過93%的網站存在著本級的安全漏洞,其中97%的區縣網站被監測到有安全隱患,接受評估的網站包括部委網站、省級政府網站、副省級政府網站、地市政府網站及區縣政府網站。這個給政府的形象帶來了很不利的影響,甚至給政府工作的正常執行帶來了嚴重的威脅。

事實上,我國政府外網遭受的攻擊和資訊洩漏事件同樣不少,只是出於政府的特殊敏感性,並未進行大規模報導。網際網路上近5年此類情況雖多有報導,但更多的事件還隱藏在公眾之外。駭客透過外部的Web系統,入侵到資料庫中,對資料庫中的資料進行了拖庫或者資訊篡改。

防火牆並不能防止外部駭客對應用伺服器的攻擊。防火牆僅僅是一個對IPPort和協議型別進行控制的安全裝置,而對於需要提供外網服務的網站,是不可能中斷http協議訪問的;這樣對web的攻擊將穿透防火牆,實現對web的攻擊;

網閘並不能阻止對資料庫的攻擊。在web被攻擊後,駭客將利用應用伺服器為跳板,進行對資料庫伺服器的攻擊;網閘雖然對公網和內網之間進行了物理隔離,但對於資料庫通訊協議並未進行任何的安全檢查。對於駭客利用資料庫漏洞進行資料庫攻擊行為,網閘無能為力(這是由於web伺服器要訪問資料庫,網閘不可能對這些協議進行阻斷;但網閘並不具備對資料庫通訊協議的分析、檢查、告警和阻斷能力)。

現在政府外網的客戶逐步已經意識到了以上問題,加強了對應用伺服器的保護,WAF已經被大多數政府客戶加入到外網的安全防護方案中,以防止駭客的攻擊。WAF是一種應用防火牆,能夠對http通訊協議進行解析,對基於http通訊協議中的攻擊行為進行發現和阻斷,這種應用防火牆極大地提高了外網的安全性。

綜上所述,政府網站安全問題以及迫在眉睫,我們必須要提高重視度防護網站的安全,目前市場是網站安全的產品也很多,如何選擇適合自己的網站安全產品需要我們根據自身的需求,選擇適合自己的安全防護產品,針對政府網站安全我們通常會選擇預警系統對網站進行實時的監控,時刻掌握網站的變化情況,發現問題第一時間報警,第一時間進行解決,防止了攻擊者繞過防火牆攻擊網站而我們卻無法發現。

 

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29621644/viewspace-1383320/,如需轉載,請註明出處,否則將追究法律責任。

相關文章