首页 > 信息安全 > 正文

web安全:要学会“主动防御”

2012-04-28 14:20:09  来源:通信世界网

摘要:目前,WEB服务器已经成为黑客攻击以及病毒、木马感染传播的重灾区。网站网页不仅被篡改、后台数据被窃取,而且更可恨地是还成为了病毒、木马的传播者。
关键词: WEB 安全

    目前,WEB服务器已经成为黑客攻击以及病毒、木马感染传播的重灾区。网站网页不仅被篡改、后台数据被窃取,而且更可恨地是还成为了病毒、木马的传播者。即使一些网络管理员采取了一些措施,虽然可以保住网站的主页不被篡改,但是却很难避免自己的网站被当作肉鸡来传播病毒、恶意插件、木马等等。


    对此,国舜科技的副总裁汤志刚称:据Gartner调查显示,超过75%的攻击来应用层。从整体安全来看,网络层相对完善,防火墙部署以及相应的制度,阻断绝大多数的外部主动连接。与之对比,网站允许外部用户主动连接,鼓励用户参与,网站的防御更加困难,网站应用安全成为主要的突破口。


    国舜科技研究发现,85%以上的有效渗透以网站为突破口。在某电信运营商组织的安全检查中,找到十几条从互联网到内网(包括计费、网关、OA)的路径,而其中大约80%是以网站作为突破口进入的,网站成为安全实践中的短板。据了解,国家相关部门今年多次通报网络安全问题中,网站安全问题占绝大部分,日前, 国家相关部门将网站作为今年十八大保障的重点。


    网站应用安全新趋势


    对于网站安全的新趋势,汤总指出主要有以下两个趋势:


    一是以数据泄漏为代表的窃取性攻击成为主流。由破坏性攻击向窃取性攻击演变。网页被篡改是典型的破坏性攻击,是黑客张扬自己的经典手段,但近年更多的是数据泄露型的窃取性攻击。数据泄露攻击以其隐蔽性和高经济价值倍受黑客青睐,其对用户的伤害也更大。


    二是出现高级持续性攻击(APT,Advanced Persistent Threat),网站更显羸弱。 APT攻击的特点是:目标明确,有周密完善的信息搜集,不计成本地挖掘、购买0day漏洞,多种方式组合渗透、定向扩散,而且是长期持续地进攻。ATP攻击方式加大网络威胁,实践中也展示巨大威力,本身就相对薄弱的网站就更加脆弱。如何缓解针对WEB 业务的各类安全威胁,优化业务资源和提高应用系统,以保障WEB 应用的可用性、可靠性,是CIO们面临的巨大挑战。


    “主动防御”才是硬道理


    汤总强调:目前,网络安全普遍采取被动防御的方式,该方式在网站防御中有相当的局限性,有必要引入主动防御。但全网实现主动防御是有困难的,容易造成误伤,应该考虑有针对性地来主动防御,就是在网站安全部分采用主动防御。完整的主动防御必然是以执法部门牵头,各业务单位配合,充分利用各种先进技术,形成能快速感知网络进攻,跟踪攻击行为,打击不法分子的体系。这个建成需要相当长的时间,当前的努力方向主要有两方面:


    一方面是提高感知度。具体方式:清楚地识别进攻、识别进攻源(进攻区域、组织、进攻习惯、善意恶意等)。目前支持产品主要有“网站综合监控平台”。


[page]    另外一方面是加强反制能力。具体方式:截断攻击源、系统跟踪攻击、取证,进而协助执法机关抓捕起诉,目前支持产品主要有网页防篡改、WAF等防护产品升级。


    汤总将被动防御和主动防御做如下对比:

\


    通过对比,汤总坚信,主动防御将是网站安全发展的方向。


    应用在变,安全不变


    面对网络安全的新趋势,国舜科技始终牢记公司的使命“以务实创新的技术,推动不断变化的应用更加安全”,近几年来, 国舜科技通过加大技术投入,深入研发,取得一些成绩:


    首先,推出网站安全综合监控平台,这个平台将国舜科技以往的网页防篡改,网站漏洞扫描系统等领先技术融合在一起,是一个实时监控网站性能、状态、安全漏洞等的综合监控平台,该平台是对现有监控的巨大推进,同时也为主动防御打下基础,对网站的安全有巨大的促进作用。


    其次,对现有产品也有大幅改进,推出三款新型号的WAF应用防火墙产品,该产品在同样硬件条件下,性能明显提高。


    网页防篡改系统地持续改进,在业界相当部分的防篡改仍旧停留在第三代技术网页水印时,国舜科技在前两年推出的第四代核心内嵌的第四代技术上,又加以改进,除静态防护和动态防护性能的大幅提高外,还加入识别和反制功能,成为有主动防御能力的第五代产品。国舜科技期望通过产品改进来提高客户的安全体验和性价比。


    据此,国舜科技以纵深、动态、主动的WEB应用安全防护理念为基础,充分发挥自身产品研发和安全服务的特长,为客户提供全方位的网站安全解决方案,全方位提升WEB应用安全
 


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:liangxuejuan

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。