黑客入侵、掛馬、網(wǎng)頁篡改……網(wǎng)站安全存在的種種問題令人擔(dān)憂,那么是否有方法能徹底地解決網(wǎng)站安全問題呢?如果所有網(wǎng)站在每個代碼開發(fā)環(huán)節(jié)中,能做好充分的安全性代碼檢查工作,確定沒有任何安全漏洞再上線使用,并做好安全維護(hù)工作,問題大概就能徹底解決。但這種方式對一個網(wǎng)站來說無疑是投入很大的,甚至讓絕大多數(shù)的網(wǎng)站根本無法承受。有沒有更簡單有效的方式解決網(wǎng)站安全問題,成為網(wǎng)站安全的一個熱點。
一、 從360度視角看網(wǎng)站安全問題
在信息安全建設(shè)從來不能以偏概全。同樣,網(wǎng)站安全也不能從某一個方面考慮,需要從結(jié)構(gòu)性安全的角度來全面思考網(wǎng)站安全。我們不妨用PDR模型作為一個視角,從防護(hù)(P)、檢測(D)、響應(yīng)(R)的角度來看待網(wǎng)站安全問題現(xiàn)狀,一個安全結(jié)構(gòu)的設(shè)計,如果Pt(防護(hù)時間)>Dt(檢測時間)+Rt(響應(yīng)時間),那么我們認(rèn)為這個結(jié)構(gòu)就是安全的,很多安全設(shè)施的設(shè)計都參考這個理論模型。
站在網(wǎng)站安全360的視角中,可以對目前網(wǎng)站安全現(xiàn)狀做如下圖的總結(jié)。
我們不難發(fā)現(xiàn)P、D、R都存在著一些問題。
1. 網(wǎng)站防護(hù)脆弱:防不住SQL注入、XSS等網(wǎng)站常見的攻擊。
2. 網(wǎng)站缺乏對安全漏洞、惡意代碼的發(fā)現(xiàn)機制:往往是網(wǎng)站發(fā)生損失和利用造成傷害后才發(fā)現(xiàn)被入侵。
3. 響應(yīng)對象不完整:由于缺乏有效的檢測,很多網(wǎng)站有事故才響應(yīng),不知道有安全漏洞和入侵存在,自然沒有及時響應(yīng),直至損失被發(fā)現(xiàn)才有響應(yīng),甚至響應(yīng)也僅僅停留在恢復(fù)層面,而沒有解決導(dǎo)致入侵存在的安全問題。
根據(jù)這一視角,我們看到,如果因為網(wǎng)站復(fù)雜的應(yīng)用導(dǎo)致總會出現(xiàn)防不住的惡意應(yīng)用,那么缺乏網(wǎng)站安全檢測機制就成為問題惡化的根源。沒有網(wǎng)站安全檢測時,一旦防御失效、用戶管理者又毫無察覺,便陷入很大的安全危機;另一方面,用戶自己對網(wǎng)站源代碼的安全檢查需要投入大量的人力物理和時間,使很多網(wǎng)站難以承擔(dān),造成大量網(wǎng)站處于這種不良的安全現(xiàn)狀。因此,就需要一個不僅僅是簡單,而且要完整的安全措施來對應(yīng)上述這些問題。這一措施必須能夠分別加強網(wǎng)站的防御、檢測、響應(yīng)的質(zhì)量,一方面加強防御,提升有效防護(hù)的時間(Pt),一方面縮小Dt(檢測的時間)和Rt(響應(yīng)的時間)。分解了每部分的安全需求,就可以使用明確的安全措施來完善網(wǎng)站安全。
1. 縮小檢測時間(Dt),確保在網(wǎng)頁植入惡意代碼前就了解網(wǎng)站的安全漏洞,同時在網(wǎng)站被黑客植入惡意代碼后能夠及時準(zhǔn)確的發(fā)現(xiàn),并被披露,而不是黑客獲取利益后或者網(wǎng)站造成傷害后才發(fā)現(xiàn)入侵。
2. 延長防護(hù)時間(Pt),如果防護(hù)的種類越多,黑客需要嘗試攻擊入侵網(wǎng)站的時間就越長,很多網(wǎng)站沒有入侵防護(hù)設(shè)施,或者入侵防護(hù)設(shè)施對常見的網(wǎng)站攻擊更是無效。這時需要加強對一些WEB常見攻擊的防護(hù),比如SQL注入、XSS跨站腳本等利用語法變量實現(xiàn)攻擊的入侵。
3. 縮小響應(yīng)時間(Rt),有了檢測機制,一個網(wǎng)站存在安全漏洞或被攻擊,都能做出及時響應(yīng),確立一個外援的響應(yīng)團(tuán)隊和組織,當(dāng)發(fā)生這些問題時,能夠有效和徹底的解決存在的問題,避免被重復(fù)迫害。
二、 檢測、防御、響應(yīng)——360度網(wǎng)站安全解決方案
根據(jù)網(wǎng)站安全360視角,國內(nèi)信息安全領(lǐng)域的領(lǐng)軍企業(yè)啟明星辰,提供了完善解決網(wǎng)站安全的產(chǎn)品及服務(wù),從防護(hù)、檢測、響應(yīng)三個方面入手,讓網(wǎng)站安全變得更簡單。據(jù)介紹,網(wǎng)站安全360包括三大部件:檢測部件(安星服務(wù))、防御部件(天清IPS)和響應(yīng)部件(網(wǎng)頁安全修復(fù)服務(wù))。
1. 檢測部件
安星,是被稱為網(wǎng)站安全體檢專家的服務(wù)。它是啟明星辰基于安全檢測技術(shù)成果和專業(yè)遠(yuǎn)程監(jiān)控安全服務(wù)團(tuán)隊,為客戶互聯(lián)網(wǎng)網(wǎng)站的WEB頁面進(jìn)行遠(yuǎn)程安全檢查的有償服務(wù)。安星是一個產(chǎn)品化的服務(wù),包括檢查網(wǎng)頁掛馬和網(wǎng)站漏洞兩種可選項目。服務(wù)均經(jīng)過專業(yè)人員的核查,以報告的形式,準(zhǔn)確地通告用戶網(wǎng)站存在的安全問題。服務(wù)的過程是遠(yuǎn)程實現(xiàn),同時不需要對網(wǎng)站做任何調(diào)整和改動,只需要提供互聯(lián)網(wǎng)域名即可。為了確保服務(wù)的準(zhǔn)確,服務(wù)的過程將經(jīng)過三個層次篩選,第一層是自動化的網(wǎng)頁異常搜索,通過遠(yuǎn)程搜索發(fā)現(xiàn)網(wǎng)頁異常;第二層進(jìn)行精確篩選,排除肯定不是攻擊的部分;第三層是專業(yè)人員的人工審查,確定漏洞或木馬存在的位置、形態(tài)、功能等并形成可視化報告。據(jù)介紹,安星服務(wù)的價格取決于網(wǎng)站頁面數(shù)量規(guī)模和周期報告頻度。
2. 防御部件
天清IPS,被稱為WEB應(yīng)用入侵防御系統(tǒng),是專門針對WEB網(wǎng)站攻擊進(jìn)行優(yōu)化的入侵防御產(chǎn)品。天清IPS是一個硬件設(shè)備,通常透明串行模式部署于網(wǎng)站前端,用來精確阻斷SQL注入、XSS跨站腳本以及利用WEB系統(tǒng)漏洞的入侵攻擊。一些重要網(wǎng)站在正在使用這個產(chǎn)品強化針對網(wǎng)站攻擊的防御能力。據(jù)了解,此產(chǎn)品運用了一套啟明星辰的專利算法,因此成為目前為數(shù)不多能夠做到精確阻斷SQL注入攻擊、XSS跨站腳本攻擊的IPS產(chǎn)品。
3. 響應(yīng)部件
網(wǎng)頁安全修復(fù),對網(wǎng)站應(yīng)用程序存在的漏洞、頁面中存在的惡意代碼進(jìn)行徹底清除,同時可以選擇白盒測試、黑盒測試對網(wǎng)站相關(guān)的安全源代碼進(jìn)行檢查,找出源代碼方面的問題,獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù)。該類服務(wù)由啟明星辰國家級實驗室的專業(yè)攻防技術(shù)團(tuán)隊(ADLAB)提供支持。一些缺乏專業(yè)外援團(tuán)隊的重要網(wǎng)站,能夠通過這個專業(yè)團(tuán)隊的服務(wù)來強化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計,加強系統(tǒng)自身的安全性。
有了網(wǎng)站安全360各個部件發(fā)揮的作用,我們就可以降低網(wǎng)站入侵造成的損失。當(dāng)黑客攻擊前,用戶通過檢測部件就能了解漏洞,當(dāng)黑客在網(wǎng)站中植入惡意代碼,形成網(wǎng)頁跨馬時,檢測部件也能及時發(fā)現(xiàn);同時防御部件天清IPS,能精確阻斷面向網(wǎng)站的SQL注入攻擊;響應(yīng)部件中的網(wǎng)頁修復(fù)服務(wù),幫助網(wǎng)站實現(xiàn)源代碼級的修復(fù)。各部件作用如下圖所示:
雖然網(wǎng)站安全狀況不容樂觀,但通過安全廠家不斷的努力和創(chuàng)新,一系列的安全措施和技術(shù)得以廣泛應(yīng)用,更多的用戶得以高效提升自身網(wǎng)站的安全性,網(wǎng)站安全工作也因此變得簡單明朗起來。
三、 網(wǎng)站安全360,根據(jù)實際需要區(qū)分選擇
由于網(wǎng)站安全360各個部件的用戶投入成本不同,完整的安全手段也并非適用所有網(wǎng)站。啟明星辰專家結(jié)合網(wǎng)站分類,也給出了網(wǎng)站安全360部件面對不同網(wǎng)站的幾點選擇建議。
一般網(wǎng)站,非運營、經(jīng)營類的企業(yè)網(wǎng)站,建議選擇(檢測部件)安星,及時了解面臨的問題;服務(wù)頻度時間間隔相對長一些。
重要網(wǎng)站,一般政府信息門戶,承擔(dān)運營、經(jīng)營、服務(wù)類企業(yè)網(wǎng)站,建議選擇安星、天清IPS(檢測部件+防御部件),及時了解問題、阻斷基于WEB的入侵攻擊。同時相對縮短網(wǎng)站安全檢查服務(wù)的周期。
核心網(wǎng)站,重要政府信息門戶,承擔(dān)金融、證券、信息調(diào)度、業(yè)務(wù)控制等業(yè)務(wù)網(wǎng)站,建議選擇安星、天清IPS、安全代碼(檢測部件+防御部件+響應(yīng)部件),即網(wǎng)站安全360所有組件。
安全廠商建議,站在安全的角度衡量網(wǎng)站重要性,必須從網(wǎng)站被利用后給攻擊方帶來的價值來考慮。這對我們評估網(wǎng)站選擇哪些必要的安全措施非常有幫助。根據(jù)以上的選擇方法,我們能夠更加明確網(wǎng)站需求,有針對性地選擇安全措施來提升網(wǎng)站安全,從而獲得高效的網(wǎng)站安全投入產(chǎn)出。