网站监测与保护

2007-11-06 11:25:24 作者：来源：互联网浏览次数：373 文字大小：【大】【中】【小】

一、背景

随着web应用的日益增多，如电子商务，交流论坛，公司网站等等都使用web作为应用的平台，如何保证web应用的安全性也成为当前日益重要、必须解决的问题。

由于Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。现在，Web 服务器与应用除了可以创建动态页面和启动应用程序外，还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起，这些都为攻击提供了机会。要构建安全的Web应用平台，Web设计人员必须在Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。但是，许多企业在设计Web应用时，Web设计人员并未全面考虑安全性。更糟的是，有的用户只为Web服务器中可从外部访问的那部分设计了安全性，而忽略了内部访问Web应用的安全性。

二、网站现状分析

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，到取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

很多用户认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。

    主要网站安全问题及其危害

    常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。常见的针对Web应用的攻击有：

    缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令

    Cookie假冒——精心修改cookie数据进行用户假冒

    认证逃避——攻击者利用不安全的证书和身份管理

    非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据

    强制访问——访问未授权的网页

    隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序

    拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用户的访问

    跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息

    SQL注入——构造SQL代码让服务器执行，获取敏感数据

下面列举简单的两个攻击手段进行说明。

    SQL注入：
    对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。

    跨站脚本攻击：
    由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改cookie 到虚假广告在内的种种攻击行为。

    2007-02 据国家计算机网络应急技术处理协调中心发布的报告，2006年监测到中国大陆被篡改网站总数达到24,477个，与2005年相比增长近一倍。

三、服务内容

(一)、网站安全测试

使用专业的网站安全监测系统结合人工手工检测的方法对受保护的网段、主机进行彻底的网络、系统、数据库、CGI程序进行安全漏洞检测。

以丰富的图文方式提供详细的检测分析报告，对每个节点存在的安全漏洞提供详细的列表。同时提供漏洞说明及修补方法，详细说明漏洞的风险级别、技术背景、以及解决方法，形成专业的安全评定，根据评估结果提供报告及网络安全改进建议。

1、网站安全测试服务的意义：

1、网站安全测试可以有效的发现网站存在的安全风险。

2、网站安全测试提供安全加固的客观参考，从而准确评估网站安全建设的成本。

2、网站安全测试服务内容：

1、网站安全测试需要探查系统，发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。

2、网站安全测试通过扫描、评估等方式发现安全漏洞，以及模拟黑客攻击对系统和网络进行非破坏性的攻击性测试。

3、网站安全测试可以发现逻辑性更强、更深层次的漏洞，并直观反映漏洞的潜在危害。

3、网站安全测试服务流程：

1、得到申请单位网站安全测试授权。

2、申请单位应该向我们提供尽可能详细的信息。

3、我们会指派专业的网络安全专家进行测试。

4、根据测试结果为客户提供网站安全测试报告。

5、根据客户检阅测试报告以后提出的进一步安全测试要求进行实施。

6、提供安全测试最终报告，测试完成。

4、网站安全测试服务类型：

1、一次性测试，在网站建设初期或者安全评估阶段对网站进行安全性测试，按次收费。

2、长期测试，指定专人定期对网站进行例行安全测试，实时掌握网站安全信息。

（二）、网站安全维护

网站安全除了依靠网络设备、主机系统、数据库系统、应用系统等的安全状况以外，也受应用系统的设置影响。安全建设是一项复杂的系统工程，安全不是简单的产品累加，网络运行环境需要专业的安全技能进行手工的维护和加固，以保证业务流的畅通无阻碍。单纯的产品部署无法确保客户整体安全和系统运行的效率，而依靠安全专家的安全加固优化配置等操作都需要非常专业的安全技能，以保障整体安全水平的持续提高。

1、网站安全维护服务的意义：

1、网站安全维护可以修复网站漏洞，包括ASP程序，PHP程序，以及其他动态站点存在的安全隐患。

2、网站安全维护可以修复后台应用系统的安全设置问题。

3、网站安全维护可以修复网站所在物理服务器的安全性问题。

2、网站安全维护服务内容：

1、ASP程序优化，PHP程序优化，加入容错代码。

2、网站用户权限更改，重新设置IIS配置，使安全性提高。

3、针对MYSQL数据库的运行特点提出解决方案，防止利用MYSQL提升权限。

4、更改部分程序端口，增加系统隐蔽性。

5、合理配置内网中MSSQL数据库，防止用户浏览数据库内容。

6、在WEB服务器中安装必要防火墙并且从IIS底层防止SQL注入。利用IDS入侵防御系统，自动屏蔽入侵IP。

7、查看系统日志，了解系统以前运行情况。全面检查系统，防止以前有人入侵留下后门。

3、网站安全维护服务流程：

1、首先进行网站安全测试，了解网站安全状况（建议先使用网站安全测试服务）。

2、申请单位确认漏洞，签订维护服务合同。

3、我们会指派专业的网络安全专家进行安全维护操作。

4、根据安全维护完成以后的网络状况进行安全测试验证。

5、提供维护以后的安全测试对比，效果说明。

6、客户认可以后维护服务完成。

4、网站安全测试服务类型：

1、一次性维护，在网站建设初期或者安全评估阶段对网站进行安全维护，按次收费。

2、长期，指定专人定期对网站进行例行安全维护，保证网站业务正常。

责任编辑：gxis_admin

本文引用地址： http://www.gxis.org/service/2007/1106/article_10.html

发表评论　加入收藏　告诉好友　打印本页　关闭窗口　返回顶部

· 网站安全服务收费标准

· 信息安全风险评估

· 技术设施安全评估

· 技术设施安全加固

· 信息系统安全运维

· 等级保护合规性审计

· 等级保护合规性咨询

· 信息安全规划

· 网站监测与保护

· 安全集成服务

版权所有：广西信息网络安全协会	电话:0771-2639955	传真:0771-2630060
地址:广西壮族自治区南宁市新民路34-52号	邮编:530012	邮件:2639955 at gxis dot org(at=@,dot=.)

网站监测与保护

责任编辑：gxis_admin

最新文章

更多

推荐文章

更多

热点文章

更多

友情链接

更多 >>