【賽迪網-IT技術報道】【編者按:本文從網站可能面臨的主要風險,主要風險的預防措施,突發安全事件的應急響應等方面給出了務實的建議,可以幫助網站在最後關頭規避風險,保證在奧運期間的網站安全。】
安全問題凸現
奧運會作為影響力最大的全球性盛會之一,其安全防護工作歷來是重中之重。在北京奧運會安全防護的各條戰線中,網絡是其中的主戰場之一。一些諸如分裂勢力、邪教分子、國外反華勢力在奧運期間,很可能會對各大網站發起瘋狂的攻擊,借此吸引世界的注意,給中國施加壓力。
雖然國家有關部門已經意識到形式的嚴峻,也通過各種方式對網站安全做出了嚴格要求,但在一些評估檢查中,依然發現網站的高危安全風險普遍存在。尤其是Web應用程序的SQL注入漏洞、跨站腳本漏洞幾乎在所有網站中均有發現。可怕的是一旦漏洞被利用,極易造成網頁被篡改、被掛馬等嚴重後果。
主要風險及特點
網站一般都在防火牆的保護之下,對外只開放HTTP服務,所以大部分對漏洞的攻擊主要是對Web Server漏洞、 Web應用程序漏洞的攻擊,而操作系統漏洞和資料庫等其它應用軟體漏洞並不是網站防護的重點。
據統計,網站Web應用程序中的SQL注入漏洞、跨站腳本漏洞非常普遍,而這種漏洞是傳統的防火牆、IDS/IPS、殺毒軟體等安全產品所根本不能防範的。國內很多網站的網頁篡改、掛馬等安全事件,都是因為SQL注入漏洞、跨站腳本漏洞所導致的。
分佈式拒絕服務攻擊是最常見的風險之一,但防火牆對於基於HTTP協議的拒絕服務攻擊卻無能為力。
每個網站的Web應用程序(JSP/ASP等動態網頁程序)也多是由不同的開發商或自己的技術力量開發完成。很多網站的Web應用程序已經上線多年,其開發商已不存在或不能繼續提供支持,其程序中所存在的SQL注入漏洞、跨站腳本漏洞等也就無法進行彌補。
針對性防護方案
結合上文對風險特點的總結,奧運期間網站安全防護方案應基於網站的安全特點進行設計。下表列出了網站安全風險的類別、危險程度以及相關的安全防護措施,在進行安全體系建設時,應首先考慮下表中風險程度較高的防護措施。
但對於一些大型網站,其「攻擊價值」較高,所以惡意者可能會花費較大的代價去進行攻擊,所以下表中列為「中」、「低」的安全風險,對於大型網站也應慎重考慮。
對突發安全事件的應急處理
要保證對突發安全事件的妥當處理,首先要制定完善的應急響應制度並加以演練,其次應在必要的時期借助專業安全公司的應急響應服務和專家支持。
完善的應急響應機制一般包括人員組織機構、事件分級機制、流程建立、定期演練、評估改進等多個方面,各方面的重點如下表所示:
快速防護方案
在目前的時間壓力下,很多工作要齊頭並進,才有可能在奧運期間實現對網站的安全防護。
根據上面所總結的各項安全防護措施,快速防護方案將根據針對性防護策略對各種措施排出優先級別,高優先級的安全措施要優先考慮,多個安全措施能夠並行處理則並行處理,最終實施完成一個能夠防護絕大多數攻擊的安全防護體系。
如上圖所示,安全風險評估將在3日內完成,在評估報告完成後,以3日的時間並行進行安全加固、安全產品部署、安全監控措施部署、應急處理機制制定等工作,最後以1工作日的時間進行系統試運行。
要保證7個工作日的快速防護方案順利實施,網站必須全力保證與專業安全人員的配合工作,只有在雙方共同努力的前提下,才有可能快速、高質量的完成網站安全防護工作。
(