网站安全解决方案

发布时间:2017-01-11 来源: 解决方案 点击:

篇一:XX网站安全解决方案

XX网站安全解决方案

网络安全解决方案

上海恒驰信息技术有限

目 录

1 企业面临的威胁 ................................................................................................................... 1-4

1.1

2 应用安全的重要性 ................................................................................................... 1-4 应用安全解决方案 ............................................................................................................... 2-6

2.1

2.2

2.3 XX网站现状 ............................................................................................................ 2-6 客户网络现状分析 ................................................................................................... 2-6 XX网站安全解决方案 ............................................................................................ 2-7 3 部署的产品 ........................................................................................................................... 3-9

3.1 Hillstone公司简介 ................................................................................................... 3-9

3.1.1

3.1.2

3.1.3

3.1.4

3.1.5

3.1.6

3.1.7

3.2 面向应用的高性能防火墙需求 ..................................................................3-10 技术先进性和实用性原则 ..........................................................................3-14 高可靠性原则 ..............................................................................................3-14 易于扩展和升级的原则 ..............................................................................3-14 管理和维护的方便性 ..................................................................................3-15 网络安全方案设计 ......................................................................................3-15 方案描述 ......................................................................................................3-15 IntruShield网络入侵防护产品简介 .......................................................................3-17

3.2.1

3.2.2

3.2.3

3.2.4

3.2.5 网络攻击特征检测 ......................................................................................3-17 异常检测 ......................................................................................................3-19 拒绝服务检测 ..............................................................................................3-19 入侵防护 ......................................................................................................3-20 实时过滤蠕虫病毒和Spyware间谍程序 ..................................................3-23

3.2.6

3.2.7

虚拟IPS .......................................................................................................3-23 灵活的部署方式 ..........................................................................................3-24

1 企业面临的威胁

随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。在信息和网络被广泛应用的今天,Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。

Internet攻击行为来自于以下方面:

a)黑客有目的的远程攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;

b)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入服务器后为黑客攻击留下后门,同时造成网络拥塞,甚至中断,如NetSky、Mydoom等蠕虫病毒;

c)蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。

d)DOS/DDOS攻击的威胁,会造成网络服务中断。

e)网络异常流量

1.1 应用安全的重要性

随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁,不断出现的网络攻击,网络病毒,间谍软件,木马程序,并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信

心。“我们能使用计算机来处理我们的重要信息吗”。

通过部署网络防火墙设备,实现:

1. 把内网服务器和Internet做物理隔离,拒绝非法访问

2. 基于服务器的发布,映射服务器特定端口,给Internet用户提供服务

3. 严格的策略的控制

在web服务器和Internet的连接部分我们部署一台HillStone系列防火墙。 连接Internet的ISP链路被直接连接到HillStone防火墙上,内部web服务器需通过HillStone防火墙连接到Internet。

为了内部服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域,Trust区域端口连内部网的交换机。

将防火墙设置为NAT模式。这样就可以保护内部的私有网段,SA系列防火墙有着强大的NAT功能,我们可以根据需要灵活的设置NAT,包括1对1的NAT,基于端口的NAT,源地址NAT和基于目的的NAT等。

HillStone有着强大的访问控制策略设置方法,可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。

通过部署网络入侵防护设备,实现:

1. 探测出黑客攻击,并且实时阻断黑客的攻击;

2. 能够探测出已知和未知的蠕虫,实时阻止这些蠕虫进入自来水公司网络;

3. 探测异常网络流量,阻止进入自来水公司网络;

4. 探测和阻挡DOS/DDOS攻击

McAfee IntruShield(IPS)既能实时阻挡黑客攻击,又能阻挡中、高威胁蠕虫病毒,并且具有完整的阻挡DDOS攻击的能力,包括对抗Syn Flood的Syn-Cookie技术。因此,在自来水公司Internet接入位置部署一台入侵防护设备既作为网络入侵防护设备、同时又作为防DOS/DDOS设备,用以探测和过滤黑客攻击,网络异常流量(异常流量包括蠕虫病毒和蠕虫病毒传播导致的异常流量入Nach Ping、Sql Slammer异常流量等,另一大类当前网络的异常流量是由Botnet僵尸网络攻击引起的异常流量,这类流量和传统的DOS/DDOS攻击不一样)、DOS/DDOS攻击。

篇二:网站安全防护解决方案

网站安全防护解决方案

WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。

根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(.gov.cn)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。

因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。

政府门户网站的潜在风险

政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:

1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等;

2. 门户网站程序设计存

网站安全解决方案

在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等;

3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门户网站被入侵的问题;

4. WEB应用服务权限设置导致系统被入侵的问题;

5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵的安全问题等。

政府门户网站安全防护解决方案

根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案:

在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略:

l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题;

l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析;

l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;

l 对门户网站进行应用层控制,限制部分用户上传文件及对敏感页面的访问;

l 对访问门户网站信息系统网络进行安全监控以及审计,对可疑IP行为进行全面跟踪分析。

WEB应用防火墙的价值体现

l 彻底防御因网站篡改带来的负面影响

政府门户网站作为国家行政管理机构发布政策的窗口,其页面一旦被篡改将造成多种严重的后果。部署KILL-WEB应用防火墙,通过其缓存原始网站页面可有效防护其网页不被篡改。

l 彻底防御应用层针对WEB的攻击

KILL-WEB应用防火墙内置上千种WEB应用攻击特征库,可有效抵御各种已知的、针对WEB服务器的攻击行为,保障政府门户网站系统的安全运行。l WEB应用的审计工具

KILL-WEB应用防火墙不但具有强大的防攻击、防篡改功能,还可通过其审计分析功能对过滤数据进行分析;对异常IP用户进行行为跟踪及对敏感用户进行过滤等。

l 即插即用保证业务连续性

KILL-WEB应用防火墙产品的部署十分便捷,无需改变现有的网络拓扑结构。安装后,只需简单的配置安全策略,就可为应用系统提供强大的安全防御,可保障政府门户网站的业务连续性。

一、进行网站安全漏洞扫描

由于现在很多网站都存在sql注入漏洞,上传漏洞等等漏洞,而黑客通过就可以通过网站这些漏洞,进行SQL注入进行攻击,通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测。 扫描完后就可以查看网站所存在的漏洞和存在的网页,可以根据报告里面的建议进行漏洞修补,但请注意,在修改网页代码之前要先做好备份工作。

说明:对于发现的网站漏洞要及时修补。

二、网站木马的检测

网站被挂马是非常普遍的事情,同时也是最头疼的一件事。所以网站安全检测中,网站是否被挂马是很重要的一个指标。

其实最简单的检测网站是否有挂马的行为,很简单,直接开个杀毒软件扫描,看看有没有挂马提示就可以啦。当然还有直接去这些杀毒软件建立的网站安全中心,直接提交URL进行木马检测。

说明:网站被挂马是严重影响网站的信誉的,如有被挂马,请速度暂时关闭网站,及时清理木马或木马链接的页面地址。

三、网站环境的检测

网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全

很多黑客入侵网站是由于攻击服务器,窃取用户资料。所以在选择服务器时要选择一个有保证的服务商,而且稳定服务器对网站的优化和seo也很有帮助的。

而站长或维护着所处的环境也非常重要,如果本身系统就存在木马,那么盗取帐号就变得很简单了。故要保持系统的安全,可以装瑞星,卡巴这些杀毒软件,还有就是帐号和密码要设置复杂一些。

四、其它检测

黑链检测,由于现在黑链的利润很高,故现在更多黑客入侵网站目的就是为挂链接,而被挂黑链会严重影响SEO的优化。

具体检测方法:

可以利用站长工具网里面工具中的“死链接就爱内测/全站PR查询”的选项,

将检测网站分析栏,选择“站外链接”,按“显示链接”按钮,就会列出一堆站外链接,在里面可以查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链,将黑链删除就可以。

五、远程连接检测

打开宽带连接,进行宽带的检测和IP地址的检测。以防止恶意的窃取

用户资料。

常见的针对Web应用的攻击有:

1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

2、Cookie假冒——精心修改cookie数据进行用户假冒。

3、认证逃避——攻击者利用不安全的证书和身份管理。

4、非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据。

5、强制访问——访问未授权的网页。

6、隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序。

7、拒绝服务攻击——构造大量的非法请求,使Web服务器不能响应正常用户的访问。

8、跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息。

9、SQL注入——构造SQL代码让服务器执行,获取敏感数据。

10、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。

11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后,黑客能够盗窃 session。

12、DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器,从而达到使DNS解析不正常,IP地址被转向导致网站服务器无法正常打开。

攻击手段举例说明

SQL注入

对于和后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。

跨站脚本攻击

由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引入到动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交,他就可以在网上上提交可以完成攻击的脚本,如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获帐户、更改用户设置、窃取和篡改 cookie 到虚假广告在内的种种攻击行为。

篇三:网站信息安全解决方案

1. 网站信息安全解决方案

编者按

网站作为信息交互的必要手段之一,其重要性尤为突出,同时网站的安全性也颇受大家关注,本方案从政策要求和技术需求两个方面解决用户的实际问题,保障用户的网站安全。

随着我国国民经济和社会信息化进程的全面加快,互联网已经成为人们工作和生活不可或缺的部分。越来越多的政府机关、企事业等部门为了适应社会的发展,树立自身良好的形象,扩大社会影响,也纷纷建立起自己的网站。网站在中央提出的网络文化建设工作中将履行极为重要和核心的职能,它既是媒体,也是窗口和基础平台。然而,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2010年1月的统计报告,我国大陆地区被篡改网站的数量为1881个,其中代号为“HEXB00T3R”、“aGReSIF” 和“spook”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改网站数量为74个,我国台湾被篡改网站数量为17个,网站安全依然很严峻。

? 政策要求

1)公安部第82号令-《互联网安全保护技术措施规定》

2)等级保护

3)GB/Z 24294-2009《信息安全技术 基于互联网电子政务信息安全实施指南》

? 技术需求

网站频遭破坏的主要原因在于网站整体安全性差,缺乏必要的日常维护,有的网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。对网站的破坏主要集中在以下几种方式:

1)利用病毒、蠕虫、木马和间谍软件等恶意代码,破坏系统;

2)利用系统漏洞,使用缓冲区溢出方式获得管理员权限,从而任意修改网

站内容,窃取信息;

3)XSS攻击,即跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的;

4)利用DOS、DDOS等方式,造成服务瘫痪;

5)利用网站应用漏洞使用SQL注入或跨站攻击等方式,获得系统或数据库管理员权限,从而达到网页篡改或破坏网页的目的。

我们要构建一个可信的网站防护体系,基于天融信“可信网络架构”,建立一个系统化、程序化和文件化的管理体系,体系的建立需要基于系统、全面、科学的安全风险评估。可信的网站防护体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着成本与风险平衡的原则,确保关键信息资产的保密性、完整性和可用性,在达到动态安全管理的同时,支持业务高效运行与业务运行的持续性。

通过对WEB系统的安全评估,总结出其系统的脆弱性,在对WEB系统加固后解决部分安全漏洞,在结合天融信网络卫士TopDenfense网站防护系统实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、双机热备、自身抗网络攻击能力等功能,以期防止黑客入侵、网站篡改,从而更有效地对网站网页安全进行全方位的保护。

以某XXX客户为例的需求分析以及安全目标,我们提出以下解决方案如图所示:

在部署TopDenfense网站防护系统时,主要包含以下步骤:

1)管理员首先对网站服务器安装网页防纂改子系统,目的是保护Web服务

器的网页不被纂改;

2)在WEB区域前部署硬件Web Wall子系统,基于硬件的网站保护墙将能

够防止SQL语句注入,从而避免数据库服务器不被黑客使用SQL语句注

入的方式进行违法操作;

3)安装集中管理平台,根据业务需求设置安全策略。

网络卫士TopDenfense集中管理平台,负责策略制定、下发,以及对各子系统的管理,各子系统按照既定策略执行,并把相关事件上传到控制中心,由控制中心统一分析或审计。对TopDenfense集中管理平台的管理可以在本机操作或远程通过IE浏览器进行管理。

本方案满足了用户在网站安全管理的要求,通过部署TopDenfense系统,来有效规避安全风险,满足安全需求,重点解决以下安全问题:

1) 利用系统漏洞,使用缓冲区/栈溢出等方式的攻击。攻击者即使通过这类攻击获得了系统管理员的权限,由于不知道受保护对象的授权码,也无法修改受保护对象。TopDenfense网站防护系统通过将主页及相关配置文件设置成系统保护对象,可以有效保护Web内容不会被篡改。

2) 恶意代码类攻击。通过信任链机制可以阻止恶意代码被Web服务器加载运行,从而确保病毒、蠕虫、木马和间谍软件等恶意代码无法在Web服务器上被激活运行,避免系统管理员因为疏忽或者其他途径导致的系统安全隐患。

3) 跨站攻击。可以准确地过滤数据包中含有的跨站攻击的关键字,从而保护用户的WEB服务器安全。

4) SQL注入攻击。SQL攻击注入使用的语句在网络驱动层就被过滤,从而无法对数据库造成攻击。

利用网络卫士TopDenfense网站防护系统防止政府、企业网站被恶意篡改,从而有效地保护政府、企业的形象;维护重大新闻、方针政策等信息发布渠道的畅通,保证社会秩序的安定有序;同时可以阻止一些别有用心的人通过篡改网页的方式在互联网上大肆散播各种政治歪理,造成极坏的政治影响。此外,TopDenfense网站防护系统能保证财政、金融、税务等领域网站的安全运行,防止犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗等违法犯罪活动,避免给国家和公民个人造成严重经济损失。

满足用户技术要求的同时满足合规性要求。

1) 满足等保要求

2) 满足公安部第82号令

3) 满足《信息安全技术 基于互联网电子政务信息安全实施指南》要求

相关热词搜索:安全解决方案 网站 企业网络安全解决方案 大数据安全解决方案 华为it安全解决方案部

版权所有 小龙文挡网 www.xltkwj.com