网站安全保护机制与技术方案
绝大部分网页都没有认证机制,都是公开对外可以访问的,但是网页后台,我们要去登录网站做管理,这时候就需要认证,这个就是身份鉴别
第二个访问控制,实现访问控制的技术有很多,比如ACL相关的一些产品和设备,像防火墙等等,这些都是跟访问控制有关的,当然,针对网站的访问控制还提到了数据加密,还包括操作系统、数据库、web软件、web应用程序等等内置的一些访问控制措施
第三个网站内容安全,你所提供的这种内容要符合地区的法律法规和政策要求,比如说在国内,你的网站就不能有淫秽色情信息,然后你不能有一些敏感词汇,反动言论都不能有,这是内容安全,不然网安就要找你去喝茶,网信办就要来查你
第四个网站数据安全,网站本质上底层还是文件,有文字的文件,有图片的文件,还有一个像HTML这一类的文件。这种文件,你要保证它的数据安全,第一个是存储在磁盘上,就要考虑做加密,另外传送的时候,还要考虑我用加密的https这种方式来进行数据传送,这里提一些涉及数据安全的一些保护措施,有用户的数据隔离,比如说张三和李四他们都有自己的博客,他们博客都有自己的一些数据,所以要做他们数据隔离,数据加密,SSL传输加密,数据备份,还有隐私保护
第五个网站安全防护,目标是增强网站的抗攻击能力,能够识别web攻击类型以及阻断攻击行为,包括非授权访问、暴力破解、Webshell识别和拦截、目录遍历防护、SQL注入防护等等,能够支持ddos清洗,能够正常抵御各种各样的拒绝服务攻击,这是网站的安全防护。当然,我们在网站后台可以做一部分,更多的还是借助第三方的安全设备去实现,比如说防火墙、流量清洗,这是网站安全防护
第六个网站安全审计与监控,审计的方式有很多,我们审计日志,包括流量截取,流量分析,网页篡改或者网页挂马检查
网站入侵检测,电子取证等等网站应急响应出了问题,能够及时恢复,及时响应,技术措施主要有网页防篡改,域名灾备、流量清洗,灾备中心主的挂了备的马上顶上来
攻击取证,谁来攻击了我,我能够找到你
第八个网站合规管理,合规管理主要包括第一个是内容合规,第二个网站备案,然后还有网站的防伪标识,网站测评、做等保等等,安全测评里边有漏洞扫描、渗透测试、代码审核、风险分析
第十个网站安全管理机制,目标是确保网站的安全利益相关者能够承担网站安全的责任,一般网站都有相关的责任人,如果你这个网站上面涉及到一些非法的淫秽色情信息,是要能够找你去喝茶的,这就跟安全管理相关,安全管理最核心的安全管理人员,要落实相关的一些责任
网站构成组件安全加固
第一个防火墙,这是网站安全的第一道防护,很多时候我们不仅要布传统的防火墙,而且要布网页防火墙
第二个漏扫,我们提前去发现漏洞,然后把漏洞给补上,黑客就利用不了
第三个网页防篡改,它实现的技术主要有两类,第一个是利用操作系统的文件调用事件来检测网页的完整性是否变化,以防止网站被非法篡改,第二个是利用密码学的单项函数,也就是哈希来检测我们的网站是否发生了变化,在没变化的时候,在原始网站,生成一个哈希一,然后后期又接着申请生成哈希二哈希三,进行对比,就是原始的哈希跟我们现在的哈希不一样,如果不一样,那证明网站被修改了,那如果一样,那证明网站是OK的
第四个网络流量清洗,它主要是基于网络流量的异常监测技术手段,将对目标网络的DOS和ddos等恶意流量过滤掉,然后把正常的流量转发到目标网络当中去
第五个网站安全监测,涉及到漏洞监测,网站挂马监测、ICP备案监测,合规性监测,性能监测。
网站安全综合应用案例分析 - 政务网站安全保护
针对政务网站安全,国家颁布了相关的一些法律法规和相关的一些要求,信息安全技术,政府门户网站,系统安全技术指南
物理层面机房的选址要安全,网络层面要考虑边界防火墙,主机层面主要是服务器和电脑端,你要有相关的一些,比如说杀毒软件、终端安全的一些管理设备
数据层面包括数据发布和数据安全,你该加密的要加密,网站层面主要是网页安全和域名安全,这两个是跟网站息息相关的
整体防护要有运行支撑,攻击防范手段,安全监测包括应急响应,出了问题,能够及时的去响应
政府网站的信息安全等级原则上是不低于二级的,三级等保的网站每年要做一次测评,二级的是每两年要做一次测评。原则上不低于等保二级,四级半年就要测评一次
第一个ddos防御,ddos防御通过流量清洗设备或者流量清洗服务,我们可以看一下它的系统是部署在这的,这个就相当于是一体化设备,它即检测和清洗于一体,当然我们的防D设备在一些大流量出口,它可能就是检测设备和清洗设备,它是两个设备,这张图是把它放到一起了,中小型网络,一般都是用这种一体化设备,比较简单一点,部署起来也方便
第二个网络访问控制,可以在出口用防火墙做区域隔离,做防护控制,有一个防火墙,往下网页的防篡改在网站前面,会放WAF或者是部署专门的网页防篡改系统
网站服务器在这儿,他前面放了一个web应用防火墙,然后他在网站上还运行了软件防篡改、监控代理。网页防篡改很多时候是集中在WAF里边的,WAF就有网页防篡改功能,当然它可能在你的网站上让你去安装一个类似于杀毒软件这样的东西,就是一个agent代理
当然有些厂商的WAF是不需要你安装的,他直接就可以去做,通过分析你的流量,就可以去做监测,然后网站应用防护,就是这块了,web应用防火墙入侵防御和病毒防护在这,就是IPS和防病毒,防病毒一般叫AV,AV就是Antivirus,防病毒
网络和数据库审计,要么你部署在数据库、服务器前面,要么你串行在核心交换机旁边,这个网络审计一般也是上网行为管理,上网行为管理自带网络审计功能
网站安全监测,它这里面还有个监测系统,监测系统一般也是一套软件,通过网站安全的监控实现漏洞扫描、网页挂马的一些监测,包括网页篡改监测,网页敏感信息的监测等等一系列的功能
网站安全监控,网页防篡改,然后还有网站应用防护,其现在最新的厂商产品把这些功能基本上都集成到了web应用防火墙里面,通过一个设备,它能干很多事情,安全监测,它能干,防篡改它能干,攻击阻断也能干,这是一个综合性设备,现在厂商主流卖的都是它
这是针对政务网站的安全防护,政务网站是这样,其他网站也是这样的,大同小异,其实现在的中小型单位的一些网站,它的安全措施没有搞得这么全。可能一个防火墙,再加一个WAF搞定了,再来一个数据库审计,就三个设备,没有搞这么多,这个其实有点堆设备的嫌疑。当然,如果一些特别重要的网站,堆点设备,也无可厚非。