网络安全 频道

启明星辰如何做好烟草网站“三防”工作

  系统解决“三防”问题

  防篡改是网站安全中最容易想到的要求,这与页面被篡改现象屡见不鲜有很大关系。最直接的解决办法就是采用网站防篡改产品。

  通过网站防篡改产品,可以将网站所有信息备份存储,同时监视网站页面文件,一旦发现网页被修改,系统可以马上从备份库中提取并进行恢复。这种防范手段不受攻击手法的限制,即不论黑客利用何种手段攻击网站,只要页面发生更改,网站防篡改产品都可以及时响应和恢复。

  在纯静态页面的网站中,页面防篡改可以防范几乎全部的针对Web系统的攻击行为,而在动态页面的网站中,防篡改产品也有盲区。主要有2类盲区:一类就是有信息交互的网站,如在线留言、在线办理等业务,用户需要对后台数据库进行写入或者修改的操作,网站防篡改系统无法判断这些修改是黑客行为还是用户正常操作;另外一类就是数据窃取,如窃取账号口令等信息,页面并未因此发生变化,因此,网站防篡改产品自然也就无法防御了。

  而上述这两种盲区,恰好就是“网站三防”中另外两防可以解决的问题——防病毒、防攻击。如果用户交互页面(在线留言系统等)存在一种被称为XSS(跨站脚本攻击)的Web漏洞,黑客就可以提交一个精心构造的字符串,将网页木马链接到页面上。如果页面存在SQL注入漏洞,黑客则可以通过URL中提交的特殊的字符串进行攻击,获得后台数据库权限。针对这两种情况,可以考虑选择带有Web威胁防御能力的安全产品,如入侵防御产品或者是Web应用防火墙来实现安全防御。

  当然,除了部署相应的安全产品外,清晰划分内部网络安全域也是必不可少的工作,最简单的就是将那些需要对外提供服务的服务器单独列出服务器域,避免利用内部PC进行跳板攻击的黑客行为。一般来说,将服务器域单独划分管理域,并且设置必要的访问控制措施,辅助部署网站防篡改、入侵防御或Web应用防火墙产品,就能很好地满足“三防”需求,保障网站的安全稳定运营。

  上图描述了一类较为典型的烟草公司网站防护示意图,正在考虑“网站三防”建设的机构不妨参考实践。

0