网站安全防护策略

2016-02-07 06:06罗传军武国良
网络安全技术与应用 2016年12期
关键词:漏洞系统管理

◆罗传军 武国良 王 琪

(天津市气象局 天津 300074)

网站安全防护策略

◆罗传军 武国良 王 琪

(天津市气象局 天津 300074)

网站是各单位树立形象和扩大社会影响的有效工具,安全防护是其必须解决的重要问题。本文分析了网站常见安全隐患,从安全设备、网站建设、网站管理三方面阐述了防护策略。

网站安全;安全设备;网站建设;管理制度

0 引言

互联网已经成为人们工作和生活不可或缺的部分,网站在各单位发挥着重要的作用。网站处于互联网的相对开放环境中,病毒木马和恶意代码网上肆虐,网站本身存在漏洞和安全隐患,容易被植入木马程序、系统管理员账户和数据库账户易泄露、服务器易被上传非法网站内容。黑客入侵和篡改网站的安全事件时有发生,造成了重大经济损失和形象损坏。网站安全防护策略需从网站的安全设备、网站建设、网站管理三方面设计,保障网站安全运行。

1 安全设备

网站一般放置在互联网DMZ区,该区是对外提供服务的区域,面临来自互联网的各种主动攻击,如黑客扫描和渗透攻击、病毒或蠕虫侵袭、DDoS/DoS攻击、Web相关攻击、SQL注入等【1】,需要进行重点防护。为有效保护网站的安全性、可用性、稳定性,应加强安全设备建设,如图1所示。主要包括部署防Ddos攻击系统、Web应用防火墙、入侵防御系统、网页防篡改系统、网络防病毒系统、堡垒机、审计系统。

防DDoS攻击系统在吞吐量、最大新建连接数、http并发连接数等性能方面要求较高,以串联部署方式为主,可将设备管理功能与业务流量处理分离。防DDoS攻击系统针对SYN Flood、ACK Flood、ICMP Flood等流量型攻击,Smurf、Fragment Flood等漏洞型攻击,HTTP Proxy Flood、CC Proxy Flood等连接型攻击进行有效识别和过滤【2】。防DDoS攻击系统应具备对连接耗尽型攻击的防御能力,利用TCP重传等机制实现自我防护。入侵防护系统集成了网络数据包分析系统、风险特征库、网络响应系统等多种内在安全措施,通过设置检测与阻断策略,对流经入侵防御系统的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断。应用防火墙包含目的地址、源地址转换功能,实现真实地址隐藏。对网站、应用、文件等实施带宽分配和流量控制。通过分析应用层的用户请求数据,如URL、参数、链接,可以有效地保护Web站点和应用免受来自于应用层的攻击,对网站内容过滤,实现文件过滤上传与下载。

图1 安全设备部署拓扑图

防篡改系统分析网站的静态网页和动态网页,可以杜绝篡改内容流出,实现Web页面自动恢复。防病毒软件病毒库及时更新,实时监控病毒、木马、广告软件、恶意插件,对多层数的存档和压缩格式包内病毒扫描和清除。审计系统通过syslog、snmp、agent代理等多种方式对各类网络设备、操作系统、安全设备、数据库等实现日志收集,实现各类系统日志、事件等信息的审计。

日志收集完成后,可实现统一的分析、查询,为整体安全提供安全指导意见。堡垒机为多个用户与业务系统提供了安全记录与处理平台,记录地址、端口、操作指令、访问结果等消息,支持telnet、ssh等远程终端服务,具有密码、动态口令、指纹识别等多种认证方式。

2 网站建设

若网站代码漏洞多、用户名及密码简单、系统权限大,网站架构存在问题,运行时将存在安全隐患。网站应统一管理建设,建立独立的信息发布平台,web发布平台和数据库分离,管理员合理设置网站权限。

网站安全建设覆盖了网站计划、设计、实现、测试以及运行各阶段,应与网站建设同步进行。网站计划、设计阶段,需分析所有潜在威胁,确定网站访问控制、信息加密、审计跟踪等安全需求,确定安全策略。网站实现阶段,网站开发者应使用最新的漏洞较少的网页设计语言,设计时充分考虑网站架构的合理性、技术的先进性和网站的安全性,要防止开发公司技术人员故意保留漏洞,确保最终网站的安全。网站测试阶段,必须充分进行功能、压力测试,还应对系统安全性能、操作流程、应急方案等重要安全指标测试,测试结果存档。网站在正式使用前请专业公司进行安全评测,通过评测的网站才正式上线发布。

定期采用漏洞扫描设备进行漏洞扫描,服务器操作系统升级成稳定的最高版本,并及时更新操作系统补丁,能够对最新漏洞进行发现,应对最新漏洞风险。关掉无关服务、修改密码为强密码、修改系统或服务配置、打补丁、升级软件版本、设置合理的安全访问策略,增强网站部署系统环境安全。

3 网站管理

完善网站运维安全管理,包括制定网站运维人员管理制度、网站信息安全通报制度、网站值班制度、安全责任追究制度等,定期对各项制度的落实情况进行自查和监督检查。网站安全管理应确定总体目标,保护网站信息系统的所有通讯网络设备、服务器、软件和数据等资源的安全,确保网站提供安全高效稳定的服务。安全管理制度不定期根据网站安全风险进行完善,保证制度符合实际情况。人员安全管理是安全管理重要环节,应制定严格的岗位责任制,最大程度地降低人为失误或错误所造成的网站安全事故。人员安全管理应遵守职责分离、任期审计、有限授权等原则,明确网站建设与运维人员安全责任,不能越权进行访问控制,员工离职前,应对其拥有的信息系统合法身份及权限立即消除。

安全应急管理主要应对可能出现的重大安全事件,需建立一整套应急预案。在出现网站重大安全事件,如发生网站被恶意攻击或网页被篡改等情况,安全工作机构能够迅速对安全情况分析,启动紧急应变计划,排除安全事故【3】,做好对外的解释、宣传和公告等工作,防止安全事态的扩大。建立信息安全培训机制,根据组织建立的信息安全培训制度,开展多层次的信息安全宣传、技能培训和考核,持续增强安全防护意识。

4 总结

网站的安全防护对网站正常运行有重要影响,应制定可行的安全防护策略,部署网络安全设备、优化网站设计与部署、完善网站安全管理,保障网站安全运行。

[1]郭优.网站安全问题及安全管理措施分析与研究[J].电脑知识与技术,2015.

[2]胡星,曹磊等.中国气象局Internet 接入系统整改设计[J].计算技术与自动化,2014.

[3]慈健.计算机网络安全管理技术分析[J].科技创新与应用,2015.

猜你喜欢
漏洞系统管理
枣前期管理再好,后期管不好,前功尽弃
漏洞
Smartflower POP 一体式光伏系统
WJ-700无人机系统
基于PowerPC+FPGA显示系统
连通与提升系统的最后一块拼图 Audiolab 傲立 M-DAC mini
三明:“两票制”堵住加价漏洞
漏洞在哪儿
“这下管理创新了!等7则
高铁急救应补齐三漏洞