网站安全防护解决方案.docx

1、网站安全防护解决方案WEB 应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，2/3 的 WEB 网站都相当脆弱，易受攻击。据美国国防部统计，每 1000 行Web 代码中存在 515 个漏洞，而修补一个漏洞通常需要 29 小时。 根据 CNCERT 的最新统计数据，2007 年 CNCERT 共接到网络安全事件报告4390 件。2007 年我国大陆被篡改网站总数达到了 61228 个，同比增长 1.5 倍;其中政府网站()被篡改 3407 个，占大陆被篡改网站的 7%。CNCERT 统计显示

2、，大陆地区约有 4.3 万个 IP 地址主机被植入木马，约有 362 万个 IP 地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。 因此，对于影响力强和受众多的门户网站，需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的，而这类事件对公众产生的负面影响又是非常严重的，即：政府形象受损、信息传达失准，甚至可能引发信息泄密等安全事件。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻

3、击，而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上，它们无法有效阻止网页篡改事件发生。目前，政府门户网站常因以下安全漏洞及配置问题，而引发网页信息被篡改、入侵等安全事件： 1. 网站数据库账号管理不规范，如：使用默认管理帐号(admin，root，manager 等)、弱口令等; 2. 门户网站程序设计存在的安全问题，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，存在安全隐患，如 SQL 注入，上传漏洞，脚本跨站执行等; 3. WEB 服务器配置不当，系统本身安全策略设置存在缺陷，可导致门户网站被入侵的问题; 4. WEB 应用服务权限设置导致系统被入侵的问题; 5.

4、 WEB 服务器系统和应用服务的补丁未升级导致门户网站可能被入侵的安全问题等。政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险，给政府门户网站提出如下安全防护解决方案： 在政府门户网站信息系统的 Internet 边界上或者 WEB 服务器的前端部署KILL-WEB 应用防火墙，并在 Web 防火墙上实施以下安全策略： l 对政府门户网站及网上系统进行全面的安全防护，过滤如 SQL 注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行 WEB 隐藏，避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能，避免恶意篡改页

5、面; l 对门户网站进行应用层控制，限制部分用户上传文件及对敏感页面的访问; l 对访问门户网站信息系统网络进行安全监控以及审计，对可疑 IP 行为进行全面跟踪分析。 WEB 应用防火墙的价值体现 l 彻底防御因网站篡改带来的负面影响 政府门户网站作为国家行政管理机构发布政策的窗口，其页面一旦被篡改将造成多种严重的后果。部署 KILL-WEB 应用防火墙，通过其缓存原始网站页面可有效防护其网页不被篡改。 l 彻底防御应用层针对 WEB 的攻击 KILL-WEB 应用防火墙内置上千种 WEB 应用攻击特征库，可有效抵御各种已知的、针对 WEB 服务器的攻击行为，保障政府门户网站系统的安全运行。

6、l WEB 应用的审计工具 KILL-WEB 应用防火墙不但具有强大的防攻击、防篡改功能，还可通过其审计分析功能对过滤数据进行分析;对异常 IP 用户进行行为跟踪及对敏感用户进行过滤等。 l 即插即用保证业务连续性 KILL-WEB 应用防火墙产品的部署十分便捷，无需改变现有的网络拓扑结构。安装后，只需简单的配置安全策略，就可为应用系统提供强大的安全防御，可保障政府门户网站的业务连续性。 网 站 安 全 检 测一 、 进 行 网 站 安 全 漏 洞 扫 描 由 于 现 在 很 多 网 站 都 存 在 sql 注 入 漏 洞 ， 上 传 漏 洞 等 等 漏 洞 ， 而 黑 客 通过 就 可 以

7、通 过 网 站 这 些 漏 洞 ， 进 行 SQL 注 入 进 行 攻 击 ， 通 过 上 传 漏 洞 进 行木 马 上 传 等 等 。 所 以 网 站 安 全 检 测 很 重 要 一 步 就 是 网 站 的 漏 洞 检 测 。 扫 描 完 后 就 可 以 查 看 网 站 所 存 在 的 漏 洞 和 存 在 的 网 页 ， 可 以 根 据 报 告 里面 的 建 议 进 行 漏 洞 修 补 ， 但 请 注 意 ， 在 修 改 网 页 代 码 之 前 要 先 做 好 备 份 工 作 。说 明 ： 对 于 发 现 的 网 站 漏 洞 要 及 时 修 补 。 二 、 网 站 木 马 的 检 测 网 站

8、 被 挂 马 是 非 常 普 遍 的 事 情 ， 同 时 也 是 最 头 疼 的 一 件 事 。 所 以 网 站 安全 检 测 中 ， 网 站 是 否 被 挂 马 是 很 重 要 的 一 个 指 标 。 其 实 最 简 单 的 检 测 网 站 是 否 有 挂 马 的 行 为 ， 很 简 单 ， 直 接 开 个 杀 毒 软 件扫 描 ， 看 看 有 没 有 挂 马 提 示 就 可 以 啦 。 当 然 还 有 直 接 去 这 些 杀 毒 软 件 建 立 的网 站 安 全 中 心 ， 直 接 提 交 URL 进 行 木 马 检 测 。 说 明 ： 网 站 被 挂 马 是 严 重 影 响 网 站 的

9、信 誉 的 ， 如 有 被 挂 马 ， 请 速 度 暂 时关 闭 网 站 ， 及 时 清 理 木 马 或 木 马 链 接 的 页 面 地 址 。 三 、 网 站 环 境 的 检 测 网 站 环 境 包 括 网 站 所 在 服 务 器 的 安 全 环 境 和 维 护 网 站 者 的 工 作 环 境 的 安全 很 多 黑 客 入 侵 网 站 是 由 于 攻 击 服 务 器 ， 窃 取 用 户 资 料 。 所 以 在 选 择 服 务器 时 要 选 择 一 个 有 保 证 的 服 务 商 ， 而 且 稳 定 服 务 器 对 网 站 的 优 化 和 seo 也很 有 帮 助 的 。 而 站 长 或 维

10、护 着 所 处 的 环 境 也 非 常 重 要 ， 如 果 本 身 系 统 就 存 在 木 马 ， 那么 盗 取 帐 号 就 变 得 很 简 单 了 。 故 要 保 持 系 统 的 安 全 ， 可 以 装 瑞 星 ， 卡 巴 这 些杀 毒 软 件 ， 还 有 就 是 帐 号 和 密 码 要 设 置 复 杂 一 些 。 四 、 其 它 检 测 黑 链 检 测 ， 由 于 现 在 黑 链 的 利 润 很 高 ， 故 现 在 更 多 黑 客 入 侵 网 站 目 的 就是 为 挂 链 接 ， 而 被 挂 黑 链 会 严 重 影 响 SEO 的 优 化 。 具 体 检 测 方 法 ： 可 以 利 用 站

11、 长 工 具 网 里 面 工 具 中 的 “死 链 接 就 爱 内 测 /全 站 PR 查 询 ”的 选 项 ， 将 检 测 网 站 分 析 栏 ， 选 择 “站 外 链 接 ”， 按 “显 示 链 接 ”按 钮 ， 就 会列 出 一 堆 站 外 链 接 ， 在 里 面 可 以 查 看 有 那 些 链 接 是 PR 比 较 低 而 且 又 比 较 陌生 的 链 接 就 可 能 是 黑 链 ， 将 黑 链 删 除 就 可 以 。 五 、 远 程 连 接 检 测 打 开 宽 带 连 接 ， 进 行 宽 带 的 检 测 和 IP 地 址 的 检 测 。 以 防 止 恶 意 的 窃 取用 户 资 料

12、。常 见 的 针 对 Web 应 用 的 攻 击 有 ：1、 缓 冲 区 溢 出 攻 击 者 利 用 超 出 缓 冲 区 大 小 的 请 求 和 构 造 的 二 进 制 代 码 让 服 务器 执 行 溢 出 堆 栈 中 的 恶 意 指 令 。 2、 Cookie 假 冒 精 心 修 改 cookie 数 据 进 行 用 户 假 冒 。 3、 认 证 逃 避 攻 击 者 利 用 不 安 全 的 证 书 和 身 份 管 理 。 4、 非 法 输 入 在 动 态 网 页 的 输 入 中 使 用 各 种 非 法 数 据 ， 获 取 服 务 器 敏 感 数 据 。 5、 强 制 访 问 访 问 未 授

13、权 的 网 页 。 6、 隐 藏 变 量 篡 改 对 网 页 中 的 隐 藏 变 量 进 行 修 改 ， 欺 骗 服 务 器 程 序 。 7、 拒 绝 服 务 攻 击 构 造 大 量 的 非 法 请 求 ， 使 Web 服 务 器 不 能 响 应 正 常 用 户 的访 问 。 8、 跨 站 脚 本 攻 击 提 交 非 法 脚 本 ， 其 他 用 户 浏 览 时 盗 取 用 户 帐 号 等 信 息 。 9、 SQL 注 入 构 造 SQL 代 码 让 服 务 器 执 行 ， 获 取 敏 感 数 据 。 10、 URL 访 问 限 制 失 效 黑 客 可 以 访 问 非 授 权 的 资 源 连 接

14、 强 行 访 问 一 些 登 陆 网页 、 历 史 网 页 。 11、 被 破 坏 的 认 证 和 Session 管 理 Session token 没 有 被 很 好 的 保 护 在 用 户推 出 系 统 后 ， 黑 客 能 够 盗 窃 session。 12、 DNS 攻 击 黑 客 利 用 DNS 漏 洞 进 行 欺 骗 DNS 服 务 器 ， 从 而 达 到 使 DNS 解析 不 正 常 ， IP 地 址 被 转 向 导 致 网 站 服 务 器 无 法 正 常 打 开 。 攻 击 手 段 举 例 说 明SQL 注 入 对 于 和 后 台 数 据 库 产 生 交 互 的 网 页 ， 如

15、 果 没 有 对 用 户 输 入 数 据 的 合 法 性 进 行 全 面的 判 断 ， 就 会 使 应 用 程 序 存 在 安 全 隐 患 。 用 户 可 以 在 可 以 提 交 正 常 数 据 的 URL 或 者表 单 输 入 框 中 提 交 一 段 精 心 构 造 的 数 据 库 查 询 代 码 ， 使 后 台 应 用 执 行 攻 击 着 的 SQL代 码 ， 攻 击 者 根 据 程 序 返 回 的 结 果 ， 获 得 某 些 他 想 得 知 的 敏 感 数 据 ， 如 管 理 员 密 码 ， 保密 商 业 资 料 等 。 跨 站 脚 本 攻 击 由 于 网 页 可 以 包 含 由 服 务

16、 器 生 成 的 、 并 且 由 客 户 机 浏 览 器 解 释 的 文 本 和 HTML标 记 。 如 果 不 可 信 的 内 容 被 引 入 到 动 态 页 面 中 ， 则 无 论 是 网 站 还 是 客 户 机 都 没 有 足 够 的信 息 识 别 这 种 情 况 并 采 取 保 护 措 施 。 攻 击 者 如 果 知 道 某 一 网 站 上 的 应 用 程 序 接 收 跨 站 点脚 本 的 提 交 ， 他 就 可 以 在 网 上 上 提 交 可 以 完 成 攻 击 的 脚 本 ， 如JavaScript、 VBScript、 ActiveX、 HTML 或 Flash 等 内 容 ，

17、普 通 用 户 一 旦 点 击 了 网 页 上这 些 攻 击 者 提 交 的 脚 本 ， 那 么 就 会 在 用 户 客 户 机 上 执 行 ， 完 成 从 截 获 帐 户 、 更 改 用 户 设置 、 窃 取 和 篡 改 cookie 到 虚 假 广 告 在 内 的 种 种 攻 击 行 为 。 随 着 攻 击 向 应 用 层 发 展 ， 传 统 网 络 安 全 设 备 不 能 有 效 的 解 决 目 前 的 安 全 威 胁 ， 网 络中 的 应 用 部 署 面 临 的 安 全 问 题 必 须 通 过 一 种 全 新 设 计 的 高 性 能 防 护 应 用 层 攻 击 的 安 全 防火 墙 应

18、 用 防 火 墙 来 解 决 。 应 用 防 火 墙 通 过 执 行 应 用 会 话 内 部 的 请 求 来 处 理 应 用 层 。应 用 防 火 墙 专 门 保 护 Web 应 用 通 信 流 和 所 有 相 关 的 应 用 资 源 免 受 利 用 Web 协 议 发 动的 攻 击 。 应 用 防 火 墙 可 以 阻 止 将 应 用 行 为 用 于 恶 意 目 的 的 浏 览 器 和 HTTP 攻 击 。 这 些攻 击 包 括 利 用 特 殊 字 符 或 通 配 符 修 改 数 据 的 数 据 攻 击 ， 设 法 得 到 命 令 串 或 逻 辑 语 句 的 逻辑 内 容 攻 击 ， 以 及

19、以 账 户 、 文 件 或 主 机 为 主 要 目 标 的 目 标 攻 击 。 DNS 攻 击 黑 客 使 用 常 见 的 洪 水 攻 击 ， 阻 击 DNS 服 务 器 ， 导 致 DNS 服 务 器 无 法 正 常 工作 ， 从 而 达 到 域 名 解 析 失 败 ， 造 成 网 站 无 法 访 问 。网站安全的防御措施1、FTP 密码尽量设置得复杂点，密码里面最好包含大写和小写的英文字母和数字以及特殊字符（如 c7b64￥8f63ce687&），这样黑客用弱口令扫描工具就扫描不到你的 FTP 用户名和密码了。2、网站后台不要用默认路径和管理员账号及密码，现在网络上有很多通过默认路径猜解后台帐号密码的工具，如果不修改默认路径和管理员账号和密码，一些怀有不良企图的人很容易猜解到你网站后台账号和密码进入你网站的后台进行非法操作，也就给你网站安全留下了一个隐患，所有务必及时修改网站后台默认路径及管理员账号和密码。3、更改网站数据库名，文件名也可以多几个特殊符号。4、网站的注入和跨站漏洞也是黑客经常利用的漏洞。检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就马上打上防注入或防跨站补丁，使黑客无可乘之机。5、防患于未然，写入一些防挂马代码，让框架代码等挂马无效。6、最好关闭网站的 FSO 权限。7、设置好网站各个文件夹的读写权限。