萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 企業級WEB安全的防范措施

企業級WEB安全的防范措施

    Web服務器現 在已經成為了病毒、木馬的重災區。不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員采取了一些措施,雖然可以保 證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防御。為了徹底提高Web服務器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。

    一、在代碼編寫時就要進行漏洞測試

    現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上 使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼 來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控件。用戶在安裝這些控件時,其實就有可能在安裝一個木馬(這可 能訪問者與被訪問者都沒有意識到)。

    為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。

    二、對Web服務器進行持續的監控

    冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web服務器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有 一些試探性的動作。如對於一個采取了一定安全措施的Web服務器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對服務器進行了全天候的監 控。在發現有異常行為時,及早的采取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web服務器的安全性。

    筆者現在維護的Web服務器有好幾十個。現在專門有一個小組,來全天候的監控服務器的訪問。平均每分鐘都可以監測到一些試探性的攻擊行為。其中99%以上 的攻擊行為,由於服務器已經采取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者采取了新的攻擊方 式。在服務器上原先沒有采取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊 手段,那麼我們就可以在他們采取進一步行動之前,就在服務器上關掉這扇門,補上這個漏洞。

    筆者在這裡也建議,企業用戶在選擇互聯網Web服務器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們采取進一步攻擊措施之前,就他們消除在萌芽狀態。

    三、設置蜜罐,將攻擊者引向錯誤的方向

    在軍隊中,有時候會給軍人一些“偽裝”,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web服務器采取一些偽裝, 也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的采取相應的措施。筆者有時候將這種主動出擊的行 為叫做蜜罐效應。簡單的說,就是設置兩個服務器。其中一個是真正的服務器,另外一個是蜜罐。現在需要做的是,如何將真正的服務器偽裝起來,而將蜜罐推向公 眾。讓攻擊者認為蜜罐服務器才是真正的服務器。要做到這一點的話,可能需要從如下幾個方面出發。

copyright © 萬盛學電腦網 all rights reserved