如今,人們的生活已經跟網站密切相關,獲取知識、瀏覽新聞、游戲娛樂、在線購物甚至網上炒股(基金、期貨)等,網絡生活已成為人們現實生活的一部分。與此同時,越來越多的網站也因安全隱患而頻繁遭到各種攻擊,導致網站敏感數據丟失、網頁被篡改,甚至成為傳播木馬的傀儡,最終令更多訪問者中招,給訪問者帶來嚴重損失。如何構建一個安全的網站,已經成為網站管理者們所必須面對的問題。
網站生命周期各階段所存在的安全問題:
網站也有自己的生命周期,從規劃設計到上線運行,至少需要經歷下圖中的五個階段。由于網站管理者在安全意識上的薄弱以及安全知識上的匱乏,導致每個階段中缺少相應的安全措施,最終將給網站帶來嚴重的安全隱患。
圖 1:網站生命周期各階段所存在的安全問題
網站生命周期前三個階段的主要工作為系統設計開發。在此過程中,大多數網站設計者更多的是考慮滿足用戶應用,如何實現業務。很少考慮網站應用開發過程中所存在的漏洞。這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見。多數網站設計開發者、網站維護人員對網站攻防技術的了解甚少,并未引起足夠重視。
開發、測試完成后,網站將正式上線。這時,有些網站管理者認為系統中已經部署了防火墻或入侵防御等傳統安全產品,就可以對網站進行很好的保護。實則不然。目前,大多數傳統訪問控制,入侵防御設備,保護網站抵御黑客攻擊的效果不佳。比如對S Q L 注入、X S S這些基于WEB應用構建的攻擊,防火墻束手無策,甚至是基于特征匹配技術的入侵防御產品,也由于這類攻擊特征不具有惟一性,不能精確阻斷攻擊。導致目前有很多黑客將S Q L 注入、X S S 攻擊作為入侵網站的首選攻擊技術。
網站運行期間,維護人員將對服務器狀態的監控以及網站內容的更新作為主要工作,卻往往忽視對網站安全的管理及維護。由于他們對安全態勢的關注度不高,不能及時更新服務器操作系統及軟件的漏洞補丁。在網站被攻擊后,系統也沒有很好機制將被篡改或丟失的內容及時恢復,對網站的聲譽造成很大影響。另外,對于WEB應用程序的漏洞,網站開發人員也很難針對網站具體的漏洞原理對源代碼進行改造,導致網站漏洞被黑客反復利用。
安全網站建設的“五要素”
目前很多網站的管理者在意識到安全問題的重要性后,都會從后兩個階段(部署階段及運行階段)開始投入人力物力去彌補相應的缺失,而前三個階段卻往往被忽視。實際上,如果想要構建一個相對安全的網站,五個階段都需要采取相應的安全措施。可以總結為安全網站建設的“五要素”。
要素一:安全規劃是首要
網站規劃設計階段,管理人員應該充分考慮安全因素。將安全規劃作為網站建設整體規劃中的重點。安全規劃需要貫穿網站生命周期的每個階段。增設安全培訓,培養相關人員的安全意識及素質。以上對于網站上線運行后的安全性十分關鍵。下圖為SDLC(安全開發生命周期)流程,這套流程是微軟公司通過多年來在應用安全領域的實踐經驗所總結出來的。對于網站建設前期的整體安全規劃有指導性作用。
圖 2:安全開發生命周期流程
要素二:代碼安全是基礎
網站開發階段,開發人員須嚴格控制自己的編碼行為。設計環節引入安全開發框架,系統權限設計遵從最小化原則。編碼環節嚴格遵從編碼規范。最后增加代碼核查環節。盡量避免由于開發時的考慮不周,造成編碼漏洞,給后面的網站帶來安全隱患。下圖示為:WEB代碼安全檢測系統處理流程。程序員可以使用自動化源碼檢測工具軟件或者自行編寫程序進行代碼的核查。
圖 3:WEB代碼安全檢測系統處理流程
要素三:安全測試是常規
網站測試階段,除了正常的功能、性能測試以外,須加入相關的安全性測試。對網站進行全面“體檢”。可以請專業的安全團隊對網站進行代碼安全審計以及滲透性測試,或使用自動化漏洞掃描工具。網站的安全測試工作需要定期的進行,從而及時掌握網站的安全狀況。
要素四:安全產品是必須
網站的部署階段,安全產品的選用必不可少。WAF(WEB應用防火墻)是專門針對網站威脅防護所設計的安全產品。部署WAF,可以對網站的所有流量進行過濾及清洗,彌補傳火墻及入侵防御產品對于WEB應用攻擊防護的不足。WAF采用HTTP反向代理機制。與傳統的安全產品不同,WAF設備會代替網站接受所有HTTP請求,讓網站攻擊者認為WAF系統就是被攻擊的目標,從而達到網站替身防護的效果。對于已經被攻擊的網站,需要部署網頁防篡改和自動恢復系統用于被攻擊后的修復工作。
圖 4:WAF區別于傳統安全產品
要素五:安全維護是保障
網站運行階段,安全維護工作應及時進行。需要網站維護人員隨時關注操作系統及軟件漏洞補丁方面的信息,及時將版本做相應的更新。除了更新系統漏洞以外,還應該及時升級安全防護設備的威脅規則庫,保證設備可以防護最新的安全漏洞。面對W e b 應用程序漏洞和已經造成的危害,需要確立專業支持團隊的外援保障,解決及時響應問題,在網站安全問題被驗證后,能確保對網站進行木馬清除以及針對Web 漏洞的安全代碼審核修補等工作。當網站內容被篡改后,應該及時通過自動化系統或人工的方式恢復網站內容,保證網站業務正常運行。
構建一個相對安全的網站,需要在網站生命周期的每個階段都采取相應的安全措施。嚴格做到:事前主動發現,事中實時防護,事后及時修復。 建議網站的管理者與專業的安全廠商合作,由安全廠商提供有針對性的產品及服務。從而建立整套網站安全防護體系。以下為天融信公司為網站建設量身打造的全生命周期安全方案,希望可以幫助廣大網站管理者解決困擾已久的安全問題。
天融信公司的網站安全總體方案
關于天融信
天融信(TOPSEC)是中國領先的信息安全產品與服務解決方案提供商。基于創新的 “可信安全架構”以及業界領先的信息安全產品與服務,天融信致力于改善用戶網絡與應用的可視性、可用性、可控性和安全性,構建安全能力,提升業務價值。
