隨著信息化的發(fā)展,政府以及大型企業(yè)的對(duì)外宣傳及服務(wù)、對(duì)內(nèi)辦公逐漸向Web上遷移,從而出現(xiàn)了眾多的門(mén)戶網(wǎng)站以及業(yè)務(wù)系統(tǒng)。隨著這些網(wǎng)站及業(yè)務(wù)系統(tǒng)與政府、企業(yè)的形象及業(yè)務(wù)的不斷融合,其重要程度也不斷提升,尤其是在垂直行業(yè)中更為重要。因此,網(wǎng)站和業(yè)務(wù)系統(tǒng)也成為黑客的主要攻擊目標(biāo)。本文既是圍繞垂直行業(yè)的門(mén)戶網(wǎng)站及業(yè)務(wù)系統(tǒng)的安全建設(shè)展開(kāi)。為了表達(dá)上的簡(jiǎn)潔,后文所提到的網(wǎng)站無(wú)特殊說(shuō)明均是指廣義上的網(wǎng)站——以http/https協(xié)議進(jìn)行通信并使用瀏覽器進(jìn)行訪問(wèn)的系統(tǒng),既包含門(mén)戶網(wǎng)站及業(yè)務(wù)系統(tǒng)。
垂直行業(yè)的網(wǎng)站有哪些問(wèn)題?
1.篡改問(wèn)題:篡改主要集中在門(mén)戶網(wǎng)站以及對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng),而且一旦發(fā)生篡改,影響范圍較廣,是管理人員普遍關(guān)心的問(wèn)題。
2.數(shù)據(jù)泄露:數(shù)據(jù)泄露從途徑可以分為兩大類,一種為通過(guò)外部攻擊者通過(guò)攻擊對(duì)外提供服務(wù)的網(wǎng)站非法獲取數(shù)據(jù),此類途徑泄露的數(shù)據(jù)往往涉及用戶個(gè)人信息;第二種則是內(nèi)部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露,而此類數(shù)據(jù)泄露同樣也會(huì)引起嚴(yán)重問(wèn)題。例如某大型公司就出現(xiàn)過(guò)此類問(wèn)題,剛剛上線的新HR系統(tǒng),第二天全員的工資情況及股權(quán)分配情況則被公布,引起公司“大地震”……
3.其他問(wèn)題:除了篡改、數(shù)據(jù)泄露外,網(wǎng)站還面臨許多問(wèn)題,比如釣魚(yú)、掛馬、暗鏈、敏感詞等等。而這些攻擊往往也具備某些行業(yè)特征,例如釣魚(yú)就可能在金融類行業(yè)比較嚴(yán)重;又例如在每年的7月份,招生類網(wǎng)站的釣魚(yú)情況會(huì)大幅升高。政府網(wǎng)站的暗鏈情況較其他行業(yè)更為嚴(yán)重等。
造成這些問(wèn)題的原因有哪些?
1.配置不當(dāng)
對(duì)于在垂直行業(yè)內(nèi)有多年運(yùn)維經(jīng)驗(yàn)的管理人員來(lái)說(shuō),配置核查的重要性不言而喻。而配置核查的目的就是為了達(dá)到安全基線。簡(jiǎn)單來(lái)說(shuō)所謂安全基線規(guī)范,是為了確保通信網(wǎng)絡(luò)上的相關(guān)設(shè)備達(dá)到最基本的防護(hù)能力要求而制定的一系列達(dá)標(biāo)基準(zhǔn),是一套統(tǒng)一的安全設(shè)置指標(biāo)。類比于木桶原理,安全基線就相當(dāng)于木桶的最短板,是最基本的安全要求。而這最基本的要求在實(shí)現(xiàn)上卻問(wèn)題重重。
2.漏洞缺乏管理
從計(jì)算機(jī)誕生開(kāi)始漏洞就一直是安全的天敵,絕大多數(shù)的網(wǎng)絡(luò)攻擊是利用漏洞發(fā)起的。而漏洞缺乏管理是一個(gè)統(tǒng)稱,其包含兩大方面:漏洞數(shù)量眾多且頻發(fā)更新,管理人員很難及時(shí)發(fā)現(xiàn);由于技術(shù)或安全意識(shí)不足,導(dǎo)致發(fā)現(xiàn)后未能及時(shí)修復(fù)
3.弱口令
弱口令往往是管理員的一個(gè)噩夢(mèng),有些是管理員自身的疏忽,比如圖例中某省的人口流動(dòng)管理系統(tǒng),可利用用戶名:ldrk,密碼:ldrk,登錄查看多市的流動(dòng)人口情況。而更多的則是垂直行業(yè)內(nèi)部用戶的弱口令,123456、000000等均是常用口令。其他的并不一一列舉。
4.安全“外剛內(nèi)柔”
據(jù)統(tǒng)計(jì)80%的網(wǎng)絡(luò)攻擊來(lái)源自內(nèi)部,這種“內(nèi)部”攻擊分為兩種情況,一種是內(nèi)部人員由于操作不當(dāng),個(gè)人電腦被黑客控制,從而被動(dòng)地成為黑客攻擊的跳板。第二種則是內(nèi)部人員的有意為之,垂直行業(yè)內(nèi)部用戶眾多,此類情況更容易發(fā)生。而實(shí)際上,大量的防御設(shè)備均部署在邊界,內(nèi)部疏于防范。從而導(dǎo)致一旦邊界失守,或內(nèi)部發(fā)起攻擊,服務(wù)器往往輕易淪陷。
對(duì)于垂直行業(yè)網(wǎng)站國(guó)家的政策要求
國(guó)家對(duì)網(wǎng)站安全提出過(guò)多個(gè)文件,其中最應(yīng)該關(guān)注的應(yīng)該是去年9月30日四部委聯(lián)合發(fā)布的“網(wǎng)站安全專項(xiàng)政治行動(dòng)方案”,該方案除了對(duì)“黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)”提出了行動(dòng)要求外,其實(shí)還包括了很多具體的安全建議。核心內(nèi)容如下:
圖1 四部委文件核心解讀
其中的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一監(jiān)測(cè)”,”查找網(wǎng)站安全隱患并及時(shí)整改”等內(nèi)容,都體現(xiàn)了國(guó)家相關(guān)安全部門(mén)對(duì)于網(wǎng)站安全的思考。
講過(guò)了垂直行業(yè)網(wǎng)站安全目前的問(wèn)題、造成問(wèn)題的原因以及國(guó)家的相應(yīng)政策,下面將要講一講在垂直行業(yè)被廣泛接受的監(jiān)控預(yù)警與態(tài)勢(shì)感知平臺(tái)的應(yīng)用。但需要明確的是,沒(méi)有絕對(duì)的安全,安全的本質(zhì)還是(至少目前還是)增加攻擊的成本。本文也是在一定限度上,利用一些安全圈比較熱門(mén)的技術(shù)理念來(lái)解決垂直行業(yè)的網(wǎng)站在運(yùn)行時(shí)遇到的某幾類問(wèn)題。
解決之道:監(jiān)控預(yù)警與態(tài)勢(shì)感知平臺(tái)的應(yīng)用
習(xí)大大在“網(wǎng)絡(luò)安全和信息化工作座談會(huì)”上說(shuō)過(guò)——“維護(hù)網(wǎng)絡(luò)安全,首先要知道風(fēng)險(xiǎn)在哪里,是什么樣的風(fēng)險(xiǎn),什么時(shí)候發(fā)生風(fēng)險(xiǎn),正所謂‘聰者聽(tīng)于無(wú)聲,明者見(jiàn)于未形’。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作”。
習(xí)大大在“419”會(huì)議上提出的內(nèi)容,擁有豐富的理論基礎(chǔ)。而這個(gè)理論基礎(chǔ)則是安全正從傳統(tǒng)的以防護(hù)為核心朝兩個(gè)方向發(fā)展——風(fēng)險(xiǎn)控制與態(tài)勢(shì)感知。
基于這個(gè)理論,也引出了相應(yīng)的應(yīng)對(duì)策略,即垂直行業(yè)網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢(shì)感知方案。
圖2 典型的拓?fù)?/div>
在安全管理區(qū)部署監(jiān)控預(yù)警與態(tài)勢(shì)感知總控中心,作為大數(shù)據(jù)匯總分析、統(tǒng)一呈現(xiàn)以及策略下發(fā)平臺(tái);并在各含有服務(wù)器的安全域以分布式方式部署探針,作為檢測(cè)引擎進(jìn)行數(shù)據(jù)采集;在服務(wù)器區(qū)前部署Web防護(hù)設(shè)備以及邊界部署抗D等設(shè)備,進(jìn)行攻擊防御的同時(shí)將攻擊情況發(fā)送給總控中心。
各分支機(jī)構(gòu)通常只承擔(dān)建設(shè)各自門(mén)戶網(wǎng)站,對(duì)于分支機(jī)構(gòu)的網(wǎng)站有兩種監(jiān)控方式:1.總部增加引擎數(shù)量,批量導(dǎo)入分支域名或IP,實(shí)現(xiàn)無(wú)感知遠(yuǎn)程監(jiān)測(cè)。2.各分支部署探針,在監(jiān)測(cè)的同時(shí)進(jìn)行防御。
方案核心能力
本方案包含四大核心能力,分別為資產(chǎn)發(fā)現(xiàn)及管理能力、監(jiān)控能力、安全基線配置核查能力、攻擊防護(hù)能力。
資產(chǎn)發(fā)現(xiàn)通過(guò)在網(wǎng)絡(luò)總出口或各安全域旁路部署的探針,通過(guò)流量學(xué)習(xí)自動(dòng)發(fā)現(xiàn)內(nèi)部網(wǎng)站,并能進(jìn)行被動(dòng)的Webshell檢測(cè)。從而發(fā)現(xiàn)內(nèi)部私搭濫建網(wǎng)站以及網(wǎng)站后門(mén)。
日常的監(jiān)控包括三大類——合規(guī)性檢查、風(fēng)險(xiǎn)控制、以及態(tài)勢(shì)感知。其中態(tài)勢(shì)感知中的攻擊監(jiān)測(cè)需要與防御設(shè)備聯(lián)動(dòng)。通過(guò)監(jiān)控能力,及時(shí)發(fā)現(xiàn)篡改、弱口令、釣魚(yú)、木馬、后門(mén)、可用性等網(wǎng)站常見(jiàn)問(wèn)題。
安全基線核查部分通過(guò)各安全域部署的探針引擎或者單獨(dú)的可移動(dòng)檢測(cè)設(shè)備均可實(shí)現(xiàn)。安全基線方面,主要以合作方OWASP的各類安全基線為主,同時(shí)支持定制本行業(yè)的安全基線。
攻擊防護(hù)主要以各安全域及邊界部署的防御設(shè)備與管控中心聯(lián)動(dòng),實(shí)現(xiàn)以管控中心為大腦來(lái)控制手和腳(防御設(shè)備)的統(tǒng)一協(xié)作能力。實(shí)現(xiàn)對(duì)于外部以及內(nèi)部攻擊的防御。
通過(guò)該方案的建設(shè),來(lái)幫助垂直行業(yè)的信息中心建立起一套針對(duì)其網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢(shì)感知系統(tǒng)。從而實(shí)現(xiàn)2562號(hào)文件中所提及的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一檢測(cè)”、“滿足等保要求”、“安全事件通報(bào)”。并解決基線核查、內(nèi)部攻擊、篡改、數(shù)據(jù)泄露等問(wèn)題。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:垂直行業(yè)網(wǎng)站安全問(wèn)題及解決之道一覽
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839519662.html
關(guān)鍵詞標(biāo)簽:
垂直行業(yè)網(wǎng)站安全問(wèn)題及解決之道一覽,垂直行業(yè) 網(wǎng)站安全 監(jiān)控預(yù)警,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進(jìn)銷存軟件,財(cái)務(wù)軟件,倉(cāng)庫(kù)管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費(fèi)ERP,免費(fèi)ERP軟件,免費(fèi)ERP系統(tǒng),ERP軟件免費(fèi)下載,ERP系統(tǒng)免費(fèi)下載,免費(fèi)ERP軟件下載,免費(fèi)進(jìn)銷存軟件,免費(fèi)進(jìn)銷存,免費(fèi)財(cái)務(wù)軟件,免費(fèi)倉(cāng)庫(kù)管理軟件,免費(fèi)下載,
本文轉(zhuǎn)自:e-works制造業(yè)信息化門(mén)戶網(wǎng)
本文來(lái)源于互聯(lián)網(wǎng),拓步ERP資訊網(wǎng)本著傳播知識(shí)、有益學(xué)習(xí)和研究的目的進(jìn)行的轉(zhuǎn)載,為網(wǎng)友免費(fèi)提供,并盡力標(biāo)明作者與出處,如有著作權(quán)人或出版方提出異議,本站將立即刪除。如果您對(duì)文章轉(zhuǎn)載有任何疑問(wèn)請(qǐng)告之我們,以便我們及時(shí)糾正。聯(lián)系方式:QQ:10877846 Tel:0755-26405298。