随着信息化的发展,信息技术步入了一个崭新的时代,网络技术日趋成熟,黑客们的注意力从以往对网络服务器的攻击逐步转移到了对WEB应用的攻击,大量的信息数据、用户个人隐私信息已经成为攻击者的首选目标。所有的业务系统均采用B/S的架构,致使政府面临的风险在不断的增加。WEB应用系统是否存在漏洞,往往是被入侵后才发现。保障企业敏感数据的安全部署迫在眉睫。
我们针对目前信息系统存在的风险,同时根据安全事件发生的三个时间点,设计了一个防御功能强大的解决方案,做到事前、事中、事后成为一个可闭环又可循环的方式去降低潜在的威胁,对于事中疏漏的攻击,可用事前的预发现和事后的弥补,形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站并把结果形成新的防护规则增加到事中的防护策略中,而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此,不能进一步修改和损坏网站文件。
根据用户单位及相关下属部门业务工作要求,及上述章节确定的系统范围,提出设计的原则,需要结合网络和业务规划,作好系统整体的安全规划。一方面,总体安全规划可以全面分析系统存在的安全风险,并指导全网安全工程的一次性或分步实施;另一方面,结合安全总体规划,考虑信息系统发展的需求,能使我们的安全投入会顺应系统、网络和业务的发展,避免投资浪费。在设计过程中遵循以下原则:
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
对于不同级别的建筑、机构、设备、信息(数据库)、网络服务和访问权限等,都要采取不同程度的多层次、多单元保护防范或加密手段。如在基础网络平台的管理和使用权限、交换机、网关、防火墙、服务器、数据库上设置多层次的多道防线等。
计算机信息网络的安全保密问题从来不是单纯的技术问题,必须做到技术安全和管理安全并重,两者都不轻视才有可能解决好这一至关重要的问题。其中,技术安全的许多策略要接受管理安全设计的指导,管理安全设计思想还应自始至终地贯彻到安全保密系统设计、实施、运行、管理、维护、创新和发展等各个方面。安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
整个网络信息系统应保证知悉范围最小化;系统内用户的权限应只授予其完成任务最小权限;系统内帐户设置、服务配置、主机间信任关系的配置应只保证系统正常运行的最小权限。不同用户的权限应相互独立、相互制约。
网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果,单一的安全产品对安全问题的发现处理控制等能力各有优劣。从安全性的角度考虑,需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。一个完整的网络安全体系要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善,要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
在设计信息安全整体方案时严格遵照国家当前制订的有关信息安全文件、标准的规定,依照有关技术标准和规范进行设计:
传统的网络防火墙作为访问控制设备,工作在OSI3-4层,基于IP报文进行状态检测、地址转换、网络层访问控制等,对报文中的具体内容不具备检测能力。因此,对Web应用而言,传统的网络防火墙仅提供IP及端口防护,对各类WEB应用攻击缺乏防御能力。Web应用防护系统主要致力于提供应用层保护,通过对HTTP/HTTPS及应用层数据的深度检测分析,识别及阻断各类传统防火墙无法识别的WEB应用攻击。只要有网络的地方就会有防火墙,但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WAF则深入到应用层,对所有应用信息进行过滤,这是二者的本质区别。WAF 的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容,包括HTTP 协议报文内容,由于WAF对HTTP协议完全认知,通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描,而WAF会做完全、深层次的扫描。
用户单位都具有其社会地位和政治地位的特殊性,在公安部《计算机信息安全等级保护基本要求》中明确要求必须对所有外部网络访问行为进行入侵防范,访问行为有相应的日志审计行为。铱迅Web应用防护系统不仅能完全防范非法用户的入侵行为,更能提供完整的统计表报。
铱迅Web应用防护系统可以防止黑客通过各种方式获取系统的管理员权限,避免黑客获得管理员权限篡改Web服务器主页,或者以服务器为跳板攻击局域网内其他服务器。可以防止因代码编写不规范,造成数据库服务器被SQL注入攻击,黑客获得数据库中的用户数据。
铱迅Web应用防护系统采用B/S设计架构方便管理员进行规则设置,参数配置。人性化的界面设计,易于使用。精细的权限管理,连续工作时间为>120000小时,能保证在夜间及节假日等无人值守时刻也能保护Web服务器。减少管理员的工作负担。