简体中文  |  English
等保专题
浅析云时代的网站安全管理

   发布时间:2013-07-30 11:24:34 

自从“十二五”规划纲要把云计算列为重点发展的战略性新兴产业,我国政府对云计算的支持力度不断增大,时至今日,云计算已孕育出政务云、教育云、警务云等多种业务形态,以云为数据集中存储与计算的业务逻辑业已在多个行业得到应用与推广。
  虽然云计算带来诸多便利,但作为承载云计算交互的窗口,网站及WEB应用却面临着前所未有的安全风险与挑战。如何破除云时代的安全密云,如何确保数据的安全可靠,如何规避信息泄露的风险,IT管理者迫切需要构建云时代的WEB安全管理体系,为企业的关键应用保驾护航。
   

云时代的网站安全管理逻辑
  毫无疑问,云计算不是洪水猛兽,云的益处大于弊,云的出现让离散的数据变得更加集中,让复杂的运算逻辑变得更加智能,但云计算终究离不开传统的IT基础架构,云同样继承了传统信息系统的各种特性。无论我们熟悉的各类门户网站与应用变得如何智能高效,云计算却依旧是一个更庞大更快速的信息系统。它所面临的安全风险仍然集中数据泄露、共享、供应商提供云服务、身份认证、兼容性、开放和管理等老问题。因此,要想确保云提供优质的服务,首先需要确保云的可控、可管理。
  破解云计算环境中的安全迷局,需遵循信息安全管理体系的基础逻辑,需要为承载云计算应用的信息系统建立一套完善的信息安全管理体系,需要提升IT管理者的管理能力、安全能力与运维能力。无论是被广泛使用的ISO/IEC27001规范,还是CSA提出的《云计算关键领域安全指南》,保护云计算与应用安全的关键因素之一,是确保WEB服务器的可控、可管、可信。置于我国,自《中华人民共和国计算机信息系统安全防护条例》(国务院令第147号)起,我国已明确规定关键计算机信息系统需要实行安全等级保护制度。今天的等级保护政策已是我国企事业单位实施信息系统安全管理的重要标准与规范,因此对重要WEB服务器贯彻落实等级保护政策是确保云更好的为公众及社会服务重要安全措施。
  根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法,网站安全防护需明确以下内容:
  1、系统安全管理
        应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
  2、恶意代码防范
        应在网络边界处对恶意代码进行检测和清除;
        应维护恶意代码库的升级和检测系统的更新。
  3、备份和恢复
        应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
        应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
        应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
        应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
  因此,解决云时代的网站安全问题,归根结底需要以访问控制为核心构建可信计算基(TCB),实现自主访问、强制访问等分等级的访问控制,在信息流程处理中做到控制与管理。
   

构建网站安全管理体系
  众所周知,云计算可以为其所服务的对象提供随时随地的按需服务,灵活的接入方式,随需而变的资源池,以及灵活弹性的架构。云时代的网站承载着更多的关键应用与服务,它比以往的单纯信息发布要更加灵活、开放,所服务的群体也更加公众化。
  而网站及应用的层面,因为云的存在,整个应用程序设计、开发、上线、运维、退役的全生命周期中,各个环节都可能存在安全风险。面对日益复杂的网站综合体,需要从根源设计安全管理体系,从设计人员、运维管理人员、技术支持人员等多个维度去思考如何更好的降低网站所面临的安全风险,并提供更合理的管理保障措施。
  根据国家等级保护有关要求,政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。

  

                                                                                  图1:安全管理体系框架
  为此,新时期的网站安全保护需要实现涵盖事前、事中、事后的完整的安全保护能力建设。一方面需要落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力。而对于传统的防火墙、杀毒软件、IPS而言,在新的攻击手段已使其显现疲态,提升网站及WEB服务器的安全性,需要在WEB应用及服务器前端实现更加细粒度的应用层的安全分析、过滤与审计能力的安全产品。国办2011年40号文件《关于进一步加强政府网站管理工作的通知》要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
  网神SecWAF 3600 Web应用防火墙系统(又名SecWAF应用防护系统),以下简称SecWAF,是自主知识产权的新一代安全产品,作为网关设备,防护对象为Web服务器,其设计目标为:分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。网神Web安全团队根据常年观察互联网黑客攻击方式和黑客技术,总结开发出一套完整的“Web安全防护体系”,可显著提升企事业单位门户网站的“事前、事中、事后”综合防御能力,完全满足系统安全管理的定期网站漏洞扫描,网站代码安全防护、代码漏洞定期升级,网站实现备份和及时恢复等多个技术要求。

                                                                 图2:网神应用防火墙拓扑结构

事前评估:Web扫描器
  使用Web扫描器功能定期对网站进行漏洞扫描,评估自身网站安全性,并结合系统漏洞扫描功能,针对网站服务器的操作系统、中间件、网站代码、数据库进行安全漏洞评估,在黑客攻击之前屏蔽安全隐患

事中防护:Web应用防火墙
  Web应用防火墙主要是针对Web扫描器扫描出来的数据库漏洞、网站代码漏洞进行防护,针对像SQL注入、跨站脚本、信息泄露等应用层攻击进行有效防护。网神自主开发的主动防御功能降低访问误判率,屏蔽网站漏洞,让黑客对网站攻击找不到切入点。

事后防护:网页防篡改
  网页防篡改针对国内频繁出现的网站篡改进行防护,当网页被黑客篡改后进行及时还原,保证网站免遭篡改困扰,维护客户网站形象。针对公安部82号令、等保三级的要求,保护网站免遭黑客篡改提供有效防护

事后审计:网站预警系统
  网站预警系统针对网站篡改监控、网站服务器运行监控、DNS域名监控、网页挂马监控、网页关键字检测进行关于Web应用从硬件到软件的整体预警系统,针对Web应用出现的不良状况进行监控报警系统。
  实践证明,通过网神SecWAF 3600 Web应用防火墙构建的“事前、事中、事后”综合防御体系,可显著降低企事业单位的网站安全风险,建立并实现了与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施。目前,网神WEB应用防火墙已广泛应用在政府、企业、教育等多个行业,是企事业单位网站安全稳定运营的又一利器。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved