1.企業(yè)門(mén)戶網站(zhàn)運行(xíng)現(& xiàn)狀及問(wèn)題
現(xiàn)代企業(y±≥₩δè)為(wèi)了(le)宣傳企業(yè)文(wén)化(huà)或者£↓•開(kāi)展電(diàn)子(zǐ)商務活動,紛紛建∏Ω"立自(zì)己的(de)門(mén)戶網站(zhàn)。當用(yòng)戶正常≥&訪問(wèn)企業(yè)網頁的(de)時(shí)候,網站(zh€àn)也(yě)被一(yī)些(xiē)“非正☆✘常”的(de)用(yòng)戶關注。據國(guó)家(jiā)計(jì)算(sπ'☆♦uàn)機(jī)網絡應急技(jì)術(shù)處理(lǐ)協調中心®→統計(jì),在被篡改的(de)網站(zhàn)中有επ$(yǒu)22%是(shì)企業(yè)網站(zhàn);在所有(yǒu)網站✔φ(zhàn)中,高(gāo)權威性、高(÷ gāo)更新率和(hé)高(gāo)訪問(wèn)量的(de)政府和(hé₩§)媒體(tǐ)網站(zhàn)更經常性地(dì)↑φ受到(dào)黑(hēi)客關注和(hé)攻擊。
£≈←網站(zhàn)的(de)網頁之所以存在被篡✘₽ ©改的(de)可(kě)能(néng)性,有(yǒu)客觀和(hé)主觀兩方<<¥↑面的(de)原因。客觀而言,現(xiàn)有(yǒu)技(jì)術(sh"♦ù)架構下(xià)網站(zhàn)漏洞将長(cháng)期存在:✘"
①操作(zuò)系統複©✔₩雜(zá)性:已公布超過1萬多(duō)個(gè)系統漏洞;
±∞ ②漏洞與補丁:系統漏洞從(cóng)發現(xiàn)到(dào)>↕δ♦被利用(yòng)為(wèi)5天,補丁的(©♣ de)發布時(shí)間(jiān)為(wèi)47天✘∏;
③應用(yòng₩®>)系統漏洞:各種注入式攻擊,多(duō)個(gè)應用↔εδ(yòng)系統不(bù)同的(de)開≠&(kāi)發者;
®↔←就(jiù)主觀而言,過于苛刻的(de)安全'✔管理(lǐ)要(yào)求,網絡管理(lǐ)員(yuán)難以完全實現(λ©xiàn):
①密碼管理(lǐ)合格密♦σ★碼需要(yào)8位以上(shàng)複雜(zá)字符并定期改變±Ω;
②漏洞補丁♥ 操作(zuò)系統、中間(jiān)件(jiλ© Ωàn)、應用(yòng)系統的(de)定期更新;
③上(shàng)網控制♥↓(zhì):釣魚、木(mù)馬、間(jiān)諜軟件(ji≥♦àn);
πε& ;因此,為(wèi)鞏固各類網站(zhàn)和(hé)web應™¥> 用(yòng)的(de)安全,網站(zhàn)內(nè™$σδi)容的(de)完整性及企業(yè)尊嚴α✔,有(yǒu)必要(yào)應用(yòng)專業(yè)的(de)網頁防♥λ篡改系統,進行(xíng)網頁防篡的(de)保護實施工(gōng)作(zπ™uò)。
2 網絡設備防篡的(de)不(bù)足
大(dà)多(duō>•≠)數(shù)企業(yè)門(mén)戶網站 ₹®(zhàn)系統都(dōu)使用(yòng)了(le)防火(γσ♦≥huǒ)牆和(hé)入侵檢測系統等網絡安全設備λβ來(lái)保護自(zì)身(shēn)的(de)安全。
防火βλ(huǒ)牆是(shì)一(yī)種成熟和(hé¥✘♦)應用(yòng)廣泛的(de)網絡安全設備。但(dàn)防火(huǒ)₹ββ'牆完全向外(wài)部網絡開(kāi)放(f↑₩"àng)web應用(yòng)端口,這(zhè)種方€ ♣式對(duì)與Web應用(yòng)沒有(yǒu)任何的(de)保護作(↑÷β✘zuò)用(yòng),即使使用(yòng)λ☆×↕http代理(lǐ)型的(de)防火(huǒ)牆,防火(huǒ)牆也(yěΩ≠)隻是(shì)驗證http協議(yì)本身♣£®(shēn)的(de)合法性,完全不(bù)能(n<$§éng)理(lǐ)解http協議(yì)所承載的(de)數(shù)據,也∏βλ≈(yě)無從(cóng)判斷對(duì)http服務器(qì)≈↑的(de)訪問(wèn)行(xíng)為(wèi)®♦ 是(shì)否合法。
入侵檢測技(jì)術(↕↓shù)同樣工(gōng)作(zuò)在網絡層上(shàng),對(d φuì)應用(yòng)協議(yì)的(de)理(lǐ)解和(hé✔Ω∏)作(zuò)用(yòng)存在相(xiàng)當§∏>的(de)局限性,對(duì)于複雜(zá)的(de)ht'™tp會(huì)話(huà)和(hé)協議(yì)更是(shì)不(bù)能→ε(néng)完整處理(lǐ),由于需要(yào)←∞預先構造攻擊特征來(lái)匹配網絡數(shù)據,入侵檢測系統不(bù)能(§€néng)檢測和(hé)防禦未知(zhī)攻擊和(↔₩γhé)不(bù)能(néng)有(yǒu)效提取攻擊特征的'® ↕(de)攻擊。
例如(rú),在請(q↑₹≥ǐng)求中包含SQL注入代碼、或者提交可(kě)以完成獲取他(tā)人(réδ✔<γn)用(yòng)戶認證信息的(de)跨站(zhàn)腳本,¥♥這(zhè)些(xiē)數(shù)據不(bù)管是(shì)在™傳統防火(huǒ)牆所處理(lǐ)的(de)網絡層和(hé)傳輸層,還♣≠(hái)是(shì)在代理(lǐ)型防火(h&÷uǒ)牆所處理(lǐ)的(de)協議(yì)會(huì)話(huà)層,或者是α±(shì)常規的(de)入侵檢測系統和(hé)增Ω∏ <強的(de)入侵防護系統,都(dōu)會₩÷(huì)認為(wèi)是(shì)合法的(de),無法被阻擋₹或檢出。因此,所有(yǒu)的(de)web網站(zhàn)>♦和(hé)Web應用(yòng)系統,除了(le)使用(yòng)一(yī)α↓±₹般的(de)網絡安全設備外(wài),需要(yào)有(yǒu)效的(de↓ε)網頁防篡改系統來(lái)專門(mén)對(duì)頁面內(nèi)容進>©☆≈行(xíng)保護,防止來(lái)自(zìσ©)外(wài)部或內(nèi)部的(de)非授權人($λ↔rén)員(yuán)對(duì)頁面和(hé)內(nèi)容進行☆☆≈(xíng)篡改和(hé)非法添加。
3 網頁防篡技(jì)術(shù)
≤≈ ± 當前常用(yòng)的(de)網頁↕¥防篡技(jì)術(shù)有(yǒu)PKI公開(kāi)密鑰∏體(tǐ)系和(hé)Web系統核心內(nèi)嵌技(jì)術€✘(shù)體(tǐ)系。
✘↑ ①PKI公開(kāi)密鑰體(tǐ)系。PKI(✔δαPublicKeyInfrastructure)即“公開(kγ♣āi)密鑰體(tǐ)系”,是(shì)一(yī)種基于公開(kāi)密鑰密碼∏±技(jì)術(shù)的(de)安全通(tōng)信和(hé)服務≈₽♣σ體(tǐ)系,它能(néng)夠為(wèi)所有₩®(yǒu)網絡應用(yòng)提供包括機(jī)密>™性、數(shù)據完整性、數(shù)據源認證、數(shù)字簽名等§♦多(duō)種安全服務,是(shì)網絡安↕≈全應用(yòng)的(de)基礎。
&nbs€§↔p;②Web系統核心內(nèi)嵌技(jì)術(sh÷✘ù)。Web系統核心內(nèi)嵌技(jì)術(shù)是(sβ≠↔hì)指将安全模塊內(nèi)嵌在Web系統軟件(jiàn)(II↔¥S/Apache/Weblogic/Websphere/)中,π↕針對(duì)不(bù)同的(de)Web系 σ§∏統使用(yòng)相(xiàng)應的(de)核心內(&$β™nèi)嵌技(jì)術(shù)實現(xiàn),如'≥©(rú):ISAPI、Apache-module,NSAPI、JAVA-α×±♦filter等。
标準的(de✘↔)web系統核心內(nèi)嵌技(jì)術(shù)≥≠☆ 體(tǐ)系結構,包含核心內(nèi)嵌模塊、應用(yò≠§✔ng)防護模塊和(hé)篡改檢測技(jì)術(shù)。
其中核心內♣&£€(nèi)嵌模塊應用(yòng)防護模塊。應用™(yòng)防護模塊對(duì)來(lái)自(zì)于客戶的(de)© βWeb訪問(wèn)請(qǐng)求進行(xíng)分(fēn)析,•↔檢查其中的(de)表單輸入和(hé)URL輸入中是↔₩(shì)否含有(yǒu)非法字符/關鍵字構成±$↑注入式攻擊。
用(yòn♣•φγg)戶提交的(de)http請(qǐng§)求(request)到(dào)達Web∞'¶®服務器(qì),尚未進行(xíng)其他(tā)處理(≠γlǐ)時(shí)。檢查對(duì)象為(wèi)GET數©$&(shù)據(URL和(hé)表單)、POST數(shù)據(α★✘≠表單)。檢查方式為(wèi):與注入式攻擊"÷☆特征庫比對(duì)檢查。
篡改檢測技(jì)術(s•✘≥ hù)。篡改檢測技(jì)術(shù)是(shì)指Web服務器(← 'qì)在對(duì)外(wài)發送網頁時(shí),利用(yòng★ε )數(shù)字水(shuǐ)印技(jì)術(shù)≤β對(duì)其進行(xíng)完整性檢查。
&n bsp;檢查對(duì)象為(wèi):靜(jìng)态網©↓÷頁文(wén)件(jiàn)(HTML/CSS文("™₽wén)件(jiàn))、圖像文(wén)件(jiàn)(GIF/IPG/P₽∞₽NG/BMP文(wén)件(jiàn))、動态腳本文׶>∏(wén)件(jiàn)(ASP/JSP/PL/Pφ©φHP文(wén)件(jiàn))、多(duō)媒體(tǐ)文(wén)件(•♦jiàn)(WAV/MP3/FLS/MPEG文(w♦₹én)件(jiàn))、二進制(zhì)可(kě)§₽執行(xíng)實體(tǐ)(CGI/DLL/EXE文(wén)件(ji€φ↑àn))、其他(tā)所有(yǒu)可(kě)以在URL中訪問(wèn)/♦↔下(xià)載的(de)文(wén)件(jiàn)。檢查方式為(wèi):計(•±jì)算(suàn)對(duì)象的(de)¶α數(shù)字水(shuǐ)印,與水(shuǐ)∑印庫中的(de)數(shù)據進行(xíng)比較。
客戶留言
0871-65884585
