網(wǎng)站安全問題亟待解決

隨著互聯(lián)網(wǎng)應(yīng)用的普及，信息的獲取越來越依賴于網(wǎng)絡(luò)，從而進(jìn)一步推動(dòng)了互聯(lián)網(wǎng)應(yīng)用和網(wǎng)站建設(shè)。但是，隨著網(wǎng)站建設(shè)的規(guī)模化，網(wǎng)站安全問題迅速嚴(yán)峻；黑客的入侵和攻擊也越來越頻繁，入侵的手段也越來越多樣化，其中SQL注入、跨站攻擊、數(shù)據(jù)庫入侵、上傳漏洞攻擊、COOKIE欺騙，都是嚴(yán)重威脅網(wǎng)站安全的攻擊手段。所以實(shí)時(shí)檢測并阻止黑客行為、保證Web網(wǎng)站的安全是當(dāng)前所面臨的重要問題。

目前，網(wǎng)站安全建設(shè)主要是由防火墻、入侵檢測構(gòu)成的兩層防護(hù)體系，且信息來源及防御范圍主要是針對網(wǎng)絡(luò)層。當(dāng)前日益嚴(yán)峻的網(wǎng)站安全問題充分說明了該體系對于網(wǎng)站攻擊防范的局限性。國際權(quán)威調(diào)研機(jī)構(gòu)Gartner的最新調(diào)查顯示：互聯(lián)網(wǎng)信息安全攻擊有75%都是發(fā)生在 Web 應(yīng)用而非網(wǎng)絡(luò)層面上，即Web應(yīng)用是黑客攻擊的主要目標(biāo)。同時(shí)，數(shù)據(jù)也顯示三分之二的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊。

然而現(xiàn)實(shí)卻是絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器硬件的安全上，沒有對Web應(yīng)用安全給予足夠的重視，同時(shí)，作為Web應(yīng)用基礎(chǔ)運(yùn)行環(huán)境的應(yīng)用服務(wù)器軟件基本上都不具備抗攻擊能力，從而給黑客以可乘之機(jī)。

方案價(jià)值

1)InforSuite應(yīng)用服務(wù)器提供了高可用、高可靠、支持云計(jì)算的企業(yè)級Web應(yīng)用的安全運(yùn)行環(huán)境。

2)InforSuite應(yīng)用服務(wù)器默認(rèn)內(nèi)嵌WebWall應(yīng)用防火墻內(nèi)核，提升了應(yīng)用服務(wù)器價(jià)值，有效降低了客戶IT投資成本和運(yùn)維成本。

3)解決了原有應(yīng)用服務(wù)器自身無法有效檢測阻斷Web攻擊的安全問題，達(dá)到事前加固，事中阻斷的效果，使得運(yùn)行其中的應(yīng)用服務(wù)默認(rèn)即擁有更強(qiáng)的健壯性和安全性。

4)過濾規(guī)則支持客戶自定義、自動(dòng)升級和擴(kuò)展能力，為系統(tǒng)的可持續(xù)發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)?？煞奖?、實(shí)時(shí)地加入最新的過濾規(guī)則、各種新攻擊類型檢測阻斷插件等，滿足今后的擴(kuò)展需要。 解決方案 互聯(lián)網(wǎng)安全形勢如此嚴(yán)峻，傳統(tǒng)防護(hù)體系已不能滿足當(dāng)今網(wǎng)站安全的要求，如何應(yīng)對網(wǎng)站安全威脅，構(gòu)建一個(gè)完善的網(wǎng)站安全體系成為了近幾年Web安全領(lǐng)域的重要課題之一。

解決網(wǎng)站安全問題的根本要從Web攻擊技術(shù)角度分析，各種安全漏洞層出不窮

Web攻擊大部分為腳本漏洞攻擊，所以只要簡單的學(xué)習(xí)一些腳本知識(shí)就可以進(jìn)行Web攻擊，因此Web安全的最大特點(diǎn)就是實(shí)施攻擊容易。許多不法分子可以基于簡單的黑客工具，甚至僅僅憑借瀏覽器和幾個(gè)技巧就可以突破傳統(tǒng)安全設(shè)施，攻入網(wǎng)站內(nèi)部，進(jìn)而竊取各種重要信息或篡改數(shù)據(jù)內(nèi)容。

中創(chuàng)軟件工程股份有限公司和中創(chuàng)軟件商用中間件股份有限公司 “核高基”專項(xiàng)“網(wǎng)絡(luò)應(yīng)用服務(wù)中間件”項(xiàng)目兩個(gè)課題的牽頭承擔(dān)單位，擔(dān)負(fù)國產(chǎn)中間件標(biāo)準(zhǔn)體系制訂、核心技術(shù)研究與產(chǎn)品化、產(chǎn)業(yè)化的創(chuàng)新使命。

#p#

面向網(wǎng)絡(luò)的安全應(yīng)用服務(wù)解決方案推出

以國家863技術(shù)成果為基礎(chǔ)，以成熟的中間件產(chǎn)品和技術(shù)為支撐，推出的“面向網(wǎng)絡(luò)的安全應(yīng)用服務(wù)解決方案”，是基于中創(chuàng)軟件自主創(chuàng)新的中間件技術(shù)，依托二十余年的應(yīng)用開發(fā)背景，針對互聯(lián)網(wǎng)應(yīng)用的網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展需求推出的。即在傳統(tǒng)應(yīng)用服務(wù)器中內(nèi)嵌Web防火墻技術(shù)，使得兩種技術(shù)完美融合。該方案主要面向政府、電信、金融、企業(yè)等，針對門戶網(wǎng)站普遍關(guān)注的高安全需求，為網(wǎng)站提供自帶WEB層主動(dòng)防御技術(shù)的高可用、高可靠、高安全的Web應(yīng)用基礎(chǔ)運(yùn)行環(huán)境，使應(yīng)用更加健壯和安全。

InforSuite應(yīng)用服務(wù)器(InforSuite Application Server，簡稱IAS)是中創(chuàng)軟件商用中間件股份有限公司的新一代企業(yè)級應(yīng)用服務(wù)器產(chǎn)品。InforSuite應(yīng)用服務(wù)器傳承了中創(chuàng)中間件產(chǎn)品多年的開發(fā)經(jīng)驗(yàn)，融合了原有應(yīng)用服務(wù)器產(chǎn)品的所有功能和優(yōu)點(diǎn)，并遵循JEE 5.0規(guī)范進(jìn)行了全面的升級；通過采用先進(jìn)的IOC微內(nèi)核和插件體系結(jié)構(gòu)思想構(gòu)筑了一個(gè)強(qiáng)大而穩(wěn)定的服務(wù)基礎(chǔ)架構(gòu)，可以集成服務(wù)集成總線、統(tǒng)一認(rèn)證授權(quán)服務(wù)、工作流服務(wù)、報(bào)表服務(wù)，為企業(yè)信息化總體架構(gòu)提供完備的基礎(chǔ)設(shè)施和機(jī)動(dòng)的SOA設(shè)施。

IAS是一款技術(shù)領(lǐng)先、性能卓越、高可用、支持云計(jì)算并提供創(chuàng)新業(yè)務(wù)模式和網(wǎng)站安全服務(wù)的應(yīng)用服務(wù)器產(chǎn)品。 InforGuard是中創(chuàng)軟件商用中間件股份有限公司自主知識(shí)產(chǎn)權(quán)的、國內(nèi)技術(shù)最先進(jìn)、功能最全面、應(yīng)用最廣泛的一款專注于網(wǎng)站信息內(nèi)容安全，且唯一能夠支撐SaaS模式的網(wǎng)頁防篡改系統(tǒng)。

InforGuard系列產(chǎn)品目前擁有國家28個(gè)部委級政府機(jī)關(guān)及諸多世界500強(qiáng)企業(yè)的成功案例，廣泛應(yīng)用于政府、金融、電信、互聯(lián)網(wǎng)、科教、能源與制造業(yè)等眾多領(lǐng)域和行業(yè)，用戶已覆蓋全國31個(gè)省、自治區(qū)、直轄市，市場占有率超過50%。 InforGuard WebWall是InforGuard家族中專門針對Web應(yīng)用安全的一款產(chǎn)品，該產(chǎn)品以中高端客戶需求為基礎(chǔ)，在充分研究網(wǎng)站安全狀況及發(fā)展趨勢的前提下，經(jīng)過多年積累，形成了包括Web攻擊檢測阻斷、告警審計(jì)、威脅信息監(jiān)管等諸多功能于一體的Web應(yīng)用層安全解決方案。

 InforSuite應(yīng)用服務(wù)器默認(rèn)內(nèi)嵌國內(nèi)市場占有率第一的網(wǎng)絡(luò)防篡改產(chǎn)品InforGuard家族中WebWall應(yīng)用防火墻內(nèi)核，在傳統(tǒng)應(yīng)用服務(wù)器基礎(chǔ)之上，采用基于規(guī)則的內(nèi)核過濾技術(shù)，通過對關(guān)鍵信息的驗(yàn)證檢查，有效抵御黑客的各種攻擊手段，起到事前加固，事中阻斷的效果，使應(yīng)用服務(wù)擁有更強(qiáng)的健壯性和安全性，著重從Web應(yīng)用層面解決了網(wǎng)站安全的問題。 InforSuite應(yīng)用服務(wù)器采用先進(jìn)的軟構(gòu)件技術(shù)框架，系統(tǒng)以背板模型作為構(gòu)件基礎(chǔ)框架，主要業(yè)務(wù)功能均以構(gòu)件形態(tài)存在，并運(yùn)行于框架之中。此架構(gòu)體系支持“即插即用”的方式實(shí)現(xiàn)業(yè)務(wù)功能的靈活剪裁和擴(kuò)展，并支持過濾規(guī)則的自定義、自動(dòng)更新和擴(kuò)展，從而為系統(tǒng)的可持續(xù)發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)。

InforSuite應(yīng)用服務(wù)器的防護(hù)示意圖如圖4所示，其能夠有效檢測阻斷的攻擊列表如下： 1.防止SQL注入 2.防止XSS跨站 3.防止系統(tǒng)命令執(zhí)行 4.防止暴力猜解數(shù)據(jù)庫 5.防止危險(xiǎn)的頭信息 6.防止構(gòu)造危險(xiǎn)的Cookie 7.防止網(wǎng)站掛馬攻擊 8.支持在線升級防御功能 9.支持異構(gòu)WEB/應(yīng)用服務(wù)器并發(fā)檢測 10.支持多虛擬主機(jī)并發(fā)檢測

應(yīng)用案例 電力2333工程應(yīng)用支撐平臺(tái)

電力行業(yè)是國民經(jīng)濟(jì)的基礎(chǔ)和命脈。為確保國家電網(wǎng)信息安全，按照國家等級保護(hù)制度和國產(chǎn)化及自主可控需要，2009年國家電網(wǎng)公司統(tǒng)一規(guī)劃、國家發(fā)改委批準(zhǔn)實(shí)施了信息安全專項(xiàng)《電網(wǎng)信息安全等級保護(hù)縱深防御示范工程》(簡稱2333工程)。

作為全國電力供應(yīng)行業(yè)排頭兵企業(yè)，浙江省電力公司被選定為3家試點(diǎn)單位之一。該公司高度重視此項(xiàng)工作，將信息安全與電網(wǎng)安全放在同等重要的位置，著力在公司本部和11個(gè)地市供電企業(yè)建設(shè)應(yīng)用一體化的安全運(yùn)行監(jiān)管平臺(tái)，開展關(guān)鍵管理信息系統(tǒng)等級保護(hù)符合性改造和外網(wǎng)網(wǎng)站系統(tǒng)全國產(chǎn)化改造等工作。

由國家“核高基”科技重大專項(xiàng)中間件課題牽頭承擔(dān)單位——中創(chuàng)軟件商用中間件股份有限公司研發(fā)的、具備完全自主知識(shí)產(chǎn)權(quán)的Infors中創(chuàng)中間件產(chǎn)品，以其卓越的性能贏得客戶認(rèn)可，被選定為浙江省電力公司2333工程的應(yīng)用支撐平臺(tái)。InforSuite應(yīng)用服務(wù)器為業(yè)務(wù)應(yīng)用提供了高穩(wěn)定、高性能的運(yùn)行環(huán)境支持，同時(shí)面對企業(yè)應(yīng)用越來越互聯(lián)網(wǎng)化的趨勢，該平臺(tái)創(chuàng)造性地提供了具備網(wǎng)絡(luò)攻擊防護(hù)能力的應(yīng)用安全服務(wù)，為工程的順利實(shí)施起到重要支撐作用。 客戶評價(jià)說：“InforSuite應(yīng)用服務(wù)器保障了國家電網(wǎng)門戶網(wǎng)站內(nèi)容的安全性和正確性，實(shí)現(xiàn)了對網(wǎng)站安全事件的實(shí)時(shí)告警，提升了國家電網(wǎng)對網(wǎng)站安全事件的應(yīng)急處理能力。

網(wǎng)站安全應(yīng)用服務(wù)解決方案就為大家介紹完了，希望讀者已經(jīng)深刻的了解了以上內(nèi)容，此方案是個(gè)典型和極具價(jià)值的案例，相信可以給讀者提供豐富的經(jīng)驗(yàn)和參考信息。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播