安全現(xiàn)狀不容樂(lè)觀

安恒信息從事多年的WEB應(yīng)用安全服務(wù)，從服務(wù)經(jīng)歷中來(lái)看面臨的危脅越來(lái)越嚴(yán)重，通過(guò)對(duì)煙草公司外網(wǎng)（門(mén)戶網(wǎng)站及訂煙系統(tǒng)）進(jìn)行了安全基礎(chǔ)調(diào)查，發(fā)現(xiàn)業(yè)務(wù)交易系統(tǒng)仍存在一定的安全問(wèn)題，如下圖所示為煙草公司的威脅分析示意圖。

安全體系缺少應(yīng)用防護(hù)

安恒信息在對(duì)現(xiàn)有安全數(shù)據(jù)和經(jīng)驗(yàn)數(shù)據(jù)分析之外還對(duì)煙草公司典型的網(wǎng)絡(luò)及應(yīng)用環(huán)境進(jìn)行了安全分析，分析表明現(xiàn)有的網(wǎng)絡(luò)架構(gòu)已經(jīng)具備較好的網(wǎng)絡(luò)安全防御能力和操作系統(tǒng)安全管理能力，而在WEB應(yīng)用層面缺少相關(guān)的安全防護(hù)措施和長(zhǎng)效機(jī)制。

具備較好的網(wǎng)絡(luò)和系統(tǒng)防御能力

煙草公司已經(jīng)具備較好的網(wǎng)絡(luò)防護(hù)能力，首先采用物理隔離技術(shù)實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離，其次采用網(wǎng)絡(luò)防火墻設(shè)備實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層攻擊的防御。同時(shí)，通過(guò)采用防病毒、補(bǔ)丁管理等技術(shù)保障了操作系統(tǒng)的基本安全。

需要應(yīng)用層防護(hù)

通過(guò)調(diào)研分析，我們發(fā)現(xiàn)針對(duì)WEB應(yīng)用層的防護(hù)卻幾乎一片空白。信息安全正如木桶理論所描術(shù)的那樣，WEB應(yīng)用系統(tǒng)的安全程序并不取決于我們?cè)谀骋粋€(gè)方面安全投入的巨大，而在于我們是否針對(duì)脆弱的防護(hù)御點(diǎn)采取了有效的措施。

WEB應(yīng)用系統(tǒng)的防護(hù)需要采用專業(yè)的針對(duì)應(yīng)用層的防護(hù)措施。 具體的需求主要表現(xiàn)為以下幾個(gè)方面

屏蔽安全隱患

為了防止服務(wù)端敏感信息泄露需要通過(guò)有效的技術(shù)手段對(duì)現(xiàn)有網(wǎng)站的敏感信息進(jìn)行屏蔽，如遺留的備份文件、配置文件，管理后臺(tái)的外網(wǎng)嘗試等。

阻斷應(yīng)用攻擊

攻擊防護(hù)方面要求專業(yè)的WEB應(yīng)用防護(hù)設(shè)備進(jìn)行防護(hù)，能有效防止跨站腳本攻擊、SQL注入等常見(jiàn)攻擊。同時(shí)還需要有強(qiáng)大的安全策略定制功能。

防止網(wǎng)頁(yè)被篡改

需要對(duì)服務(wù)器的文件系統(tǒng)實(shí)現(xiàn)防篡改保護(hù)，即使攻擊者入侵服務(wù)器也無(wú)法對(duì)文件系統(tǒng)進(jìn)行修改。

安恒提供的解決方案

為了提高煙草外網(wǎng)的安全，安恒信息結(jié)合煙草的安全需求定制了應(yīng)用安全解決方案。

整體安全架構(gòu)

針對(duì)煙草公司的需求，我們定制如下圖所示的安全解決方案，如下圖所示首先通過(guò)外網(wǎng)進(jìn)行安全監(jiān)測(cè)，全天候的對(duì)外網(wǎng)站的可用性、安全性實(shí)時(shí)監(jiān)測(cè)，所有WEB網(wǎng)站均通過(guò)數(shù)據(jù)中心統(tǒng)一對(duì)外監(jiān)測(cè)和預(yù)警。

而對(duì)日益嚴(yán)重的WEB應(yīng)用攻擊我們推薦使用明御WEB應(yīng)用防火墻進(jìn)行專業(yè)WEB應(yīng)用防護(hù)，可以有效的阻斷SQL注入攻擊、CC攻擊、跨站腳本攻擊等多種WEB應(yīng)用攻擊。同時(shí)還可以兼容將來(lái)的訂煙系統(tǒng)HTTPS服務(wù)的需求。

監(jiān)測(cè)與防御相結(jié)合

首先我們?cè)诜桨钢幸肓税踩O(jiān)測(cè)平臺(tái)，對(duì)煙草外網(wǎng)實(shí)現(xiàn)監(jiān)測(cè)。通過(guò)監(jiān)測(cè)我們可以實(shí)現(xiàn)7X24小時(shí)不間斷網(wǎng)站、業(yè)務(wù)系統(tǒng)可用性值守，業(yè)務(wù)系統(tǒng)的是否可以正常訪問(wèn)，訪問(wèn)的內(nèi)容是否受到安全攻擊，新增的業(yè)務(wù)系統(tǒng)是否存在漏洞等均可以通過(guò)監(jiān)測(cè)平臺(tái)即發(fā)現(xiàn)。

服務(wù)與產(chǎn)品相補(bǔ)充

信息安全是一個(gè)發(fā)展和交互的過(guò)程，使用任何一種功能再?gòu)?qiáng)大的防范產(chǎn)品都需要輔助以優(yōu)秀的安全服務(wù)才有達(dá)到最佳安全效果。