您好, 访客   登录/注册

Web的安全威胁与安全防护

来源:用户上传      作者: 罗惠君

  提要本文对Web的安全威胁进行分析,提出Web安全防护措施,并基于Windows平台,简述一个Web安全防护策略的具体应用。
  关键词:Web;网络安全;安全防护
  中图分类号:F49文献标识码:A
  
  随着Internet的发展,Web应用渗透到了人们生活中的各个角落。如今,Web业务平台已经在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上,Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。针对Web网站的攻击呈现规模化、隐蔽化趋势。Web威胁所具备的渗透性和利益驱动性,已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径,Web安全威胁已经成为对企业来说最为猛烈的攻击之一。
  Web攻击的最终目标是企业数据和获取商业利益。对付Web威胁,传统的防护模式已不能够有效化解越来越多的Web攻击者将合法网站做目标。尽管大多Web2.0网站自身都会采取防挂马、防注入等保护措施,但研究结果显示:社区驱动型安全工具在保护Web用户避开不良内容以及安全风险方面是无效的。面对来势汹汹的新型Web威胁,传统安全措施无法跟上Web内容不断变化的步伐。一方面恶意软件也可能出现在声誉良好、受到大家信任的网站上,就像出现在其他网站恶意上一样容易;另一方面网络应用程序越来越多,传统的防护模式已经力不从心,即便是如今已经运用的非常成熟的“病毒特征码查杀”技术,随着病毒爆发的生命周期越来越短,其传统的安全系统防御模型更是滞后于病毒的传播,用户只能处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然不能防范最新的威胁,因为服务方往往无法及早和完整地介入整个新病毒事件。
  Web安全问题基本解决方案:
  1、确定Web安全目标。根据网站所处的环境、网站本身的目标和风险程度等因素来确定Web安全目标。如,Web服务器是在Intranet中使用还是面向Internet, Web网站是否代表整个企业或组织?它是否用作电子商务或电子政务?
  2、实施整体安全方案。由于Web安全涉及的因素较多,必须从整体安全的角度来解决Web安全问题,实现物理级、系统级、网络级和应用级的安全。一般从以下几方面实施:第一,提高操作系统的安全性,确保服务器本身的安全;第二,部署防火墙阻止外部非法访问和入侵;第三,控制内部非法访问和入侵;第四,Web服务器本身的安全配置;第五,Web应用程序和脚本编程安全;第六,后端数据库的安全;第七,Web通信安全;第八,保护数据和应用的其他安全措施;第九,Web安全测试和评估。
  为综合检测Web安全,需要使用漏洞扫描和风险评估工具定期对Web服务器进行扫描和测试,及时发现和解决安全问题。就目前情形来看,安全漏洞集合是导致Web服务器遭受攻击的主要因素,因此应在攻击者发动攻击之前,及早发现网络上可能存在的安全漏洞并加以弥补。
  安全扫描和评估简介:
  1、安全扫描是对计算机系统或者其他网络设备进行与安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效地防范黑客入侵。安全扫描只是简单将检测结果罗列出来,直接提供给测试者,而不对信息进行任何分析处理。安全评估除了具备最基本的安全扫描功能外,还能够对扫描结果进行说明,给出建议,对系统总体安全状况作总体评价,同时以多种方式生成包括文字图表等内容的评估报表。
  2、扫描工具。从安全扫描范围来看,此类工具可分为两大类:专项扫描工具和综合扫描评估工具。专项扫描工具有专门端口扫描工具、针对特定应用和服务的扫描工具(如扫描Web服务器及CGI安全漏洞的Stealth等、针对SQL Server的SqlExec)。综合扫描评估工具的扫描内容非常广泛,扫描结果报告翔实,并给出相应的解决办法,非常适合管理员的系统评估测试。综合扫描评估工具一般都是商用软件。从安全评估技术来看,此类工具可分为两大类:一类是基于网络的扫描工具,如ISS公司的Internet Scanner、AXENT公司的NetRecon等,通过网络远程探测其他主机的安全风险漏洞,还可通过模拟攻击测试系统的防护能力;另一类是基于主机的扫描工具,如ISS公司的System Scannet,AXENT公司的ESM,用于测试服务器本身的安全漏洞,一般需要在所测试的主机上安装相应的代理软件且实施起来不方便。对于Web服务器的安全测试评估来说,可以纳入整个企业网络的整体安全评估,也可以独立地进行安全评估。由于Web安全所涉及的范围较广,除了Web服务器本身安全外,还有所在系统的安全,在选择测试评估软件时,应考虑测试内容的全面性。
  对于中小企业的Web服务器,出于成本方面的考虑,可选择一些免费的、具有综合测试能力的工具软件,如X-Scan。对于基于微软产品的Web服务器来说,可选择微软公司提供的MBSA(Microsoft Baseline Security Analyzer,可译为微软基准安全分析器),该工具可以评估特定微软产品中的任何漏洞和弱点,而且是免费的。
  3、安全评估评价标准。在实现了对Web服务器的安全扫描后,便可根据扫描结果,对服务器的安全性能进行评估,给出服务器的安全状况。下面给出一个大致的评价标准。需要特别注意的是:评价标准应该根据应用系统、应用背景的不同而有相应的改变,并不存在绝对的评估标准。
  A级:扫描结果显示没有漏洞。虽然这并不表明没有漏洞,因为有许多漏洞是尚未发现的,但我们只能针对已知的漏洞进行测试。
  B级:具有一些泄漏服务器版本信息之类的不是很重要的漏洞,或者提供容易造成被攻击的服务,如允许匿名登录,这种服务可能会造成许多其他漏洞。
  C级:具有危害级别较小的一些漏洞,如可以验证某账号的存在,可以造成列出一些页面目录、文件目录等,不会造成严重后果的漏洞。
  D级:具有一般危害程度的漏洞,如拒绝服务漏洞,造成服务器不能正常工作,可以让黑客获得重要文件的访问权的漏洞等。
  E级:具有严重危害程度的漏洞,如存在缓冲区溢出漏洞、存在木马后门、存在可以让黑客获得根用户权限或根用户的shell漏洞以及根目录被设置为一般用户可写等一些后果非常严重的漏洞。通过安全评估后,用户则可以根据情况采取措施,包括给系统打补丁(从技术网站上下载)、关闭不需要的应用服务等来对系统进行加固。可以看出,漏洞扫描、安全评估、采取措施是一个循环迭代、前后相继的流程,用户可以在使用中多加揣摩,从而保证网络系统的安全。
  (作者单位:1.重庆大学软件工程学院;2.东莞市公安局清溪分局)
  
  主要参考文献:
  [1]蔡立军.网络安全理论及应用[M].北京:中国水利水电出版社,2006.
  [2]鲍友仲.网络安全之防黑秘诀[M].北京:电子工业出版社,2005.


转载注明来源:https://www.xzbu.com/2/view-407461.htm