一、 从360度视角看网站安全问题
在信息安全建设从来不能以偏概全。同样,网站安全也不能从某一个方面考虑,需要从结构性安全的角度来全面思考网站安全。我们不妨用PDR模型作为一个视角,从防护(P)、检测(D)、响应(R)的角度来看待网站安全问题现状,一个安全结构的设计,如果Pt(防护时间)>Dt(检测时间)+Rt(响应时间),那么我们认为这个结构就是安全的,很多安全设施的设计都参考这个理论模型。
站在网站安全360的视角中,可以对目前网站安全现状做如下图的总结。
我们不难发现P、D、R都存在着一些问题。
1. 网站防护脆弱:防不住SQL注入、XSS等网站常见的攻击。
2. 网站缺乏对安全漏洞、恶意代码的发现机制:往往是网站发生损失和利用造成伤害后才发现被入侵。
3. 响应对象不完整:由于缺乏有效的检测,很多网站有事故才响应,不知道有安全漏洞和入侵存在,自然没有及时响应,直至损失被发现才有响应,甚至响应也仅仅停留在恢复层面,而没有解决导致入侵存在的安全问题。
根据这一视角,我们看到,如果因为网站复杂的应用导致总会出现防不住的恶意应用,那么缺乏网站安全检测机制就成为问题恶化的根源。没有网站安全检测时,一旦防御失效、用户管理者又毫无察觉,便陷入很大的安全危机;另一方面,用户自己对网站源代码的安全检查需要投入大量的人力物理和时间,使很多网站难以承担,造成大量网站处于这种不良的安全现状。因此,就需要一个不仅仅是简单,而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量,一方面加强防御,提升有效防护的时间(Pt),一方面缩小Dt(检测的时间)和Rt(响应的时间)。分解了每部分的安全需求,就可以使用明确的安全措施来完善网站安全。
1. 缩小检测时间(Dt),确保在网页植入恶意代码前就了解网站的安全漏洞,同时在网站被黑客植入恶意代码后能够及时准确的发现,并被披露,而不是黑客获取利益后或者网站造成伤害后才发现入侵。
2. 延长防护时间(Pt),如果防护的种类越多,黑客需要尝试攻击入侵网站的时间就越长,很多网站没有入侵防护设施,或者入侵防护设施对常见的网站攻击更是无效。这时需要加强对一些WEB常见攻击的防护,比如SQL注入、XSS跨站脚本等利用语法变量实现攻击的入侵。
3. 缩小响应时间(Rt),有了检测机制,一个网站存在安全漏洞或被攻击,都能做出及时响应,确立一个外援的响应团队和组织,当发生这些问题时,能够有效和彻底的解决存在的问题,避免被重复迫害。
二、 检测、防御、响应——360度网站安全解决方案
根据网站安全360视角,国内信息安全领域的领军企业启明星辰,提供了完善解决网站安全的产品及服务,从防护、检测、响应三个方面入手,让网站安全变得更简单。据介绍,网站安全360包括三大部件:检测部件(安星服务)、防御部件(天清IPS)和响应部件(网页安全修复服务)。
1. 检测部件
安星,是被称为网站安全体检专家的服务。它是启明星辰基于安全检测技术成果和专业远程监控安全服务团队,为客户互联网网站的WEB页面进行远程安全检查的有偿服务。安星是