【51CTO.com 综合消息】WEB安全无疑已经成为信息安全领域炙手可热的话题,一方面印证了互联网的蓬勃发展,一方面揭示了WEB安全问题严重影响到了互联网的发展。WEB技术应用几乎渗透到了每个领域的每个角落,最常见的莫过于门户建设。门户不在是过去简单的一个宣传窗口,在门户上衔接着更广泛的应用,网上银行就是个典型的例子,政务公开,电子商务,电信移动运营商的网上营业厅等。而在过去的几年中WEB引发的攻击逐年上升,已经成了互联网的最大威胁,主要体现在几个方面:
1、 网站的大面积挂马攻击;
2、 网站遭受恶意篡改和破坏;
3、 网站上传播非法信息,如色情、暴力、赌博、反动言论等;
4、 网站遭受DOS/DDOS攻击,致使网站瘫痪;
究其原因,几个方面问题没有得到有效解决,一方面是网站架构设计的过程中程序编写不够严谨,严格讲几乎每个网站都存在漏洞;另一方面,缺少有效的监控手段;还有就是缺少必要的基本防护手段。从安全的三性出发:安全型、可靠性和可用性要求以及国家和行业内的要求来看,重点需要解决几个方面问题:
1、 需要有效的措施来及时发现挂马;
2、 需要采取准确的网站应用漏洞扫描系统来准确的定位网站漏洞所在;
3、 确保网站原始文件的真实可靠,杜绝篡改的可能;
4、 针对各类拒绝服务攻击采取有效的防护手段;
5、 采取集中的监控措施,来及时发现网站上出现的敏感信息;
针对各类用户,我们设计了三类方案来满足几乎绝大多数用户的需求:1、基本型WEB防护手段;2、增强型防护手段;3、全方位综合监控防护手段;
网页防篡改保护技术已经成为目前现阶段最常见的解决方案,一方面可以杜绝网站被修改,另一方面可以在网站漏洞没有得到完全弥补的情况下在网站的外围架设了一道有效的保护屏障;采用的技术也很通俗易懂,驱动级文件保护技术和WEB应用层过滤技术;
WEB应用防火墙,是一种多方位的网站保护系统,除了对网站文件无法做有效防护之外,其它几乎可以实现应用层的所有攻击种类,该系统现阶段有两类实现技术,一类是基于反向代理,另一类基于透明过滤;WEB应用防火墙也可以实现部分的网站漏洞扫描,但大多实现得比较简单,无法深度的挖掘网站的漏洞,采取专业级的网站扫描系统可以最大限度的挖掘更准确的网站漏洞信息;
WEB安全的监控及检测平台,是一种综合有效的针对WEB整体威胁的措施,集检测与监控于一体,检测挖掘网站深度漏洞,基于云安全的挂马监测手段可以准确的发现挂马位置,可对网站出现的非法字符进行全方位的监控,这类平台大多为各省、部级主管信息中心或者公安、保密行业的整体监控中心所建设,投资相对较大,但可以兼顾到整体的WEB信息安全,如果全国范围内进行部署,可以大大提高我国整体的外网信息安全水平到一个较高的层次,针对我国目前的现状应大面积普及。
如下图所示(监控检测平台综述报告):
智恒联盟为国内首家专业级WEB应用领域整体解决方案供应商,成功为我国各大部委、金融、电信移动运营商、教育等多个领域提供完整解决方案。公司WebGuard产品系列以及WebPecker产品系列成为我国信息化建设中WEB安全的首选品牌。