“标本兼治”救赵明 将黑客“拒之门外”(李洋)
点评:
本方案从结构和内容上来说,都很不错,结构比较清晰,方案涉及内容也比较系统和全面。遗憾的是,在产品支撑选择上面,还有相当一部分需求没有实际满足,比如,文中提到的Web系统用户的身份认证和鉴权机制、Web系统数据的加密传输等需求。但抛开产品支撑角度,本文给赵明提出的建议也相当中肯,适合像赵明这样的企业用户作为参考。
评分:100
#p#
全面防护网络攻击服务器负载及安全解决方案(redking)
点评:
本文大量篇幅在谈如何针对链路负载解决Web应用层安全威胁问题,可以说这种解决思路有一定的借鉴意义,但从类似赵明这样的实际需求来看,本文对赵明的网站安全整体改造方案帮助不足,虽然文中提及了一部分内容安全管理和网页防篡改的解决办法,但缺乏对Web服务器及其他应用层服务器的有效保护措施,仅靠服务器的负载是不可能解决应用层攻击问题的。
评分:50分
#p#
打造基于APPDRR的动态安全防御体系(庞晓智)
点评:
结合赵明案例,思路清晰,能够从网络层、应用层、边界、内网等角度全面列举大多数中小企业网站存在的安全风险及薄弱点。通过对风险及薄弱点分析,作者给出了“网站安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时监测(D) + 实时响应(R) + 灾难恢复(R)”的网站动态安全模型,从事前、事中、事后三个时间轴,有效发挥各种专业性安全服务、安全产品的用户价值,形成了综合性的网站安全解决方案,整个解决方案,既从多个维度考虑到影响网站安全的方方面面,又从多个角度考虑到专业性安全服务、安全产品的有机配合,考虑全面、防护覆盖面广,具有很好的推广价值,可实施性相对强。
评分:600分
#p#
Juniper防火墙加绿盟冰之眼加固网站(魏川)
本文用户需求和问题分析的不够,可取之处是对网站安全加固该做哪些方面、如何做有描述,但也仅仅是列出条目,缺少阐述。产品介绍部分倒是占了较大篇幅。总之缺乏有针对性的分析,有些单薄。
评分:200分
#p#
使用ModSecurity保护Web服务安全(曹江华)
点评:
本文是一个开源解决方案,内容大部分涉及开源产品介绍和使用规范,对于开源爱好者来说,有相当的参考价值。但本文内容相对实际部署的解决方案还有一定差距,不是特别符合像赵明这样的运维经理的实际需求。值得注意的是,随着安全类开源产品的增多,给实际运维人员也提出了学习和操控上的挑战,不是开源安全产品不能用,而是需要一段适应的时间,这对于急需解决问题的赵明来说,这款解决方案就不太合适了。
评分:50分
