不论是企业网站还是政府网站,越来越多的开始注重网络安全的防护。面对黑客的肆意攻击,安全防护产品成为了必备的设备。日前有媒体报道,截至今年5月份,我国大陆地区被篡改网站的数量为2748个,其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改的网站数量为30个,较4月份增长了9个;我国台湾被篡改的网站数量为44个,较4月份增长了35个……
相信面对如此近乎疯狂的网络攻击行为,各网站也都采取了必要的安全防护措施,但为何采取防护措施的网站依然被攻击呢?原因很简单,传统的网页防篡改软件自身存在着致命的防护漏洞:防火墙不能防80端口的Web应用;IDS/IPS特征库只能保护Windows等通用系统,不能保护用户自己编写的代码。
综合来说,传统的网页防篡改软件有三大防护漏洞:
一、无法比对动态页面
传统安全防护产品中,网页防篡改软件的实现机制是定期比对页面,如果发现页面不一致,则将页面恢复为备份的原始页面。
这种方式的症结是只能比对静态页面,不能比对动态页面。
以某网站新闻版块页面为例:
标题栏中的“国内新闻”和页面框架是固定的,可以进行比对。但是最新的新闻条目是从数据库中实时提取、动态生成的,每次都不一样,这部分是无法比对的。
二、“事后恢复”治标不治本
传统的安全防护软件采用“事后恢复”的方式,治标不治本。试想看,不能主动保护,只能被动恢复,将会出现恢复后又被黑的情况。由于目前的很多攻击实际上是工具自动完成的,极有可能使页面不断被黑,对外表现的始终是被黑的页面。
三、无法满足合规性检查要求
近年来,国家愈加重视网站安全检查工作,特别是在重大节庆活动前夕,都要对相关单位的网站进行细致检查。
检查专家组是如何对网站进行检查的呢?专家会采用各种黑客手段攻击网站,由于网页防篡改软件不能进行“事前防御”,因此页面就会被黑掉。虽然被检查单位可以表明事后能恢复过来,但是在检查时很难通过,进而将影响整个单位的检查评估结果。
目前,中国软件评测中心对所有副省级以上城市的下辖单位提出的多项检查细则要求都是现有的安全防护无法做到的。
【编辑推荐】