网站安全问题亟待解决
随着互联网应用的普及,信息的获取越来越依赖于网络,从而进一步推动了互联网应用和网站建设。但是,随着网站建设的规模化,网站安全问题迅速严峻;黑客的入侵和攻击也越来越频繁,入侵的手段也越来越多样化,其中SQL注入、跨站攻击、数据库入侵、上传漏洞攻击、COOKIE欺骗,都是严重威胁网站安全的攻击手段。所以实时检测并阻止黑客行为、保证Web网站的安全是当前所面临的重要问题。
目前,网站安全建设主要是由防火墙、入侵检测构成的两层防护体系,且信息来源及防御范围主要是针对网络层。当前日益严峻的网站安全问题充分说明了该体系对于网站攻击防范的局限性。国际权威调研机构Gartner的最新调查显示:互联网信息安全攻击有75%都是发生在 Web 应用而非网络层面上,即Web应用是黑客攻击的主要目标。同时,数据也显示三分之二的 Web 站点都相当脆弱,易受攻击。
然而现实却是绝大多数企业将大量的投资花费在网络和服务器硬件的安全上,没有对Web应用安全给予足够的重视,同时,作为Web应用基础运行环境的应用服务器软件基本上都不具备抗攻击能力,从而给黑客以可乘之机。
方案价值
1)InforSuite应用服务器提供了高可用、高可靠、支持云计算的企业级Web应用的安全运行环境。
2)InforSuite应用服务器默认内嵌WebWall应用防火墙内核,提升了应用服务器价值,有效降低了客户IT投资成本和运维成本。
3)解决了原有应用服务器自身无法有效检测阻断Web攻击的安全问题,达到事前加固,事中阻断的效果,使得运行其中的应用服务默认即拥有更强的健壮性和安全性。
4)过滤规则支持客户自定义、自动升级和扩展能力,为系统的可持续发展打下了坚实的基础。可方便、实时地加入最新的过滤规则、各种新攻击类型检测阻断插件等,满足今后的扩展需要。 解决方案 互联网安全形势如此严峻,传统防护体系已不能满足当今网站安全的要求,如何应对网站安全威胁,构建一个完善的网站安全体系成为了近几年Web安全领域的重要课题之一。
解决网站安全问题的根本要从Web攻击技术角度分析,各种安全漏洞层出不穷
Web攻击大部分为脚本漏洞攻击,所以只要简单的学习一些脚本知识就可以进行Web攻击,因此Web安全的最大特点就是实施攻击容易。许多不法分子可以基于简单的黑客工具,甚至仅仅凭借浏览器和几个技巧就可以突破传统安全设施,攻入网站内部,进而窃取各种重要信息或篡改数据内容。
中创软件工程股份有限公司和中创软件商用中间件股份有限公司 “核高基”专项“网络应用服务中间件”项目两个课题的牵头承担单位,担负国产中间件标准体系制订、核心技术研究与产品化、产业化的创新使命。
#p#
面向网络的安全应用服务解决方案推出
以国家863技术成果为基础,以成熟的中间件产品和技术为支撑,推出的“面向网络的安全应用服务解决方案”,是基于中创软件自主创新的中间件技术,依托二十余年的应用开发背景,针对互联网应用的网络安全现状及发展需求推出的。即在传统应用服务器中内嵌Web防火墙技术,使得两种技术完美融合。该方案主要面向政府、电信、金融、企业等,针对门户网站普遍关注的高安全需求,为网站提供自带WEB层主动防御技术的高可用、高可靠、高安全的Web应用基础运行环境,使应用更加健壮和安全。
InforSuite应用服务器(InforSuite Application Server,简称IAS)是中创软件商用中间件股份有限公司的新一代企业级应用服务器产品。InforSuite应用服务器传承了中创中间件产品多年的开发经验,融合了原有应用服务器产品的所有功能和优点,并遵循JEE 5.0规范进行了全面的升级;通过采用先进的IOC微内核和插件体系结构思想构筑了一个强大而稳定的服务基础架构,可以集成服务集成总线、统一认证授权服务、工作流服务、报表服务,为企业信息化总体架构提供完备的基础设施和机动的SOA设施。
IAS是一款技术领先、性能卓越、高可用、支持云计算并提供创新业务模式和网站安全服务的应用服务器产品。 InforGuard是中创软件商用中间件股份有限公司自主知识产权的、国内技术最先进、功能最全面、应用最广泛的一款专注于网站信息内容安全,且唯一能够支撑SaaS模式的网页防篡改系统。
InforGuard系列产品目前拥有国家28个部委级政府机关及诸多世界500强企业的成功案例,广泛应用于政府、金融、电信、互联网、科教、能源与制造业等众多领域和行业,用户已覆盖全国31个省、自治区、直辖市,市场占有率超过50%。 InforGuard WebWall是InforGuard家族中专门针对Web应用安全的一款产品,该产品以中高端客户需求为基础,在充分研究网站安全状况及发展趋势的前提下,经过多年积累,形成了包括Web攻击检测阻断、告警审计、威胁信息监管等诸多功能于一体的Web应用层安全解决方案。
InforSuite应用服务器默认内嵌国内市场占有率第一的网络防篡改产品InforGuard家族中WebWall应用防火墙内核,在传统应用服务器基础之上,采用基于规则的内核过滤技术,通过对关键信息的验证检查,有效抵御黑客的各种攻击手段,起到事前加固,事中阻断的效果,使应用服务拥有更强的健壮性和安全性,着重从Web应用层面解决了网站安全的问题。 InforSuite应用服务器采用先进的软构件技术框架,系统以背板模型作为构件基础框架,主要业务功能均以构件形态存在,并运行于框架之中。此架构体系支持“即插即用”的方式实现业务功能的灵活剪裁和扩展,并支持过滤规则的自定义、自动更新和扩展,从而为系统的可持续发展打下了坚实的基础。
InforSuite应用服务器的防护示意图如图4所示,其能够有效检测阻断的攻击列表如下: 1.防止SQL注入 2.防止XSS跨站 3.防止系统命令执行 4.防止暴力猜解数据库 5.防止危险的头信息 6.防止构造危险的Cookie 7.防止网站挂马攻击 8.支持在线升级防御功能 9.支持异构WEB/应用服务器并发检测 10.支持多虚拟主机并发检测
应用案例 电力2333工程应用支撑平台
电力行业是国民经济的基础和命脉。为确保国家电网信息安全,按照国家等级保护制度和国产化及自主可控需要,2009年国家电网公司统一规划、国家发改委批准实施了信息安全专项《电网信息安全等级保护纵深防御示范工程》(简称2333工程)。
作为全国电力供应行业排头兵企业,浙江省电力公司被选定为3家试点单位之一。该公司高度重视此项工作,将信息安全与电网安全放在同等重要的位置,着力在公司本部和11个地市供电企业建设应用一体化的安全运行监管平台,开展关键管理信息系统等级保护符合性改造和外网网站系统全国产化改造等工作。
由国家“核高基”科技重大专项中间件课题牵头承担单位——中创软件商用中间件股份有限公司研发的、具备完全自主知识产权的Infors中创中间件产品,以其卓越的性能赢得客户认可,被选定为浙江省电力公司2333工程的应用支撑平台。InforSuite应用服务器为业务应用提供了高稳定、高性能的运行环境支持,同时面对企业应用越来越互联网化的趋势,该平台创造性地提供了具备网络攻击防护能力的应用安全服务,为工程的顺利实施起到重要支撑作用。 客户评价说:“InforSuite应用服务器保障了国家电网门户网站内容的安全性和正确性,实现了对网站安全事件的实时告警,提升了国家电网对网站安全事件的应急处理能力。
网站安全应用服务解决方案就为大家介绍完了,希望读者已经深刻的了解了以上内容,此方案是个典型和极具价值的案例,相信可以给读者提供丰富的经验和参考信息。
【编辑推荐】