网站,已经不是过去的简单信息发布了,承载着大量的重要业务系统,如:网银、政务办公、报名、在线考试、网上交易、在线挂号等等,越来越重要。网站的安全问题一直在各类攻击事件中高居榜首,篡改网站、数据泄露等会带来巨大影响。通常,大家会选择购买网页防篡改、web应用防火墙或者采取云waf方式,但是有的用户只是用下一代防火墙应付了事,这些人总觉得运气不会那么差,毕竟网站受攻击只是小概率事件而已,殊不知这种侥幸的心理往往会带来巨大的安全风险,出了问题再来弥补是下策,况且已经造成的负面影响根本不能完全消除。《网络安全法》和等级保护2.0之后的监督处罚力度会随之加大,没有采取有效的安全防护措施被处罚是大概率事件。
如何选择既能满足各类合规性要求又能实质上真正能降低网站业务风险的尊龙凯时注册的解决方案,这已经越来越迫切了。
风险识别
首先,我们来分析识别清楚风险的由来,这个步骤往往被忽视,大多数人不能准确识别或者识别不全面,这会影响到最终选择的方案。风险的产生和大小来自于三个因素:外部攻击、自身脆弱性和资产的价值。资产价值往往同时也决定了保护的力度,一个花了几千万的业务系统花几千或几万块钱很小的代价来保护显然不太合理,反之一样。所有的安全措施目的就是降低风险到一个可以接受的程度。外部攻击也会因为资产价值较大而攻击的可能性增加,目前国际网络环境复杂,黑产高居不下,攻击活动也十分活跃,cncert监测到的数据显示攻击一直处于上升态势。其次,我们要研究下产生脆弱性的根本原因,是研发人员管理问题,还是开发流程问题,还是基础安全风险意识不足,还是脆弱性识别手段缺失?开发工具、开发环境、运行环境、风控手段,这都决定了最终风险值大小。
风险控制
如果网站比较多,首先要进行整合分类,部分可以采取cms系统动态转静态方式再进行发布,防火墙端口访问控制策略要做严格限制。边界部署性能可靠的waf系统,能定期进行升级规则库。操作系统以及web发布组件系统升级到最新的补丁,安装网页防篡改专业级软件,尽量不要采用waf自带缓存式比对方式的防篡改功能模块,没有意义,同时也带来额外的管理负担。web应用系统的开发遵循开发风控模型,上线前以及上线后定期进行漏洞扫描,采取专业级别的系统,而不是部分云托管公司自带的扫描系统。不专业的漏洞扫描系统,大多没有用,还自以为安全或者一堆误报漏报,影响系统脆弱性的准确判断。如果网站部署在公有云上,尽量采用云waf系统,同时也必须配备防篡改系统,其他手段并没有太大区别,内容维护的时候可以采用sd-wan技术进行安全接入。为了方便大家理解,参考以下表格方式进行部署。
专业的技术手段配合严格的安全管理手段,遵循pdca的闭环执行各项安全措施,网站安全并不是太难的事。大多网站出问题都是“人”的因素,侥幸心理作祟。他们并没有意识到现代化的攻击工具同样发展很快,甚至基于ai方式的攻击机器人已经出现,攻击更隐蔽,攻击效果更直接,各类自动化拖库工具和暴力破解工具已经随处可以下载,大家千万不能掉以轻心。人、技术和管理,三者缺一不可,事前规划、事中监测防御、事后审计分析。这些都是并不高深的安全理念,希望大家能够把网站安全建设搞好,不仅仅可以安全平稳的度过七十周年大庆,日常的基础维护工作也会变得更加的轻松。
leave a comment