2.通過部署WAF產(chǎn)品來抵御Web威脅

隨著攻擊技術(shù)的發(fā)展，尤其是注入技術(shù)的出現(xiàn)，DMZ已經(jīng)不能起到安全防護(hù)的作用了，攻擊者可以通過最為正常不過的HTTP協(xié)議，攻陷Web業(yè)務(wù)前臺系統(tǒng)，從而直接對后臺數(shù)據(jù)進(jìn)行訪問或者是篡改。于是出現(xiàn)了用于抵御應(yīng)用層攻擊的WAF類產(chǎn)品，對Web業(yè)務(wù)前臺系統(tǒng)的漏洞進(jìn)行封堵，藉此來防護(hù)Web業(yè)務(wù)系統(tǒng)的安全。

多技術(shù)組合對抗復(fù)雜攻擊手段的時期

這個時期，網(wǎng)絡(luò)帶寬、應(yīng)用業(yè)務(wù)的復(fù)雜度都進(jìn)入了一個新的階段。Web業(yè)務(wù)資產(chǎn)價值的提升、Web威脅行為的危害程度升級，都進(jìn)一步加大了Web業(yè)務(wù)的風(fēng)險值。這個時期對Web威脅的防御，不能僅僅考慮Web業(yè)務(wù)本身，而應(yīng)當(dāng)擴(kuò)展到全業(yè)務(wù)流程中去。

仔細(xì)審視大流量環(huán)境下的Web業(yè)務(wù)系統(tǒng)，我們可以發(fā)現(xiàn)安全風(fēng)險點不僅僅存在于網(wǎng)絡(luò)的出口。由于業(yè)務(wù)系統(tǒng)的龐雜，各個節(jié)點都可能存在安全隱患。

1.網(wǎng)絡(luò)出入口的安全隱患

分布式拒絕服務(wù)攻擊(DDoS)。意大利政府網(wǎng)站、墨西哥政府網(wǎng)站、CIA網(wǎng)站都是DDoS攻擊的受害者。

數(shù)據(jù)竊取和頁面篡改。今年，某黑客組織曾攻陷了數(shù)百個政府機(jī)關(guān)網(wǎng)站并篡改其網(wǎng)站頁面。后來，該黑客組織還公布了1.7G的竊取自美國司法部的數(shù)據(jù)。

2.后臺數(shù)據(jù)庫的安全隱患

數(shù)據(jù)庫的越權(quán)訪問。對于大型Web業(yè)務(wù)系統(tǒng)而言，后臺數(shù)據(jù)庫服務(wù)器的維護(hù)者往往采用另外的維護(hù)入口進(jìn)行數(shù)據(jù)庫相關(guān)維護(hù)，擁有數(shù)據(jù)庫訪問權(quán)限的維護(hù)人員的越權(quán)操作，將影響Web業(yè)務(wù)系統(tǒng)的正常運行。

敏感信息泄露。除了可能存在的越權(quán)數(shù)據(jù)庫訪問之外，運維人員所使用的PC上往往存放著一些重要的信息，如數(shù)據(jù)庫表結(jié)構(gòu)、管理員密碼等。這些信息也存在通過IM或者是郵件、U盤等泄露的可能。

一個面對復(fù)雜Web業(yè)務(wù)系統(tǒng)的安全解決方案，需要考慮到上面所提到的所有問題。同時，結(jié)合信息安全體系中經(jīng)典的PDR模型，還需要同時考慮到檢測、防護(hù)和響應(yīng)三個方面。

以國內(nèi)信息安全領(lǐng)軍企業(yè)啟明星辰的產(chǎn)品為例，通過將萬兆WAF、萬兆流量清洗與抗拒絕服務(wù)產(chǎn)品(ADM)和其他安全產(chǎn)品進(jìn)行組合，能夠提供全面的 Web應(yīng)用安全解決方案。在網(wǎng)絡(luò)出入口部署WAF、流量清洗與抗拒絕服務(wù)產(chǎn)品進(jìn)行防御;在網(wǎng)絡(luò)內(nèi)部部署堡壘機(jī)及數(shù)據(jù)防泄密(DLP)產(chǎn)品，降低由于內(nèi)部運 維人員的違規(guī)操作帶來的安全風(fēng)險，同時還提供針對業(yè)務(wù)系統(tǒng)的漏洞掃描產(chǎn)品，以提前發(fā)現(xiàn)安全隱患。而PDR模型中的響應(yīng)部分，大型Web業(yè)務(wù)系統(tǒng)需要建立安 全應(yīng)急響應(yīng)規(guī)范及隊伍，以應(yīng)對緊急情況下的應(yīng)急處理。

從上面的例子可以看出，萬兆網(wǎng)絡(luò)的安全問題并不只與帶寬相關(guān)，帶寬的變化同時也帶來了業(yè)務(wù)復(fù)雜度的增加，從而對安全提出了更高的要求。當(dāng)然，帶來變 化的不僅僅有帶寬，無線、IPV6、云計算、BYOD(自帶設(shè)備辦公)、SCADA，這些業(yè)務(wù)模式的變化都引發(fā)了安全狀況變化。為了適應(yīng)這種變化，安全防 護(hù)手段亦需隨之而變。

zhangcun