打造基于APPDRR的动态安全防御体系(拯救运维经理)(1)

深夜，某网站运维经理赵明正戴着耳麦趴在桌子上接到一个匿名电话，紧接着随即打开了公司的首页，发现公司网站被黑客非法入侵。整个屏幕赫然留下了几个血红色的英文字母“The evil is coming，We will be back”。公司依托网站运行的业务被迫中断，客户部第九次进行投诉，运营总监一脸阴沉...

二、 安全技术现状分析

1、 赵明所在公司目前网站结构拓扑图如下：  

2、 交换网络安全现状

目前仅有一台交换机部署在WEB应用服务器和数据库服务器之间，WEB服务器和数据库服务器不能很好的进行逻辑隔离。尽管通过交换机ACL功能可实现对数据库服务器、文件服务器的访问控制。但控制能力较弱，因为基于交换机的ACL功能只能实现简单的包过滤访问策略，并不能实现基于状态分析的访问控制，黑客很容易通过伪造TCP报文轻松绕过交换机。一旦WEB服务器遭受入侵，承载着公司重要业务数据的数据库服务器即成为下一个攻击目标。

3、 边界网络安全现状

通过网络拓扑可知，WEB服务器是直接暴露在互联网之外的，没有划分专门的DMZ区部署WEB应用。网络边界并没有部署任何的防火墙防护，来自外界的访问者可任意访问公司内部服务器。由于缺乏防火墙的边界防护，无法对不同信任程度区域间传送的数据流进行基于上下文的访问控制，无法通过NAT地址转换保护内网的机器，无法防御各种IP/端口扫描、路由欺骗攻击、由TCP/UDP Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻击等等。

4、 应用层网络安全现状

网络中并没部署入侵检测系统或入侵防御系统，无法对一些基于应用层的攻击如常见的SQL注入攻击、脚本攻击、cookies欺骗进行入侵检测、行为阻断和实时报警等。

5、 内网客户端安全现状

内网客户端没有实施安全终端控制，服务器口令随意存放、内部员工P2P文件共享工具滥用、病毒木马感染四处肆虐，发送邮件不经意携带机密信息，最终导致公司敏感信息泄露。

6、 主机安全现状

主机安全策略没有经过严格的设置，或仅保留默认配置策略，往往给入侵者带来了极大的‘后门’。如常见的账户弱口令、远程使用基于明文的Telnet管理、文件夹权限过大、默认账号未禁用、系统补丁未安装而引致安全漏洞等等。

7、 应用程序安全现状

从本次的安全事件可以了解到，出现问题的正是网站页面被非法篡改。经推测可能正是应用程序(即网站程序)出现了SQL注入漏洞、跨站脚本漏洞、目录遍历、CRLF注入漏洞等安全隐患被入侵者发现，然而没有相应的安全防护设备进行攻击防御，加上主机安全策略配置不当，客户端泄露敏感信息，主页页面被非法篡改后无法及时进行有效的恢复，最终导致公司网站被黑客入侵的网络安全事故发生。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]