打造基于APPDRR的动态安全防御体系(拯救运维经理)(3)

4.1 网站源代码整改  

◆通过对WEB源代码审计(Web Application Source Code Audits)，对已发现的脚本漏洞进行修补，包括替换篡改页面、清除挂马页面、填补安全漏洞(包括跨站脚本、目录遍历、SQL注入、CRLF注入、物理路径泄露、应用错误信息、脚本源码泄露等)。

4.2 主机系统配置加固  

◆主机系统包括操作系统、中间件和数据库。  

◆操作系统安全加固：包括Windwos、、Linux、Unix等类型的服务器操作系统安全加固、漏洞修补。其中加固项包括：用户账号和密码策略、远程登录限制和加密选项、重要目录和文件权限限制、注册表权限设置(win)、多余账号和文件清除、抗DDOS攻击设置、关闭不必要的系统服务、系统补丁及时安装、日志审计等。  

◆中间件安全加固：包括IIS、Apache、Tomcat、weblogic、websphere等类型的WEB中间件的安全加固、漏洞修补。其中加固项包括：用户账号和密码策略、加密传输设置、Socket数量限制、错误页面处理、默认端口更改、漏洞补丁包安装等。  

◆数据库安全加固：包括MSSQL、MYSQL、Oracle、DB2等类型的数据库安全加固、漏洞修补。其中加固项包括：用户账号和密码策略、远程登录限制和加密选项、监听端口设置、启用审计功能、安全更新包安装、存储过程控制使用。  

◆实际实施中应根据不同的操作系统、中间件和数据库类型进行有的放矢的专项加固。因暂无了解赵明公司服务器的类型，故本文只在这里起抛砖引玉的作用。

4.3网络安全产品部署

本方案设计采用Juniper Netscreen系列防火墙作为边界防护，主要负责提供OSI第4层以下的基本安全环境和高速转发能力，而采用启明星辰入侵防御系统对OSI第4-7层流量的细粒度控制。采用IGuard网页防篡改系统对网站应用程序文件进行内核级的文件保护功能。

Juniper Netscreen产品介绍：  

NetScreen 系列安全系统是专用防火墙安全系统，专为大中型企业、电信运营商和数据中心网络而设计。NetScreen在一个超薄模块化机箱内集成了防火墙、VPN、DoS 和 DDoS 保护，以及流量管理功能。这些系统构建于我们的第三代安全 ASIC 和分布式系统架构之上，可提供出色的可扩展性与灵活性，同时通过 NetScreen ScreenOS 定制操作系统可提供更高的安全性。

产品亮点总结：

1、支持安全域划分，访问控制策略对象管理，ASIC芯片设计，高性能防火墙的代表(和x86架构的防火墙不在同一个级别)

2、基于模块化设计，丰富的安全防御特性，日后根据需要还可以添加防垃圾邮件网关、防病毒网关模块和IDS模块功能。

启明星辰入侵防御系统产品介绍：  

天清入侵防御系统（Intrusion Prevention System）是启明星辰自行研制开发的入侵防御类网络安全产品，围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。  ?

天清入侵防御系统采用的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition)，该协议自识别方法基于协议指纹识别和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，并采用预先建立的协议验证规则进一步验证协议识别结果正确性。对SQL注入、跨脚本攻击等针对WEB业务的攻击行为有很好的判断和防御能力，和传统学术界以及产业界的技术相比，可以做到无误报，无漏报。

系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法，不但有效提高了对各种深层攻击行为的识别能力，而且对攻击变种、异形攻击等无法通过特征判断的攻击行为也能实现精确阻断。天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE，对用户而言，提供了更详细了解网络中发生行为的机会。

天清入侵防御系统（IPS）融入了启明星辰公司在入侵攻击识别方面的积累和研究成果，使其在精确阻断方面达到国际领先水平，不仅可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断，而且能够有效的防御像SQL注入、跨站脚本攻击这些针对应用业务的攻击行为，弥补了其它安全产品深层防御效果的不足。

产品亮点总结：

1、采用基于协议指纹识别和协议规则验证技术的VFPR协议自识别方法， WEB业务深层防御能力较强。

2、系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法，检测防御规则库兼容CVE（Common Vulnerabilities and Exposures，国际通用漏洞披露库），精确阻断达到国际领先水平。

iGuard网页防篡改系统：  

采用先进的核心内嵌技术

上海天存信息有限公司推出的iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。

采用事件触发机制，确保系统资源不被浪费，不同于一些文件轮询扫描式或外挂式的页面防篡改软件，iguard 的页面防篡改模块采用的是与Web 服务器底层文件夹驱动级保护技术，与操作系统紧密结合的。而且是在Web 服务器对外发送网页时进行网页防篡改检测。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能，其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或外挂式的同类软件。 

基于双向检测机制的防篡改原理

iGuard网页防篡改系统的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览，完全实时地杜绝篡改后的网页被访问的可能性；同时，iGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断，从而杜绝任何使用Web方式对后台数据库的篡改。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]