<wbr id="cyjft"><table id="cyjft"><p id="cyjft"></p></table></wbr>
    <sub id="cyjft"></sub>
  1. <u id="cyjft"><bdo id="cyjft"></bdo></u>
      <wbr id="cyjft"><input id="cyjft"><p id="cyjft"></p></input></wbr><menu id="cyjft"><big id="cyjft"><i id="cyjft"></i></big></menu><b id="cyjft"><bdo id="cyjft"><var id="cyjft"></var></bdo></b>

      <bdo id="cyjft"></bdo>
      法律聲明 網站地圖 聯系我們 關于我們   
      電話:0514-85764830  在線咨詢:501227499

      正在加載本站資訊...

      正在加載網景聲音...

      如何在本站購買國際國內域名?
      如何把域名解析到我的主機上?
      如何知道域名解析是否生效?
      如何獲取主機贈送的企業郵局?
      如何用FTP軟件上傳網站?
      如何使用FOXMAIL收發郵件?
      >>更多常見問題
      揚州網站建設
      -揚州網景是資深的揚州網站建設專家,以精湛的網站建設技術、優質的服務為您提供全方位的網站建設、網頁設計服務;精心推出網站建設網頁設計的多種科學方案,從網頁設計到網頁制作,從網站建設到網站推廣,保證您最大限度擁有信息化的網站建設優勢;
      首頁 >> 網景聲音 >> 詳細  
      專家支招,簡單有效抵御網站威脅
       

      黑客入侵、掛馬、網頁篡改……網站安全存在的種種問題令人擔憂,那么是否有方法能徹底地解決網站安全問題呢?如果所有網站在每個代碼開發環節中,能做好充分的安全性代碼檢查工作,確定沒有任何安全漏洞再上線使用,并做好安全維護工作,問題大概就能徹底解決。但這種方式對一個網站來說無疑是投入很大的,甚至讓絕大多數的網站根本無法承受。有沒有更簡單有效的方式解決網站安全問題,成為網站安全的一個熱點。

      一、 從360度視角看網站安全問題

      在信息安全建設從來不能以偏概全。同樣,網站安全也不能從某一個方面考慮,需要從結構性安全的角度來全面思考網站安全。我們不妨用PDR模型作為一個視角,從防護(P)、檢測(D)、響應(R)的角度來看待網站安全問題現狀,一個安全結構的設計,如果Pt(防護時間)>Dt(檢測時間)+Rt(響應時間),那么我們認為這個結構就是安全的,很多安全設施的設計都參考這個理論模型。

      站在網站安全360的視角中,可以對目前網站安全現狀做如下圖的總結。

       

      我們不難發現P、D、R都存在著一些問題。
      1. 網站防護脆弱:防不住SQL注入、XSS等網站常見的攻擊。
      2. 網站缺乏對安全漏洞、惡意代碼的發現機制:往往是網站發生損失和利用造成傷害后才發現被入侵。
      3. 響應對象不完整:由于缺乏有效的檢測,很多網站有事故才響應,不知道有安全漏洞和入侵存在,自然沒有及時響應,直至損失被發現才有響應,甚至響應也僅僅停留在恢復層面,而沒有解決導致入侵存在的安全問題。

      根據這一視角,我們看到,如果因為網站復雜的應用導致總會出現防不住的惡意應用,那么缺乏網站安全檢測機制就成為問題惡化的根源。沒有網站安全檢測時,一旦防御失效、用戶管理者又毫無察覺,便陷入很大的安全危機;另一方面,用戶自己對網站源代碼的安全檢查需要投入大量的人力物理和時間,使很多網站難以承擔,造成大量網站處于這種不良的安全現狀。因此,就需要一個不僅僅是簡單,而且要完整的安全措施來對應上述這些問題。這一措施必須能夠分別加強網站的防御、檢測、響應的質量,一方面加強防御,提升有效防護的時間(Pt),一方面縮小Dt(檢測的時間)和Rt(響應的時間)。分解了每部分的安全需求,就可以使用明確的安全措施來完善網站安全。

      1. 縮小檢測時間(Dt),確保在網頁植入惡意代碼前就了解網站的安全漏洞,同時在網站被黑客植入惡意代碼后能夠及時準確的發現,并被披露,而不是黑客獲取利益后或者網站造成傷害后才發現入侵。

      2. 延長防護時間(Pt),如果防護的種類越多,黑客需要嘗試攻擊入侵網站的時間就越長,很多網站沒有入侵防護設施,或者入侵防護設施對常見的網站攻擊更是無效。這時需要加強對一些WEB常見攻擊的防護,比如SQL注入、XSS跨站腳本等利用語法變量實現攻擊的入侵。

      3. 縮小響應時間(Rt),有了檢測機制,一個網站存在安全漏洞或被攻擊,都能做出及時響應,確立一個外援的響應團隊和組織,當發生這些問題時,能夠有效和徹底的解決存在的問題,避免被重復迫害。

      二、 檢測、防御、響應——360度網站安全解決方案

      根據網站安全360視角,國內信息安全領域的領軍企業啟明星辰,提供了完善解決網站安全的產品及服務,從防護、檢測、響應三個方面入手,讓網站安全變得更簡單。據介紹,網站安全360包括三大部件:檢測部件(安星服務)、防御部件(天清IPS)和響應部件(網頁安全修復服務)。

      1. 檢測部件

      安星,是被稱為網站安全體檢專家的服務。它是啟明星辰基于安全檢測技術成果和專業遠程監控安全服務團隊,為客戶互聯網網站的WEB頁面進行遠程安全檢查的有償服務。安星是一個產品化的服務,包括檢查網頁掛馬和網站漏洞兩種可選項目。服務均經過專業人員的核查,以報告的形式,準確地通告用戶網站存在的安全問題。服務的過程是遠程實現,同時不需要對網站做任何調整和改動,只需要提供互聯網域名即可。為了確保服務的準確,服務的過程將經過三個層次篩選,第一層是自動化的網頁異常搜索,通過遠程搜索發現網頁異常;第二層進行精確篩選,排除肯定不是攻擊的部分;第三層是專業人員的人工審查,確定漏洞或木馬存在的位置、形態、功能等并形成可視化報告。據介紹,安星服務的價格取決于網站頁面數量規模和周期報告頻度。

      2. 防御部件

      天清IPS,被稱為WEB應用入侵防御系統,是專門針對WEB網站攻擊進行優化的入侵防御產品。天清IPS是一個硬件設備,通常透明串行模式部署于網站前端,用來精確阻斷SQL注入、XSS跨站腳本以及利用WEB系統漏洞的入侵攻擊。一些重要網站在正在使用這個產品強化針對網站攻擊的防御能力。據了解,此產品運用了一套啟明星辰的專利算法,因此成為目前為數不多能夠做到精確阻斷SQL注入攻擊、XSS跨站腳本攻擊的IPS產品。

      3. 響應部件

      網頁安全修復,對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時可以選擇白盒測試、黑盒測試對網站相關的安全源代碼進行檢查,找出源代碼方面的問題,獲得源代碼問題所在以及安全修復建議或修改服務。該類服務由啟明星辰國家級實驗室的專業攻防技術團隊(ADLAB)提供支持。一些缺乏專業外援團隊的重要網站,能夠通過這個專業團隊的服務來強化網站系統的安全源代碼設計,加強系統自身的安全性。

      有了網站安全360各個部件發揮的作用,我們就可以降低網站入侵造成的損失。當黑客攻擊前,用戶通過檢測部件就能了解漏洞,當黑客在網站中植入惡意代碼,形成網頁跨馬時,檢測部件也能及時發現;同時防御部件天清IPS,能精確阻斷面向網站的SQL注入攻擊;響應部件中的網頁修復服務,幫助網站實現源代碼級的修復。各部件作用如下圖所示:



       
      雖然網站安全狀況不容樂觀,但通過安全廠家不斷的努力和創新,一系列的安全措施和技術得以廣泛應用,更多的用戶得以高效提升自身網站的安全性,網站安全工作也因此變得簡單明朗起來。

      三、 網站安全360,根據實際需要區分選擇

      由于網站安全360各個部件的用戶投入成本不同,完整的安全手段也并非適用所有網站。啟明星辰專家結合網站分類,也給出了網站安全360部件面對不同網站的幾點選擇建議。

      一般網站,非運營、經營類的企業網站,建議選擇(檢測部件)安星,及時了解面臨的問題;服務頻度時間間隔相對長一些。

      重要網站,一般政府信息門戶,承擔運營、經營、服務類企業網站,建議選擇安星、天清IPS(檢測部件+防御部件),及時了解問題、阻斷基于WEB的入侵攻擊。同時相對縮短網站安全檢查服務的周期。

      核心網站,重要政府信息門戶,承擔金融、證券、信息調度、業務控制等業務網站,建議選擇安星、天清IPS、安全代碼(檢測部件+防御部件+響應部件),即網站安全360所有組件。

      安全廠商建議,站在安全的角度衡量網站重要性,必須從網站被利用后給攻擊方帶來的價值來考慮。這對我們評估網站選擇哪些必要的安全措施非常有幫助。根據以上的選擇方法,我們能夠更加明確網站需求,有針對性地選擇安全措施來提升網站安全,從而獲得高效的網站安全投入產出。

      錄入時間:2008/7
      共 4933 次點擊
      打印本頁 | 關閉窗口
      版權聲明 - 隱私保護 - 法律聲明 - 網站地圖 - 付款方式 - 價格總覽 - 聯系我們 - 工作機會 - 揚州寬帶網 - 揚州房產 - 舊版回顧.  
      工作時間:上午8:30-12:00 下午13:00-17:30(國家法定假日及非工作時間可能無人接聽電話)
      電話:0514-85764830 Email:yzonline@qq.com QQ聯絡:501227499
      公司地址:揚州邗江中路358號三盛國際寫字樓1010#  電子地圖
      版權所有:揚州網景科技有限公司  備案號:蘇ICP備09010303號-12   增值電信業務經營許可證:B2-20140263
      中文欧美日韩无线码_中文字字幕在线中文乱码不_亚洲综合在线一区二区三区_亚洲无码在线不卡