您现在的位置是:首页 > IT基础架构 > 网络与安全 >

传统网页防篡改软件三大防护漏洞的解决办法

2010-08-09 17:20:00作者: 来源:

摘要截至今年5月份,我国大陆地区被篡改网站的数量为2748个,其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。...

日前有媒体报道,截至今年5月份,我国大陆地区被篡改网站的数量为2748个,其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改的网站数量为30个,较4月份增长了9个;我国台湾被篡改的网站数量为44个,较4月份增长了35个……

相信面对如此近乎疯狂的网络攻击行为,各网站也都采取了必要的安全防护措施,但为何采取防护措施的网站依然被攻击呢?原因很简单,传统的网页防篡改软件自身存在着致命的防护漏洞:防火墙不能防80端口的Web应用;IDS/IPS特征库只能保护Windows等通用系统,不能保护用户自己编写的代码。

综合来说,传统的网页防篡改软件有三大防护漏洞:

一、无法比对动态页面

网页防篡改软件的实现机制是定期比对页面,如果发现页面不一致,则将页面恢复为备份的原始页面。

这种方式的症结是只能比对静态页面,不能比对动态页面。

以某网站新闻版块页面为例:

标题栏中的“国内新闻”和页面框架是固定的,可以进行比对。但是最新的新闻条目是从数据库中实时提取、动态生成的,每次都不一样,这部分是无法比对的。

二、“事后恢复”治标不治本

传统的网页防篡改软件采用“事后恢复”的方式,治标不治本。试想看,不能主动保护,只能被动恢复,将会出现恢复后又被黑的情况。由于目前的很多攻击实际上是工具自动完成的,极有可能使页面不断被黑,对外表现的始终是被黑的页面。

三、无法满足合规性检查要求

近年来,国家愈加重视网站安全检查工作,特别是在重大节庆活动前夕,都要对相关单位的网站进行细致检查。

检查专家组是如何对网站进行检查的呢?专家会采用各种黑客手段攻击网站,由于网页防篡改软件不能进行“事前防御”,因此页面就会被黑掉。虽然被检查单位可以表明事后能恢复过来,但是在检查时很难通过,进而将影响整个单位的检查评估结果。

目前,中国软件评测中心对所有副省级以上城市的下辖单位提出的多项检查细则要求都是网页防篡改软件无法做到的。

为了提升网站安全的防护水平,满足用户对网站高安全性的要求,锐捷网络推出了新一代网站安全防护产品——WebGuard应用保护系统,有效弥补了传统网站防护手段存在的上述三大漏洞:

一、防网页篡改、挂马

高校、政府作为公共信息提供者,网页被篡改、挂马将造成很大的社会影响。

目前客户常用的防火墙、IDS/IPS、网页防篡改软件等,无法解决通过80端口、无特征库、针对动态页面的Web攻击。而WebGuard DDSE深度解码检测引擎有效防御SQL注入、跨站脚本等,防护动态页面免受攻击。

二、高性能,一站式保护各院系网站

对于高校来讲,往往拥有众多院系,但是并非所有高校都将各院系网站统一管理。各院系网站技术运维能力相对较弱,经常成为攻击重点。WebGuard利用高性能多核架构,提供并行处理,支持在校园网出口部署,一站式保护各院系网站。

三、满足合规性检查要求

继2008年北京奥运、2009年国庆60周年之后,2010年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门纷纷发文,要求相关部门针对网站安全采取措施。WebGuard采取“事前防御”机制,时时保证网站能够显示正常内容,满足合规性检查的需求,帮助用户顺利通过检查。

四、关键字过滤

WebGuard还可以防止网站论坛被上传非法反动言论,或网页被篡改为非法言论,支持关键字过滤。

五、“零配置”运行,简化部署

WebGuard针对高校用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略,避免同类产品常见的繁琐配置,用户无需具备专业的安全技能,即可拥有良好的体验。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们