网站的“盾”–网站安全

15

网站承载了各式各样的开放信息，已经成为互联网上主要的内容传播载体。政府、金融、教育等网站中存放着比较重要的敏感数据并且拥有知名搜索引擎比较靠前的排名，因此吸引了大量的黑客对网站进行攻击。上一篇推文介绍了传统安全防御方案的不足以及网站安全防护的关键能力，接下来我们来聊聊网站安全解决方案。

网站安全防护整体示意图

网站安全解决方案（如图1）共提供3类安全评估方式、6类安全防御设备、3类流量审计设备和1个统一网站安全监测平台，依靠评估、防御、审计、修复四个关键步骤，完成对网站系统的一体化防御，提升网站安全性。

图1 网站安全解决方案全景图

网站安全状态评估

主要通过专业安全服务（渗透测试服务、7*24小时网站监测服务、安全基线配置核查服务）和安全监测工具（综合漏洞检测工具、态势感知系统等）来进行有效评估，可根据评估结果得出网站系统的安全状态。（如图2）

图2 网站安全状态评估方式

网站入侵安全防护

基于“纵深安全防御”理念，通过七道安全防御边界，可有效抵御黑客对网站系统的多层面入侵。当安全事件发生时，这七道安全防线可形成整体防御能力，共同保障网站系统的安全。七道安全防线分别为：（如图3）

图3 网站入侵安全防线

网站流量审计分析

经过用户端发起、网站服务器接收转发、应用服务器处理、数据库服务器查询这四个步骤，可完成一次用户对网站动态业务的访问请求。从完整性上考虑，需要针对URL请求/响应流量（用户端与网站服务器、应用服务器之间）、SQL请求/响应流量（应用服务器与数据库服务器之间）这两种流量一起审计，才能还原一个完整的会话请求过程。因此通过数据库审计系统完成对URL流量的WEB访问审计、SQL流量的数据库访问审计，并结合运维流量的运维审计组成了对网站流量的完整审计分析。

图4 网站流量审计对象

网站安全加固修复

一个完整的网站系统会包含物理设施、网络设备、安全设备及各类服务器，需要从各个维度进行考虑，包括物理安全、网络安全、主机安全、应用安全和数据安全。安全加固修复服务是保证设备和系统安全运行的关键防护措施之一，通常情况下除部署相应安全防护设备以外，操作系统、数据库、中间件、网络设备、安全设备、应用系统，都需要进行安全加固修复。可以在最坏的情况下，使其能够依靠自身系统的安全策略抵御外部入侵。（如图5）

图5：网站安全加固服务

结束语

网站安全整体解决方案以黑客入侵过程为视角，针对黑客入侵的每个关键步骤分别制定了“网站安全状态评估、网站入侵安全防护、网站流量审计分析、网站安全加固修复”四个方位进行一体化的安全防护方案，将专业安全产品与人工服务相结合，能够在很大程度上提升网站的安全性。