1.云时代的网站安全管理分析 破解云计算环境中的安全迷局,需遵循信息安全管理体系的基础逻辑,需要为承载云计算应用的信息系统建立一套完善的信息安全管理体系,提升IT 管理者的管理能力、安全防护能力与运维能力。无论是被广泛使用的ISO/IEC27001 标准,还是云安全联盟(CSA)提出的《云计算关键领域安全指南》,保护云计算与应用安全的关键要素之一是确保Web 服务器的可控、可管、可信。自《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)(以下简称《条例》)颁布之日起,我国已明确规定关键计算机信息系统需要实行安全等级保护制度。等级保护制度已成为我国计算机信息系统实施安全管理必须遵从的重要标准和规范,因此对重要Web服务器贯彻落实等级保护政策是确保云更好的为公众及社会服务重要安全措施。 根据《条例》等有关法律法规,网站安全防护需明确:1)系统安全管理,应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;2)恶意代码防范,应在网络边界处对恶意代码进行检测和清除,应维护恶意代码库的升级和检测系统的更新;3)备份和恢复,应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放,应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地,应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障,应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 因此,解决云时代的网站安全问题,归根结底需要以访问控制为核心构建可信计算基(TCB),实现自主访问、强制访问等分等级访问控制,在信息流程处理中做到控制与管理。 2.构建网站安全管理体系 众所周知,云计算可以为其所服务的对象提供随时随地的按需服务,灵活的接入方式,随需而变的资源池,以及弹性的架构。云时代的网站承载着更多的关键应用与服务,它更加灵活、开放,服务的群体也更加大众化。依照国家信息安全等级保护有关要求,政府门户网站系统的信息安全保护等级应定为三级,应建立符合第三级信息系统保护相关要求的安全防护体系,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,采取有针对性的安全防护措施,建立安全保障体系框架。图1 为信息系统安全管理体系框架。 图1 信息系统安全管理体系框架 根据国务院办公厅发布《关于进一步加强政府网站管理工作的通知》(国办函[2011]40 号)要求,网站系统要切实采取防攻击、防篡改、防病毒等安全防护措施,综合提升网站系统的安全保障能力。新时期的网站安全保护需要实现涵盖事前、事中、事后的完整的安全保护能力建设。一方面需要落实国家信息安全等级保护制度的各项保障措施,另一方面要加强信息系统自身的抗威胁能力。 为此,网神提出在Web 应用及服务器前端部署基于应用层的安全分析、过滤与审计能力的安全产品,才能真正提升网站及Web 服务器的安全性。网神SecWAF 3600 Web应用防火墙系统(以下简称SecWAF)是具有完全自主知识产权的新一代安全产品,作为网关设备,防护对象为Web 服务器,其设计目标为分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web 应用安全解决方案。网神Web 安全团队根据常年观察互联网黑客攻击方式和黑客技术,总结开发出了一套完整的“Web 安全防护体系”,可显着提升企事业单位门户网站的“事前、事中、事后”综合防御能力,满足系统安全管理的定期网站漏洞扫描,网站代码安全防护、代码漏洞定期升级,网站实时备份和及时恢复等多个技术要求。 实践证明,通过网神SecWAF 3600 Web 应用防火墙构建的“事前、事中、事后”综合防御体系,可显着降低企事业单位的网站安全风险,实现与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护体系。目前,网神公司的Web 应用防火墙已广泛应用于政府、企业、教育等多个行业,为企事业单位网站安全稳定运营提供了又一利器。 |