Web安全威胁形势严峻

随着国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注：“1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站，近年来各种Web网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体……Web安全威胁形势日益严峻，Web安全防护该何去何从？ Web安全威胁的根源分析Web网站的安全事件频频发生，究其根源，关键原因有二：一是Web网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层，底层是操作系统，中间层是Web服务程序、数据库服务等通用组件，上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁，而很不幸的是，这三层架构中任何一层都不可避免地存在安全漏洞，底层的操作系统（不管是Windows还是Linux）都不时会有黑客可以远程利用的安全漏洞被发现和公布；中间层的Web服务器（IIS或Apache等）、ASP、PHP等也常会有漏洞爆出；上层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。另一方面，目前很多Web网站的防护设备和防护手段不够完善，虽然大部分网站都部署了防火墙，但针对Web网站漏洞的攻击都是应用层的攻击，都可以通过80端口完成，所以防火墙对这类攻击无能为力；另外，有些网站除了部署防火墙外还部署了IDS，但IDS无法实时阻断攻击，并且检测精度有限，仅能起到一定的事后查看作用。基于以上两个原因，Web网站事故频发也就不足为奇了，如图1所示。图1 Web网站安全威胁的根源分析基于以上分析，要提高Web网站的安全性，一方面要尽量减少网站的安全漏洞，如通过及时给网站进行补丁更新，或通过网页代码检视来减少网页漏洞，但这方面的作用还是有限的，因为获得补丁的时间往往会迟于漏洞发现的时间，并且Web网站有时还会因为业务连续性或兼容性而不方便打补丁，另外，很多网站的网页程序开发工作量大，很难通过代码检视来避免漏洞。所以，要提高Web网站的安全性，还必须同时从增强防御手段入手，当前主流的应用层安全产品IPS是保护Web网站安全的有效设备。
IPS：Web网站安全守护者有别于防火墙网络层的基础安全，IPS可以深入应用层，会检测从报文头到报文负载的每一个字节，将数据流与攻击特征进行比对，从而有效发现隐藏在正常数据流里的攻击报文；同时，有别于旁路部署的IDS，在线部署的IPS检测到攻击报文后，可以实施阻断攻击，确保目标系统的安全。IPS可以防范包括漏洞利用、SQL注入、跨站脚本、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁。IPS实现Web网站安全防护的两项关键技术是：一是入侵防御引擎技术；二是漏洞/攻击特征库技术。利用这两项技术，IPS可以针对Web网站的三层架构的每一层都提供防护。