常見(jiàn)的Web應(yīng)用攻擊防護(hù)

防御常見(jiàn)的OWASP威脅：支持防御SQL注入、XSS跨站、上傳、后門(mén)隔離防護(hù)、命令注入、非法HTTP合約請(qǐng)求、常見(jiàn)Web服務(wù)器漏洞利用、未經(jīng)授權(quán)訪問(wèn)核心文件、路徑遍歷、掃描防護(hù)等共同的威脅。

網(wǎng)站不可見(jiàn)性：不要將網(wǎng)站地址暴露給攻擊者，避免繞過(guò)Web應(yīng)用防火墻的直接攻擊。

友好觀察模式：對(duì)網(wǎng)站新上線的服務(wù)開(kāi)啟觀察模式。對(duì)于符合防護(hù)規(guī)則的疑似電力攻擊，僅告警不攔截，方便統(tǒng)計(jì)服務(wù)虛警狀態(tài)。

（WAF電源攻擊防護(hù)原理）

堡壘機(jī)

堡壘機(jī)，即在特定的網(wǎng)絡(luò)環(huán)境中，利用各種技術(shù)手段，對(duì)運(yùn)維人員對(duì)網(wǎng)絡(luò)中的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為進(jìn)行監(jiān)控和記錄服務(wù)器運(yùn)維技術(shù)，以便便于集中報(bào)告和及時(shí)處理。審計(jì)以確保網(wǎng)絡(luò)和數(shù)據(jù)不被外部和內(nèi)部用戶入侵和破壞。

堡壘機(jī)基于跳板機(jī)，可以更安全地實(shí)現(xiàn)目標(biāo)集群服務(wù)器的運(yùn)維，提供安全保障。其主要功能如下：

① 資產(chǎn)集中管理（統(tǒng)一管理）。

②審核、記錄、錄像回放操作記錄。

③ 限制rm、dd等危險(xiǎn)命令的執(zhí)行。

④ 限制登錄目標(biāo)服務(wù)器的身份權(quán)限。

日志審計(jì)

對(duì)于運(yùn)維管理人員來(lái)說(shuō)，這種富含重要數(shù)據(jù)信息（用戶登錄信息、系統(tǒng)錯(cuò)誤信息、磁盤(pán)信息、數(shù)據(jù)庫(kù)信息等）的日志非常重要。這個(gè)日志信息可以用來(lái)分析整個(gè)系統(tǒng)，找到問(wèn)題的癥結(jié)所在。解決這個(gè)問(wèn)題。

也就是說(shuō)，通過(guò)日志，IT管理者可以了解系統(tǒng)的運(yùn)行狀態(tài)和安全狀態(tài)。

在一個(gè)完整的信息系統(tǒng)中，日志是一個(gè)非常重要的功能組件。當(dāng)系統(tǒng)中有一些管理員操作或者系統(tǒng)本身的報(bào)錯(cuò)行為時(shí)，該日志就相當(dāng)于系統(tǒng)過(guò)去三天的工作報(bào)告。系統(tǒng)每天在做什么，有沒(méi)有報(bào)警信息，有什么問(wèn)題，問(wèn)題無(wú)法識(shí)別；當(dāng)系統(tǒng)受到安全攻擊時(shí)，系統(tǒng)的登錄錯(cuò)誤和異常訪問(wèn)都會(huì)以日志的形式記錄下來(lái)。

通過(guò)分析這種日志，了解這種系統(tǒng)的工作報(bào)告，就可以知道系統(tǒng)在過(guò)去三天內(nèi)遭受了哪些攻擊，完成了哪些任務(wù)。同時(shí)，查看日志也是一個(gè)很好的取證信息來(lái)源，可以在安全危機(jī)發(fā)生后找出誰(shuí)做了什么以及具體的動(dòng)作。

漏洞掃描和修補(bǔ)

漏洞掃描技術(shù)是一項(xiàng)重要的網(wǎng)絡(luò)安全技術(shù)。配合防火墻、入侵檢測(cè)系統(tǒng)，有效提高網(wǎng)絡(luò)安全性。

通過(guò)掃描網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。

根據(jù)掃描結(jié)果，網(wǎng)絡(luò)管理員可以糾正系統(tǒng)中的網(wǎng)絡(luò)安全漏洞和不正確的設(shè)置，在黑客攻擊之前采取預(yù)防措施。

如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的預(yù)防措施，可以有效防止黑客攻擊，防患于未然。定期執(zhí)行網(wǎng)絡(luò)漏洞掃描也有利于公司如下：

①定期網(wǎng)絡(luò)安全自我監(jiān)測(cè)評(píng)估

配備漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理員可以定期進(jìn)行網(wǎng)絡(luò)安全檢查服務(wù)。安全檢查可以幫助企業(yè)最大程度地消除安全風(fēng)險(xiǎn)，盡早發(fā)現(xiàn)安全漏洞并進(jìn)行修復(fù)，有效利用現(xiàn)有系統(tǒng)優(yōu)化資源。提高網(wǎng)絡(luò)的運(yùn)行效率。

② 安裝新軟件和啟動(dòng)新服務(wù)后檢測(cè)

因?yàn)槁┒春桶踩L(fēng)險(xiǎn)有多種方式，安裝新軟件和啟動(dòng)新服務(wù)可能會(huì)暴露以前隱藏的漏洞。因此服務(wù)器運(yùn)維技術(shù)，此類操作后應(yīng)重新掃描系統(tǒng)以確保安全。

③網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)改造前后的安全規(guī)劃評(píng)估和有效性測(cè)試

網(wǎng)絡(luò)建設(shè)者必須構(gòu)建安全大計(jì)，引領(lǐng)大局，建設(shè)高水平的建筑。在可容忍的風(fēng)險(xiǎn)水平和可接受的成本之間取得平衡，并在各種安全產(chǎn)品和技術(shù)之間進(jìn)行選擇。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)，方便企業(yè)進(jìn)行安全規(guī)劃評(píng)估，測(cè)試網(wǎng)絡(luò)安全體系建設(shè)方案和建設(shè)成效評(píng)估。

④網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全測(cè)試

網(wǎng)絡(luò)在承擔(dān)重要任務(wù)前，應(yīng)采取更加積極主動(dòng)的安全措施，避免車禍發(fā)生，在技術(shù)和管理上更加重視網(wǎng)絡(luò)安全和信息安全，建立物理防護(hù)，將車禍概率降到最低。網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)，方便企業(yè)進(jìn)行安全測(cè)試。

⑤網(wǎng)絡(luò)安全車禍后的分析與調(diào)查

網(wǎng)絡(luò)安全 車禍發(fā)生后，可以通過(guò)網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)，分析和判斷被攻擊的網(wǎng)絡(luò)漏洞，幫助彌補(bǔ)漏洞，提供盡可能多的信息，方便調(diào)查攻擊的來(lái)源。

⑥ 重大網(wǎng)絡(luò)安全事件發(fā)生前的預(yù)案

在發(fā)生重大網(wǎng)絡(luò)安全風(fēng)波之前，網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的隱患和漏洞，及時(shí)彌補(bǔ)漏洞。

安全系統(tǒng)約束

2017年6月1日，《中華人民共和國(guó)互聯(lián)網(wǎng)安全法》明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。企業(yè)應(yīng)按照國(guó)家要求進(jìn)行年度安全等級(jí)保護(hù)評(píng)估，并按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》進(jìn)行整改。

信息系統(tǒng)安全等級(jí)評(píng)價(jià)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)價(jià)過(guò)程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具備不同的安全保護(hù)能力。

一方面通過(guò)在安全技術(shù)和安全管理中選擇適合安全等級(jí)的安全控制來(lái)實(shí)現(xiàn)；

另一方面，分布在信息系統(tǒng)中的安全技術(shù)和安全管理中的不同安全控制，通過(guò)連接、交互、依賴、協(xié)調(diào)、協(xié)作等相互關(guān)聯(lián)的關(guān)系，共同作用于信息系統(tǒng)的安全功能。確保信息系統(tǒng)的整體安全。這些功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制、級(jí)別和區(qū)域之間的相互關(guān)系密切相關(guān)。為此，信息系統(tǒng)安全等級(jí)評(píng)估是在安全控制評(píng)估的基礎(chǔ)上，還包括系統(tǒng)整體評(píng)估。

信息系統(tǒng)的安全防護(hù)等級(jí)分為以下三級(jí)，由一級(jí)到三級(jí)逐步提高：

第一層次，信息系統(tǒng)被破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不會(huì)損害國(guó)家安全、社會(huì)秩序和公共利益。運(yùn)行和使用一級(jí)信息系統(tǒng)的單位應(yīng)當(dāng)按照國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)其進(jìn)行保護(hù)。

第二層次，信息系統(tǒng)被破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全的。國(guó)家信息安全監(jiān)管部門(mén)應(yīng)當(dāng)指導(dǎo)本級(jí)信息系統(tǒng)的安全等級(jí)保護(hù)工作。

第五級(jí)，當(dāng)信息系統(tǒng)被破壞時(shí)，將對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門(mén)應(yīng)當(dāng)對(duì)本級(jí)信息系統(tǒng)的安全等級(jí)保護(hù)情況進(jìn)行監(jiān)督檢查。

第四級(jí)，當(dāng)信息系統(tǒng)被破壞時(shí)，會(huì)對(duì)社會(huì)秩序和公共利益造成非常嚴(yán)重的損害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門(mén)應(yīng)當(dāng)對(duì)本級(jí)信息系統(tǒng)的安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制性監(jiān)督檢查。

第三個(gè)層次，當(dāng)信息系統(tǒng)被破壞時(shí)，會(huì)對(duì)國(guó)家安全造成非常嚴(yán)重的損害。國(guó)家信息安全監(jiān)管部門(mén)應(yīng)當(dāng)對(duì)本級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專項(xiàng)監(jiān)督檢查。

（等級(jí)保護(hù)機(jī)構(gòu)流程）

實(shí)行分級(jí)分類，確保信息安全和系統(tǒng)優(yōu)化的正常運(yùn)行。以下是目前的安全管理體系和組織計(jì)劃。

（安全管理體系和組織規(guī)劃）

制定安全管理制度的目的是完善科學(xué)的信息安全管理體系，通過(guò)科學(xué)規(guī)范的全過(guò)程管理，結(jié)合成熟領(lǐng)先的技術(shù)，努力確保安全控制措施的落實(shí)，為信息安全管理提供服務(wù)。各項(xiàng)業(yè)務(wù)安全運(yùn)行。保證。