笔者从公司官网上线启用云WAF服务充分体会到了云WAF防护的重要性,所以很朴素的想到所有网站都需要云WAF防护。所以,笔者查阅了 国家互联网应急中心 (CNCERT)发布的2020年《中国互联网网络安全报告》(2021年报告还没有出)和2022年4月26日第17期周报,从这两份报告可以看出我国的网站安全态势还是非常严峻的,有些数据触目惊心,本文就给大家解读分析这两个报告中的数据,并提出改进我国网站安全态势的对策与建议。
CNCERT的报告中关于网站安全这块分3部分:网页仿冒、网站后门和网页篡改,本文只讲后两部分,网页仿冒这块放在另一篇博文再讲。还是先看看2020年的统计数据,2020年,CNCERT共监测到我国境内 53,171 个(5万多)网站被植入后门,其中政府网站有256个,这个数据非常惊人,因为政府网站含有大量的个人和企业机密数据。网站后门是黑客成功入侵网站服务器后留下的后门程序。通过在网站的特定目录中上传远程控制页面,黑客可以暗中对网站服务器进行远程控制,上传、查看、修改、删除网站服务器上的文件,读取并修改网站数据库的数据,甚至可以直接在网站服务器上运行系统命令,把网站作为发起DDOS攻击的“肉鸡”。为何网站能被植入后门,当然是因为网站没有安全防护。
再看看网页篡改的数据,2020年,我国境内被篡改的网站数量为 100,484 个(10万多),其中政府网站有494个。网页篡改是指恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。从篡改攻击的手段来看,我国被篡改的网站中以植入暗链的方式被攻击的超过50%。为何网页能被篡改,当然还是因为网站没有安全防护。
再看看挂马数据,2020年,利用木马或僵尸程序控制服务器对主机进行控制的事件中,控制服务器IP地址总数为 65,865 个(6万多)。这些挂马的服务器不仅服务器数据会被窃取,而且都可以被利用来发起各种攻击。为何服务器能被挂马,当然还是因为网站没有安全防护。
以上是2020年一年的数据,我们再看看今年4月份的一周数据,CNCERT监测发现境内被篡改网站数量3611个;被植入后门的网站数量为738个。其中被篡改的政府网站有17个,被植入后门的政府网站有12个。可以看出:网站后门量有所下降,但网页篡改量比2020年周平均量几乎翻了一倍,两年后的今天形势不但没有好转,而且还更加严峻,并且仍然有不少政府网站被植入后门和网页被篡改。
大家应该从这些数据中可以看出我国网站安全的态势是不容乐观的,可以说是非常严峻的,这些安全问题的根本解决思路只有一个:为所有网站启用云WAF防护,因为99%的网站主都像我公司一样自己并不具备网站安全防护能力。对于政府网站,启用云WAF防护,不仅可以保障政府网站安全,而且还能满足等保要求。
所以,为了保障我公司官网上线后的安全,我们同步上线阿里云WAF防护,取得了令人满意的效果。这才使得我们决定我们的网站安全云服务基于阿里云WAF来实现,因为我们认为所有网站都需要云WAF防护,有了云WAF防护,上面发生的各种网站安全问题统统一键解决,只需一键设置CNAME解析,把原网站变成云WAF的源网站即可即刻开启网站安全防护,从此不再有被植入后门,网页不再被篡改,服务器也不再被挂马,不再被SQL注入攻击,不再有跨站攻击,不再遭遇CC攻击,不再遭遇恶意扫描,不再担心漏洞攻击等等,各种网站安全问题都彻底解决,这些防护是由国内唯一获得Web应用防火墙大满贯(Gartner、Forrester、IDC、Frost & Sullivan)的阿里云 WAF提供的,有力保障365天网站安全无忧,用户可以放心地专心做好自己的业务。
云WAF防护效果这么好,当然价格也不便宜。零信技术使用的是阿里云WAF独享版,一年好几十万元,我们在防护性能卓越的阿里云WAF系统基础上实现了SSL证书的全自动配置,并共享这个优质云资源,可以为用户提供一站式https加密、云WAF防护和可信认证三位一体的网站安全服务,并且是以用户能承担得起的固定年费提供三项网站安全可信服务,让高大上的WAF防护和https加密以一个大众化的价格使得所有网站都不再有安全问题,不再担心明文传输会泄露机密信息,不再烦恼所有浏览器都显示网站为“不安全”,不再担心网站会被攻击,365天网站安全无忧,放心地专心做好自己的业务。
零信网站安全云服务,一个全球顶级品牌SSL证书加顶级云WAF防护的包年收费服务,集成全自动https加密(无需用户申请SSL证书)、全自动云WAF防护(无需用户做任何配置)和赠送网站可信认证服务,绝对是超值服务!零信网站安全云服务,让天下所有网站都安全!让CNCERT的下一年安全报告中的网站安全事件数据清零!
