1 系统层安全防护
1.1 Web系统漏洞发现与管理
从系统层面的安全威胁来看,可以利用漏洞扫描系统高效、智能的漏洞识别技术,第一时间主动对网站服务器区中的服务器和网络设备进行细致深入的漏洞检测、分析,并出具专业、有效的漏洞防护建议。
同时可以利用Web扫描功能进行应用层扫描。Web应用扫描最关键的技术是网站智能爬虫技术。智能爬虫技术具有自动遍历整个Web服务器的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,验证漏洞的真实性。远程安全评估系统的WAS模块扫描结果准确,误报和漏报率低,全面检查网站各级页面中是否被植入恶意代码(如SQL注入、跨站脚本、网页挂马等),确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。
Web应用防火墙防护包含通用Web攻击防护、0day漏洞虚拟补丁、网站隐身。防护OWASP常见威胁,内置多种防护策略,可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护;0day漏洞快速防护,针对高危Web 0day漏洞,专业安全团队24小时内提供虚拟补丁,自动防御保障服务器安全;缓解恶意CC攻击,过滤恶意的Bot流量,保障服务器性能正常;低误杀的防护算法,不再是对访问频率过快的IP直接粗暴封禁,而是综合URL请求、响应码等分布特征判断异常行为;恶意特征攻击100%拦截,针对请求中的常见头部字段,如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制。
1.2 Web系统安全加固(Linux)
可以通过门户网站安全评估和加固,使系统有效的抵御外来的入侵和袭击,长期保持在高度可信的状态。其中,渗透测试是安全评估阶段必不可少的服务手段之一。渗透测试是模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。通过渗透测试,可以发现门户网站系统中存在的系统漏洞、代码漏洞和程序逻辑问题(如绕过认证)等。
网站服务器和相关设备的安全加固,是利用多种技术手段对网站服务器区中的网络设备平台、服务器进行安全加固和配置优化,提高网络设备安全性和抗攻击能力,针对网站服务器区所提供的安全加固服务手段有:
Ø 基本安全配置检测和优化
Ø 帐户密码系统安全检测和增强
Ø 网络服务安全优化
Ø 网络访问控制安全优化
Ø 网络路由与交换协议安全优化
Ø 端口安全设置网络连接参数安全增强
本业务安全措施如下:
1 身份鉴别
1.1 密码安全策略
操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。设置有效的密码策略,防止攻击者破解出密码。
1)查看空口令帐号并为弱/空口令帐号设置强密码
2)修改vi /etc/login.defs配置密码周期策略
3)/etc/pam.d/system-auth配置密码复杂度:
1.2 登录失败策略
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
遭遇密码破解时,暂时锁定帐号,降低密码被猜解的可能性
1.3 安全的远程管理方式
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
防止远程管理过程中,密码等敏感信息被窃听
2 访问控制
应及时删除多余的、过期的帐户,避免共享帐户的存在。删除或禁用临时、过期及可疑的帐号,防止被非法利用。
3 安全审计
3.1 审核策略开启
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
开启审核策略,若日后系统出现故障、安全事故则可以查看系统日志文件,排除故障、追查入侵者的信息等。
3.2 日志属性设置
应保护审计记录,避免受到未预期的删除、修改或覆盖等。防止重要日志信息被覆盖
4 入侵防御
操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。关闭与系统业务无关或不必要的服务,减小系统被黑客被攻击、渗透的风险。
5 系统资源控制
5.1 访问控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录。
对接入服务器的IP、方式等进行限制,可以阻止非法入侵。
1) 在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制
2) 也可以用iptables进行访问控制
5.2 超时锁定
应根据安全策略设置登录终端的操作超时锁定。
设置登录超时时间,释放系统资源,也提高服务器的安全性。
6其它
6.1 DOS攻击防御
6.2 历史命令
经过良好配置的服务器的抗攻击性和自身安全性有极大的增强。在对其作相应的安全配置后,建立安全配置基线,结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。
2 应用层安全防护
2.1 Web应用防护
从Web应用的威胁分析来看,Web应用防护系统是事中有效防护和控制的关键设备。Web应用防护系统需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。WAF产品可以实现用户à服务器以及服务器à用户双向数据的清洗。对于用户提交服务器端的数据,WAF可以实时发现用户提交数据中的恶意脚本和问题代码/命令。可以进行必要的内容过滤,如恶意脚本和代码,HTTP Error Response(4xx,5xx等),关键敏感字等,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。
2.2 网页防篡改
网页防篡改是将核心程序嵌入到Web服务器中,通过触发方式进行自动监测,对所保护文件夹的所有文件内容(包含:html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得Internet用户无法看到被篡改页面。
通过利用无钥签名区块链对数字资产提供签名、预警、监控等服务,为供应链金融、金融服务、银行、web网页提供数据资产的保实服务。主要功能有实时监控数字资产变化、实时展示数据资源健康状况、篡改数据实时报警、URL监控、篡改数据自动恢复、记录数据资产的动态变化、操作记录的可信审计等
2.3 SSL证书
在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听、安全加密。实现网站HTTPS化,加密用户与网站间的交互访问,强化网站用户侧可信展示程度,防劫持、防篡改、防监听。网站安全增强提升搜索排名。
采用Https加密的网站在搜索引擎显示结果中的排名将会更高,有利于提升网站的搜索靠前及站点可信度。并且对接国际,国内最值得信赖的第三方数字证书颁发机构(CA),确保数字证书认证可信力和加密强度、保障用户服务。
2.4 数据库安全防护
一些可供参考的措施:
1.身份鉴别
1.1避免使用空密码和弱口令
要求:应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
目的:操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
1.2通讯协议加密
要求:当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
目的:为了防止包括鉴别信息等敏感信息在网络传输过程中被窃听,应使用加密通讯协议,提高安全性。
2.访问控制
2.1数据库角色分配最低权限
要求:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
目的:根据用户的业务需要,配置其所需的最小权限。
2.2设置身份认证
要求:应实现操作系统和数据库系统特权用户的权限分离。
目的:防止操作系统用户对MySQL数据库进行非授权管理。
2.3删除或锁定多余账号
要求:应及时删除多余的、过期的账户,避免共享账户的存在。
目的:删除系统不需要的帐号,减少系统安全隐患。
3.安全审计
3.1启用日志记录功能
要求:审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
目的:数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP 地址。
3.2设置日志目录权限
目的:限制日志所在目录的权限,防止对日志文件的非授权访问。
4.资源控制
4.1设置连接协议和监听的IP范围
要求:应通过设定终端接入方式、网络地址范围等条件限制终端登录。
目的:设定MySQL允许的连接协议,以及TCP/IP协议中监听端口时绑定的IP地址。限制不必要的远程客户端访问到数据库资源。
4.2连接超时
要求:应根据安全策略设置登录终端的操作超时锁定。
目的:设置连接超时功能,提高数据库的性能。
4.3限制远程用户连接数量
要求:应限制单个用户对系统资源的最大或最小使用限度。
目的:限制远程用户连接数量,确保数据库服务器稳定运行,提升性能。
4.4内存限制
目的:使运行在服务器上的应用程序都能达到比较满意的效果,同时也为了能给其他应用程序保留足够的内存。
5.最佳经验实践
5.1隐藏实例
目的:防止数据库系统的相关信息泄露。
5.2修改默认通信端口
目的:修改默认通信端口,防止黑客通过3306登录数据库服务器。
