» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 突破单一防御思路的Web安全策略   作者: 标题: 突破单一防御思路的Web安全策略 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  突破单一防御思路的Web安全策略 1.Web安全防御思想分析 　　如何保护企业网站免于遭受攻击，是令很多CIO们头疼不已的问题。 　　一般来说，Web安全的防范措施不外乎两种：未被禁止的就是允许的，未被允许的就是禁止的。 　　先来看第一种，“未被禁止的就是允许的”。 　　这一思想可以解释为：凡是与记录在案的攻击行为相符合的，就认为是攻击行为，凡是不符合已知攻击行为特征的，就是正常行为，这称之为模式匹配技术。早期的入侵检测技术就是这一思想的典型代表。通过定义攻击事件的数据特征，来区分网络中的各种数据流。这种方法的准确率较高，但如果攻击者采用最新的，尚未添加到检测中的攻击方法，容易有漏报。而且早期的模式匹配技术没有通配概念，变形攻击很容易躲过入侵检测的检查。随着入侵检测技术的发展，这已经是非常困难的事了。 　　第二种，“未被允许的就是禁止的”。 　　类似于防火墙等访问控制设备，设定一些允许规则，不包括在规则内的，就将被禁止。这一类的Web安全产品包括application firewall和静态网页防篡改系统。 　　Application firewall，之所以叫firewall，就是因为其主体设计思想是模仿防火墙，所不同的是，application firewall不仅关心4层以下的数据，还需要关注应用层的数据。而在“未被允许的就是禁止的”这一思想指导下，application firewall多采用构建异常模型方式：通过学习“干净”的网络数据，视情况需几天或几星期，一一列举出所有应当被允许的行为，当模型构建完成，所有被允许的行为也就定义下来了，在工作过程中，一旦发现某条数据行为并未包括在模型中，就予以响应（阻断、报警）。这种方法对未知攻击和新漏洞攻击有很好的防御能力，但弱点也同样明显：学习数据必须是“干净”的，否则攻击行为将被认为是正常行为而给予放行，产生漏报。而且业务结构发生变化后，比如更换服务器，添加新的在线服务业务等，需要重新学习，否则容易误报。 　　静态网页防篡改系统，将“未被允许的就是禁止的”贯彻得更死板一些：将所有被保护的网页做备份，除了规定程序/地址外，其它任何企图更改页面的行为都是被禁止的，即使骇客攻击后更改成功，也可通过备份机制进行自动还原。但随着动态页面技术的进步，Web网站已经很少有静态页面了，而且这种防篡改系统仅保障了网页内容不被修改，无法保障其它私隐信息（如用户数据）的安全。 　　这两种防御思路各有优劣，单一思路指导下的Web防御产品都是不完善的，要实现全面的Web安全防御，需要融合两种思路的优势。我们欣喜地看到，相关厂商已经在这些方面进行努力。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-11 11:29 sun2465 新手上路 积分 11 发帖 11 注册 2009-3-10 #2   学习了！支持一下！ ※ ※ ※ 本文纯属【sun2465】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-11 15:17 mj0011_2 禁止发言 积分 86 发帖 109 注册 2008-12-14 #3   http://www.enet.com.cn/article/2009/0311/A20090311444903.shtml 转帖不注明，不要脸 ※ ※ ※ 本文纯属【mj0011_2】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-11 16:48 meieg 注册用户 积分 93 发帖 93 注册 2007-7-31 来自 湖南怀化 #4     Quote: Originally posted by mj0011_2 at 2009-3-11 16:48: http://www.enet.com.cn/article/2009/0311/A20090311444903.shtml 转帖不注明，不要脸 E~~楼上的最后三个字有点过份了!! ※ ※ ※ 本文纯属【meieg】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [color=red][size=6]天使之所以会飞，是因为她们把自己看得很轻……[/size][/color] 2009-3-12 09:05 whitehat 注册用户 积分 58 发帖 55 注册 2006-9-3 #5   呵呵，正常，御剑的很多行为都很...... ※ ※ ※ 本文纯属【whitehat】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-12 14:29 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号