|
馬上注冊,結交更多好友,享用更多功能。
您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊
x
一、網(wǎng)站的通用保護方法
針對黑客威脅,網(wǎng)絡(luò )安全管理員采取各種手段增強服務(wù)器的安全,確保WWW服務(wù)的正常運行。象在Internet上的Email、ftp等服務(wù)器一樣,可以用如下的方法來(lái)對WWW服務(wù)器進(jìn)行保護:
安全配置
關(guān)閉不必要的服務(wù),最好是只提供WWW服務(wù),安裝操作系統的最新補丁,將WWW服務(wù)升級到最新版本并安裝所有補丁,對根據WWW服務(wù)提供者的安全建議進(jìn)行配置等,這些措施將極大提供WWW服務(wù)器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據一些安全報告來(lái)阻止來(lái)自某些特定IP地址范圍的機器連接,給WWW服務(wù)器增加一個(gè)防護層,同時(shí)需要對防火墻內的網(wǎng)絡(luò )環(huán)境進(jìn)行調整,消除內部網(wǎng)絡(luò )的安全隱患。
漏洞掃描
使用商用或免費的漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進(jìn)行掃描,來(lái)發(fā)現潛在的安全問(wèn)題,并確保由于升級或修改配置等正常的維護工作不會(huì )帶來(lái)安全問(wèn)題。
入侵檢測系統
利用入侵檢測系統(IDS)的實(shí)時(shí)監控能力,發(fā)現正在進(jìn)行的攻擊行為及攻擊前的試探行為,記錄黑客的來(lái)源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務(wù)器的安全,減少被攻擊的可能性。 二、網(wǎng)站的專(zhuān)用保護方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統和服務(wù)器軟件漏洞的不斷發(fā)現,攻擊方法層出不窮,技術(shù)高明的黑客還是能突破層層保護,獲得系統的控制權限,從而達到破壞主頁(yè)的目的。這種情況下,一些網(wǎng)絡(luò )安全公司推出了專(zhuān)門(mén)針對網(wǎng)站的保護軟件,只保護網(wǎng)站最重要的內容--網(wǎng)頁(yè)。一旦檢測到被保護的文件發(fā)生了{非正常的}改變,就進(jìn)行恢復。一般情況下,系統首先需要對正常的頁(yè)面文件進(jìn)行備份,然后啟動(dòng)檢測機制,檢查文件是否被修改,如果被修改就需要進(jìn)行恢復。我們對以下幾個(gè)方面的技術(shù)進(jìn)行分析比較:
監測方式
本地和遠程:檢測可以是在本地運行一個(gè)監測端,也可以在網(wǎng)絡(luò )上的另一臺主機。如果是本地的話(huà),監測端進(jìn)程需要足夠的權限讀取被保護目錄或文件。監測端如果在遠端的話(huà),WWW服務(wù)器需要開(kāi)放一些服務(wù)并給監測端相應的權限,較常見(jiàn)的方式是直接利用服務(wù)器的開(kāi)放的WWW服務(wù),使用HTTP協(xié)議來(lái)監測被保護的文件和目錄。也可利用其它常用協(xié)議來(lái)檢測保護文件和目錄,如FTP等。采用本地方式檢測的優(yōu)點(diǎn)是效率高,而遠程方式則具有平臺無(wú)關(guān)性,但會(huì )增加網(wǎng)絡(luò )流量等負擔。
定時(shí)和觸發(fā):絕大部分保護軟件是使用的定時(shí)檢測的方式,不論在本地還是遠程檢測都是根據系統設定的時(shí)間定時(shí)檢測,還可將被保護的網(wǎng)頁(yè)分為不同等級,等級高的檢測時(shí)間間隔可以設得較短,以獲得較好的實(shí)時(shí)性,而將保護等級較低的網(wǎng)頁(yè)文件檢測時(shí)間間隔設得較長(cháng),以減輕系統的負擔。觸發(fā)方式則是利用操作系統提供的一些功能,在文件被創(chuàng )建、修改或刪除時(shí)得到通知,這種方法的優(yōu)點(diǎn)是效率高,但無(wú)法實(shí)現遠程檢測。
比較方法
在判斷文件是否被修改時(shí),往往采用被保護目錄和備份庫中的文件進(jìn)行比較,比較最常見(jiàn)的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時(shí)效率十分低下,一些保護軟件就采用文件的屬性如文件大小、創(chuàng )建修改時(shí)間等進(jìn)行比較,這種方法雖然簡(jiǎn)單高效,但也有嚴重的缺陷:{惡意入侵者}可以通過(guò)精心構造,把替換文件的屬性設置得和原文件完全相同,{從而使被惡意更改的文件無(wú)法被檢測出來(lái)}。另一種方案就是比較文件的數字簽名,最常見(jiàn)的是MD5簽名算法,由于數字簽名的不可偽造性,數字簽名能確保文件的相同。
恢復方式
恢復方式與備份庫存放的位置直接相關(guān)。如果備份庫存放在本地的話(huà),恢復進(jìn)程必須有寫(xiě)被保護目錄或文件的權限。如果在遠程則需要通過(guò)文件共享或FTP的方式來(lái)進(jìn)行,那么需要文件共享或FTP的帳號,并且該帳號擁有對被保護目錄或文件的寫(xiě)權限。
備份庫的安全
當黑客發(fā)現其更換的主頁(yè)很快被恢復時(shí),往往會(huì )激發(fā)起進(jìn)一步破壞的欲望,此時(shí)備份庫的安全尤為重要。網(wǎng)頁(yè)文件的安全就轉變?yōu)閭浞輲斓陌踩。對備份庫的保護一種是通過(guò)文件隱藏來(lái)實(shí)現,讓黑客無(wú)法找到備份目錄。另一種方法是對備份庫進(jìn)行數字簽名,如果黑客修改了備份庫的內容,保護軟件可以通過(guò)簽名發(fā)現,就可停止WWW服務(wù)或使用一個(gè)默認的頁(yè)面。
通過(guò)以上分析比較我們發(fā)現各種技術(shù)都有其優(yōu)缺點(diǎn),需要結合實(shí)際的網(wǎng)絡(luò )環(huán)境來(lái)選擇最適合的技術(shù)方案。
三、網(wǎng)站保護的缺陷
盡管網(wǎng)站保護軟件能進(jìn)一步提高系統的安全,仍然存在一些缺陷。首先這些保護軟件都是針對靜態(tài)頁(yè)面而設計,而現在動(dòng)態(tài)頁(yè)面占據的范圍越來(lái)越大,盡管本地監測方式可以檢測腳本文件,但對腳本文件使用的數據庫卻無(wú)能為力。
另外,有些攻擊并不是針對頁(yè)面文件進(jìn)行的,前不久泛濫成災的"Red Code"就是使用修改IIS服務(wù)的一個(gè)動(dòng)態(tài)庫來(lái)達到攻擊頁(yè)面的目的。另一個(gè)方面,網(wǎng)站保護軟件本身會(huì )增加WWW服務(wù)器的負載,在WWW服務(wù)器負載本身已經(jīng)很重的情況下,一定好仔細規劃好使用方案。
四、結論
本文討論了網(wǎng)站常用的保護方法,詳細地分析比較了專(zhuān)用網(wǎng)站保護軟件采用的各種技術(shù)實(shí)現和優(yōu)缺點(diǎn),并指出了其缺陷。安全雖不是使用某個(gè)工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風(fēng)險 |
|