前言
近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。针对此类大规模数据泄密事件,安恒信息专家团队特别制作相关解决方案,敬请大家关注。
防信息泄密的建设思路
信息安全是一项系统工程,包括物理层、网络层、系统层、应用层、数据层以及管理方面的内容。信息系统的某一层面安全了不能代表信息系统就安全了,需要各方面严格把控和完善结合,对于企业防信息泄密工程来讲,目前企业信息系统的物理层、网络层等已经具备了一定的安全性,在本方案中重点关注系统安全、应用安全以及安全管理水平等方面的内容。
企业的信息系统是多种信息资产的庞大组合,包括防火墙、路由交换设备、主机等;其所面临的威胁也就是对系统能够造成不利影响的一些潜在的事件或者行为,威胁包括自然的、故意的以及偶然的情况。
系统安全重点解决操作系统、数据库和服务器等系统安全级安全问题,以建立一个安全的系统运行平台,建立有效的网络检测与监控机制,以保护主机资源,防止非法访问和恶意攻击,及时发现系统和数据库的安全漏洞,有效抵抗黑客利用系统的安全缺陷对系统进行攻击,做到防患于未然。
只有系统安全的建议得到保障,再建设应用安全才能更加有效地降低信息泄露的风险。基于B/S架构对外提供服务的信息系统面临较大风险也是的应用层的攻击风险。
一方面由于WEB应用的开放性,随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多,而且这些漏洞均是应用层或者说是代理层面的安全问题,通过传统的网络安全设备无法识别,这也是导致大量网站用户信息泄露的最主要原因之一。
另一方面受利益的驱使,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,而且这种攻击已经由简单的黑盒扫描渗透转向模块代码分析,源代码白盒分析等层面进行挖掘漏洞,若应用层面得不到有效的安全控制将导致非常严重的后果。
以B/S常见的对外提供服务的网站、论坛、业务系统等所涉及到的应用安全主要由以下几个方面构成。
一、访问控制:
针对用户及恶意攻击者访问信息时进行有效地控制,对于正常请求允许访问,对于恶意请求应及时进行阻止;
二、信息保护:
针对于恶意攻击者进行敏感信息访问时应及时保护;
三、安全审计:
对业务系统的运行应具备安全审计功能;
应针对数据库系统进行安全检查,对数据库的操作行为应进行安全监控。
五、软件容错:
应用系统及数据库在上线前后及更新时应做好安全性测试,减少系统存在漏洞的可能性,避免有漏洞的系统对外发布。
