網(wǎng)站安全問題亟待解決

隨著互聯(lián)網(wǎng)應用的普及，信息的獲取越來越依賴于網(wǎng)絡，從而進一步推動了互聯(lián)網(wǎng)應用和網(wǎng)站建設。但是，隨著網(wǎng)站建設的規(guī)模化，網(wǎng)站安全問題迅速嚴峻；黑客的入侵和攻擊也越來越頻繁，入侵的手段也越來越多樣化，其中SQL注入、跨站攻擊、數(shù)據(jù)庫入侵、上傳漏洞攻擊、COOKIE欺騙，都是嚴重威脅網(wǎng)站安全的攻擊手段。所以實時檢測并阻止黑客行為、保證Web網(wǎng)站的安全是當前所面臨的重要問題。

目前，網(wǎng)站安全建設主要是由防火墻、入侵檢測構成的兩層防護體系，且信息來源及防御范圍主要是針對網(wǎng)絡層。當前日益嚴峻的網(wǎng)站安全問題充分說明了該體系對于網(wǎng)站攻擊防范的局限性。國際權威調(diào)研機構Gartner的最新調(diào)查顯示：互聯(lián)網(wǎng)信息安全攻擊有75%都是發(fā)生在 Web 應用而非網(wǎng)絡層面上，即Web應用是黑客攻擊的主要目標。同時，數(shù)據(jù)也顯示三分之二的 Web 站點都相當脆弱，易受攻擊。

然而現(xiàn)實卻是絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器硬件的安全上，沒有對Web應用安全給予足夠的重視，同時，作為Web應用基礎運行環(huán)境的應用服務器軟件基本上都不具備抗攻擊能力，從而給黑客以可乘之機。

方案價值

1)InforSuite應用服務器提供了高可用、高可靠、支持云計算的企業(yè)級Web應用的安全運行環(huán)境。

2)InforSuite應用服務器默認內(nèi)嵌WebWall應用防火墻內(nèi)核，提升了應用服務器價值，有效降低了客戶IT投資成本和運維成本。

3)解決了原有應用服務器自身無法有效檢測阻斷Web攻擊的安全問題，達到事前加固，事中阻斷的效果，使得運行其中的應用服務默認即擁有更強的健壯性和安全性。

4)過濾規(guī)則支持客戶自定義、自動升級和擴展能力，為系統(tǒng)的可持續(xù)發(fā)展打下了堅實的基礎。可方便、實時地加入最新的過濾規(guī)則、各種新攻擊類型檢測阻斷插件等，滿足今后的擴展需要。 解決方案 互聯(lián)網(wǎng)安全形勢如此嚴峻，傳統(tǒng)防護體系已不能滿足當今網(wǎng)站安全的要求，如何應對網(wǎng)站安全威脅，構建一個完善的網(wǎng)站安全體系成為了近幾年Web安全領域的重要課題之一。

解決網(wǎng)站安全問題的根本要從Web攻擊技術角度分析，各種安全漏洞層出不窮

Web攻擊大部分為腳本漏洞攻擊，所以只要簡單的學習一些腳本知識就可以進行Web攻擊，因此Web安全的最大特點就是實施攻擊容易。許多不法分子可以基于簡單的黑客工具，甚至僅僅憑借瀏覽器和幾個技巧就可以突破傳統(tǒng)安全設施，攻入網(wǎng)站內(nèi)部，進而竊取各種重要信息或篡改數(shù)據(jù)內(nèi)容。

中創(chuàng)軟件工程股份有限公司和中創(chuàng)軟件商用中間件股份有限公司 “核高基”專項“網(wǎng)絡應用服務中間件”項目兩個課題的牽頭承擔單位，擔負國產(chǎn)中間件標準體系制訂、核心技術研究與產(chǎn)品化、產(chǎn)業(yè)化的創(chuàng)新使命。

#p#

面向網(wǎng)絡的安全應用服務解決方案推出

以國家863技術成果為基礎，以成熟的中間件產(chǎn)品和技術為支撐，推出的“面向網(wǎng)絡的安全應用服務解決方案”，是基于中創(chuàng)軟件自主創(chuàng)新的中間件技術，依托二十余年的應用開發(fā)背景，針對互聯(lián)網(wǎng)應用的網(wǎng)絡安全現(xiàn)狀及發(fā)展需求推出的。即在傳統(tǒng)應用服務器中內(nèi)嵌Web防火墻技術，使得兩種技術完美融合。該方案主要面向政府、電信、金融、企業(yè)等，針對門戶網(wǎng)站普遍關注的高安全需求，為網(wǎng)站提供自帶WEB層主動防御技術的高可用、高可靠、高安全的Web應用基礎運行環(huán)境，使應用更加健壯和安全。

InforSuite應用服務器(InforSuite Application Server，簡稱IAS)是中創(chuàng)軟件商用中間件股份有限公司的新一代企業(yè)級應用服務器產(chǎn)品。InforSuite應用服務器傳承了中創(chuàng)中間件產(chǎn)品多年的開發(fā)經(jīng)驗，融合了原有應用服務器產(chǎn)品的所有功能和優(yōu)點，并遵循JEE 5.0規(guī)范進行了全面的升級；通過采用先進的IOC微內(nèi)核和插件體系結構思想構筑了一個強大而穩(wěn)定的服務基礎架構，可以集成服務集成總線、統(tǒng)一認證授權服務、工作流服務、報表服務，為企業(yè)信息化總體架構提供完備的基礎設施和機動的SOA設施。

IAS是一款技術領先、性能卓越、高可用、支持云計算并提供創(chuàng)新業(yè)務模式和網(wǎng)站安全服務的應用服務器產(chǎn)品。 InforGuard是中創(chuàng)軟件商用中間件股份有限公司自主知識產(chǎn)權的、國內(nèi)技術最先進、功能最全面、應用最廣泛的一款專注于網(wǎng)站信息內(nèi)容安全，且唯一能夠支撐SaaS模式的網(wǎng)頁防篡改系統(tǒng)。

InforGuard系列產(chǎn)品目前擁有國家28個部委級政府機關及諸多世界500強企業(yè)的成功案例，廣泛應用于政府、金融、電信、互聯(lián)網(wǎng)、科教、能源與制造業(yè)等眾多領域和行業(yè)，用戶已覆蓋全國31個省、自治區(qū)、直轄市，市場占有率超過50%。 InforGuard WebWall是InforGuard家族中專門針對Web應用安全的一款產(chǎn)品，該產(chǎn)品以中高端客戶需求為基礎，在充分研究網(wǎng)站安全狀況及發(fā)展趨勢的前提下，經(jīng)過多年積累，形成了包括Web攻擊檢測阻斷、告警審計、威脅信息監(jiān)管等諸多功能于一體的Web應用層安全解決方案。

 InforSuite應用服務器默認內(nèi)嵌國內(nèi)市場占有率第一的網(wǎng)絡防篡改產(chǎn)品InforGuard家族中WebWall應用防火墻內(nèi)核，在傳統(tǒng)應用服務器基礎之上，采用基于規(guī)則的內(nèi)核過濾技術，通過對關鍵信息的驗證檢查，有效抵御黑客的各種攻擊手段，起到事前加固，事中阻斷的效果，使應用服務擁有更強的健壯性和安全性，著重從Web應用層面解決了網(wǎng)站安全的問題。 InforSuite應用服務器采用先進的軟構件技術框架，系統(tǒng)以背板模型作為構件基礎框架，主要業(yè)務功能均以構件形態(tài)存在，并運行于框架之中。此架構體系支持“即插即用”的方式實現(xiàn)業(yè)務功能的靈活剪裁和擴展，并支持過濾規(guī)則的自定義、自動更新和擴展，從而為系統(tǒng)的可持續(xù)發(fā)展打下了堅實的基礎。

InforSuite應用服務器的防護示意圖如圖4所示，其能夠有效檢測阻斷的攻擊列表如下： 1.防止SQL注入 2.防止XSS跨站 3.防止系統(tǒng)命令執(zhí)行 4.防止暴力猜解數(shù)據(jù)庫 5.防止危險的頭信息 6.防止構造危險的Cookie 7.防止網(wǎng)站掛馬攻擊 8.支持在線升級防御功能 9.支持異構WEB/應用服務器并發(fā)檢測 10.支持多虛擬主機并發(fā)檢測

應用案例 電力2333工程應用支撐平臺

電力行業(yè)是國民經(jīng)濟的基礎和命脈。為確保國家電網(wǎng)信息安全，按照國家等級保護制度和國產(chǎn)化及自主可控需要，2009年國家電網(wǎng)公司統(tǒng)一規(guī)劃、國家發(fā)改委批準實施了信息安全專項《電網(wǎng)信息安全等級保護縱深防御示范工程》(簡稱2333工程)。

作為全國電力供應行業(yè)排頭兵企業(yè)，浙江省電力公司被選定為3家試點單位之一。該公司高度重視此項工作，將信息安全與電網(wǎng)安全放在同等重要的位置，著力在公司本部和11個地市供電企業(yè)建設應用一體化的安全運行監(jiān)管平臺，開展關鍵管理信息系統(tǒng)等級保護符合性改造和外網(wǎng)網(wǎng)站系統(tǒng)全國產(chǎn)化改造等工作。

由國家“核高基”科技重大專項中間件課題牽頭承擔單位——中創(chuàng)軟件商用中間件股份有限公司研發(fā)的、具備完全自主知識產(chǎn)權的Infors中創(chuàng)中間件產(chǎn)品，以其卓越的性能贏得客戶認可，被選定為浙江省電力公司2333工程的應用支撐平臺。InforSuite應用服務器為業(yè)務應用提供了高穩(wěn)定、高性能的運行環(huán)境支持，同時面對企業(yè)應用越來越互聯(lián)網(wǎng)化的趨勢，該平臺創(chuàng)造性地提供了具備網(wǎng)絡攻擊防護能力的應用安全服務，為工程的順利實施起到重要支撐作用。 客戶評價說：“InforSuite應用服務器保障了國家電網(wǎng)門戶網(wǎng)站內(nèi)容的安全性和正確性，實現(xiàn)了對網(wǎng)站安全事件的實時告警，提升了國家電網(wǎng)對網(wǎng)站安全事件的應急處理能力。

網(wǎng)站安全應用服務解決方案就為大家介紹完了，希望讀者已經(jīng)深刻的了解了以上內(nèi)容，此方案是個典型和極具價值的案例，相信可以給讀者提供豐富的經(jīng)驗和參考信息。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術和網(wǎng)絡安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播