【.com 独家特稿】在“拯救网站运维经理赵明活动”开始后,庞晓智为我们投来了一个防护覆盖面最广的一个解决方案。
一、攻击事件背景
深夜,某网站运维经理赵明正戴着耳麦趴在桌子上接到一个匿名电话,紧接着随即打开了公司的首页,发现公司网站被黑客非法入侵。整个屏幕赫然留下了几个血红色的英文字母“The evil is coming,We will be back”。公司依托网站运行的业务被迫中断,客户部第九次进行投诉,运营总监一脸阴沉…
二、安全技术现状分析
1、赵明所在公司目前网站结构拓扑图如下:
2、交换网络安全现状
目前仅有一台交换机部署在WEB应用 服务器 和数据库服务器之间,WEB服务器和数据库服务器不能很好的进行逻辑隔离。尽管通过交换机ACL功能可实现对数据库服务器、文件服务器的访问控制。但控制能力较弱,因为基于交换机的ACL功能只能实现简单的包过滤访问策略,并不能实现基于状态分析的访问控制,黑客很容易通过伪造TCP报文轻松绕过交换机。一旦WEB服务器遭受入侵,承载着公司重要业务数据的数据库服务器即成为下一个攻击目标。
3、边界网络安全现状
通过网络拓扑可知,WEB服务器是直接暴露在互联网之外的,没有划分专门的DMZ区部署WEB应用。网络边界并没有部署任何的防火墙防护,来自外界的访问者可任意访问公司内部服务器。由于缺乏防火墙的边界防护,无法对不同信任程度区域间传送的数据流进行基于上下文的访问控制,无法通过NAT地址转换保护内网的机器,无法防御各种IP/端口扫描、路由欺骗攻击、由TCP/udp Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻击等等。
4、应用层网络安全现状
网络中并没部署入侵检测系统或入侵防御系统,无法对一些基于应用层的攻击如常见的SQL注入攻击、脚本攻击、cookies欺骗进行入侵检测、行为阻断和实时报警等。
5、内网客户端安全现状
内网客户端没有实施安全终端控制,服务器口令随意存放、内部员工P2P文件共享工具滥用、病毒木马感染四处肆虐,发送邮件不经意携带机密信息,最终导致公司敏感信息泄露。
6、主机安全现状
主机安全策略没有经过严格的设置,或仅保留默认配置策略,往往给入侵者带来了极大的‘后门’。如常见的账户弱口令、远程使用基于明文的Telnet管理、文件夹权限过大、默认账号未禁用、系统补丁未安装而引致安全漏洞等等。
7、应用程序安全现状
从本次的安全事件可以了解到,出现问题的正是网站页面被非法篡改。经推测可能正是应用程序(即网站程序)出现了SQL注入漏洞、跨站脚本漏洞、目录遍历、CRLF注入漏洞等安全隐患被入侵者发现,然而没有相应的安全防护设备进行攻击防御,加上主机安全策略配置不当,客户端泄露敏感信息,主页页面被非法篡改后无法及时进行有效的恢复,最终导致公司网站被黑客入侵的网络安全事故发生。#p#
三、安全整改及加固方案
1、总体安全体系设计
从中我们可以看出,网络安全事件的发生并不是‘临时性即意’发生的,他是由交换网络、边界防护、应用层防护、主机防护、应用程序防护、客户端防护等多个方面的技术安全域管控不严而导致的,是一个从量变到质变的过程。因此,我们可以说网络安全是一个动态的概念,网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:网络安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时监测(D) + 实时响应(R) + 灾难恢复(R)。
图1:APPDRR动态安全模型
以下提供的安全整改方案正是基于APPDRR模型构建的,符合网络安全系统整体性和动态性的特点。它集各种安全技术产品和安全技术措施于一体,将多种网络安全技术有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。
2、信息安全风险评估(Assessment)
信息系统安全风险评估是通过对资产、脆弱性和威胁来综合评估分析系统面临的安全风险,对所发现风险提供相关的处理建议。风险评估是风险管理的重要组成部分,是信息安全工作中的重要一环。根据组织安全风险评估报告和安全现状,提出相应的安全建议,才能指导下一步的信息安全建设。
网站被黑的问题在哪,黑客用什么手段入侵,哪些服务器存在安全隐患,源头在哪?必须首先进行信息安全风险评估。通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制安全策略、应用系统、业务系统等方面的数据,并进行相应的分析,最终找出问题根源所在,可能是WEB网站的代码有程序设计缺陷,也可能是服务器的口令被暴力破解,问题可能是一个或者是多个。通过对各种挖掘出来的弱点进行高中低风险排序,认清不同的弱点能带来什么程度的风险,并在下一步的风险策略中进行风险处置。
注:为什么方案设计在一开始就要强调找问题。头疼医头,脚疼医脚,如果一上来就推荐安全产品,那只能是远水救火,无法从整体角度上有效解决信息安全问题。
3、安全整改策略制定(Policy)
针对在风险评估中找出的所有安全弱点,建议在以下几个方面进行安全整改:
4、安全整改方案实施(Protection)
4.1网站源代码整改
◆通过对WEB源代码审计(Web Application Source Code Audits),对已发现的脚本漏洞进行修补,包括替换篡改页面、清除挂马页面、填补安全漏洞(包括跨站脚本、目录遍历、SQL注入、CRLF注入、物理路径泄露、应用错误信息、脚本源码泄露等)。
4.2主机系统配置加固
◆主机系统包括操作系统、中间件和数据库。
◆操作系统安全加固:包括Windwos、、Linux、Unix等类型的服务器操作系统安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、远程登录限制和加密选项、重要目录和文件权限限制、注册表权限设置(win)、多余账号和文件清除、抗DDOS攻击设置、关闭不必要的系统服务、系统补丁及时安装、日志审计等。
◆中间件安全加固:包括IIS、Apache、Tomcat、weblogic、websphere等类型的WEB中间件的安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、加密传输设置、Socket数量限制、错误页面处理、默认端口更改、漏洞补丁包安装等。
◆数据库安全加固:包括mssql、MYSQL、Oracle、DB2等类型的数据库安全加固、漏洞修补。其中加固项包括:用户账号和密码策略、远程登录限制和加密选项、监听端口设置、启用审计功能、安全更新包安装、存储过程控制使用。
◆实际实施中应根据不同的操作系统、中间件和数据库类型进行有的放矢的专项加固。因暂无了解赵明公司服务器的类型,故本文只在这里起抛砖引玉的作用。
4.3网络安全产品部署
本方案设计采用Juniper Netscreen系列防火墙作为边界防护,主要负责提供OSI第4层以下的基本安全环境和高速转发能力,而采用启明星辰入侵防御系统对OSI第4-7层流量的细粒度控制。采用IGuard网页防篡改系统对网站应用程序文件进行内核级的文件保护功能。
Juniper Netscreen产品介绍:
NetScreen 系列安全系统是专用防火墙安全系统,专为大中型企业、电信运营商和数据中心网络而设计。NetScreen在一个超薄模块化机箱内集成了防火墙、科学、DoS 和 DDoS 保护,以及流量管理功能。这些系统构建于我们的第三代安全 ASIC 和分布式系统架构之上,可提供出色的可扩展性与灵活性,同时通过 NetScreen ScreenOS 定制操作系统可提供更高的安全性。
产品亮点总结:
1、支持安全域划分,访问控制策略对象管理,ASIC芯片设计,高性能防火墙的代表(和x86架构的防火墙不在同一个级别)
2、基于模块化设计,丰富的安全防御特性,日后根据需要还可以添加防垃圾邮件网关、防病毒网关模块和IDS模块功能。
启明星辰入侵防御系统产品介绍:
天清入侵防御系统(Intrusion Prevention System)是启明星辰自行研制开发的入侵防御类网络安全产品,围绕深层防御、精确阻断这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。
天清入侵防御系统采用的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition),该协议自识别方法基于协议指纹识别和协议规则验证技术实现,能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型,并采用预先建立的协议验证规则进一步验证协议识别结果正确性。对SQL注入、跨脚本攻击等针对WEB业务的攻击行为有很好的判断和防御能力,和传统学术界以及产业界的技术相比,可以做到无误报,无漏报。
系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,不但有效提高了对各种深层攻击行为的识别能力,而且对攻击变种、异形攻击等无法通过特征判断的攻击行为也能实现精确阻断。天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE,对用户而言,提供了更详细了解网络中发生行为的机会。
天清入侵防御系统(IPS)融入了启明星辰公司在入侵攻击识别方面的积累和研究成果,使其在精确阻断方面达到国际领先水平,不仅可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断,而且能够有效的防御像SQL注入、跨站脚本攻击这些针对应用业务的攻击行为,弥补了其它安全产品深层防御效果的不足。
产品亮点总结:
1、采用基于协议指纹识别和协议规则验证技术的VFPR协议自识别方法, WEB业务深层防御能力较强。
2、系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,检测防御规则库兼容CVE(Common Vulnerabilities and Exposures,国际通用漏洞披露库),精确阻断达到国际领先水平。
iGuard网页防篡改系统:
采用先进的核心内嵌技术
上海天存信息有限公司推出的iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。
采用事件触发机制,确保系统资源不被浪费,不同于一些文件轮询扫描式或外挂式的页面防篡改软件,iguard 的页面防篡改模块采用的是与Web 服务器底层文件夹驱动级保护技术,与操作系统紧密结合的。而且是在Web 服务器对外发送网页时进行网页防篡改检测。这样做不仅完全杜绝了轮询扫描式页面防篡改软件的扫描间隔中被篡改内容被用户访问的可能,其所消耗的内存和CPU占用率也远远低于文件轮询扫描式或外挂式的同类软件。
基于双向检测机制的防篡改原理
iGuard网页防篡改系统的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览,完全实时地杜绝篡改后的网页被访问的可能性;同时,iGuard的应用防护模块对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断,从而杜绝任何使用Web方式对后台数据库的篡改。
产品亮点总结:
1、第三代全新防篡改技术,先进的系统驱动级文件保护技术,基于事件触发式监测机制,高效实现了网页监测与防护功能
McAfee数据防泄漏产品介绍:
McAfee 推出了业界全面的解决方案McAfee>
细菌中也可以提炼出金子吗?
图片中的金子可不是从矿井或者河道里淘出来的,它们是由一种细菌提炼出来的。 根据密西根州立大学的研究猿介绍,这种细菌不但可以完爆最极限的毒性环境,并且还能把有毒物质转化成24K纯金哦!是纯金!!那这些可爱的小菌菌是否可以拯救正处于全球金融危机的我们呢?当然不可能!但至少可以使微生物和遗传分子学的助理教授Kazem Kashefi和电子艺术助理教授 Adam Brown过上小康生活,如果他们真的很好的完成这个实验。 Kashefi和Brown设计了这个精巧简便的实验,让耐金属亲铜菌(Cupriavidus metallidurans)把氯化金(gold chlroride,可以在自然界找到的一种剧毒的化学液体)变成99.9%纯金。 这种细菌在对抗有毒元素时,各项攻击防御值都是八星八钻,事实上它们比之前预想的还要勇猛25倍!研究猿的这个实验——他们称之为“金属恋人的伟大杰作”——可以将喂过了氯化金的细菌保存住,大约一周之后,当当当当!你就得到了可以亮瞎眼的金子,而且他们认为细菌处理消化的过程是自然而然发生的。 也就是说,耐金属亲铜君吃下去的是毒,拉出的粑粑是金!中世纪的炼金师们表示:“当时我们就震惊了,我们寻找了一辈子的炼金石原来是一个Bug(虫子)!”Kashefi和 Brown设计的实验装置. 里面有细菌兄和他们的有毒食物这是Cupriavidus metallidurans正在炼金中。
为什么脸上毛孔粗大而且长疹子有什么办法可以解决
你好!毛孔是不可能完全缩小的,因为它的作用是用来维持皮肤的呼吸和排泄脏物,毛孔粗大最常见的原因就是因为毛孔脏物堵塞造成的粗大,然后又因为没有补水而造成毛孔更加明显,所以楼主在洁肤后要立即补水,这样才能真正的缩小毛孔的哦!完全缩小的话,请问你拿什么来呼吸呢?你说对吗?希望以下的回答能帮助你了!毛孔粗大的拯救方法首先我们要找出毛孔粗大的原因,对号入座,来看看怎么拯救我们粗大的毛孔!类型1因油性肌肤而引起:油性皮肤和混合性的T型部位皮脂分泌特别旺盛,过剩的皮脂堆积在毛囊里,膨胀毛孔,随着年龄的增长,毛孔看起来越来越粗大。 类型2因清洁不当而引起:皮肤的表皮基底层不断地制造细胞,并输送到上层,待细胞老化之后形成外层老化角质层。 长期不正确的清洁皮肤方式,使得其新陈代谢不顺利,无法如期脱落,致使毛细孔扩大。 类型3因肌肤老化而引起:随着年龄的增加,血液循环逐渐不顺畅,皮肤的皮下组织脂肪层也容易松弛、缺乏弹性,如果再没有给予适当的保养与护理,必会加速老化,毛细孔自然也越加扩大。 类型4因不良习惯而引起:1.抽烟喝酒:香烟中的尼古丁会让血管收缩,血液循环减慢,于是干燥、老化都提早报到,脸部线条自然下垂,毛孔撑大。 还有身体内的酒精含量超标时,促使血液循环加速,毛孔也随之张开,加上喝酒容易造成身体浮肿,毛孔被撑开自然再所难免。 2.随意挤压:在没有专业消毒和器械的情况下自己挤压面疱、粉刺,产生的过度刺激使表皮破裂,一旦伤害到真皮,而真皮缺乏再生功能,便难以产生新细胞,就会留下凹凸疤痕,使毛细孔变得更明显粗大。 3.使用护肤品不当:刺激性的护肤品及长期使用强力杀菌性强力药霜、消炎水等,会使皮肤长期处于亢奋状态,失去正常的防御能力;如再缺少适当的愈合护理,皮肤状态一旦固化,就很难回复原来的样子。 4.过度使用面膜:深层清洁作用的面膜产品首先将毛孔扩开,深入将油分与脏污带出来。 使用面膜后的毛孔的确看起来干净清爽,但是不要沉湎于这种感觉而过度使用深层清洁面膜,那样会使皮肤处于亢奋状态,使毛孔撑大后难以复原。 毛孔隐形护理法不管什么原因导致的毛孔粗大,接下来就是不可避免的肌肤松弛了。 而且毛孔不是窗户想开就开想关就观赏,已经粗大的毛孔是任何护肤品和护理方法都不能缩小到原来样子的。 所以我们要做的是从现在做起,掌握正确的清洁方法和以后小心呵护,使粗大毛孔的部位保持清爽洁净,不堆积污物和产生黑头,看起来像隐形了一样,就是非常理想的状态了!类型1、2的拯救方案:定期的深层清洁及去角质工作很重要。 每天的清洁都要做到手法正确,温和的去除油脂污垢,避免毛孔中油脂污垢的堆积。 洗完脸后,拍上温和的含有收敛成分的收缩水(或爽肤水),轻轻由下往上拍打,持续一段时间后会使毛孔看起来细致很多,同时也具有抑制皮脂分泌的效果。 油性皮肤要选用清爽保湿的护肤品,为皮肤保湿的同时不堵塞毛孔。 还可以选用控油露来平衡皮肤的油脂分泌。 类型3的拯救方案:毛孔粗大是由于肌肤老化而引起的,因此控制肌肤衰老速度是当务之急。 面部按摩能促进血液循环,促进新陈代谢。 现在有男性专用的按摩霜来辅助,按摩后使用精华素和晚霜等都有利皮肤吸收。 还有专用的抗皱面贴等为皮肤补充营养。 总之,只要护养得当,就可以有效的延缓衰老。 如果可能的话,还可以到专业美容机构做一些面部提升护理,专业美容师的按摩手法和一些辅助仪器也有助于面部肌肤的紧实,较大程度地改善肌肤松弛和毛孔粗大的现象。 类型4的拯救方案:1.烟酒是首要忌讳的东西,如果你不想在30岁时就有一张50岁的老脸的话,就一定要改掉烟酒过度的习惯。 2.如果脸上出现粉刺、痤疮、面疱等问题,可以使用专业祛痘产品,或者请教皮肤科医生来解决,千万不要自己随便乱挤,因为伤及真皮层,一旦形成疤痕和橘皮脸,就是一生的遗憾了。 3.使用清爽型的男性专用护肤品和控油产品,使肌肤多一层防护的同时有效控制肌肤的油脂分泌,使毛孔不会因外在的污染而变得越来越大。 4.可以每周做1次具有深层清洁和紧肤效果的面膜,一方面可以吸收多余油脂,还可收敛毛孔。 但切切要注意面膜的使用频率及使用方法,以免造成上面所说的情况,适得其反。 ~~~
无双大蛇战国第七章怎么感服本多忠胜?
本多忠胜-力魏、吴、蜀及战国的七章外传全破过且过关时忠胜会说表示信服-蜀7章外传-拯救三民兵到东南方时,吕布登场,本多登场,吕vs本,干掉吕布,成功拯救三民脱出-魏7章外传-到地图南方解救本多军, 干掉吕布-战国7章外传-保护令兵逃走至左上角,吕vs本,干掉吕布,传令兵脱出, 等我方援军到达.(我方不能败走)-吴7章外传-由开始杀至右上武将>左上武将>中间祭坛干掉本多,制压祭坛>杀至祭坛下方余将>去右上>一会本多在东北再次出现,再快速干掉本多>去左上,远吕智大量武将出现,由左上再杀回祭坛, 干掉敌军防御祭坛, 期间本多以友军再次出现, 又撤退一次,再出现令远吕智军士气下降, 干掉董卓,本多感服角色道具:鹿角立兜使用角色:本多忠胜剧本:战国七章 五丈原之战难度:易流程:只要清掉妲己以外的所有人 就可以在接近妲己的时候看到贵重品报告
发表评论