对于一些大型网站来说,通常拥有一整套已经执行了的WEB站点安全防范解决方案,但是,为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞,以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状,最好的方式就是在部署相应的安全防范安全解决方案的同时,还必需采取与攻击者相同的手段,也就是在网站的运营过程中,不断对它进行安全评估,以此来找到网站中可能存在的弱点和漏洞。
对WEB站点进行安全评估是WEB安全防范处理过程中非常重要的一个环节,它应当贯穿站点的整个生命周期。对WEB站点实施安全评估的目的就是指安全评估人员,使用相应的评估工具和技术,经过一系列恰当的方法,对WEB服务器本身、服务器系统、后台数据库系统及网络中已经实施的安全机制,进行全面的检测和评估,以此来检测整个WEB系统是否还存在弱点,以及验证实施的安全机制是否有效。并根据最后的评估分析结果,对现有的安全策略进行修订,对实施的安全机制进行补充。
一、制定WEB站点安全评估方案
对WEB站点进行安全评估,为了能够达到最终的效果,事先先制定一个切合实际的安全评估方案是十分有意义的。当然,对于一些个人网站,或者只进行一次WEB站点弱点检测来说,也可以跳过制定安全评估方案这个环节,直接使用系统或WEB弱点检测工具对WEB站点所在的系统和其本身进行详细的弱点检测即可。
如果需要对一个WEB站点进行全面的安全评估,或者你需要一个安全评估方案来指导你完成相应的WEB站点弱点检测任务,那么,我们可以按下列列出的内容,来构建一个适合自己实际需求的WEB站点安全评估方案:
1、为WEB站点安全评估确定一个最终目标,也就是为什么要这么做,这样做需要达到什么的目的。
2、为WEB站点的安全评估指定安全评估人员。
3、确定安全评估时具体的评估对象。
4、为WEB站点的安全评估制定具体的时间计划表,如果没有什么特殊情况,我们应当严格按照这张时间表规定的时间对WEB站点实施安全评估。
5、为WEB站点的安全评估指定具体的评估工具,并要求评估人员对这些工具进行相应的学习,以达到训练掌握它们的目的,还必需规定评估人员按时对这些评估软件所依赖的评估漏洞库和软件本身进行不断的更新。
6、规定是将安全评估工具安全装在目标WEB服务器进行安全评估,还是在专门的硬件设备(例如笔记本电脑)上安装评估软件,然后在使用时再接入目标网络实施评估任务。
7、明确具体的安全评估方法
8、明确安全评估过程中需要注意的操作事项;
9、明确安全评估的规章制度和评估人员责任;
10、规定安全评估结果的记录方式,以及评估报告的上报、存档和检索方式。
WEB站点安全评估方案应当根据实际的网络环境,以及站点的具体内容和功能,经过详细的调查和分析后,再由安全评估参与人员共同完成。当然,一个实际的WEB站点安全评估方案,所包括的内容可能比上述所列出的内容要多得多,也详细得多,在这里只是对它们做了一个简单的说明,具体的内容还需要大家根据实际情况做具体的补充。
二、WEB站点安全评估的具体实施方式
WEB站点安全评估的具体实施涉及到四个最关键的因素,它们是安全评估人员、评估工具、评估方法和评估对象。
1、安全评估人员
安全评估人员,应当包括WEB站点所有者、管理员及安全评估实施人员。安全评估实施人员的技术和经验,以及工作态度在一定程度上决定了评估的效果和可信性。
有时,一些WEB站点不得不将安全评估任务外包给一些具有安全评估资质的第三方机构来完成,这也是一些没有具体的WEB站点管理员的中小企业WEB网站经常使用的方式。
还有一些WEB站点,所有的工作都是由站点管理员一个人来完成,对于这样的WEB站点安全评估报告,通常只会被他自己所接受,也就是用来对站点当前的安全状况进行一次简单的体检,以此来做到心中有数。
2、安全评估工具
安全评估工具需要根据所要评估的具体对象来选择,不同的评估对象,所使用的评估工具是不相同的。这是由于有些安全评估工具只是针对某种服务或软件,有些是针对整个主机或网络的;有些安全评估工具只能在某种操作系统平台下运行,而有些安全评估工具却能在许多流行的操作系统平台下运行;一些安全评估工具是软件方式的,还有一些是以独立的硬件方式存的;有些安全软件是免费的,而有一些是商业的。由此,要找到一款合适的安全评估工具还真的不是随便选择几样这么简单。并且,一些其他人认为非常好用的安全评估工具,对于我们自己来说并不见得会很喜欢,因此,有时我们不得不经过不断的试用才会知道哪几款评估软件才是最适合我们自己的。
幸运的是,现在还是已经有许多功能强大的评估工具可以供我们选择,这些工具有:
(1)Nmap
Nmap是一个网络探测和安全扫描程序,我们可以使用它来扫描WEB站点所在系统或整个网络,并以此来得到WEB站点所在系统正在运行及提供什么样的服务,开放了什么样的端口,使用什么样的操作系统等信息。Nmap支持包括UDP、TCP connect()、TCP SYN()、ICMP、FIN及ACK等扫描方式,其中有许多扫描方式还可以用来检测防火墙及IDS/IPS等设备的回应情况。
Nmap能够在类UNIX系统及Windows系统的终端下以命令方式运行,它的命令执行格式为:nmap [Scan Type(s)] [Options]。我们可以从http://insecure.org/网站上下载到它的最新版本,以及得到它的详细说明文档。
图1 Nmap扫描结果示意图
(2)Nessus
Nessus同样是一个功能强大的安全检测工具,它允许用户使用插件对它进行功能上的扩展。Nessus使用一个频繁更新的漏洞库作为安全检测的依据。我们可以到www.nessus.org网站上下载到它的免费版本Nessus3,以及得到它的详细的使用文档。现在大部分的安全人员都使用它来对网络或主机系统进行全面安全检测。