天融信TopWAF护卫上市企业门户网站安全

   北京 2014-05-20(中国商业电讯)－－新媒体格局下 ,上市企业网站作用无法替代

    近几年来微博等新媒体的迅猛发展正在改变着人们的信息获取方式和沟通交流方式。虽然新媒体在信息传播方式和传播效率上具有很大优势，但在信息的真实性、严肃性及全面整体性方面是无法和网站相比的。证券市场缺少的不是信息，是真实、准确、全面的信息，因此，目前来看，上市企业网站在树立和宣传公司形象、信息披露及投资者关系管理等方面发挥的作用，是其他方式所无法代替的。

    据证券时报数据部统计，截至2013年8月31日，国内A股上市企业超过2200家， 其中绝大部分（超过97%）的企业建立了自己的网站，上市企业网站因而成为上市企业借助网络、实现与投资者沟通的重要手段，同时也成为投资者深陷海量信息而不迷失方向、直接与上市企业互动的有效途径。

    上市企业网站所面临的安全威胁

    目前，国外的一些黑客已经找到了攻击上市企业的非现金勒索模式，开始考虑上市公司的股票市值，从而牟取暴力。

    经实证分析，上市企业网上投资者关系管理与其股票价值表现息息相关。大部分上市企业网站中都专门设立起了投资者关系管理频道。这样一来，如果网站遭到攻击，将会直接影响到企业信息的准确披露及与投资者之间的互动。这对于企业及投资者来说，损失将是巨大的。而这样黑客也将会间接预测到未来几个月的股票涨幅。

    因此，做好网站的安全防护，已经成为上市企业信息部门的最重要工作。针对上市企业网站所承载的各类应用的特点，目前比较典型的攻击威胁总结如下：

     SQL注入攻击

    SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见，同时也是危害最大的一类弱点。上市企业网站易受到SQL注入攻击是由于网站本身与用户的交互性很强，而程序中又缺乏有效的用户输入检查，导致恶意用户可以提交SQL查询语句，非法获取网站数据库敏感信息，直至上传后门文件，篡改网页内容等一系列严重后果。

     跨站脚本攻击

    跨站脚本攻击的特点在于对存在漏洞的网站本身并不构成威胁，但会使网站成为攻击者攻击第三方的媒介。黑客往往会利用上市企业网站的高关注度，借助存在漏洞的网站转发攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令（可能包含在Cookie里）的敏感信息，或通过插入挂马代码对用户执行挂马攻击。

     非授权访问

    非授权访问是指远程用户可以绕过认证，对网站执行非授权操作或读取敏感信息。例如，目前企业门户网站的后台编辑管理，基本上都是通过验证用户名/密码的身份认证机制，没有针对网站管理后台的URL进行严格的访问控制。如果管理员账号被猜解或被盗用，黑客就可以轻松更改编辑网站内容，在前台发布虚假信息，最终影响企业声誉。

     DDOS攻击

    DDoS攻击则是一种可以造成大规模破坏的黑客武器。它通过制造伪造的流量，使得被攻击的服务器负载过高，从而最终导致系统崩溃，无法提供正常的服务。由于上市企业的许多重要信息披露、与投资者互动等都在网上进行，一旦受到DDOS攻击将造成服务瘫痪、终止，会阻断上市企业与投资者之间的信息传递，严重损害双方利益。

    天融信TopWAF护卫上市企业门户网站安全

    天融信WEB应用安全防护系统（简称TopWAF）产品针对上市企业网站，提供WEB安全和WEB应用交付融合的解决方案，确保WEB业务在安全和性能两方面的收益最大化：

     缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、跨站脚本（XSS）、非授权访问以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障WEB应用的高可用性和可靠性。

     WEB应用交付方面，降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性，提高数据中心的效率和服务器的投资回报率(ROI) 。

    典型案例：

    浙江省某上市企业门户网站是该企业与投资者互动的重要平台。为了保证网站安全，该企业信息部门经过了严格的产品测试筛选后，最终选择了功能更贴近需求的天融信TopWAF产品。

    经过前期的交流沟通，总结该企业对WAF产品的主要需求如下：

     定期对网站系统进行自动化安全评估，及时发现系统及WEB应用存在的安全漏洞；

     阻止来自互联网的恶意DDOS攻击，提高网站服务的可用性；

     防止黑客利用WEB应用漏洞对网站进行SQL注入、XSS等攻击，窃取敏感信息或篡改网页；

     对网站管理后台进行访问控制；

     适当提升网站的访问速率；

     详细记录网站的访问行为，并根据访问数据对网站业务进行分析，形成分析报表；

    根据该企业网络环境及需求，天融信公司提供如下方案：

    在防火墙DMZ区域，负载均衡器上行双机透明部署两台天融信TopWAF设备。不需要改变原有的网络环境。在安全策略上，则综合运用了：基本攻击防护（包括SQL注入防护、XSS攻击防护、远程文件包含等）、恶意扫描防护、CC攻击防护、DDoS攻击防护及管理页面防护，对WEB服务器的所有进出流量进行过滤清洗。同时，开启网站应用加速功能，提升网站静态页面的访问速度。

图1： 某上市企业TopWAF部署方案拓扑

    部署TopWAF后，该企业获得了以下收益：

     通过TopWAF内置的漏洞扫描功能模块，可以定期对WEB服务器进行全盘漏洞扫描。根据漏扫报告做适当地修补或调整安全策略。

     即使WEB服务器所存在的安全漏洞没有被及时修补，管理员也不必担心黑客会利用漏洞完成攻击。天融信公司WEB安全研究团队会定期更新TopWAF防护特征库，保证第一时间可以防护最新的WEB安全威胁。

     利用TopWAF内置的抗DDOS功能模块，可以有效地限制网络层及应用层流量型攻击。保证网站对外提供服务正常。

     利用TopWAF的管理页面防护功能，可以对网站管理后台的URL进行IP访问控制，严格控制网站的管理权限，降低管理页面被恶意访问的风险。

     利用TopWAF的应用加速功能，缓存并压缩网页、图片等静态资源。降低服务响应时间，提升网站用户体验。

     该企业的领导可以通过查看TopWAF业务智能分析模块所展示的网站业务数据报表，直观地了解到详细的市场及客户信息，为企业发展提供有针对性的决策依据。

    目前天融信公司的TopWAF产品已经服务于国内多家知名上市企业，产品在防护能力及稳定性方面已得到客户的认可。结合安全产品，天融信公司一并推出了安全评估、安全加固、在线监测及应急响应等多种网站安全服务。希望以最专业的产品和服务让企业网站达到较高的安全等级。