以往,许多大型企业都有企业网站,但随着信息化技术的发展,小微企业对网络应用也越来越普及,许多小微企业也接入了Internet网,业务与办公已离不开网络,为了更好的开展业务,做好产品的宣传,许多企业申请了域名,创建了企业网站。由于许多企业对网站安全的了解不深,许多企业都将网站放在了自己的服务器上并托管在电信或联通机房,找人架设了网站企业之后,并没有专门的安全维护人员,由于种种原因,企业网站安全表现在以下多方面(1)内容被篡改,挂上了其他不良信息;(2)网站被挂了木马或其他黑客程序,自家的服务器被黑客用于攻击他人的主机。这些事情发生后,往往给企业的形象、对外宣传造成了负面的影响,也给企业客户带来不好的印象,严重的可能会造成业务损失或其他的法律赔偿,企业网络管理工作面临巨大的压力,采取必要的正常措施、避免类似问题的出现,是每个企业网站需要考虑的问题。
随着虚拟化技术的出现,为企业提供网站安全解决方案不再限于使用传统解决方案,采用虚拟化解决方案带来更多的优点,本文从传统方案的不足、虚拟化解决方案的优势、小微企业网站安全虚拟化解决方案的实现三个方面进行分析。
1传统解决方案的不足
在传统的解决方案中,网站防篡改系统是很常见的解决方案之一,但这些网站防篡改系统并不能从根本上解决问题,仅仅是当发现黑客篡改了网页之后,再把新备份的网页替换回来,但仍然避免不了网站被黑客篡改的问题。而且,网站防篡改系统的价格不低,对小微企业来说,成本太高,不符合许多小微企业的实际需要。
网站防篡改系统往往需要安装于一台独立的计算机中,而有些小微企业的网站是托管于电信机房的,这就意味着这些企业必须托管多台计算机,而且计算机的性能要高,管理也要到位,才能真正用好网站防篡改系统,这些要求对小微企业来说成本太高。
2虚拟化解决方案的优势
VirtualBox(虚拟机)是德国一家软件公司开发的虚拟系统软件,使用VirtualBox(虚拟机)能够安装多个客户端操作系统,每个客户端系统皆可独立开启、暂停与停止。主端操作系统与客户端操作系统皆能相互通讯,多个操作系统同时运行的环境,也彼此能够同时使用网络。
ISAServer防火墙是微软提供的基于策略网际网络访问控制、加速、管理于一体的防火墙产品。ISAServer可实现功能包括:保护网络免受未经授权的访问,保护Web和电子邮件服务器防御外来攻击,检查传入和传出的网络通讯以确保安全性,接收可疑活动警报。
虚拟化解决方案可以实现从一台服务器中再虚拟安装多一台计算机,运用虚拟机技术,在网站服务器上安装OracleVMVirtualBox和ISAServer,使用OracleVMVirtualBox安装一台虚拟机,在虚拟机中配建网站。这样的配置,可以实现ISAServer防火墙保护虚拟机,从而实现ISAServer保护网站的目的。而ISAServer是防火墙与代理服务器软件,ISAServer的防火墙工作在应用层,具有独立的HTTP过滤功能,可以保护ISAServer后面的网站不被黑客攻破。
3小微企业网站安全虚拟化解决方案的实现
本方案针对于网站采用IIS发布的,数据库使用SQLServer实现的网站。原来的传统解决方案是在托管主机上安装IIS和SQLServer,网站发布在托管主机上。现在使用虚拟化解决方案,总的策略是在托管主机上安装一个虚拟机,把虚拟机和托管主机组成五个局域网,并把原来在托管主机上的网站转移到虚拟机发布,并停止运行托管主机的IIS和SQLServer,减少托管主机的资源占用,正常地发挥ISAServer的功能,达到既能正常发挥网站,又能有效保护网站安全,从根本上解决网站防篡改、被黑客攻破的可能。
3.1在托管主机上安装ISAServer和OracleVMVirtualBox
在托管主机安装OracleVMVirtualBox后,创建windowsserver虚拟机,配置IP使虚拟机与托管主机同网段组建成一个局域网。在虚拟机安装IIS和SQLServer数据库,把网站文件保存在虚拟机,配置IISWEB网站,使用虚拟机的IIS发布网站。托管主机上的IIS和SQLServer不用安装,即托管主机上的IIS和SQLServer不再使用,才能最大限度发挥托管主机的资源,同时,也为保证ISAServer正常运行。
在托管主机安装ISAServer,由于ISAServer安装过程中,ISAServer的默认规则是断开通信的,托管主机的操作是远程桌面方式,一旦断开通信,在安装过程中,就操作不了主机,所以,须采用无人值守的自动安装方法实现ISAServer安装。要解决这个问题,可以配置使用ISAServer的“无人值守”功能,并在安装的时候,导入一个具有“远程管理”功能的策略到ISAServer中。当ISAServer使用无人值守功能安装完成后,导入的策略生效,即可避免在远程安装ISAServer之后,失去对远程服务器控制的行为。具体ISAServer策略操作方法,可以参考相关的安装资料,本文不再阐述。
杭州帕拉迪网络科技有限公司(简称帕拉迪)从金融行业的实际信息安全需求出发,充分吸收近年来信息系统安全保障理论模型和技术架构(如IATF等),全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求,结合帕拉迪多年的攻击防护经验,为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等,为管理人员的运维和决策提供了有效的技术手段。
金融IT内部的运维风险
1.IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。
2.第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。
3.研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。
解决方案技术优势
1.独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。
2.支持RDP图形实时文字识别和文字提取功能。
3.带来无缝应用的用户体验,所有应用均可本地化展示。
4.提供文件传输内容审计记录。
5.契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。
解决方案部署收益
1.规范运维管理。建立统一安全管理和综合审计平台,统一入口、统一认证、统一授权、统一审计;用户可以在平台上基于权限进行访问控制,提高了系统安全性,同时减轻了管理员工作压力,提高了工作效率,确保管理制度的顺利实施。