日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
高校SQL注入防治簡要方案

1、防止SQL注入的動機

創(chuàng)新互聯(lián)公司長期為上千余家客戶提供的網(wǎng)站建設服務,團隊從業(yè)經(jīng)驗10年,關注不同地域、不同群體,并針對不同對象提供差異化的產品和服務;打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為陽曲企業(yè)提供專業(yè)的網(wǎng)站設計制作、成都做網(wǎng)站,陽曲網(wǎng)站改版等技術服務。擁有10余年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

近來教育行業(yè)的信息安全問題真是一波未平一波又起:陸續(xù)發(fā)生多個高校網(wǎng)站系統(tǒng)被更改,影響惡劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行業(yè)成為電信詐騙的重災區(qū),據(jù)統(tǒng)計,被騙學生占全部被騙人數(shù)的20%左右,甚至發(fā)生了大學生和準大學生被騙導致含恨離世的人間慘劇;考試成績被改,涉事人員被判;學校內部一卡通系統(tǒng)賬目被改動;以及諸多尚未公開的安全事件。

其中SQL注入漏洞問題,其實與多個事件是關聯(lián)的。首先,黑客利用SQL注入漏洞拖庫,造成數(shù)據(jù)泄漏。黑客由此掌握大量真實數(shù)據(jù),倒賣給黑產,被用于實施電信詐騙;其次,SQL注入漏洞被利用,替換數(shù)據(jù)庫內容,或者間接控制文件系統(tǒng),更改網(wǎng)站系統(tǒng);再次,利用SQL注入漏洞修改數(shù)據(jù)庫內容,破壞數(shù)據(jù)一致性和真實性。

所以,防治SQL注入漏洞,是高校信息安全的重要工作,也是能夠迅速提升信息安全水平,尤其是數(shù)據(jù)安全水平的舉措。

2、高校防止SQL注入的困難

(1)意識方面,對SQL注入漏洞威脅的后果嚴重程度認識不足;

(2)經(jīng)費審批,某些單位意識跟上了,但是沒有當期預算,只好拖著;

(3)技術和產品方面,以為WAF和NGFW就能阻止SQL注入。其實根除SQL注入,不能僅依靠WAF和NGFW。否則IMPERVA的產品為什么要有WAF和數(shù)據(jù)庫防火墻?但是國內的數(shù)據(jù)庫防火墻可選擇余地有限。

(4)系統(tǒng)分散,數(shù)據(jù)分散,系統(tǒng)開發(fā)發(fā)布比較隨意,安全測試嚴重不足;

(5)安全運維人力普遍嚴重不足,WAF和數(shù)據(jù)庫防火墻的規(guī)則配置質量難以保證。

3、可行的解決方案

總體思路是:采用系統(tǒng)安全掃描+WAF/NGFW+DB FIREWALL,根治SQL注入漏洞。

(1)系統(tǒng)安全掃描:采用商用系統(tǒng)漏洞掃描工具或者開源SQL注入漏洞掃描工具,檢測系統(tǒng)SQL注入漏洞,在上線前盡量消除這些漏洞。

(2)WAF/NGFW。采用商業(yè)的或者開源的WAF/NGFW,部分阻止SQL注入漏洞。

(3)數(shù)據(jù)庫防火墻。由于SQL注入特征在數(shù)據(jù)庫訪問SQL語句上會被放大,從而,在數(shù)據(jù)庫前端部署數(shù)據(jù)庫防火墻,理論上能夠根治SQL注入漏洞。

4、方案分析

該方案成敗的核心問題之一在于數(shù)據(jù)庫防火墻的規(guī)則配置。如果沒有配置出合理有效的規(guī)則,數(shù)據(jù)庫防火墻的防護能力將會大打折扣。針對教育行業(yè),尤其是高校中信息系統(tǒng)運維人員較少的現(xiàn)實情況,又對規(guī)則配置的簡單易用性提出了很高的要求。鑒于此,數(shù)據(jù)庫防火墻應該應提供基于自動學習的規(guī)則配置方式,實現(xiàn)規(guī)則零配置。

該方案成敗的另一核心問題是部署方式。因為在教育行業(yè),尤其是高校的另一個實際問題是系統(tǒng)眾多、數(shù)據(jù)分散。根據(jù)教育行業(yè)等保定級指導意見,高校信息系統(tǒng)中設計敏感信息的系統(tǒng)有幾十個之多。如果完全采用硬件方式的數(shù)據(jù)庫防火墻,將給實際的部署以及采購成本帶來壓力。所以數(shù)據(jù)庫防火墻最好能夠以軟件方式運行于學?,F(xiàn)有服務器或虛擬環(huán)境之上,從而極減少方案的實施成本。

5、數(shù)據(jù)庫防火墻部署方式

方式一:硬件方式。將商業(yè)數(shù)據(jù)庫防火墻硬件產品部署于數(shù)據(jù)庫之前,形成對數(shù)據(jù)庫中核心數(shù)據(jù)的保護。如果有多個數(shù)據(jù)庫,可以用一臺數(shù)據(jù)庫保護多臺數(shù)據(jù)庫系統(tǒng),并且最好采用雙機熱備的方式。

方式二:軟件方式。將數(shù)據(jù)庫防火墻以軟件或者虛擬機的方式部署于獨立的硬件之上,部署在數(shù)據(jù)庫前端,形成對數(shù)據(jù)庫中核心數(shù)據(jù)的保護。這種方案既適用于傳統(tǒng)環(huán)境,又適用于虛擬環(huán)境。

方式三:部署于數(shù)據(jù)庫服務器。在數(shù)據(jù)庫服務器上安裝數(shù)據(jù)庫防火墻軟件或者虛擬機,直接保護數(shù)據(jù)庫中的核心數(shù)據(jù)。這種方式適用于分散的網(wǎng)站系統(tǒng)。

6、產品選擇

1)系統(tǒng)安全掃描

商業(yè)系統(tǒng):綠盟,安恒,啟明等

開源系統(tǒng):穿山甲等

2)WAF/NGFW

商業(yè)系統(tǒng):綠盟、WebRay、深信服、啟明、山石等......

開源系統(tǒng):ModSecurity

3)數(shù)據(jù)庫防火墻

商業(yè)系統(tǒng):中安比特、安華金河

開源系統(tǒng):GreenSQL早期開源版本,現(xiàn)在應該沒有開源的了。

鑒于國內數(shù)據(jù)庫防火墻可選擇余地不大,在此將中安比特的中安威士防火墻和安華金和的防火墻做個比較,信息來源于廠家公開的資料。


分享標題:高校SQL注入防治簡要方案
文章網(wǎng)址:http://m.5511xx.com/article/cohpdpc.html