需监控内网用户通过Telnet、FTP、SSH、远程桌面等方式对资源服务器的访问行为,根据保密性要求,对于文件传输和远程控制等操作,往往采取加密方式进行。因此,对运维类协议的审计能力是考察安全审计产品可用性的一个重要指标。
数据库是另一个信息资源集中地带,对数据库的各种操作及操作结果,均需要进行细粒度审计和控制。目前国内大中型软件常用的数据库系统有国产和非国产两大类,非国产的包括商业数据库Oracle、DB2、SQL-Server、Informix、Sybase、Teradata,开源数据库Mysql、PostgreSQL;在政府网络中,国产数据库占据很大比重,比如达梦、人大金仓、南大通用等。对于以上各种类型的数据库协议的解析能力是审计系统需要满足的另一个指标。
行为审计的一个重要作用是溯源,因此,对于各种访问行为的记录和查询尤为重要,除了协议审计能力外,丰富的审计日志呈现方式以及海量日志的记录能力也是考核审计系统的主要内容。
2.2Web服务器防护
Web服务器上承载了门户网站、购电交易网站等站点,对外信息提供、与互联网的资源交互,都发生在这个区域。因此,它也是电网信息化中最脆弱的环节,往往成为黑客攻击的重点目标。根据赛迪报告,在针对门户网站的攻击类型中,SQL注入和XSS漏洞攻击排在前两位,以下简单介绍这两种攻击手段。
1)SQL注入攻击。程序员在编写代码的时候,如果没有对用户输入数据的合法性进行判断,入侵者可以通过构造某些特定输入数据(包含SQL命令),获得特殊的权限,窃取Web服务器的后台数据并加以利用,这就叫SQL注入攻击。图1是一次典型的SQL注入攻击。
2)XSS漏洞利用,即跨站脚本攻击,入侵者可以在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行,入侵者从而获得访问者机密信息。如果访问者是管理人员,入侵者则可以控制整个网站。图2是一次XSS攻击。
由此可见,这两种入侵是普通的防火墙产品根本无法防御的。因此,部署针对Web服务器的防护工具迫在眉睫。
Web服务器的防护工具主要有WIPS、WAF、WSF等,这些产品部署在Web服务器前端,能深入检测对Web服务器的攻击并能即时报警和阻断,这类产品的主要的考核指标如下:
对于SQL注入和XSS漏洞利用的检测和阻断能力;
是否具备针对其他攻击的检测能力,从而保证防护的全面性;
为了保证业务系统的运行速度不受影响,事件处理速度、透传能力等也是主要的考核指标之一。
