启明星辰网站安全解决方案(一)
发布时间:2012-09-17   录入:启明星辰

1 为何关注网站安全


WEB应用的发展,使网站发挥了越来越重要的作用,与此同时,越来越多的网站也因为存在安全隐患而频繁遭受到各种攻击,导致网站敏感数据、页面被篡改、甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。那么,网站到底发挥着多大的作用?网站被攻击后到底会带来什么样的损失呢?这两个问题的答案会告诉我们,为何人们会如此关注网站安全。


1.1 网站的作用日益凸显


人们的生活已经跟网站紧密相关,获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股(基金、期货),网站给人们带来的便利实在难以一一列举。据CNNIC统计,截至2008年6月底,中国网民数量达到2.53亿。中国网站数量也已达191.9万个,年增长率为46.3%,继续保持快速增长的势头。现在平均每132个网民,就拥有一个互联网网站。

 
 
图1. 中国网站数量增长情况


可以看出,网站正在对越来越多的人产生影响,作为个人,我们正享受着越来越多网站带来的生活便利,作为组织,我们也在不失时机的利用网站拓展着自己的业务。因此,不管对于个人,还是对组织,网站都已经非常重要。以下列举了一些我们熟知的事实,已不难说明网站的价值日益凸显:


政府网站


作为电子政务建设的最重要的内容之一,政府的门户网站目前普及率已经非常高,肩负着政务公开、信息发布、公众服务以及政民交互等重要任务,关乎政府形象。近几年,政府网站的电子化参与度不断上升,信息公开程度不断提高,公众决策参与水平也有显著提升。


金融网站


银行、证券等机构的门户网站,提供的服务已不仅限于信息发布和业务咨询,而是更多的跟实际业务交易关联了起来,通过网上银行,可以方便实现以前要去营业厅排队才能完成的业务,也可以用网上银行进行理财投资,在线交易股票,基金等。据CNNIC的数据,网银用户增长率较快,目前的用户量已经超过4000万人,半年增长率达到47.1%,进行网上炒股的用户也已达到4288万。


电子商务网站


提供在线购物,在线交易服务,电子商务网站的存在正在正在改变人们购物习惯,随着应用的普及,电子商务网站带来的经济影响也是不可估量的。拿一个例子来说:仅成立5年的淘宝,07年的网络销售额达到433亿,这一数字已超越家乐福和沃尔玛销售额之和。


企业门户


展示企业产品、服务以及解决方案情况,开展跟合作伙伴以及客户的在线沟通(如客户关系管理等),能够拓展业务渠道,为客户和合作伙伴提供极大便利。


互联网公司网站


我们对再它们熟悉不过了:Google、新浪、土豆、Facebook……,这些网站提供的内容最丰富,搜索,新闻咨询,论坛,博客,视频分享、游戏,已经成为我们生活的一部分。我们在享受这一切便利时,网站的所有者也在靠提供这些服务获取应得的利益。


总之,网站已经被赋予太多的内容,也正在发挥着巨大的作用,一旦网站遭受到攻击,无疑会给个人和组织带来危害。而现实情况恰恰是人们所担心的——有人在合法享受网站提供的服务,也有不少人对网站别有用心。

1.2 攻击给网站带来巨大损失


那些别有用心的攻击者,正是看中了网站的价值,为了博名获利,无时无刻不在对网站进行着攻击。随着Web应用技术的深入普及,网站攻击的技术门槛在不断降低,当攻击跟金钱、名誉甚至政治阴谋联系在一起的时候,我们的网站很可能已经处于多个攻击者的视线之内。正因为如此,网页挂马、数据篡改等网站
安全事件层出不穷,网站被攻击而遭受损失的媒体报道屡见不鲜,网站安全形势日益严峻。而网站被攻击后造成的巨大损失,也已经成为网站所有者和访问者不能承受之痛。


1.2.1 经济损失


虽然没有一个确切的统计数字说明网站被攻击造成的经济损失有多大,但仅从媒体报道的事件中我们就能体会到,这个经济损失不但不小,并且对某些网站所有者来说,来说可能是致命的。尤其对与银行,证券以及游戏类网站,攻击成功后黑客可修改敏感数据,实施网页挂马,也可窃取用户的帐户信息,直接划转
资金或者虚拟游戏币,不仅给用户带来直接的经济损失,而且会降低用户使用网站服务的信心,这对金融类企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。


1.2.2 名誉损失


网站代表着企业、政府机构等组织在互联网用户中的形象,试想一下,如果有一天,当你通过搜索引擎打开网站被提示有恶意代码,或者打开网站就看到防病毒程序报警,首页被篡改,甚至于留有一些侮辱性文字和图片,你会对这个网站的所有者产生什么样的质疑?组织的声誉将因此会受到多大影响?从不断翻新的媒体报道中,我们可以看到这种事件的主角不乏知名企业,甚至是知名的信息安全企业。以下是被媒体披露的一小部分:

 

2006年,河南省政府网主页遭篡改;

 

2006年,数字安徽网、中国银联、必胜客&肯德基网页挂马;

 

2007 年,成都市档案局网站主页篡改;

 

2007年3月,东方卫士网站网页挂马; 


2007年8月,海尔官方网站网页挂马;

 

2007年12月,千千静听官方网站网页挂马;

 

2008年4月,酷狗网网页挂马;

 

2008年5月,中国红十字基金会首页被篡改

 

2008年9月,味多美网站被挂马;

 

……

 

这样的媒体报道举不胜举,但这并非全部,而只是冰山一角,仍有很多组织的网站正遭受着攻击,造成持续的名誉损失而浑然不觉。


1.2.3 政治风险


尤其对于政府机构的网站,一旦被法轮功、藏独等反动势力入侵并利用网站散播反动言论,不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后果十分严重。2008年4月,红心中国活动的发起网站“我赛网”,不断遭受来自欧洲黑客的攻击。攻击的高峰出现在4月20日凌晨,平均一秒钟就会有两个黑客在攻击网站。网站的网页一度被篡改,出现藏独旗帜和大量反动语言,造成了非常严重的政治影响,最后工作人员不得不将服务器长时间关闭。2008年5月,正当全国人们都在齐心协力抗震救灾时,有多个地方的地震局网站遭到入侵,攻击者发布虚假的地震消息,致使很多关注地震信息的人获知虚假信息并迅速传播,产生了极大社会恐慌,数十万人露宿街头,有家不敢回,这对已经深受震灾打击的人们来说无疑是雪上加霜。


2 网站安全现状


由于网站的价值日益凸显,网站安全问题也逐渐得到组织和个人的关注。然而,面对不断变化的网站安全威胁,当前的安全措施是否能够很好的应对,这是关注网站安全必须清晰认识得关键问题。接下来,我们就从客观的威胁环境以及主观的应对情况来分析一下目前网站安全的现状。


2.1 安全威胁分析


从客观方面看,如今网站所处的威胁环境已日益恶化,各种攻击事件层出不穷,在这些事件的背后,我们还要分析一下黑客为什么要攻击网站?他们主要已用什么方式攻击网站?这对我们采取针对性的安全措施是非常有帮助的。


2.1.1 网站攻击越来越密集


根据CNCERT/CC《2007年网络安全工作报告》,2007年中国大陆被篡改网站总数累积达 61228 个,比2006年增加了 1.5 倍,平均每天168个。而最新的数据显示,截止2008年7月底,我国大陆地区被篡改网站的数量已经达到40664个,同比增长20%,平均每天更是达到188个。而且,以上统计数据只限网页或数据被篡改,其他数据窃取,未报案等事件尚不包含在其中。


2.1.2 黑客为什么攻击网站


攻击越来越容易,成本越来越低

 

在Internet上,自动化技术使得网站攻击轻而易举就能成功,计算能力和网络带宽一天比一天廉价,可供攻击的目标主机在呈指数增长,这意味这几乎所有攻击付出的代价很少,因此不论其成功率有多低,对黑客来说都值得一试。

 

攻击的主要目的是获利

 

黑客攻击网站的目的无外乎两种,一是为名,一是为利。只不过在市场经济时代,大多数黑客攻击网站的目的都是后者,获取利益。而要进行攻击并获得利益,自然是要中招的人越多越好,再就是每个中招的人带来的利益越大越好。因此,黑客在选取攻击网站时会考虑两个方面,一是网站的访问量,要选取访问量相对较大的网站;二是网站利益类型,选取特定类型的网站如电子商务、网络游戏、金融类网站等,这样获取的利益也会更大。


2.1.3 黑客如何攻击网站


Web应用层攻击是主流

 

由于针对网站的网络访问控制措施被广泛采用,且一般只开放HTTP等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越块,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对网站成功的攻击中,超过7成都是基于Web应用层,而非网络层。前不久OWASP (Open Web Application Security Project)机构发布了“2007年十大Web安全漏洞”,XSS和SQL注入漏洞排名前两位,是目前存在最为普遍,利用最为广泛,造成危害最为严重的两类Web漏洞。

 

黑客获利的两种主要方式

 

黑客通过Web应用程序安全漏洞攻击网站,一般会采取两种手段来达到博名、获利的目的:

 

1、篡改网站数据

 

通过SQL注入等漏洞获得网站权限后,可以进行网页挂马,网页篡改,修改数据等活动。例如,黑客可以通过网页挂马,利用被攻击的网站作为后续攻击的工具,致使更多人受害;也可以通过网页篡改,丑化网站所有者的声誉甚至造成政治影响;还也可以通过修改网站敏感数据,直接达到获取利益的目的。

 

2、窃取用户信息

 

利用网站漏洞,构造特殊网页或链接引诱网站管理员,普通用户点击,以达到窃取用户数据的目的。例如游戏、网银、论坛等账号的窃取,大多是利用了网站的XSS漏洞实现的。

 

总之,随着攻击技术的不断进步,越来越多的攻击者利用更容易被利用的、普遍存在的Web漏洞对网站进行攻击并频频得手,目前网站的生存环境已经日益
恶化。部分网站的所有者已经遭受到攻击,并从攻击造成的损失中深刻认识到网站安全问题的紧迫性。但大多数网站的所有者仍然处在已经被攻击而浑然不觉,或者即将被攻击而无应对的巨大风险之中。


2.2 现有安全措施分析


诚如上节所说,网站面临的环境已经发生了很大变化,更多的威胁来自于Web应用层,而大部分的网站的安全措施却仍然停留在原来对威胁认识的基础上,甚至于网站是否已经被入侵并实施网页挂马,也往往是在访问者投诉或被监管部门查处时方才察觉,但此时损失已经造成,无法挽回。不少人会问:我的网站已经有了安全措施,仍然会发生这样的事情,到底是为什么呢?我们来分析一下现有的安全措施。 


防火墙、防病毒、漏洞扫描等都是已经被广泛采用的传统网站安全措施,尤其是防火墙的部署,使得网站阻挡了大部分来自网络层的攻击,发挥了重要作用。但是面对目前的新情况,这些传统的安全措施能够应对吗?


防火墙


启用网络访问控制策略后,防火墙可以阻挡对网站其他服务端口的访问,而仅仅只开放允许访问HTTP服务端口,这样,基于其他协议、服务端口的漏洞扫描和攻击尝试都将被阻断。但针对正在流行的Web应用层攻击攻击,其行为类似一次正常的Web访问,防火墙是无法识别和阻止的,一但阻止,将意味着正常的Web访问也会被切断。


防病毒


不管在网关处还是网站服务器上部署,防病毒系统都可以有效的进行病毒检测和防护,但无法识别网页中存在的恶意代码,即网页木马。由于网页木马通常表现为网页程序中一段正常的脚本,只有在被执行的时候,才可能去下载有害的程序或者直接盗取受害访问者的隐私。同理,对于Web应用程序中的漏洞,防病毒系统更难以识别。


漏洞扫描


在查找和修补网站的操作系统漏洞、数据库漏洞、发布系统(如IIS,Apache)等漏洞时,漏洞扫描系统发挥了很大作用,但是作为通用的漏洞扫描系统,它对Web漏洞的识别却及其有限,原因是Web应用程序漏洞并非某一特定软件或者服务上的漏洞,其形式复杂多样,通常需要在自动工具检查的基础上,通过人工审核才可准确定位。

 
综上所述,识别并阻止基于Web漏洞的攻击,仅靠漏洞扫描、网络访问控制、病毒检测防护等传统的安全措施是难以做到的。针对新的网站安全威胁,我们应该保持足够的紧迫性,并采取有效措施积极应对。

 

 

2.3 问题总结与解决思路


通过以上网站安全现状的分析,我们了解到,就客观环境而言,网站所处的威胁环境已经日益恶化,就主观方面来讲,造成目前攻击事件不断发生的局面,深层次的原因到底是什么?针对这些问题,我们要怎么应对呢?

 
2.3.1 网站安全问题总结


网站安全形势堪忧,究其原因,主要是因为存在以下几个方面的问题:

 

1、大多数网站设计,只关注正常应用,未关注代码安全

 

一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。

 

2、黑客入侵后,未及时发现

 

有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。可怕的是,通常黑客在获取网站的控制权限之后,并不暴露自己,而是持续利用所控制网站产生直接利益。如网页挂马就是一种利用网站,给访问者种植其木马的一种非常隐蔽且直
接获取利益的主要方式之一。被种植木马的人通常是在不知情的情况下,被黑客窃取了自身的机密信息。这样,网站成了黑客散布木马的一个渠道:网站本身虽然能够提供正常服务,但网站的访问者却遭受着持续的危害。

 

3、网站防御措施滞后,甚至没有真正的防御

 

大多数防御传统访问控制,入侵防御设备,保护网站抵御黑客攻击的效果不佳。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基于特征匹配技术的入侵防御产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。因此,导致目前有很多黑客将SQL注入,XSS攻击作为
入侵网站的首选攻击技术。

 

网站防御不佳另一个原因是,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多拥有网站的组织和个人,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识网站安全问题的严重性。

 

4、发现安全问题不能彻底解决

 

网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司,网站安全代码设计方面了解甚少,发现网站安全存在问题和漏洞,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中,曾经戏剧化的发现,网站的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。

 

2.3.2 网站安全问题解决思路


亡羊补牢,为时未晚。事实表明,针对新形势下网站安全问题的考虑,需要变被动应对为主动关注,实施积极防御,这就需要以一个全面的视角看待网站安全问题,并依靠各个方面的相互配合,对网站安全做到心中有数,防护有方。具体的思路如下:


建立主动的安全检测机制


面对Web应用的威胁,我们缺乏有效的检查机制,因此,首先要建立一个主动的网站安全检查机制,确保网站安全情况的及时获知——是否已经遭到攻击,是否存还在被攻击的风险。


进行有效的入侵防护


面对Web应用的攻击,我们缺乏有效的检测防护机制,因此,需要部署针对网站的入侵防护产品,加强网站防入侵能力,能够对网站主流的应用层攻击(如SQL注入和XSS攻击)进行防护。


针对网站安全问题,建立及时响应机制


面对Web应用程序漏洞和已经造成的危害,我们缺乏恢复的机制和足够的技术储备,因此,需要确立专业支持团队的外援保障,解决及时响应问题,在网站安全问题被验证后,能确保对网站进行木马清除以及针对web漏洞的安全代码审核修补等工作。

 
只有通过以上3个环节有机结和,方可建立一套有检测,有防护,有响应的网站安全保障方案,确保在新威胁环境下网站的安全运营。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号