網站安全不容忽視 隱患無處不在_IT 業界

根據CNCERT/CC今年上半年接收和處理的網路安全事件統計可以看出，目前中國的互連網安全實際狀況仍不容樂觀。各種網路安全事件與去年同期相比都有明顯增加。半年時間內，CNCERT/CC 接收的網路仿冒事件和網頁惡意代碼事件，已分別超出去年全年總數的14.6%和12.5%。內地地區被植入木馬的主機IP 遠遠超過去年全年，增幅達21 倍;內地被篡改網站數量比去年同期增加了4 倍，比去年全年增加了近16%。

　　從CNCERT/CC 掌握的上半年情況來看，攻擊者的攻擊目標明確，針對不同網站和使用者採用不同的攻擊手段，且攻擊行為趨利化特點表現明顯。

　　l 對政府類和安全管理相關類網站主要採用篡改網頁的攻擊形式，以達到泄憤和炫耀的目的，也不排除放置惡意代碼的可能，導致政府類網站可能存在安全隱患。

　　l 對中小企業，尤其是以網路為核心業務的企業，採用有組織的分散式阻斷服務攻擊(DDoS)攻擊等手段進行勒索，從而迫使企業接受相應條件，影響企業正常業務的開展。

　　l 對於個人使用者，攻擊者更多的是通過使用者身份竊取等手段，偷取該使用者遊戲帳號、銀行帳號、密碼等，竊取使用者的私人財產。如利用網路釣魚(Phishing)和網址嫁接(Pharming)等對金融機構、網上交易等網站進行網路仿冒，線上盜用使用者身份和密碼;通過惡意網頁、社交工程、電子郵件和資訊系統漏洞等方式傳播惡意代碼;利用間諜軟體(spyware)和木馬程式竊取使用者的私人資訊，嚴重的可導致財產損失。

　　上半年我國內地被植入木馬的主機數量大幅攀升的現象，反映出國內網路安全狀況中木馬產業鏈的猖獗，是泄密、網銀帳號被竊事件頻發的重要原因。

　　近期各機構Web服務出現的問題

　　首先讓我們關注近期的幾起網站營運事件，都是和網站運營維護有關的。

　　1. 某國內著名門戶網站首頁被掛馬事件

　　6 月14 日，某國內著名門戶網站首頁於6月14 日淩晨被“掛馬”(頁面被嵌入惡意代碼)數小時。CNCERT/CC 接到報告後，立即對事件進行了監測，發現包含該網站在內的國內多個網站，在6 月15 日淩晨再次被掛馬數小時，而且被掛馬網站均將使用者訪問跳轉到http://6688.89111.cn/m42.htm，導致使用者從網域名稱89111.cn 之下多個惡意連結中下載惡意代碼。CNCERT/CC 立即聯絡被掛馬的重要網站，告知其事件有關的詳細情況和分析，建議其做好安全防範工作。與此同時，因 89111.cn 網域名稱註冊人所登記的資訊及連絡方式都是虛假資訊，CNCERT/CC 與網域名稱註冊單位取得聯絡，得到對方的積極支援和快速響應，按照國家有關規定關閉了該惡意網域名稱。

　　2. 北京聯眾遭分散式阻斷服務攻擊

　　在CNCERT/CC 的協助與支援下，北京市網監處成功破獲北京聯眾公司遭受分散式阻斷服務攻擊案。5 月11 日，北京聯眾公司向北京市網監處報案稱：該公司自4 月26日以來，託管在上海、石家莊IDC 機房的13 台伺服器分別遭受到大流量的DDoS 拒絕服務的攻擊，攻擊一直從4 月26 日持續到5 月5 日，其攻擊最高流量達到瞬時700M/s，致使伺服器全部癱瘓，在此伺服器上啟動並執行其經營的網路遊戲被迫停止服務，經初步估算經濟損失為3460 萬人民幣。在CNCERT/CC 的支援與配合下，北京市網監處成功擷取了犯罪團夥實施DDoS 攻擊的證據，並及時將4 名犯罪嫌疑人一舉抓獲。

　　除此之外，還有一些民間組織、機構報告的安全事件，以下列舉幾個：

　　8月9日雲網主要站台不可訪問，據分析可能和遭受駭客攻擊有關。

　　8月15到16日，國內某大型銀行的個人銀行服務出現故障。據說是“由於15日是存款利息稅下調、系統升級改造、新基金髮行和拆分、養老金和工資的發放等業務集中所致”，真正原因未透漏。

　　國內某大型網上購書網的官方網站資料庫賬戶泄漏事件。令人感到震驚的是程式出錯頁面裡面甚至把資料庫連接串和密碼都列印出來了，該網使用的是 SQL Server。

　　8月11日，某國內網路安全性群組織發現中國某大型家電企業官方網站被掛上了木馬，經過一系列的協調和處理，終於解決。

　　如上的例子還有很多，網站的營運是個高精度、高複雜度的事情，機器不能解決一切問題。當然類似的事情也不止國內有，Facebook 也出現了原始碼泄漏事故。

　　政務網站面臨的問題和解決方案

　　根據《CNCERT/CC2007年上半年網路安全報告》，2007 年上半年，中國內地被篡改網站的數量相比往年處於明顯上升趨勢。CNCERT/CC監測到內地被篡改網站總數達到28367 個，比去年全年增加了近16%。按月統計情況如下圖所示。

政府網站易被篡改的主要原因是網站整體安全性差，缺乏必要的經常性維護，某些政府網站被篡改後長期無人過問，還有些網站雖然在接到報告後能夠恢複，但並沒有根除安全隱患，從而遭到多次篡改。

　　對政務網站(電訊廠商、政府)的維護，重點有兩個方面：一是對頁面的篡改，二是Web服務的提供，也就是保證網站的完整性和可用性。

　　1. 完整性安全防護

　　作為政務工程的視窗，政務網站的防篡改是第一位重要的，而目前對網站的攻擊方式也層出不窮。據2007年發布的十大web安全性漏洞稱，基於注入技術的隱碼攻擊(主要指SQL注入等類型攻擊行為)排名第二，是直接攻擊網站的最主要手段(排名第一的XSS主要是被動式攻擊，往網頁中加入惡意代碼，讓訪問者遭受攻擊)。

　　那麼，什麼是SQL注入呢?SQL注入就是利用現有應用程式，將(惡意)的SQL命令注入到後台資料庫引擎執行的能力，這是SQL注入的標準釋義。

　　隨著B/S模式被廣泛的應用，用這種模式編寫應用程式的程式員也越來越多，但由於開發人員的水平和經驗參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對使用者的輸入資料或者是頁面中所攜帶的資訊(如Cookie)進行必要的合法性判斷，導致了攻擊者可以提交一段資料庫查詢代碼，根據程式返回的結果，獲得一些想得到的資料。

　　SQL注入利用的是正常的HTTP服務連接埠，表面上看來和正常的Web訪問沒有區別，隱蔽性極強，不易被發現。

　　SQL注入攻擊有以下顯著特點：

　　(1) 攻擊初始許可權低

　　只要擁有internet存取權限的人都可以發動SQL注入攻擊，甚至還可以通過web連接埠進行攻擊。

　　(2) 危害、後果嚴重

　　SQL注入成功後，攻擊者將擁有Web的最高許可權，可以修改頁面，可以修改資料，可以在網頁中添加惡意代碼實現XSS……

　　(3) 攻擊特徵不唯一

　　任意更改攻擊提交參數都可以實現對Web的攻擊，無法通過定義特徵來實現對SQL注入的全檢測。

　　

　　2. 可用性安全防護

　　可用性方面，政務網站是對外提供服務的介面，在保障資訊完整性的情況下，盡量不影響應用的正常運營，是政務網站安全解決方案的另外一個重點。而確保網站可用性又包括兩個方面的因素，一種是正常情況下的訪問，一種是異常情況下的訪問。

　　在正常情況下，確保網站可用意味著訪問者可以很容易地得到所需要的服務，要求訪問時延短，天清入侵防禦系統採用了包括poll、驅動無鎖、自適應CPU負載平衡等多項技術在內的效能最佳化演算法，確保資料報的轉寄時延在微秒級單位，在使用者的正常使用過程中基本感覺不到影響。

　　

　　3. 實用性考慮

　　除了網站的完整性和可用性需求外，採用線上式裝置還需要考慮產品的實用性。

　　

　　四、總結

　　隨著網路不斷深入各個行業的核心應用，Web服務越來越成為各種駭客攻擊的主要視窗，國家對網路安全的要求也越來越嚴格。各安全主管部門普遍要求各組織、機構的網路和服務遵循“誰受益、誰負責;誰運營、誰負責”的原則，因此各個機構對於Web服務的安全性應該引起足夠重視。

　　在十七大期間，各個組織、機構更加應該投入人力、物力，使用比較先進的安全手段，完善安全措施，落實管理制度，確保營造一個和諧、向上的網路環境和氛圍。

　　SQL注入攻擊作為深層威脅的一種，已越來越多地受到使用者的關注，如何準確、及時地判斷並防禦這種危害極大的深層攻擊行為，是入侵防禦系統責無旁貸的責任。這就要求入侵防禦系統本身提供對這種無固定表現形式、種類繁多的攻擊行為的準確檢測。