在2011年的歲末發(fā)生的密碼泄露事件引暴信息安全話題。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計(jì)���,截至12月29日��,CNCERT通過公開渠道獲得疑似泄露的數(shù)據(jù)庫(kù)有26個(gè)���,涉及帳號(hào)、密碼2.78億條�����。其中,具有與網(wǎng)站��、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫(kù)有12個(gè)�,涉及數(shù)據(jù)1.36億條;無法判斷網(wǎng)站���、論壇關(guān)聯(lián)性的數(shù)據(jù)庫(kù)有14個(gè)��,涉及數(shù)據(jù)1.42億條�。
2011年12月28日����,工業(yè)和信息化部發(fā)布通告稱,用戶信息泄露事件嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益����,危害互聯(lián)網(wǎng)安全。工信部對(duì)竊取和泄露用戶信息的行為表示強(qiáng)烈譴責(zé)�。同時(shí),要求各互聯(lián)網(wǎng)站要開展全面的安全自查�。
網(wǎng)站傷不起
大量網(wǎng)站泄密事件的曝光,反映了網(wǎng)站安全防護(hù)的薄弱�����,很多網(wǎng)站甚至采用了明文密碼存儲(chǔ)或不安全的MD5加密存儲(chǔ)。網(wǎng)站處于互聯(lián)網(wǎng)這樣一個(gè)相對(duì)開放的環(huán)境中�,網(wǎng)站整體安全防護(hù)中的任何一點(diǎn)漏洞或不足都可能在網(wǎng)絡(luò)上被迅速放大和利用,從而導(dǎo)致網(wǎng)站安全事件層出不窮��。
天融信高級(jí)安全顧問呂延輝認(rèn)為�,在缺乏整體防護(hù)措施或安全意識(shí)不夠的情況下安全事件的發(fā)生只是“時(shí)間問題”。實(shí)際上����,國(guó)內(nèi)網(wǎng)站競(jìng)爭(zhēng)激烈,很多企業(yè)都把大部分精力放在了發(fā)展業(yè)務(wù)上�,在安全防護(hù)上投入很少或無力投入。沒有一種技術(shù)或產(chǎn)品能夠解決所有安全問題����,在有限投入情況下,安全的防護(hù)水平必然也是有限的��,安全風(fēng)險(xiǎn)或隱患的存在也成為了一種必然�。
在東軟網(wǎng)絡(luò)安全資深咨詢顧問仝磊看來,此次泄密事件可以說是必然會(huì)發(fā)生的�����,只是發(fā)生這件事情的對(duì)象存在一定的偶然性而已��。目前,國(guó)內(nèi)對(duì)于信息安全的重視不夠�����,無論是個(gè)人還是組織�,均是如此�。對(duì)信息安全意識(shí)不足,發(fā)生安全事故是遲早的事��。從另一方面看�����,如果能借此提高大家的信息安全保護(hù)意識(shí)��,長(zhǎng)遠(yuǎn)來看或許是件好事�����。
資深安全顧問張百川表示���,許多網(wǎng)站設(shè)計(jì)之初就只考慮業(yè)務(wù)而不考慮安全����。在試運(yùn)行期間只要功能滿足就驗(yàn)收通過。在網(wǎng)站的規(guī)劃��、設(shè)計(jì)���、實(shí)施���、運(yùn)維、廢棄等五個(gè)階段沒有一個(gè)安全的考慮����。這樣“湊合”用的系統(tǒng),安全性顯而易見�����。
一位資深的安全應(yīng)急工程師告訴記者:“很多企業(yè)根本沒有重視過信息安全�����,出了安全問題才想辦法解決��,而且在解決上只考慮掩蓋���,而不是從根本上考慮解決����?�!蓖瑫r(shí)��,他向記者舉例���,目前國(guó)內(nèi)電子商務(wù)公司里有安全部門的很少�,有些公司就算設(shè)立安全部門也不過1-2個(gè)人�����,沒權(quán)力沒資源根本沒法實(shí)現(xiàn)信息安全��。
有專家指出�,目前國(guó)內(nèi)企業(yè)和機(jī)構(gòu)普遍存在對(duì)信息安全的認(rèn)識(shí)不足��、安全設(shè)備零或少投入�����、制度的缺失、流程的不完善�、權(quán)限分配不合理等問題。一位網(wǎng)警向記者表示����,很多因黑客攻擊而報(bào)案的網(wǎng)站基本上無安全投入或者沒有相應(yīng)的防護(hù)措施。
應(yīng)用漏洞引發(fā)的血案
此次密碼泄露事件讓網(wǎng)站安全成為了大眾的關(guān)注焦點(diǎn)�。賽門鐵克資深首席信息安全技術(shù)顧問林育民分析后表示,此次“泄密門”以網(wǎng)站應(yīng)用安全漏洞導(dǎo)致外泄的可能性最高���。
根據(jù)安全公司給CSDN提供的審計(jì)報(bào)告�����,此次CSDN資料泄露事件暴露出該網(wǎng)站的四個(gè)安全問題:第一是開源系統(tǒng)等第三方系統(tǒng)存在漏洞��,導(dǎo)致CSDN系統(tǒng)存在安全風(fēng)險(xiǎn);其次是應(yīng)用程序存在跨站腳本漏洞;第三�����,網(wǎng)站存在大量系統(tǒng)后臺(tái)認(rèn)證漏洞���,如安全等級(jí)較弱的口令等;第四,一些已經(jīng)停用但還在線上的老系統(tǒng)由于安全級(jí)別低���,泄露了大量信息��。
通過網(wǎng)站應(yīng)用安全漏洞而導(dǎo)致數(shù)據(jù)泄密的事件還在繼續(xù)發(fā)生�,在2012年新年伊始,新浪愛問被發(fā)現(xiàn)存在SQL注入漏洞����,利用漏洞可讀取愛問數(shù)據(jù)庫(kù)的內(nèi)容,包括明文密碼在內(nèi)的7000多萬新浪用戶信息�。有安全人士通過SQL注入對(duì)著名魔術(shù)師劉謙的賬號(hào)和密碼進(jìn)行嘗試性攻擊并取得成功,劉謙得知此事后在微博上連呼“太恐怖”�。
SQL注入攻擊本身就是對(duì)數(shù)據(jù)庫(kù)進(jìn)行一系列SQL語句的查詢,黑客可以執(zhí)行一個(gè)SQL查詢來實(shí)現(xiàn)繞過身份驗(yàn)證或者操縱數(shù)據(jù)�。通過SQL注入攻擊,黑客可以輕松地敲入一些SQL語句登錄進(jìn)網(wǎng)站�、對(duì)隱秘?cái)?shù)據(jù)進(jìn)行查詢等等。而這一切都可以在瀏覽器中進(jìn)行���。不止一位安全工程師向記者調(diào)侃:“不怕流氓會(huì)武術(shù),就怕黑客會(huì)注入����。”可見SQL注入的危害性和代表性����。
但此次密碼泄露事件涉及的眾多網(wǎng)站�����,并不單純是因?yàn)镾QL注入攻擊而失守�����。根據(jù)知道創(chuàng)宇公司對(duì)500萬個(gè)網(wǎng)站檢測(cè)后得出結(jié)論�,SQL注入和XSS跨站攻擊已經(jīng)成為黑客主流攻擊網(wǎng)站的手段�。
防范之道
SQL通用防注入系統(tǒng)的作者Neeao認(rèn)為,此次密碼泄露事件大部分是因?yàn)榫W(wǎng)站出現(xiàn)安全問題而導(dǎo)致數(shù)據(jù)庫(kù)被攻擊�。網(wǎng)站程序開發(fā)初期就應(yīng)該考慮安全問題,同時(shí)應(yīng)該嚴(yán)格把控代碼的上線管理流程����,所有代碼規(guī)范管理。
明朝萬達(dá)總裁王志海指出��,全員的安全意識(shí)培訓(xùn)特別是技術(shù)開發(fā)和服務(wù)人員的安全意識(shí)是必要的��,只要讓大家牢牢樹立信息安全防范意識(shí)����,徹底排除僥幸心理��,并融入到具體的開發(fā)和服務(wù)工作中���,才能減少類似事件的發(fā)生。
專注于Web安全的團(tuán)隊(duì)80sec成員宋申雷以木桶比喻網(wǎng)站安全體系����。他表示,以新浪愛問存在SQL注入為例�����,就是關(guān)聯(lián)業(yè)務(wù)出現(xiàn)安全問題導(dǎo)致安全體系出現(xiàn)短板����。目前,多數(shù)網(wǎng)站系統(tǒng)存在漏洞是由于業(yè)務(wù)部門不重視安全�,沒有產(chǎn)品上線和測(cè)試的安全流程所致。
記者在咨詢多位安全工程師后歸納網(wǎng)站應(yīng)用安全問題的原因主要有兩個(gè)方面:一方面是代碼的安全問題��,SQL注入漏和XSS都是利用了Web頁(yè)面的編寫不完善��,所以每一個(gè)漏洞所利用和針對(duì)的弱點(diǎn)都不盡相同��。所以���,不可能以單一特征來概括�,這和開發(fā)人員對(duì)于安全的理解程度有關(guān)��,應(yīng)該通過加強(qiáng)開發(fā)人員的安全意識(shí)來避免��。另外一方面是由于服務(wù)器配置原因造成����,如目錄遍歷、備份文件直接可通過Web下載���,IIS寫權(quán)限等����,這部分主要與服務(wù)器運(yùn)維人員有關(guān)��。應(yīng)該建立健全的服務(wù)器配置管理流程�,并嚴(yán)格執(zhí)行。
此外�����,很多企業(yè)為方便工作�����,應(yīng)用系統(tǒng)的用戶賬號(hào)和口令存在很明顯的規(guī)則性。仝磊向記者介紹了一個(gè)因黑客摸清了業(yè)務(wù)系統(tǒng)生成默認(rèn)賬號(hào)密碼的規(guī)律而被入侵的案例��。仝磊建議���,如果用戶能夠定期變更默認(rèn)用戶賬號(hào)密碼生成的規(guī)律���,其損失就會(huì)大大減小,發(fā)生惡意事件的幾率也會(huì)大大降低�����。
除了防范網(wǎng)站應(yīng)用安全外�����,還要加強(qiáng)對(duì)數(shù)據(jù)庫(kù)的審計(jì)���,可對(duì)數(shù)據(jù)庫(kù)操作的有完整記錄并能夠?qū)ν獠康臄?shù)據(jù)庫(kù)未授權(quán)訪問行為有效阻斷����。
據(jù)了解����,目前多家安全公司如綠盟科技、啟明星辰�����、安恒科技�、安全寶等已啟動(dòng)提供免費(fèi)的網(wǎng)站安全體檢的服務(wù),可幫助技術(shù)力量相對(duì)薄弱的企業(yè)掌握網(wǎng)站的安全狀況�����。
更多信息請(qǐng)查看IT技術(shù)專欄
由于各方面情況的不斷調(diào)整與變化���,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考�����,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)��!
公眾號(hào)
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試
