根據(jù)CNCERT/CC今年上半年接收和處理的網(wǎng)絡(luò)安全事件統(tǒng)計(jì)可以看出，目前中國的互聯(lián)網(wǎng)安全實(shí)際狀況仍不容樂觀。各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加。半年時(shí)間內(nèi)，CNCERT/CC 接收的網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件，已分別超出去年全年總數(shù)的14.6%和12.5%。內(nèi)地地區(qū)被植入木馬的主機(jī)IP 遠(yuǎn)遠(yuǎn)超過去年全年，增幅達(dá)21 倍;內(nèi)地被篡改網(wǎng)站數(shù)量比去年同期增加了4 倍，比去年全年增加了近16%。

　　從CNCERT/CC 掌握的上半年情況來看，攻擊者的攻擊目標(biāo)明確，針對不同網(wǎng)站和用戶采用不同的攻擊手段，且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯。

　　l 對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，以達(dá)到泄憤和炫耀的目的，也不排除放置惡意代碼的可能，導(dǎo)致政府類網(wǎng)站可能存在安全隱患。

　　l 對中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用有組織的分布式拒絕服務(wù)攻擊(DDoS)攻擊等手段進(jìn)行勒索，從而迫使企業(yè)接受相應(yīng)條件，影響企業(yè)正常業(yè)務(wù)的開展。

　　l 對于個(gè)人用戶，攻擊者更多的是通過用戶身份竊取等手段，偷取該用戶游戲賬號(hào)、銀行賬號(hào)、密碼等，竊取用戶的私有財(cái)產(chǎn)。如利用網(wǎng)絡(luò)釣魚(Phishing)和網(wǎng)址嫁接(Pharming)等對金融機(jī)構(gòu)、網(wǎng)上交易等站點(diǎn)進(jìn)行網(wǎng)絡(luò)仿冒，在線盜用用戶身份和密碼;通過惡意網(wǎng)頁、社交工程、電子郵件和信息系統(tǒng)漏洞等方式傳播惡意代碼;利用間諜軟件(spyware)和木馬程序竊取用戶的私有信息，嚴(yán)重的可導(dǎo)致財(cái)產(chǎn)損失。

　　上半年我國內(nèi)地被植入木馬的主機(jī)數(shù)量大幅攀升的現(xiàn)象，反映出國內(nèi)網(wǎng)絡(luò)安全狀況中木馬產(chǎn)業(yè)鏈的猖獗，是泄密、網(wǎng)銀賬號(hào)被竊事件頻發(fā)的重要原因。

　　近期各機(jī)構(gòu)Web服務(wù)出現(xiàn)的問題

　　首先讓我們關(guān)注近期的幾起網(wǎng)站運(yùn)維事件，都是和網(wǎng)站運(yùn)營維護(hù)有關(guān)的。

　　1. 某國內(nèi)著名門戶網(wǎng)站首頁被掛馬事件

　　6 月14 日，某國內(nèi)著名門戶網(wǎng)站首頁于6月14 日凌晨被“掛馬”(頁面被嵌入惡意代碼)數(shù)小時(shí)。CNCERT/CC 接到報(bào)告后，立即對事件進(jìn)行了監(jiān)測，發(fā)現(xiàn)包含該網(wǎng)站在內(nèi)的國內(nèi)多個(gè)網(wǎng)站，在6 月15 日凌晨再次被掛馬數(shù)小時(shí)，而且被掛馬網(wǎng)站均將用戶訪問跳轉(zhuǎn)到http://6688.89111.cn/m42.htm，導(dǎo)致用戶從域名89111.cn 之下多個(gè)惡意鏈接中下載惡意代碼。CNCERT/CC 立即聯(lián)系被掛馬的重要網(wǎng)站，告知其事件有關(guān)的詳細(xì)情況和分析，建議其做好安全防范工作。與此同時(shí)，因 89111.cn 域名注冊人所登記的信息及聯(lián)系方式都是虛假信息，CNCERT/CC 與域名注冊單位取得聯(lián)系，得到對方的積極支持和快速響應(yīng)，按照國家有關(guān)規(guī)定關(guān)閉了該惡意域名。

　　2. 北京聯(lián)眾遭分布式拒絕服務(wù)攻擊

　　在CNCERT/CC 的協(xié)助與支持下，北京市網(wǎng)監(jiān)處成功破獲北京聯(lián)眾公司遭受分布式拒絕服務(wù)攻擊案。5 月11 日，北京聯(lián)眾公司向北京市網(wǎng)監(jiān)處報(bào)案稱：該公司自4 月26日以來，托管在上海、石家莊IDC 機(jī)房的13 臺(tái)服務(wù)器分別遭受到大流量的DDoS 拒絕服務(wù)攻擊，攻擊一直從4 月26 日持續(xù)到5 月5 日，其攻擊最高流量達(dá)到瞬時(shí)700M/s，致使服務(wù)器全部癱瘓，在此服務(wù)器上運(yùn)行的其經(jīng)營的網(wǎng)絡(luò)游戲被迫停止服務(wù)，經(jīng)初步估算經(jīng)濟(jì)損失為3460 萬人民幣。在CNCERT/CC 的支持與配合下，北京市網(wǎng)監(jiān)處成功獲取了犯罪團(tuán)伙實(shí)施DDoS 攻擊的證據(jù)，并及時(shí)將4 名犯罪嫌疑人一舉抓獲。

　　除此之外，還有一些民間組織、機(jī)構(gòu)報(bào)告的安全事件，以下列舉幾個(gè)：

　　8月9日云網(wǎng)主站點(diǎn)不可訪問，據(jù)分析可能和遭受黑客攻擊有關(guān)。

　　8月15到16日，國內(nèi)某大型銀行的個(gè)人銀行服務(wù)出現(xiàn)故障。據(jù)說是“由于15日是存款利息稅下調(diào)、系統(tǒng)升級(jí)改造、新基金發(fā)行和拆分、養(yǎng)老金和工資的發(fā)放等業(yè)務(wù)集中所致”，真正原因未透漏。

　　國內(nèi)某大型網(wǎng)上購書網(wǎng)的官方網(wǎng)站數(shù)據(jù)庫賬戶泄漏事件。令人感到震驚的是程序出錯(cuò)頁面里面甚至把數(shù)據(jù)庫連接串和密碼都打印出來了，該網(wǎng)使用的是 SQL Server。

　　8月11日，某國內(nèi)網(wǎng)絡(luò)安全組織發(fā)現(xiàn)中國某大型家電企業(yè)官方網(wǎng)站被掛上了木馬，經(jīng)過一系列的協(xié)調(diào)和處理，終于解決。

　　如上的例子還有很多，網(wǎng)站的運(yùn)維是個(gè)高精度、高復(fù)雜度的事情，機(jī)器不能解決一切問題。當(dāng)然類似的事情也不止國內(nèi)有，F(xiàn)acebook 也出現(xiàn)了源代碼泄漏事故。

　　政務(wù)網(wǎng)站面臨的問題和解決方案

　　根據(jù)《CNCERT/CC2007年上半年網(wǎng)絡(luò)安全報(bào)告》，2007 年上半年，中國內(nèi)地被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。CNCERT/CC監(jiān)測到內(nèi)地被篡改網(wǎng)站總數(shù)達(dá)到28367 個(gè)，比去年全年增加了近16%。按月統(tǒng)計(jì)情況如下圖所示。

政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)，某些政府網(wǎng)站被篡改后長期無人過問，還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù)，但并沒有根除安全隱患，從而遭到多次篡改。

　　對政務(wù)網(wǎng)站(運(yùn)營商、政府)的維護(hù)，重點(diǎn)有兩個(gè)方面：一是對頁面的篡改，二是Web服務(wù)的提供，也就是保證網(wǎng)站的完整性和可用性。

　　1. 完整性安全防護(hù)

　　作為政務(wù)工程的窗口，政務(wù)網(wǎng)站的防篡改是第一位重要的，而目前對網(wǎng)站的攻擊方式也層出不窮。據(jù)2007年發(fā)布的十大web安全漏洞稱，基于注入技術(shù)的隱碼攻擊(主要指SQL注入等類型攻擊行為)排名第二，是直接攻擊網(wǎng)站的最主要手段(排名第一的XSS主要是被動(dòng)式攻擊，往網(wǎng)頁中加入惡意代碼，讓訪問者遭受攻擊)。

　　那么，什么是SQL注入呢?SQL注入就是利用現(xiàn)有應(yīng)用程序，將(惡意)的SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力，這是SQL注入的標(biāo)準(zhǔn)釋義。

　　隨著B/S模式被廣泛的應(yīng)用，用這種模式編寫應(yīng)用程序的程序員也越來越多，但由于開發(fā)人員的水平和經(jīng)驗(yàn)參差不齊，相當(dāng)一部分的開發(fā)人員在編寫代碼的時(shí)候，沒有對用戶的輸入數(shù)據(jù)或者是頁面中所攜帶的信息(如Cookie)進(jìn)行必要的合法性判斷，導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得一些想得到的數(shù)據(jù)。

　　SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來和正常的Web訪問沒有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。

　　SQL注入攻擊有以下顯著特點(diǎn)：

　　(1) 攻擊初始權(quán)限低

　　只要擁有internet訪問權(quán)限的人都可以發(fā)動(dòng)SQL注入攻擊，甚至還可以通過web端口進(jìn)行攻擊。

　　(2) 危害、后果嚴(yán)重

　　SQL注入成功后，攻擊者將擁有Web的最高權(quán)限，可以修改頁面，可以修改數(shù)據(jù)，可以在網(wǎng)頁中添加惡意代碼實(shí)現(xiàn)XSS……

　　(3) 攻擊特征不唯一

　　任意更改攻擊提交參數(shù)都可以實(shí)現(xiàn)對Web的攻擊，無法通過定義特征來實(shí)現(xiàn)對SQL注入的全檢測。

　　

　　2. 可用性安全防護(hù)

　　可用性方面，政務(wù)網(wǎng)站是對外提供服務(wù)的接口，在保障信息完整性的情況下，盡量不影響應(yīng)用的正常運(yùn)營，是政務(wù)網(wǎng)站安全解決方案的另外一個(gè)重點(diǎn)。而確保網(wǎng)站可用性又包括兩個(gè)方面的因素，一種是正常情況下的訪問，一種是異常情況下的訪問。

　　在正常情況下，確保網(wǎng)站可用意味著訪問者可以很容易地得到所需要的服務(wù)，要求訪問時(shí)延短，天清入侵防御系統(tǒng)采用了包括poll、驅(qū)動(dòng)無鎖、自適應(yīng)CPU負(fù)載均衡等多項(xiàng)技術(shù)在內(nèi)的性能優(yōu)化算法，確保數(shù)據(jù)報(bào)的轉(zhuǎn)發(fā)時(shí)延在微秒級(jí)單位，在用戶的正常使用過程中基本感覺不到影響。

　　

　　3. 實(shí)用性考慮

　　除了網(wǎng)站的完整性和可用性需求外，采用在線式設(shè)備還需要考慮產(chǎn)品的實(shí)用性。

　　

　　四、總結(jié)

　　隨著網(wǎng)絡(luò)不斷深入各個(gè)行業(yè)的核心應(yīng)用，Web服務(wù)越來越成為各種黑客攻擊的主要窗口，國家對網(wǎng)絡(luò)安全的要求也越來越嚴(yán)格。各安全主管部門普遍要求各組織、機(jī)構(gòu)的網(wǎng)絡(luò)和服務(wù)遵循“誰受益、誰負(fù)責(zé);誰運(yùn)營、誰負(fù)責(zé)”的原則，因此各個(gè)機(jī)構(gòu)對于Web服務(wù)的安全性應(yīng)該引起足夠重視。

　　在十七大期間，各個(gè)組織、機(jī)構(gòu)更加應(yīng)該投入人力、物力，使用比較先進(jìn)的安全手段，完善安全措施，落實(shí)管理制度，確保營造一個(gè)和諧、向上的網(wǎng)絡(luò)環(huán)境和氛圍。

　　SQL注入攻擊作為深層威脅的一種，已越來越多地受到用戶的關(guān)注，如何準(zhǔn)確、及時(shí)地判斷并防御這種危害極大的深層攻擊行為，是入侵防御系統(tǒng)責(zé)無旁貸的責(zé)任。這就要求入侵防御系統(tǒng)本身提供對這種無固定表現(xiàn)形式、種類繁多的攻擊行為的準(zhǔn)確檢測。

最新評(píng)論