2011年12月,是中国互联网“黑色”的一个月,据多家媒体披露多达千万用户信息大规模泄露。从国内最大的计算机技术社区到国内各大论坛社区,以及网络支付平台无一幸免。不管是作为中国互联网的长寿产品,还是近年来迅猛发展的互联网公司,都一一淹没在了被曝用户信息泄露的舆论声中。
企业网站用户密码泄露,警钟为谁而鸣
频频出现在国内各知名网站的关于“数据库被黑客攻陷导致用户信息泄露”的新闻,事件过程大致都是黑客入侵了网站的web服务器,盗取了大量用户注册信息,其中包括注册邮箱、用户名、密码(多是密文、部分网站是明文),并将这些数据在互联网中进行传播,给广大网民和网站运营商带来很大的恐慌,使得相当一部分人陷入了不停修改账户密码的深渊中。
“黑客”、“网络安全”、“信息泄露”这些字眼再度引起大家的关注,到底是黑客技术太高导致黑客攻击行为日益猖獗,还是网站自身安全意识不够导致安全问题频出呢?许多网友也在争论这一话题。笔者作为多年从事网络安全领域的媒体人员,在此也谈谈自己的一些看法。
其实此类事件并不仅在中国网络中才发生,全球任何地方都存在这种现象。网民所发表的论点其实都有一定道理,我们没法去评判谁对谁错,但是可以找一个标杆作为参照,网民可以对号入座,这样就明白自己所处的具体情况怎么样了,而我选择的标杆就是“纳斯达克网站”。
纳斯达克的网站,一向被人们认为是世界上安全保障体系最严格的网站之一。从建设之初,华尔街就一直以纳斯达克所采用的精良的网络保障技术为傲。然而,近十年来,纳斯达克却不断传出遭遇黑客攻击的消息。风险来自哪里呢?事实上,为了保障数据的安全和用户的隐私权,很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而,现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS、软件防火墙或是防病毒等系统来解决问题。由于这些安全防护措施自身的局限性,导致网站难以应对日新月异的安全威胁,特别是目前基于正常WEB访问而发起的WEB应用攻击手段。因此,像纳斯达克这类安全体系相对健全的网站,面对黑客的攻击也不能幸免。
同时越来越多的黑客攻击集中到Web服务上,这些恶意攻击已为各机构造成极为严重的后果,带来诸如高层档案资料的毁坏、丢失,公司信誉损害,法律诉讼及财务损失等损害。
国内信息安全专家安氏领信支招
随着信息泄露事态逐步升级,笔者近期走访了业内资深信息安全厂商北京安氏领信科技发展有限公司,与安氏领信的专家共同探讨Web安全问题。安氏领信安全实验室的工程师介绍说,当前Web应用的安全风险要远远大于人们以往的认知。通常在服务器端,黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。比如,基于WEB应用的SQL注入攻击,基于数据库应用的OracleLinstener攻击,以及基于操作系统的缓冲区溢出攻击等方式,早已成为黑客攻击时惯用的伎俩。
Web服务信息安全涉及了网络通信、系统应用以及数据文件等多层面的安全防护技术,关联到从硬件设备到系统服务等多方面的问题,单一的安全技术很难完善的解决。
首先,在系统安全防护方面,传统防火墙、IPS等设备对于操作系统、Web服务软件的弱点漏洞、蠕虫、拒绝服务等攻击行为具有很好的防御能力,但是面对Web应用程序的威胁却缺乏有效防护;Web应用防火墙虽然可以有效防范诸如SQL注入、跨站脚本、CSRF、文件路径猜测、系统代码执行、会话劫持等针对Web应用的攻击,但面对网络层面及操作系统的攻击却无计可施。
