随着信息化建设的不断深入,Web技术的日益成熟,Web应用平台已经在电子政务、电子商务等领域得到广泛的应用,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,将在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时,也带来了前所未有的巨大安全风险。
过去,网站的内容大多是静态的。网站管理员对合法网站上的内容进行管理,能够分辨出“可信”站点和“不可信”站点。但如今,Web 内容逐渐趋于动态化,最终用户持续不断的更新现有内容、共享应用程序,并通过多种渠道进行即时通讯。即使采用最佳的策略制定方法,某些不良内容或恶意软件也会随时弹出(甚至在可信站点也是如此),使公司的重要信息和网络暴露于极为危险的环境之下。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界知名的Web安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。
注入漏洞攻击。特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。
跨站脚本漏洞攻击,是指目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意Web代码(通常是一些经过构造的javascript语句),劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本( XSS )攻击。
从以往发生的安全事件来看,Web攻击可导致的后果极为严重,通过上述手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。如:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击……
鉴于上述对Web常见攻击的分析,对Web及客户端的保护已经刻不容缓。联想网御的安全专家给出几点建议:
首先,解决Web服务器端安全问题。具体的解决办法可采取源代码审计与部署入侵防护系统相结合的方式,源代码审计是经过专业安全人员,对Web应用程序源代码进行安全性检查,对程序的输入输出函数进行安全测试,最大程度保障Web程序的自身代码安全;并通过部署入侵防护系统,针对跨站脚本、SQL注入、cookies注入、参数篡改等Web攻击方式进行主动防护。
其次,解决Web浏览客户端安全。主要是防范远程恶意代码执行漏洞,其原理是通过构造精心设计的格式错误数据,由攻击者触发系统漏洞,并在客户端软件中更改代码执行路径,来执行由攻击者随格式错误数据附带恶意代码或程序的利用过程。如果客户端浏览器中存在未修补的恶意代码执行漏洞或0day漏洞,当访问受恶意代码感染的站点时,该站点会自动在登录用户的浏览器中运行攻击者的恶意代码,并利用Web浏览器漏洞安装恶意病毒、木马程序,如密码窃取恶意软件等。这些恶意行为是利用了浏览器本身的系统后台漏洞执行,所有这一切根本无需任何用户交互操作。所以应尽量使用已采用常规堆栈保护措施版本的Web浏览器,来防止基于堆栈和基于堆的缓冲区溢出攻击。目前最新版本的Microsoft IE浏览器已经提供基于数据执行保护( DEP )或不执行( NX)的内存保护措施,Internet Explorer 8平台在Internet控制面板选项开启“启用内存保护帮助减少联机攻击”的选项就可以有效防止远程代码攻击;另外建议部署统一的内网管理系统,统一对关键应用程序和系统补丁进行时时监控和统一升级,保证客户端和内网安全。
再次,是解决对木马、病毒的防治。建议安装终端防病毒、防火墙软件并保持时时更新,开启入侵防护系统病毒木马防护策略,建立统一病毒防护体系,如在网络边界部署网络防毒墙,对关键服务器和客户端进行重点防护,并对其网络连接进行入侵检测监控,保证安全风险在一个可控的范围内。
联想网御针对当前Web安全形势,提出了一系列的安全解决方案。从多角度角度、全方位的安全评估和现状分析,了解系统面临的风险状况,通过安全评估、安全修复和部署相应产品相结合的方式,构建了最大程度保护Web系统应用安全的保障体系。毋庸置疑的是,信息安全是一个循序渐进的防御过程,需要的是全面而完善的体系建设。
