1概述
1.1黑客攻击由网络层转向应用层
随着互联网技术的迅猛发展,许多政府、企业及高校的关键业务活动越来越多地依赖于WEB应用,在向公众及学生提供通过浏览器访问高校信息功能的同时,高校所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
然而与之形成鲜明对比的却是:现阶段的安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时,传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用,许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。
据统计75%的网络攻击和互联网安全侵害源于应用软件,网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装防火墙是远远不够的。
2008年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。
国家互联网应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113个,同比增加了23.7%。按月统计情况如图所示:
2008年上半年中国被篡改网站数量
2008年1月至6月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。与去年上半年同期监测情况相比,增加了41%。从中可以看出,每月被篡改的gov.cn域名网站约占整个大陆地区被篡改网站的7%,而gov.cn域名网站仅占.cn域名的2.3%,因此政府网站仍然是黑客攻击的重要目标。具体比例如下图:
1.1面向应用层新型攻击特点简析
n隐蔽性强:利用Web漏洞发起对WEB应用的攻击纷繁复杂,包括SQL注入,跨站脚本攻击等等,一个共同特点是隐蔽性强,不易发觉。
n攻击时间短:可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制,以至于非常困难做出人为反应。
n危害性大:目前几乎所有银行,证券,电信,移动,政府以及电子商务企业都提供在线交易,查询和交互服务。用户的机密信息包括账户,个人私密信息(如身份证),交易信息等等,都是通过Web存储于后台数据库中,这样,在线服务器一旦瘫痪,或虽在正常运行,但后台数据已被篡改或者窃取,都将造成企业或个人巨大的损失。据权威部门统计,目前身份失窃(identitytheft)已成为全球最严重的问题之一。
n造成非常严重的有形和无形损失:目前,很多大型企业都是在国内外上市的企业,一旦发生这类安全事件,必将造成人心惶惶,名誉扫地,以至于造成经济和声誉上的巨大损失,即便不上市,其影响和损失也是不可估量的。
1.2现有的网络层防护产品面对应用层攻击束手无策
传统的防火墙或IDS产品存在以下不足:
n防火墙:通过端口限制实现访问控制,但对于WEB应用而言,其HTTP/HTTPS端口是开放的。因此,防火墙无法检测到WEB应用攻击的发生,更谈不上阻止攻击。
nIDS:依靠特征库检测已知攻击,而对于WEB应用攻击,变形非常多(比如:SQL注入、跨站脚本、恶意文件包含等),IDS无法穷尽所有的特征,当然,更加不可能预知未来的变形。
1.3数据库面临的安全挑战
数据库是信息系统核心业务开展过程中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,高校中的校园一卡通系统的重要组成部分――电子钱包,关系着每位师生在校园活动的记录,对核心的数据库信息资产也面临严峻的挑战,概括起来主要表现在以下三个层面:
n管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
n技术层面:
为保护数据库信息的安全性,制定了相应的管理制度,但没有相应的技术手段进行控制。
数据库安装部署时,使用数据库厂商默认配置、缺省口令、默认权限等现象普遍存在。
现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
