資料安全防”脫庫”解決方案資訊洩密根源

　　註冊使用者資料作為網站所有者的核心資訊資產，涉及到網站及關聯資訊系統的實質業務，對其保密性的要求強度不言而喻。隨著網站及微博實名制規定的陸續出臺，如果在實名制的網站出現使用者資料洩露事件，將會產生更惡劣的影響。針對此類大規模資料洩密事件，安恆資訊專家團隊特別製作相關解決方案，敬請大家關注。

　　針對近期部分網際網路站資訊洩露事件，工信部於2011年12月28日釋出通告要求：各網際網路站要高度重視使用者資訊保安工作，把使用者資訊保護作為關係行業健康發展和企業誠信建設的重要工作抓好抓實。發生使用者資訊洩露的 網站，要妥善做好善後工作，儘快通過網站公告、電子郵件、電話、簡訊等方式向使用者發出警示，提醒使用者修改在本網站或其他網站使用的相同使用者名稱和密碼。未發生使用者資訊洩露的網站，要加強安全監測，必要時提醒使用者修改密碼。

　　各網際網路站要引以為戒，開展全面的安全自查， 及時發現和修復安全漏洞。要加強系統安全防護，落實相關網路安全防護標準，提高系統防入侵、防竊取、防攻擊能力。要採用加密方式儲存使用者資訊，保障使用者資訊保安。一旦發生網路安全事件，要在開展應急處置的同時，按照規定向網際網路行業主管部門及時報告。

　　工信部同時提醒廣大網際網路使用者提高資訊保安意識，密切關注相關網站釋出的公告，並根據網站安全提示修改密碼。提高密碼的安全強度並定期修改。

　　資訊洩密的根源

　　2.1. 透過現象看本質

　　2.1.1. 攻擊者因為利益鋌而走險

　　攻擊者為什麼會冒著巨大的法律風險去獲取使用者資訊?

　　2001年隨著網路遊戲的興起，虛擬物品和虛擬貨幣的價值逐步被人們認可，網路上出現了多種途徑可以將虛擬財產轉化成現實貨幣，針對遊戲賬號攻擊的逐步興起，並發展成龐大的虛擬資產交易市場;

　　2004年-2007年，相對於通過木馬傳播方式獲得的使用者資料，攻擊者採用入侵目標資訊系統獲得資料庫資訊，其針對性與攻擊效率都有顯著提高。在鉅額利益驅動下，網路遊戲服務端成為黑客 “拖庫”的主要目標。

　　2008年-2009年，國內資訊保安立法和追蹤手段的得到完善，攻擊者針對中國境內網路遊戲的攻擊日趨收斂。與此同時殘餘攻擊者的操作手法愈加精細和隱蔽，攻擊目標也隨著電子交易系統的發展擴散至的電子商務、彩票、境外賭博等主題網站，並通過黑色產業鏈將許可權或資料轉換成為現實貨幣。招商加盟類網站也由於其本身資料的商業業務價值，成為攻擊者的“拖庫”的目標。

　　2010年，攻防雙方經歷了多年的博弈，國內網站安全運維水平不斷提升，資訊保安防禦產品的成熟度加強，單純從技術角度對目標系統進行滲透攻擊的難度加大，而通過收集分析管理員、使用者資訊等一系列被稱作“社會工程學”的手段的攻擊效果被廣大攻擊者認可。獲得更多的使用者資訊資料有利於提高攻擊的實際效率，攻擊者將目標指向了擁有大量註冊使用者真實詳細資訊的社群及社交網站，並在地下建立起“人肉搜尋庫”，預期實現：獲知某使用者常用ID或EMAIL，可以直接搜尋出其常用密碼或常用密碼密文。

　　2011年12月21日，僅僅是在這一天，攻擊者曾經獲取到的部分資料庫資訊內容被陸續地公開了。

　　2.1.2. 應用層防護百密而一疏

　　在當今資訊保安意識、資訊保安產品都日益成熟的年代，為何入侵者獲取資料依然如入無人之境? 很多人認為，在網路中不斷部署防火牆、IDS、IPS等裝置，可以提高網路的安全性。但是為何基於應用的攻擊事件以及相應的“洩庫事件”仍然不斷髮生?其根本的原因在於傳統的網路安全裝置對於應用層的攻擊防範，作用十分有限。

　　我們可以通過下面例子來舉例黑客是如何常規獲取資訊系統的資料庫資訊的：攻防回合的延續包括傳統安全裝置使黑客入侵服務端主機系統難度加大，而WEB應用的登入入口表明了WEB應用程式與使用者資料表之間存在關聯，通過入侵WEB網站獲得資料庫資訊成為針對網站資料庫攻擊的主要入手點，常見的攻擊步驟如下：

　　一、 尋找目標網站(或同臺伺服器的其他網站)程式中存在的SQL隱碼攻擊、非法上傳、後臺管理許可權等漏洞;

　　二、 通過上述漏洞新增一個以網頁尾本方式控制網站伺服器的後門，即：WEBSHELL;

　　三、 通過已獲得的WEBSHELL提升許可權，獲得對WEB應用伺服器主機作業系統的控制權，並通過檢視網站資料庫連結檔案，獲得資料庫的連結密碼;

　　四、 通過在WEB應用伺服器上映象資料庫連線，將目標資料庫中所需要的資訊匯入至攻擊者本地資料庫(或直接下載伺服器上可能存在的資料庫備份檔案);

　　五、清理伺服器日誌，設定長期後門。

　　目前攻擊者以團隊為單位，無論從工具的製造、攻擊實施的具體手法都已經形成了體系化、趨利化的作業流程。

　　此例中我們發現，黑客針對應用系統的攻擊已經完全無視傳統的網路安全，而應用安全的建設恰好能夠彌補網路安全的不足，提升了整個資訊系統安全強度，能夠有效地阻止黑客針對性的應用層攻擊，降低資料資訊被洩露的風險

　　2.2. 防洩密防好應用安全這塊板

　　隨著網際網路技術的迅猛發展，許多政府和企業的關鍵業務活動越來越多地依賴於WEB應用，在向客戶提供通過瀏覽器訪問企業資訊功能的同時，企業所面臨的風險在不斷增加。主要表現在兩個層面：一是隨著Web應用程式的增多，這些Web應用程式所帶來的安全漏洞越來越多;二是隨著網際網路技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。

　　然而與之形成鮮明對比的卻是：現階段的安全解決方案無一例外的把重點放在網路安全層面，致使面臨應用層攻擊(如：針對WEB應用的SQL隱碼攻擊、跨站指令碼攻擊等)發生時，傳統的網路防火牆、IDS/IPS等安全產品對網站攻擊幾乎不起作用，許多政府和企業入口網站成為黑客組織成批傳播木馬的最有效途徑，也將可能成為下一個被攻擊者所公開的潛在網站資料。

　　據Gartner權威統計，目前75%的黑客攻擊發生在WEB應用層，近期層出不窮的安全事件均源於WEB應用層防護不到位所致，應用系統漏洞的根源還是來自程式開發者對網頁程式編制和檢測。未經過安全訓練的程式設計師缺乏相關的網頁安全知識;應用部門缺乏良好的程式設計規範和程式碼檢測機制等等。解決此類問題必須在WEB應用軟體開發程式上整治，僅僅靠打補丁和安裝防火牆是遠遠不夠的。

　　隨著攻擊向應用層發展，傳統網路安全裝置不能有效的解決目前的安全威脅，企業如何有效地防止企業資訊洩密，重點在於如何做好應用安全。