1.前言

近日不斷有黑客陸續在互聯網上公開提供國內多家知名網站部分用戶數據庫下載，國內外媒體頻繁報道，影響惡劣，引起社會廣泛關注。其中涉及到游戲類、社區類、交友類等網站用戶數據正逐步公開，各報道中也針對系列事件向用戶提出密碼設置策略等安全建議。

注冊用戶數據作為網站所有者的核心信息資產，涉及到網站及關聯信息系統的實質業務，對其保密性的要求強度不言而喻。隨著網站及微博實名制規定的陸續出臺，如果在實名制的網站出現用戶數據泄露事件，將會產生更惡劣的影響。針對此類大規模數據泄密事件，安恒信息專家團隊特別制作相關解決方案，敬請大家關注。

針對近期部分互聯網站信息泄露事件，工信部于2011年12月28日發布通告要求：各互聯網站要高度重視用戶信息安全工作，把用戶信息保護作為關系行業健康發展和企業誠信建設的重要工作抓好抓實。發生用戶信息泄露的網站，要妥善做好善后工作，盡快通過網站公告、電子郵件、電話、短信等方式向用戶發出警示，提醒用戶修改在本網站或其他網站使用的相同用戶名和密碼。未發生用戶信息泄露的網站，要加強安全監測，必要時提醒用戶修改密碼。

各互聯網站要引以為戒，開展全面的安全自查，及時發現和修復安全漏洞。要加強系統安全防護，落實相關網絡安全防護標準，提高系統防入侵、防竊取、防攻擊能力。要采用加密方式存儲用戶信息，保障用戶信息安全。一旦發生網絡安全事件，要在開展應急處置的同時，按照規定向互聯網行業主管部門及時報告。

工信部同時提醒廣大互聯網用戶提高信息安全意識，密切關注相關網站發布的公告，并根據網站安全提示修改密碼。提高密碼的安全強度并定期修改。

信息泄密的根源

2.1.透過現象看本質

2.1.1.攻擊者因為利益鋌而走險

攻擊者為什么會冒著巨大的法律風險去獲取用戶信息？

2001年隨著網絡游戲的興起，虛擬物品和虛擬貨幣的價值逐步被人們認可，網絡上出現了多種途徑可以將虛擬財產轉化成現實貨幣，針對游戲賬號攻擊的逐步興起，并發展成龐大的虛擬資產交易市場；

2004年-2007年，相對于通過木馬傳播方式獲得的用戶數據，攻擊者采用入侵目標信息系統獲得數據庫信息，其針對性與攻擊效率都有顯著提高。在巨額利益驅動下，網絡游戲服務端成為黑客"拖庫"的主要目標。

2008年-2009年，國內信息安全立法和追蹤手段的得到完善，攻擊者針對中國境內網絡游戲的攻擊日趨收斂。與此同時殘余攻擊者的操作手法愈加精細和隱蔽，攻擊目標也隨著電子交易系統的發展擴散至的電子商務、彩票、境外賭博等主題網站，并通過黑色產業鏈將權限或數據轉換成為現實貨幣。招商加盟類網站也由于其本身數據的商業業務價值，成為攻擊者的"拖庫"的目標。

2010年，攻防雙方經歷了多年的博弈，國內網站安全運維水平不斷提升，信息安全防御產品的成熟度加強，單純從技術角度對目標系統進行滲透攻擊的難度加大，而通過收集分析管理員、用戶信息等一系列被稱作"社會工程學"的手段的攻擊效果被廣大攻擊者認可。獲得更多的用戶信息數據有利于提高攻擊的實際效率，攻擊者將目標指向了擁有大量注冊用戶真實詳細信息的社區及社交網站，并在地下建立起"人肉搜索庫"，預期實現：獲知某用戶常用ID或EMAIL，可以直接搜索出其常用密碼或常用密碼密文。

2011年12月21日，僅僅是在這一天，攻擊者曾經獲取到的部分數據庫信息內容被陸續地公開了。

2.1.2.應用層防護百密而一疏

在當今信息安全意識、信息安全產品都日益成熟的年代，為何入侵者獲取數據依然如入無人之境?很多人認為，在網絡中不斷部署防火墻、IDS、IPS等設備，可以提高網絡的安全性。但是為何基于應用的攻擊事件以及相應的"泄庫事件"仍然不斷發生?其根本的原因在于傳統的網絡安全設備對于應用層的攻擊防范，作用十分有限。

我們可以通過下面例子來舉例黑客是如何常規獲取信息系統的數據庫信息的：攻防回合的延續包括傳統安全設備使黑客入侵服務端主機系統難度加大，而WEB應用的登錄入口表明了WEB應用程序與用戶數據表之間存在關聯，通過入侵WEB網站獲得數據庫信息成為針對網站數據庫攻擊的主要入手點，常見的攻擊步驟如下：

一、尋找目標網站（或同臺服務器的其他網站）程序中存在的SQL注入、非法上傳、后臺管理權限等漏洞；

二、通過上述漏洞添加一個以網頁腳本方式控制網站服務器的后門，即：WEBSHELL；

三、通過已獲得的WEBSHELL提升權限，獲得對WEB應用服務器主機操作系統的控制權，并通過查看網站數據庫鏈接文件，獲得數據庫的鏈接密碼；

四、通過在WEB應用服務器上鏡像數據庫連接，將目標數據庫中所需要的信息導入至攻擊者本地數據庫（或直接下載服務器上可能存在的數據庫備份文件）；

五、清理服務器日志，設置長期后門。

目前攻擊者以團隊為單位，無論從工具的制造、攻擊實施的具體手法都已經形成了體系化、趨利化的作業流程。

此例中我們發現，黑客針對應用系統的攻擊已經完全無視傳統的網絡安全，而應用安全的建設恰好能夠彌補網絡安全的不足，提升了整個信息系統安全強度，能夠有效地阻止黑客針對性的應用層攻擊，降低數據信息被泄露的風險

2.2.防泄密防好應用安全這塊板

隨著互聯網技術的迅猛發展，許多政府和企業的關鍵業務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業信息功能的同時，企業所面臨的風險在不斷增加。主要表現在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。

然而與之形成鮮明對比的卻是：現階段的安全解決方案無一例外的把重點放在網絡安全層面，致使面臨應用層攻擊（如：針對WEB應用的SQL注入攻擊、跨站腳本攻擊等）發生時，傳統的網絡防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用，許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑，也將可能成為下一個被攻擊者所公開的潛在網站數據。

據Gartner權威統計，目前75%的黑客攻擊發生在WEB應用層，近期層出不窮的安全事件均源于WEB應用層防護不到位所致，應用系統漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識；應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治，僅僅靠打補丁和安裝防火墻是遠遠不夠的。

隨著攻擊向應用層發展，傳統網絡安全設備不能有效的解決目前的安全威脅，企業如何有效地防止企業信息泄密，重點在于如何做好應用安全。

防信息泄密的建設思路

信息安全是一項系統工程，包括物理層、網絡層、系統層、應用層、數據層以及管理方面的內容。信息系統的某一層面安全了不能代表信息系統就安全了，需要各方面嚴格把控和完善結合，對于企業防信息泄密工程來講，目前企業信息系統的物理層、網絡層等已經具備了一定的安全性，在本方案中重點關注系統安全、應用安全以及安全管理水平等方面的內容。

1.1.系統安全的重要性

企業的信息系統是多種信息資產的龐大組合，包括防火墻、路由交換設備、主機等；其所面臨的威脅也就是對系統能夠造成不利影響的一些潛在的事件或者行為，威脅包括自然的、故意的以及偶然的情況。

系統安全重點解決操作系統、數據庫和服務器等系統安全級安全問題，以建立一個安全的系統運行平臺，建立有效的網絡檢測與監控機制，以保護主機資源，防止非法訪問和惡意攻擊，及時發現系統和數據庫的安全漏洞，有效抵抗黑客利用系統的安全缺陷對系統進行攻擊，做到防患于未然。

1.2.應用安全的必要性

只有系統安全的建議得到保障，再建設應用安全才能更加有效地降低信息泄露的風險。基于B/S架構對外提供服務的信息系統面臨較大風險也是的應用層的攻擊風險。

一方面由于WEB應用的開放性，隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多，而且這些漏洞均是應用層或者說是代理層面的安全問題，通過傳統的網絡安全設備無法識別，這也是導致大量網站用戶信息泄露的最主要原因之一。

另一方面受利益的驅使，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗，而且這種攻擊已經由簡單的黑盒掃描滲透轉向模塊代碼分析，源代碼白盒分析等層面進行挖掘漏洞，若應用層面得不到有效的安全控制將導致非常嚴重的后果。

1.2.1.應用安全的范疇

以B/S常見的對外提供服務的網站、論壇、業務系統等所涉及到的應用安全主要由以下幾個方面構成。

一、訪問控制：針對用戶及惡意攻擊者訪問信息時進行有效地控制，對于正常請求允許訪問，對于惡意請求應及時進行阻止；

二、信息保護：針對于惡意攻擊者進行敏感信息訪問時應及時保護；

三、安全審計：對業務系統的運行應具備安全審計功能；

四、數據庫應用安全：應針對數據庫系統進行安全檢查，對數據庫的操作行為應進行安全監控。

五、軟件容錯：應用系統及數據庫在上線前后及更新時應做好安全性測試，減少系統存在漏洞的可能性，避免有漏洞的系統對外發布。

以上幾方面的內容都應具有相應的技術手段和管理制度來實現信息系統的應用安全。

1.2.2.應用安全的時效性

應用安全從整個信息安全的生命周期中是一個動態的、長期的過程，是從建設開始，風險評估、安全加固、安全防護、安全審計、再評估、再加固的過程。而從實際應用考慮，應用安全至少應滿足以下要求：

一、事前預警：通過應用系統及數據庫的風險評估，發現可能存在的信息泄密點，并進行安全加固隨著應用系統及數據庫的不斷升級，企業能夠及時了解并掌握應用系統及數據庫自身是否存在著安全隱患，盡可能地避免漏洞對外發布，降低信息受泄密的危害；

二、事中防護：惡意攻擊者對應用系統及數據庫進行攻擊或惡意操作時，管理人員及系統能夠具有有效地手段阻止惡意行為的發生，減少信息泄密的發生次數，避免對企業和信息造成影響；

三、事后追溯：對于何人何地何時訪問企業信息時能夠具有追溯手段，對發生的信息泄密事件提供查詢工具，方便維護人員及管理員進行事件跟蹤和定位，并為事件的還原提供有力依據。

1.2.3.應用安全的防護方法

傳統網絡層安全防護措施和防御體系在安全管理中相當重要，但在面臨數據被泄露的安全問題中，應用安全的防護能力更加重要。使用安恒信息技術有限公司所提倡的一種基于風險評估模型及"事前+事中+事后"的安全理念的結合傳統網絡層防護措施的新型應用安全解決方案，將有效降低應用安全風險和出現被泄露信息的風險。

風險評估與加固層面

威脅一個信息系統的風險可能來自不同的層面，從網絡層、系統層到應用層，都有可能形成對信息系統直接或間接的威脅。通過風險評估對整個信息系統進行有效地安全評估，發現信息系統技術與管理方面存在的威脅。通過專業安全團隊的加固，減少或降低威脅對系統造成的影響，避免因存在的威脅造成的信息泄密影響。

事前安全防范層面

當前絕大多數企業缺少必備的WEB安全和數據庫安全的評估工具，使事前的風險評估難以實施。專業的安全產品需要有效的安全策略才能發揮應有的功能，而事前的安全評估則顯得尤為重要。企業業務系統最重要的資產集中在WEB應用層和數據庫系統，因此長期有效的保障企業業務系統的安全，安全運維人員應有必備的安全評估工具及技術實力。

事中安全防護層面

安全的信息系統需要涉及物理層、網絡層、主機層、應用層方方面面的安全防御措施。目前絕大多數的企業基本上把信息系統的相關主機托管至IDC機房，根據IDC的不同等級分別具備了物理層安全和網絡層安全。但企業尚缺少有力的安全防御措施如專業的遠程安全接入主機的VPN，網絡防火墻，WEB應用防火墻等安全設施，應切實建設相應的安全防御措施，提高系統的抗風險能力。

事后安全審計層面

企業核心數據庫存貯有大量的用戶信息，以及大量的有價值的其它信息資產。如果處理不當敏感的數據庫信息被竊取將會導致極大的信譽危機，對企業造成重大影響。本項目中應部署專業的數據庫審計系統實現對數據庫訪問的詳細記錄、監測訪問行為的合規性，針對違規操作、異常訪問等及時發出告警，同時可通過與應用層關聯審計發現前端的請求與后端的數據庫操作關聯性，爭取將安全風險控制在最小的范圍之內。

更多信息請查看IT技術專欄