你愿意,或者不愿意,2012年還是來了。生活照舊,只要搞IT,信息安全就還得重視。在上一年的最后幾天,國內發生了“中國互聯網史上規模最大的泄密事件”,滿眼望去的,除了圣誕的打折活動,就是各大網站瘋狂的報道和社區網站們不厭其煩的“密碼更改提示郵件”。
同樣在上一年年底,中國網民規模突破5億。2012年1月16日,中國互聯網絡信息中心發布的《第29次中國互聯網絡發展狀況統計報告》顯示,截至2011年12月底,中國網民規模達到5.13億,全年新增網民5580萬;互聯網普及率較上年底提升4個百分點,達到38.3%。中國手機網民規模達到3.56億,同比增長17.5%,與前幾年相比,中國的整體網民規模增長進入平臺期。就這樣,5億網民的信息安全意識終于被集體地科普了一把,辦公室里到處都是低頭改密碼的青年。每一個低著頭的孩紙背后,都有幾個信息安全工作不咋靠譜的網站。據專家說這個叫:WEB應用安全。
什么是Web應用?Web應用是由動態腳本、編譯過的代碼等組合而成。它通常架設在Web服務器上,用戶在Web瀏覽器上發送請求,這些請求使用HTTP協議,經過因特網和企業的Web應用交互,由Web應用和企業后臺的數據庫及其他動態內容通信。
什么是信息安全?保持信息的保密性、完整性、可用性;另外也可包括例如真實性、可核查性、不可否認性和可靠性等。
WEB應用通俗地說,我們通過瀏覽器訪問到大部分內容都是WEB應用,web page就我們說的“網頁”,早期的網絡應用主要是Client/Server(客戶機/服務器) 結構,通過將任務合理分配到客戶端和服務端,需要安裝客戶端才可進行管理操作。后來隨著技術的發展,大家發現很多網絡應用不用裝特制的客戶端,通過瀏覽器就能實現,Browser/Server (瀏覽器/服務器)這種結構的應用就越來越火了。無論是公共信息發布(單位門戶網站)、在線辦公(OA)、財務管理(ERP)、交流社區(BBS&SNS)、聊天(WEBIM)、游戲(網頁游戲)什么都是WEB應用。因為WEB應用的最大好處是,只要有瀏覽器就能使用,不用裝體積龐大的客戶端,更不用考慮特定客戶端對操作系統的兼容性問題。
用戶通過電子終端(PC、手機、MID等)上的瀏覽器提交訪問信息,信息經網絡傳輸到對應的服務器上,服務器根據接收到的信息進行處理,并將處理的結果信息再次通過網絡反饋給瀏覽器,瀏覽器將這些反饋回來的結果解釋成用戶看得懂的內容,展現在瀏覽器窗口上,就完成了一次WEB應用的訪問。由此,我們知道想要做好WEB應用的安全工作,就至少需要考慮以下幾個方面的問題:
終端硬件、操作系統和瀏覽器的安全;
服務器端的安全;
網絡傳輸過程的安全;
WEB訪問者和WEB服務提供者的安全意識。
1、終端硬件、操作系統和瀏覽器的安全
殺毒軟件曾經是一般中國網民購買過的唯一的正版軟件,終端安全話題對中國網民來說和電腦重啟一樣熟悉。但隨著PC殺毒軟件的全面免費和終端操作系統安全加固輔助工具的智能和自動化,病毒等惡意代碼的傳播面臨著更大的挑戰。與此同時,懷著各種“遠大理想”惡意代碼制造者和攻擊者也在孜孜不倦地進行著“科研”工作。2012年終端安全我們不得不關注以下內容:
a) 硬件黑客:鼠標鍵盤等藍牙設備的監聽、USBKEY的模擬或繞過以及硬件形式的系統后門(碟中諜4里面藐似高科技的USB硬件后門早就有,緊張不~);
b) 特種木馬:針對于指定目的,專門針對目標可能采用的殺毒軟件制作的“免殺”后門;
c) 瀏覽器0DAY:尚未公布或剛剛公布的瀏覽器漏洞總會有,是否對具體的用戶造成影響就看這個用戶是先被攻擊還是先打了補丁。
對終端用戶來說實際的安全影響除了自身系統的安全增強,更多的是依賴于操作系統、殺毒軟件廠商,以及WEB應用提供方的服務器安全。
2、服務器端的安全
WEB應用的服務器端一般包括WEB應用程序、中間件、數據庫管理系統、服務器操作系統等。多年來國內對WEB應用服務器端的防御工作主要停留在安全配置和漏洞修復兩方面。隨著各單位安全基線規范的出臺,安全配置工作逐漸實現標準化和批量化,與此同時,各種漏洞響應機制也在不斷建立。WEB應用系統的自身安全得到了很大程度的加強。但對企業用戶來說也仍然存在一些困擾,比如:我們無法對內部人員的越權操作或利用權限非法操作的行為進行監督和控制;一旦發生入侵事件,我們只知道攻擊者入侵了網絡,在現有的基礎設施條件下無法知道攻擊者帶走了多少數據。
通過上面的介紹可以看到,我們運維審計和數據庫審計的建設工作還有待于加強。同時當發現WEB應用程序出現漏洞后,運維人員也面臨著:找不到開發方、開發方不提供免費修復、修復周期非常長系統漏洞長期暴露在互聯網中等問題,這都成為未來WEB應用運維工作的難點。
