【IT168 评论】你愿意,或者不愿意,2012年还是来了。生活照旧,只要搞IT,信息安全就还得重视。在上一年的最后几天,国内发生了“中国互联网史上规模最大的泄密事件”,满眼望去的,除了圣诞的打折活动,就是各大网站疯狂的报道和社区网站们不厌其烦的“密码更改提示邮件”。
同样在上一年年底,中国网民规模突破5亿。2012年1月16日,中国互联网络信息中心发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达到5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。中国手机网民规模达到3.56亿,同比增长17.5%,与前几年相比,中国的整体网民规模增长进入平台期。就这样,5亿网民的信息安全意识终于被集体地科普了一把,办公室里到处都是低头改密码的青年。每一个低着头的孩纸背后,都有几个信息安全工作不咋靠谱的网站。据专家说这个叫:WEB应用安全。
什么是Web应用?Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。
什么是信息安全?保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。
WEB应用通俗地说,我们通过浏览器访问到大部分内容都是WEB应用,web page就我们说的“网页”,早期的网络应用主要是Client/Server(客户机/服务器) 结构,通过将任务合理分配到客户端和服务端,需要安装客户端才可进行管理操作。后来随着技术的发展,大家发现很多网络应用不用装特制的客户端,通过浏览器就能实现,Browser/Server (浏览器/服务器)这种结构的应用就越来越火了。无论是公共信息发布(单位门户网站)、在线办公(OA)、财务管理(ERP)、交流社区(BBS&SNS)、聊天(WEBIM)、游戏(网页游戏)什么都是WEB应用。因为WEB应用的最大好处是,只要有浏览器就能使用,不用装体积庞大的客户端,更不用考虑特定客户端对操作系统的兼容性问题。
用户通过电子终端(PC、手机、MID等)上的浏览器提交访问信息,信息经网络传输到对应的服务器上,服务器根据接收到的信息进行处理,并将处理的结果信息再次通过网络反馈给浏览器,浏览器将这些反馈回来的结果解释成用户看得懂的内容,展现在浏览器窗口上,就完成了一次WEB应用的访问。由此,我们知道想要做好WEB应用的安全工作,就至少需要考虑以下几个方面的问题:
• 终端硬件、操作系统和浏览器的安全;
• 服务器端的安全;
• 网络传输过程的安全;
• WEB访问者和WEB服务提供者的安全意识。
1、终端硬件、操作系统和浏览器的安全
杀毒软件曾经是一般中国网民购买过的唯一的正版软件,终端安全话题对中国网民来说和电脑重启一样熟悉。但随着PC杀毒软件的全面免费和终端操作系统安全加固辅助工具的智能和自动化,病毒等恶意代码的传播面临着更大的挑战。与此同时,怀着各种“远大理想”恶意代码制造者和攻击者也在孜孜不倦地进行着“科研”工作。2012年终端安全我们不得不关注以下内容:
a) 硬件黑客:鼠标键盘等蓝牙设备的监听、USBKEY的模拟或绕过以及硬件形式的系统后门(碟中谍4里面藐似高科技的USB硬件后门早就有,紧张不~);
b) 特种木马:针对于指定目的,专门针对目标可能采用的杀毒软件制作的“免杀”后门;
c) 浏览器0DAY:尚未公布或刚刚公布的浏览器漏洞总会有,是否对具体的用户造成影响就看这个用户是先被攻击还是先打了补丁。
对终端用户来说实际的安全影响除了自身系统的安全增强,更多的是依赖于操作系统、杀毒软件厂商,以及WEB应用提供方的服务器安全。
2、服务器端的安全
WEB应用的服务器端一般包括WEB应用程序、中间件、数据库管理系统、服务器操作系统等。多年来国内对WEB应用服务器端的防御工作主要停留在安全配置和漏洞修复两方面。随着各单位安全基线规范的出台,安全配置工作逐渐实现标准化和批量化,与此同时,各种漏洞响应机制也在不断建立。WEB应用系统的自身安全得到了很大程度的加强。但对企业用户来说也仍然存在一些困扰,比如:我们无法对内部人员的越权操作或利用权限非法操作的行为进行监督和控制;一旦发生入侵事件,我们只知道攻击者入侵了网络,在现有的基础设施条件下无法知道攻击者带走了多少数据。
通过上面的介绍可以看到,我们运维审计和数据库审计的建设工作还有待于加强。同时当发现WEB应用程序出现漏洞后,运维人员也面临着:找不到开发方、开发方不提供免费修复、修复周期非常长系统漏洞长期暴露在互联网中等问题,这都成为未来WEB应用运维工作的难点。
${PageNumber}3、网络传输过程的安全
在WEB应用的运行过程中,一般都是通过80、8080、443这些端口进行通讯,而这些端口对于普通的防火墙来说为了保证业务运营都是完全开放的。而IPS(入侵阻断系统)能够精确的识别网络层和传输层异常行为并及时采取防御措施,却无法对HTTP/HTTPS协议传输下的数据进行深入分析和全面的防护。
2012年,WEB应用防火墙(web application firewall,WAF)这种针对于WEB应用的全方位综合防御产品无论是根据规范政策、还是业务安全的自身需求都获得高度的重视。一般市场上的WAF产品也将至少具备以下功能:
• 应用层全透明直连防护功能,支持HTTPS站点,双向流量检测与防护;
• 支持网页防篡改监测及WEB应用加速功能;
• 可配置、可定制防护阻断页面,防止敏感信息泄漏;
• 支持不同保护站点定制不同的策略规则,支持策略规则(组合)的自定义功能;
• 支持各种Vlan环境的WEB安全检测和防护功能;
• 支持针对IP地址(网段),WEB URL的访问控制功能;
• 支持WEB应用的全访问审计功能;
• 支持syslog,短信及邮件等多种告警通知功能;
• 支持各种定时、组合及自定义报表功能;
• 支持离线升级,策略规则升级功能;
• 支持各种网络流量,web流量及连接数及访问Top 10客户端的统计展示功能;
• 支持透明直连、网关、旁路镜像与单臂牵引等多种部署模式;
• 攻击防护能力全面:实现对HTTP协议检查,各种应用攻击,应用层DOS攻击等检测防护功能。
并且,通过配置WAF可以实现对WEB应用程序的安全加固,实现虚拟补丁的功能。当WEB系统需要及时上线,深入全面地挖掘系统漏洞并修复可能需要很长的周期,这将很大程度地影响业务的运行推进工作。通过在WAF中设置策略规则,就可以在应用服务器的前端过滤掉大部分的安全问题,并且也可以解决更改WEB应用程序代码漏洞修复慢的问题。
4、WEB访问者和WEB服务提供者的安全意识
安全意识在信息安全工作中是永恒的话题,大家除了需要了解基本的安全常识和使用、维护操作安全习惯。也应当不断地关注国内外的安全事件并尽可能地参加一些安全基础知识培训,增加对实时安全态势的了解,提高信息安全综合素质。
以上谈了一些2012年WEB应用安全防御工作方面的展望,最后我们对今后WEB应用安全可能出现的情况进行一些猜测:
1>、云安全仍旧是市场热点,各监管机构及大型单位将积极建立综合化、一体话的WEB监测平台,WEB安全监测工作向云监测迈进;
2>、国内外云主机建设工作的不断推进,云所面临的安全问题也将不断展现,可能会出现同时影响大量WEB应用服务的单次安全事件;
3>、对现有技术架构下的WEB应用程序,所展现的漏洞从原理上看可能并无新意,依旧是:SQL注入、XSS、上传、目录泄露等传统漏洞,攻击者将努力对常见漏洞的利用方式进行深入加强,攻击的实现将变得复杂;
4>、HTML5、CSS3等新技术将逐步被WEB应用开发人员采用,其WEB应用也将覆盖到智能手机、平板电脑等设备。WEB安全问题同时会对移动互联网设备造成更大影响。伴随LBS(基于位置的服务Location Based Service)应用的普及,一旦发生安全事件,将对用户隐私(时间、地点、谁、做什么、电话、图片、视频、声音)造成巨大泄密;
5>、伦敦奥运会、欧洲杯、美国总统大选等国际活动期间将出现网站入侵事件,挂马、钓鱼等攻击可能会同时发生;
6>、社会工程对攻击者来说仍然是非常重要的攻击手段,请针对使用环境分类设置您的密码,并保持定期更改;
7>、2012年12月21日:网站http://www.it168.com/访问正常,玛雅预言失败。
