WEB應(yīng)用系統(tǒng)入侵檢測(cè)及安全防護(hù)策略應(yīng)用研究

摘要：本文通過(guò)一個(gè)實(shí)際的入侵案例，分析了入侵者對(duì)WEB應(yīng)用系統(tǒng)的常用入侵技術(shù)和方法。針對(duì)入侵技術(shù)和方法，提出了保證系統(tǒng)安全運(yùn)行的防護(hù)策略。經(jīng)幾個(gè)月的實(shí)際運(yùn)行檢驗(yàn)，防護(hù)策略取得了較好的效果。

關(guān)鍵詞：WEB服務(wù)器 入侵檢測(cè) 安全策略

近年來(lái)，隨著計(jì)算機(jī)大量普及和互聯(lián)網(wǎng)的飛速發(fā)展，以WEB服務(wù)為代表的海量信息服務(wù)也越來(lái)越被廣泛接受。各種B/S結(jié)構(gòu)的信息服務(wù)平臺(tái)已在教育、政企、科研等多個(gè)領(lǐng)域中得到廣泛的應(yīng)用。然而，在知識(shí)獲取和信息處理越來(lái)越方便、快捷的同時(shí)，系統(tǒng)安全和數(shù)據(jù)安全等問(wèn)題也接踵而至。安全性問(wèn)題得到有效解決，是信息化成功、企事業(yè)穩(wěn)定發(fā)展的關(guān)鍵，也是幾乎所有的社會(huì)系統(tǒng)存在和發(fā)展的重要基礎(chǔ)。

網(wǎng)絡(luò)安全的范圍很大，本文主要闡述WEB服務(wù)所面臨的一些安全問(wèn)題和針對(duì)這些問(wèn)題應(yīng)采取的措施。以一次成功的入侵檢測(cè)和安全防護(hù)為例，提出自己的一些策略和方法。

1 入侵案例

某校園網(wǎng)中的一臺(tái)WEB服務(wù)器，運(yùn)行Windows2003 server操作系統(tǒng)，向外界提供校內(nèi)各部門的網(wǎng)站服務(wù)。在一次例行維護(hù)的過(guò)程中，網(wǎng)絡(luò)管理員發(fā)現(xiàn)部分網(wǎng)站內(nèi)容被刪除，系統(tǒng)設(shè)置被改動(dòng)，還被上傳了大量的木馬和惡意程序。同時(shí)，入侵者清空了部分系統(tǒng)日志，試圖阻止管理人員對(duì)入侵過(guò)程的反向解析。但通過(guò)部分殘存的WEB日志進(jìn)行分析，仍可得出比較清晰的入侵途徑等重要信息。

2 入侵技術(shù)及入侵痕跡隱藏方法分析

2.1 入侵技術(shù)分析 在入侵過(guò)程中，入侵者可以利用多種技術(shù)手段對(duì)WEB服務(wù)器進(jìn)行入侵：

2.1.1 利用網(wǎng)站本身漏洞 由于網(wǎng)站在設(shè)計(jì)的時(shí)候，就沒有考慮到對(duì)評(píng)論內(nèi)容的安全過(guò)濾，致使包含有惡意內(nèi)容的數(shù)據(jù)可被提交到服務(wù)器上執(zhí)行，成為入侵者進(jìn)入系統(tǒng)的一條途徑。

2.1.2 SQL注入 很多網(wǎng)站為了避免Access數(shù)據(jù)庫(kù)文件被下載，常將文件的.mdb后綴名改為.asp。但是一旦網(wǎng)站的數(shù)據(jù)庫(kù)路徑被探測(cè)到后，入侵者就可使用正常方式向數(shù)據(jù)庫(kù)內(nèi)提交非法數(shù)據(jù)，這些數(shù)據(jù)會(huì)被以.asp程序的方式運(yùn)行，使入侵者獲得并利用WEBSHELL進(jìn)行提權(quán)操作，最終獲得系統(tǒng)管理員權(quán)限。

上面案例中，入侵者就是利用某個(gè)網(wǎng)站的文件上傳功能，提交了包含有惡意數(shù)據(jù)的文件，該網(wǎng)站雖然限制了上傳文件的類型，但同時(shí)又提供了文件改名的功能。入侵者將后綴名原本為asp的木馬程序改名為jpg后上傳，然后再通過(guò)文件改名將木馬還原并加以執(zhí)行，借此獲得了系統(tǒng)權(quán)限。

2.2 入侵痕跡隱藏方法 當(dāng)木馬程序或者惡意程序被上傳到服務(wù)器之后，入侵者一定會(huì)對(duì)系統(tǒng)進(jìn)行一系列的操作來(lái)對(duì)惡意程序進(jìn)行隱藏。

一般的入侵者會(huì)將惡意程序存放到回收站目錄或者系統(tǒng)臨時(shí)目錄下，利用比較少被注意的文件目錄來(lái)隱藏，以達(dá)到不被發(fā)現(xiàn)的目的。有經(jīng)驗(yàn)的系統(tǒng)管理員可以比較容易地發(fā)現(xiàn)這樣隱藏的惡意程序。

部分有經(jīng)驗(yàn)的入侵者會(huì)使用畸形目錄和特殊文件名來(lái)對(duì)惡意程序進(jìn)行隱藏?；文夸浿傅氖俏募夸浀拿Q中包含一個(gè)或多個(gè)“.”符號(hào)。特殊文件名指的是使用Windows系統(tǒng)保留的設(shè)備名來(lái)命名文件，主要有：lpt，aux，com1-9，prn，nul，con等，例如：lpt.txt、com1.txt。也可以將兩者結(jié)合來(lái)使用，例如：c：＼a.＼aux.txt。即使管理員發(fā)現(xiàn)了這些畸形目錄和特殊文件，不采取特殊手段也很難刪除這些惡意程序。

有的入侵者會(huì)利用某些特定軟件來(lái)隱藏惡意程序，例如使用Easy File Locker等軟件，這個(gè)軟件會(huì)使用硬件驅(qū)動(dòng)的方式將存放在硬盤上的惡意程序加以隱藏，這種隱藏方式比較難發(fā)現(xiàn)，因?yàn)閺南到y(tǒng)中只能看到新增了一個(gè)未知硬件，很容易被管理員忽略。

入侵者在入侵過(guò)程中，會(huì)單獨(dú)或綜合使用上述各種方法。

3 安全設(shè)置和實(shí)現(xiàn)方法

3.1 服務(wù)器安全設(shè)置 服務(wù)器的安全運(yùn)行，需要比較全面的安全設(shè)置。

3.1.1 關(guān)閉不必要的系統(tǒng)服務(wù) 系統(tǒng)服務(wù)越多，漏洞就越大。管理員需要嚴(yán)格按照所提供的服務(wù)來(lái)控制系統(tǒng)內(nèi)服務(wù)的使用，關(guān)閉不必要的系統(tǒng)服務(wù)，以免系統(tǒng)漏洞被入侵者利用。

3.1.2 嚴(yán)格設(shè)置文件權(quán)限和用戶權(quán)限 服務(wù)器一定要使用NTFS等可以設(shè)置用戶權(quán)限的文件格式。一般來(lái)說(shuō)，大多數(shù)文件和文件目錄除Administrators用戶組和System用戶組外，都不給讀寫權(quán)限。以WEB服務(wù)為例，網(wǎng)站目錄中除了數(shù)據(jù)庫(kù)目錄和文件上傳目錄外，都不給Guests組以寫權(quán)限。

3.1.3 WEB服務(wù)安全策略 在IIS設(shè)置中，一定不要給數(shù)據(jù)庫(kù)目錄和文件上傳目錄腳本執(zhí)行權(quán)限。刪除不需要的文件后綴名解析映射。例如，靜態(tài)網(wǎng)站只保留.htm和.html解析映射；當(dāng)存在動(dòng)態(tài)網(wǎng)頁(yè)時(shí)，則按照需要保留.asp或.php或.jsp等。使用無(wú)法解析的DLL程序?qū)ccess數(shù)據(jù)庫(kù)做解析映射，例如將.mdb定義為使用c：＼windows＼twain_32.dll來(lái)解析，可以防止數(shù)據(jù)庫(kù)被下載并杜絕惡意數(shù)據(jù)運(yùn)行。

3.1.4 系統(tǒng)安全策略 使用組策略編輯器，將默認(rèn)管理員administrator和默認(rèn)來(lái)賓guest改名，設(shè)定嚴(yán)格的賬戶審核策略。在安全設(shè)置-本地策略-安全選項(xiàng)里將：可匿名訪問(wèn)的共享、可匿名訪問(wèn)的命名管道、可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑、可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑四項(xiàng)清空。在通過(guò)終端服務(wù)拒絕登錄中，加入除administartors和users外其他用戶組，保證系統(tǒng)遠(yuǎn)程登錄的安全。

3.1.5 阻止非法訪問(wèn) 啟用系統(tǒng)自帶的防火墻，只開放必須的端口，如：WEB服務(wù)開放80端口，遠(yuǎn)程桌面開放3389端口，其他端口按照服務(wù)器的需求決定。

3.2 環(huán)境安全、規(guī)章制度和安全意識(shí) 除了采用技術(shù)手段對(duì)服務(wù)器進(jìn)行安全設(shè)置之外，還要用嚴(yán)格的制度來(lái)規(guī)范操作人員的行為，提高管理人員的安全意識(shí)和責(zé)任觀念。

3.2.1 數(shù)據(jù)備份和容災(zāi)能力 為保證系統(tǒng)正常運(yùn)行，盡量避免數(shù)據(jù)丟失，需要利用各種技術(shù)周期性的備份數(shù)據(jù)并妥善保存。在條件允許的情況下，建立容災(zāi)系統(tǒng)，對(duì)數(shù)據(jù)進(jìn)行雙重保護(hù)。

3.2.2 加強(qiáng)對(duì)設(shè)備的安全管理 首先保證設(shè)備的物理安全。一般來(lái)說(shuō)，好的運(yùn)行環(huán)境應(yīng)該對(duì)場(chǎng)地的封閉、防火、防盜、防靜電、空氣流通、溫度控制以及用電環(huán)境的安全等提供安全性保證。其次，控制設(shè)備的訪問(wèn)權(quán)限，記錄出入機(jī)房的人員信息及機(jī)房?jī)?nèi)的操作記錄。

3.2.3 提高安全意識(shí)，建立安全管理規(guī)章制度 要注意提高安全意識(shí)，養(yǎng)成良好的使用習(xí)慣。包括但不限于：不在專用設(shè)備上打開來(lái)歷不明的文件或程序；運(yùn)行任何有安全嫌疑的程序之前，使用防病毒軟件或其他安全軟件對(duì)該程序進(jìn)行安全掃描；密碼設(shè)置盡可能使用大小寫字母和數(shù)字及符號(hào)混排，定期更改密碼防止泄漏；及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序、及時(shí)更新防病毒軟件病毒庫(kù)等。

建立安全管理的規(guī)章制度并嚴(yán)格落實(shí)。管理人員及操作人員按照權(quán)限劃分責(zé)任，各自負(fù)責(zé)自己賬號(hào)、口令的安全管理，不與他人相互使用，不窺探他人信息，不私自進(jìn)入他人賬戶，不通過(guò)其他非法手段進(jìn)行系統(tǒng)攻擊、獲取系統(tǒng)權(quán)限、修改系統(tǒng)設(shè)置、刪除數(shù)據(jù)等危害系統(tǒng)正常運(yùn)行的行為，人員崗位變動(dòng)時(shí)應(yīng)采取相應(yīng)的安全管理措施。

建立系統(tǒng)日常運(yùn)行維護(hù)管理制度、計(jì)算機(jī)使用控制管理制度、文檔資料管理制度、服務(wù)器及設(shè)備機(jī)房的安全管理制度、上網(wǎng)信息登記審核制度，上網(wǎng)行為規(guī)范準(zhǔn)則等。

可以依照當(dāng)前國(guó)際上一些成熟的安全管理方法，如IsMs信息安全管理體系等來(lái)完善安全管理制度，最大程度地防止網(wǎng)絡(luò)技術(shù)濫用對(duì)網(wǎng)絡(luò)和數(shù)據(jù)造成的危害。

4 結(jié)論

網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期且系統(tǒng)的工程，涉及技術(shù)、管理、使用等許多方面。其中，網(wǎng)絡(luò)安全技術(shù)與工具是基礎(chǔ)，高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍是保證，嚴(yán)格的管理制度則是關(guān)鍵。本文通過(guò)一次WEB服務(wù)器的入侵檢測(cè)和安全策略配置，為網(wǎng)絡(luò)安全提出了一些建議，淺析了如何搭建一個(gè)安全的網(wǎng)絡(luò)WEB服務(wù)器，希望通過(guò)大家的努力，使我們的網(wǎng)絡(luò)及服務(wù)器安全水平得到提高。

參考文獻(xiàn)：

[1]賀雪晨.信息對(duì)抗與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2006.

[2]張慶華.網(wǎng)絡(luò)安全與黑客攻防寶典[M].北京：電子工業(yè)出版社，2007.

[3]閻慧等.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.

[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].機(jī)械工業(yè)出版社，2006.

項(xiàng)目基金：寧夏高等學(xué)校科研項(xiàng)目（2011JY008）。

作者簡(jiǎn)介：毛速（1975-），男，講師，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全。