煙草網(wǎng)上訂貨系統(tǒng)安全防護(hù)思路

賴如勤，于閩

福建省煙草公司南平市公司,信息中心,福建南平市濱江中路389號(hào) 353000

煙草網(wǎng)上訂貨系統(tǒng)安全防護(hù)思路

賴如勤，于閩

福建省煙草公司南平市公司,信息中心,福建南平市濱江中路389號(hào) 353000

隨著互聯(lián)網(wǎng)Web應(yīng)用的發(fā)展,Web應(yīng)用所面臨的安全威脅越加嚴(yán)峻,當(dāng)前Web應(yīng)用系統(tǒng)面臨的安全威脅主要是應(yīng)用層攻擊、拒絕服務(wù)攻擊?；赪eb應(yīng)用的煙草網(wǎng)上訂貨系統(tǒng)同樣面臨著這兩種安全威脅,如何有效防范非法攻擊成為煙草商業(yè)企業(yè)信息安全工作的重要內(nèi)容,在對(duì)網(wǎng)上訂貨系統(tǒng)面臨的安全威脅分析的基礎(chǔ)上,提出相關(guān)的防護(hù)思路。

Web應(yīng)用；SQL注入；XSS；DDoS；SDL；安全防護(hù)

互聯(lián)網(wǎng)的快速發(fā)展,改變了傳統(tǒng)商業(yè)的生產(chǎn)關(guān)系和產(chǎn)業(yè)鏈格局,互聯(lián)在線應(yīng)用創(chuàng)造出全新的產(chǎn)業(yè)生態(tài)和經(jīng)濟(jì)模式,目前互聯(lián)在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行,在Web 2.0技術(shù)趨勢(shì)下,網(wǎng)站的功能還在不斷增加,尤其是增加互動(dòng)應(yīng)用,以提供更好的用戶體驗(yàn),Web技術(shù)承載著越來越多的核心業(yè)務(wù)。由于缺乏對(duì)Web系統(tǒng)的足夠重視和安全評(píng)估,大部分網(wǎng)站系統(tǒng)存在著安全漏洞[1]。據(jù)中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告顯示,目前75%以上的網(wǎng)絡(luò)攻擊都瞄準(zhǔn)了網(wǎng)站W(wǎng)eb應(yīng)用系統(tǒng),因Web應(yīng)用系統(tǒng)漏洞導(dǎo)致的信息泄露、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件頻發(fā),Web應(yīng)用安全引起全社會(huì)的廣泛關(guān)注和重視[2]。

為順應(yīng)互聯(lián)網(wǎng)經(jīng)濟(jì)的潮流,煙草商業(yè)企業(yè)適時(shí)推出了基于Web應(yīng)用服務(wù)的煙草網(wǎng)上訂貨系統(tǒng),網(wǎng)上訂貨已成為當(dāng)前卷煙零售客戶訂貨的主要方式,為客戶提供方便、快捷的信息互動(dòng)業(yè)務(wù)平臺(tái),以福建煙草為例,目前全省網(wǎng)上訂貨率達(dá)90%。網(wǎng)上訂貨系統(tǒng)作為Web站點(diǎn),可以被互聯(lián)網(wǎng)上所有用戶訪問,因其公開性導(dǎo)致了網(wǎng)站服務(wù)器極易被入侵者作為第一目標(biāo)進(jìn)行入侵,當(dāng)入侵者利用網(wǎng)站存在的漏洞控制了Web服務(wù)器之后,以其為跳板,進(jìn)一步滲透數(shù)據(jù)庫(kù)服務(wù)器,導(dǎo)致信息泄露、數(shù)據(jù)破壞、網(wǎng)絡(luò)癱瘓等后果,嚴(yán)重影響煙草商業(yè)企業(yè)業(yè)務(wù)的正常開展,給客戶和行業(yè)帶來經(jīng)濟(jì)和社會(huì)損失,加強(qiáng)網(wǎng)上訂貨系統(tǒng)的安全防護(hù)成為當(dāng)前行業(yè)信息安全建設(shè)的重要內(nèi)容[3]。

1 網(wǎng)上訂貨系統(tǒng)面臨威脅分析

從Web技術(shù)應(yīng)用及網(wǎng)絡(luò)入侵攻擊的分析來看,當(dāng)前網(wǎng)上訂貨系統(tǒng)面臨的攻擊主要有兩大類：應(yīng)用層攻擊、拒絕服務(wù)攻擊。

1.1 應(yīng)用層攻擊

應(yīng)用層攻擊非常復(fù)雜,其根源是軟件漏洞。因?yàn)閃eb應(yīng)用是一個(gè)組合而成的軟件包,其中包含眾多的軟件,而且來自不同的開發(fā)者,由于管理上的不足,開發(fā)過程中未以相關(guān)的安全標(biāo)準(zhǔn)作為指引,導(dǎo)致所開發(fā)的Web應(yīng)用漏洞情況很難控制,與此同時(shí),在新的業(yè)務(wù)需求驅(qū)動(dòng)下不斷引入新的Web技術(shù),造成漏洞和攻擊形勢(shì)越發(fā)嚴(yán)峻[4]。

常見的針對(duì)Web應(yīng)用層的攻擊主要有SQL注入、XSS跨站腳本攻擊、文件包含、CSRF跨站請(qǐng)求偽造、敏感信息泄露等[5]。據(jù)著名IT咨詢機(jī)構(gòu)Gartner統(tǒng)計(jì),SQL注入、XSS跨站腳本攻擊占據(jù)了所有Web應(yīng)用層攻擊手段的50%以上,SQL注入和XSS以其攻擊成本低,攻擊效果顯著得到了越來越多黑客的青睞,這些攻擊困擾著網(wǎng)站系統(tǒng)管理者并威脅著網(wǎng)站及用戶信息的安全。

近年來因應(yīng)用層漏洞導(dǎo)致網(wǎng)上訂貨系統(tǒng)被攻陷的事件時(shí)有發(fā)生。只有了解這些針對(duì)Web應(yīng)用層的攻擊方式和過程,才能有針對(duì)性地對(duì)系統(tǒng)應(yīng)用層威脅做出相應(yīng)的防護(hù)措施,現(xiàn)以SQL注入和XSS跨站腳本攻擊為例對(duì)網(wǎng)上訂貨系統(tǒng)的威脅加以分析。

1.1.1 SQL注入

SQL注入,就是通過把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串中,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令的目的,即通過在Web表單中輸入惡意SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù),而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句[6]。

圖1 網(wǎng)站系統(tǒng)拓?fù)涫疽鈭DFig. 1 Web site system topology diagram

圖1是一個(gè)簡(jiǎn)單的網(wǎng)站系統(tǒng)拓?fù)?由用戶端（客戶端）、Web服務(wù)器（IIS、Apache、Tomcat等）、數(shù)據(jù)庫(kù)服務(wù)器（MSSQL、MYSQL、ORACLE等）組成,當(dāng)前中大型網(wǎng)站都是采用該架構(gòu)搭建Web服務(wù)器。以網(wǎng)上訂貨系統(tǒng)為例,外部用戶查詢訂單信息時(shí),一個(gè)完整的請(qǐng)求和響應(yīng)主要包含以下步驟：

（1）首先外部用戶通過Web方式登錄網(wǎng)上訂貨系統(tǒng),登錄之后發(fā)起一次訂單查詢的請(qǐng)求,輸入訂單編號(hào)20151111,點(diǎn)擊查詢,提交發(fā)送到Web服務(wù)器。

（2）網(wǎng)上訂貨Web服務(wù)器收到外部用戶發(fā)送的請(qǐng)求數(shù)據(jù)包時(shí),經(jīng)過腳本引擎解析,獲取外部用戶提交的訂單編號(hào)20151111參數(shù),此時(shí)通過動(dòng)態(tài)構(gòu)造SQL語句：Select * from database where id=20151111,向數(shù)據(jù)庫(kù)發(fā)起查詢請(qǐng)求。

（3）網(wǎng)上訂貨數(shù)據(jù)庫(kù)收到Web服務(wù)器發(fā)送過來的查詢請(qǐng)求,在數(shù)據(jù)庫(kù)中查詢id為20151111訂單的所有信息,并將查詢結(jié)果返回給網(wǎng)上訂貨Web服務(wù)器。

（4）網(wǎng)上訂貨Web服務(wù)器處理返回的所有訂單信息,如過濾和編碼特殊字符等,生成靜態(tài)網(wǎng)頁(yè)并返回給客戶端,外部用戶瀏覽器對(duì)返回的頁(yè)面進(jìn)行解析,將訂單編號(hào)為20151111的訂單信息呈現(xiàn)在瀏覽器頁(yè)面供用戶查看。

該請(qǐng)求內(nèi)容過程如圖2所示。

圖2 請(qǐng)求內(nèi)容過程示意圖Fig. 2 Request content process diagram

通過分析一個(gè)完整的請(qǐng)求和響應(yīng)的過程可以看出,外部用戶在向網(wǎng)上訂貨應(yīng)用服務(wù)器發(fā)起訂單查詢請(qǐng)求時(shí),存在訂單編號(hào)的輸入點(diǎn),訂單編號(hào)會(huì)被帶到數(shù)據(jù)庫(kù)里執(zhí)行并進(jìn)行查詢。也就是說外部惡意攻擊者可以構(gòu)造任意的SQL語句作為訂單編號(hào)的值,發(fā)送到應(yīng)用服務(wù)器上,此時(shí)如果應(yīng)用服務(wù)器在收到客戶端發(fā)送的請(qǐng)求時(shí)沒有對(duì)用戶輸入的數(shù)據(jù)或者是頁(yè)面中所攜帶的信息進(jìn)行必要有效的合法性判斷或過濾,則會(huì)將惡意攻擊者構(gòu)造的SQL語句放入到網(wǎng)上訂貨系統(tǒng)數(shù)據(jù)庫(kù)里進(jìn)行查詢,并將查詢的結(jié)果返回給惡意攻擊者,攻擊者根據(jù)返回的信息進(jìn)行進(jìn)一步的SQL語句注入攻擊,導(dǎo)致企業(yè)和客戶重要信息泄露甚至威脅到整個(gè)數(shù)據(jù)庫(kù)的安全。攻擊過程如圖3所示。

圖3 SQL注入攻擊示意圖Fig. 3 SQL injection attacks diagram

隨著Web掃描器以及SQL注入工具越來越智能化,SQL攻擊的成本越來越低。從上面的分析可知,一旦網(wǎng)上訂貨系統(tǒng)存在SQL注入漏洞風(fēng)險(xiǎn),數(shù)據(jù)就有可能遭到破壞和泄露的風(fēng)險(xiǎn),攻擊者甚至可以利用數(shù)據(jù)庫(kù)本身的擴(kuò)展功能控制服務(wù)器操作系統(tǒng),使得SQL注入的危害被進(jìn)一步放大,給企業(yè)和客戶帶來極其重大的損失。

1.1.2 XSS（跨站腳本攻擊）

跨站腳本攻擊（XSS）又稱CSS（Cross Site Script）,XSS攻擊是由于動(dòng)態(tài)網(wǎng)頁(yè)的Web應(yīng)用對(duì)用戶提交的請(qǐng)求參數(shù)未做充分檢查過濾,允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“＞”、“＜”）,然后未加編碼地輸出到第三方用戶的瀏覽器,攻擊者惡意提交的代碼會(huì)被受害用戶的瀏覽器解釋執(zhí)行。如用戶在瀏覽網(wǎng)站、使用即時(shí)通訊軟件、閱讀電子郵件時(shí),通常會(huì)點(diǎn)擊其中的鏈接,攻擊者通過在鏈接中插入惡意代碼,網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)生成一個(gè)包含惡意代碼的頁(yè)面,而這個(gè)頁(yè)面看起來就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁(yè)面一樣。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子,那么用戶乙在瀏覽這篇帖子時(shí),惡意腳本就會(huì)執(zhí)行,盜取用戶乙的信息[7]。

網(wǎng)上訂貨系統(tǒng)是零售客戶進(jìn)行網(wǎng)上訂貨的門戶,如果網(wǎng)上訂貨系統(tǒng)存在XSS漏洞,則惡意攻擊者可以利用該漏洞竊取客戶的用戶名和密碼,造成信息泄露,威脅到客戶訂單和資金的安全。同時(shí)惡意攻擊者很可能會(huì)利用網(wǎng)上訂貨系統(tǒng)的XSS漏洞,通過插入掛馬代碼誘騙客戶執(zhí)行木馬程序,造成客戶電腦被木馬劫持,給客戶和企業(yè)帶來?yè)p失。

XSS 跨站腳本攻擊借助網(wǎng)站進(jìn)行傳播,使網(wǎng)站的大量用戶受到攻擊。如圖4所示,假設(shè)網(wǎng)上訂貨系統(tǒng)頁(yè)面存在XSS漏洞,攻擊者通過留言、電子郵件或其他途徑向受害者發(fā)送一個(gè)精心構(gòu)造的惡意 URL,該URL已被注入惡意的JS代碼,攻擊者將該惡意URL發(fā)送給用戶,用戶如果安全意識(shí)薄弱,則很容易受騙并打開該 URL ,該URL在瀏覽器上打開之后惡意腳本會(huì)在用戶的計(jì)算機(jī)上悄悄執(zhí)行,使用戶電腦出現(xiàn)異常,或者無法正常使用,甚至造成用戶重要信息泄露或者重要信息被刪除等不可意料的嚴(yán)重后果。

圖4 XSS 跨站腳本攻擊示意圖Fig. 4 XSS cross-site scripting attacks diagram

1.2 拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊DDoS（Distributed Denial of Service）,通常稱為拒絕服務(wù)攻擊,是黑客利用DDoS攻擊器控制多臺(tái)機(jī)器,發(fā)送指令,在控制機(jī)器的同時(shí)把大量看似合法的TCP、UDP、ICMP包發(fā)送至目標(biāo)主機(jī),造成目標(biāo)設(shè)備負(fù)載過高,最終導(dǎo)致網(wǎng)絡(luò)帶寬或者設(shè)備資源耗盡。通常,被攻擊的路由器、服務(wù)器和防火墻等設(shè)備運(yùn)行處理能力和負(fù)載能力都是有限的,當(dāng)攻擊超過負(fù)載,它們就無法處理正常的合法訪問,導(dǎo)致服務(wù)拒絕[8]。

由于全球各種寬帶網(wǎng)絡(luò)建設(shè)的迅速發(fā)展,使得攻擊者掌握較大的帶寬資源成為可能,實(shí)際發(fā)生的一些萬兆甚至上百Gbps流量的攻擊已成常見。目前網(wǎng)絡(luò)中觀測(cè)到的最大規(guī)模攻擊流量已經(jīng)突破450G,如2014年2月,美國(guó)一家名為Cloud fl are的云安全服務(wù)公司遭受DDoS攻擊,攻擊者通過僵尸網(wǎng)絡(luò)和NTP反射技術(shù)進(jìn)行攻擊,攻擊流量達(dá)到400G,攻擊時(shí)包括4chan和維基解密在內(nèi)的78.5萬個(gè)網(wǎng)站安全服務(wù)受到了影響；2014年12月24號(hào)阿里云官微發(fā)出聲明：在12月20-21日,部署在阿里云上的一家知名游戲公司,遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊。攻擊時(shí)間長(zhǎng)達(dá)14個(gè)小時(shí),攻擊峰值流量達(dá)到每秒453.8Gb。這些攻擊實(shí)例表明,由于各類DDoS工具和技術(shù)的不斷發(fā)展,使得實(shí)施DDoS攻擊變得非常簡(jiǎn)單。各類攻擊工具可以從網(wǎng)絡(luò)中隨意下載,只要使用者稍有網(wǎng)絡(luò)知識(shí),便可發(fā)起攻擊。國(guó)內(nèi)外的一些網(wǎng)站上“僵尸網(wǎng)絡(luò)”甚至被標(biāo)價(jià)出售,這些新的趨勢(shì)都使得發(fā)動(dòng)大規(guī)模DDoS攻擊越來越容易,經(jīng)濟(jì)利益驅(qū)動(dòng)下的DDoS攻擊地下產(chǎn)業(yè)鏈活動(dòng)更加猖獗。

DDoS攻擊產(chǎn)生的流量非常驚人,網(wǎng)上訂貨系統(tǒng)作為煙草商業(yè)企業(yè)客戶網(wǎng)上訂貨的門戶,實(shí)時(shí)為客戶提供服務(wù),當(dāng)前網(wǎng)上訂貨網(wǎng)絡(luò)出口帶寬一般為50M或更大,在目前DDoS的攻擊環(huán)境下,一旦發(fā)生大流量DDoS攻擊,將會(huì)導(dǎo)致出口帶寬全部被惡意攻擊流量所占用,使客戶無法正常登錄和使用訂貨系統(tǒng)。DDoS攻擊對(duì)網(wǎng)上訂貨系統(tǒng)造成的不良后果主要有以下四點(diǎn)：

（1）線路帶寬被全部占用,網(wǎng)上訂貨系統(tǒng)對(duì)外服務(wù)中斷；

（2）攻擊流量超過網(wǎng)絡(luò)設(shè)備的處理能力,出現(xiàn)服務(wù)中斷或延遲,客戶體驗(yàn)變差；

（3）網(wǎng)上訂貨系統(tǒng)服務(wù)能力下降或中斷,客戶無法正常訂貨,給客戶帶來直接的經(jīng)濟(jì)損失；

（4）造成煙草商業(yè)企業(yè)信譽(yù)下降,品牌受損,給企業(yè)帶來社會(huì)的和經(jīng)濟(jì)的損失。

2 網(wǎng)上訂貨系統(tǒng)面臨的挑戰(zhàn)及攻防目標(biāo)分析

2.1 面臨的挑戰(zhàn)

從上面分析可看出,當(dāng)前網(wǎng)上訂貨系統(tǒng)面臨著異常嚴(yán)峻的安全威脅,加強(qiáng)網(wǎng)上訂貨系統(tǒng)的安全防護(hù)已刻不容緩。不管攻擊方采用應(yīng)用層攻擊還是拒絕服務(wù)攻擊,煙草商業(yè)企業(yè)作為防護(hù)方,需要從以下兩個(gè)方面分析存在的問題。

2.1.1 網(wǎng)上訂貨系統(tǒng)開發(fā)測(cè)試階段

（1）在網(wǎng)上訂貨系統(tǒng)軟件開發(fā)過程中是否融入安全的考量？

（2）網(wǎng)上訂貨系統(tǒng)上線前是否進(jìn)行上線測(cè)試？（3）網(wǎng)上訂貨系統(tǒng)網(wǎng)絡(luò)架構(gòu)是否合理？

2.1.2 網(wǎng)上訂貨系統(tǒng)上線運(yùn)行階段

（1）在攻擊發(fā)起前,能否先于攻擊者發(fā)現(xiàn)系統(tǒng)存在的漏洞？

（2）在被攻擊過程中,能否快速地發(fā)現(xiàn)、響應(yīng)和控制攻擊？

（3）安全運(yùn)維團(tuán)隊(duì)的效率和能力怎樣？

通過以上問題描述可看出,決定上述問題的關(guān)鍵是時(shí)間。不管是攻擊方還是防護(hù)方,占據(jù)了時(shí)間優(yōu)勢(shì)和主動(dòng)的一方將獲得最終的成功。

2.2 攻防目標(biāo)分析

2.2.1 攻擊方目標(biāo)分析

對(duì)于攻擊方來說,如果先于煙草防護(hù)方發(fā)現(xiàn)網(wǎng)上訂貨系統(tǒng)中存在漏洞,就可以用最短和最有效的方式攻擊入侵系統(tǒng),獲取敏感信息或破壞系統(tǒng)。同時(shí),時(shí)間因素在黑客的攻擊過程中同樣重要,當(dāng)防護(hù)方發(fā)現(xiàn)網(wǎng)上訂貨系統(tǒng)遭受攻擊,并針對(duì)攻擊采取了一定的防護(hù)措施后,如果攻擊者越早發(fā)現(xiàn)他的攻擊受阻并轉(zhuǎn)換攻擊手段,則攻擊方就可以獲得更高的攻擊成功率[9]。

2.2.2 防護(hù)方目標(biāo)分析

對(duì)于未上線系統(tǒng),如果在網(wǎng)上訂貨系統(tǒng)開發(fā)過程中引入系統(tǒng)安全開發(fā)生命周期理念,在需求和設(shè)計(jì)開發(fā)階段就著手對(duì)系統(tǒng)安全漏洞進(jìn)行管理,則可成倍降低漏洞修復(fù)成本,在修復(fù)手段的選擇上也具有最大的靈活性,能夠有效避免應(yīng)用系統(tǒng)漏洞,將安全威脅降到最低[10]。

對(duì)于已上線系統(tǒng),如果煙草防護(hù)方先于攻擊者發(fā)現(xiàn)網(wǎng)上訂貨系統(tǒng)中存在的漏洞,并盡早修復(fù)它們,就可以降低因系統(tǒng)漏洞所帶來的安全風(fēng)險(xiǎn)。同時(shí)在攻擊發(fā)生后,運(yùn)維人員能否在最短的時(shí)間發(fā)現(xiàn)攻擊并做出響應(yīng)是決定防御成敗的關(guān)鍵,越早發(fā)現(xiàn)攻擊,留給響應(yīng)處置的時(shí)間就越充裕；響應(yīng)速度越快,部署有效的控制手段所需時(shí)間就越短,網(wǎng)上訂貨系統(tǒng)受到的損失就越小。從發(fā)現(xiàn)到響應(yīng)再到控制,是一個(gè)遞進(jìn)的關(guān)系。從應(yīng)急響應(yīng)流程上來說,任何一個(gè)環(huán)節(jié)效率出現(xiàn)問題都會(huì)直接影響防御的效果。

因此,盡可能地將安全防護(hù)時(shí)間點(diǎn)前移,提高檢測(cè)效率,提升防護(hù)的能力,加快響應(yīng)處理的速度是至關(guān)重要的,安全防護(hù)時(shí)間點(diǎn)的把握是防護(hù)成敗的關(guān)鍵所在。

3 網(wǎng)上訂貨系統(tǒng)防護(hù)思路及策略分析

在對(duì)當(dāng)前煙草商業(yè)企業(yè)信息系統(tǒng)開發(fā)技術(shù)及網(wǎng)絡(luò)架構(gòu)進(jìn)行綜合分析的基礎(chǔ)上,從三個(gè)方面對(duì)網(wǎng)上訂貨系統(tǒng)提出防護(hù)思路及策略。

3.1 打造安全可靠的Web應(yīng)用系統(tǒng)

3.1.1 建設(shè)基于安全開發(fā)生命周期的網(wǎng)上訂貨系統(tǒng)

近年來隨著業(yè)務(wù)的發(fā)展,部分煙草商業(yè)企業(yè)開始重新規(guī)劃開發(fā)網(wǎng)上訂貨系統(tǒng)以滿足業(yè)務(wù)需要,如智能移動(dòng)終端APP訂貨、手機(jī)微信訂貨系統(tǒng)等；已上線運(yùn)行的網(wǎng)上訂貨系統(tǒng)在新的業(yè)務(wù)需求驅(qū)動(dòng)下也在不斷引入新的Web技術(shù)和網(wǎng)站功能以提供更好的用戶體驗(yàn),但是早期大部分網(wǎng)上訂貨系統(tǒng)從開發(fā)到上線運(yùn)行缺少對(duì)安全需求的分析融入和系統(tǒng)漏洞的審計(jì),導(dǎo)致因系統(tǒng)漏洞引發(fā)的安全事件時(shí)有發(fā)生,針對(duì)這種情況,建議在新開發(fā)網(wǎng)上訂貨系統(tǒng)或者系統(tǒng)功能模塊新增時(shí)引入系統(tǒng)安全開發(fā)生命周期管理方法。

系統(tǒng)安全開發(fā)生命周期SDL（Security Development Lifecycle）,是以生命周期的架構(gòu)對(duì)系統(tǒng)開發(fā)過程中涉及到的安全操作進(jìn)行概括、補(bǔ)充和完善,將安全設(shè)計(jì)、安全編碼、安全測(cè)試及安全事件響應(yīng)等安全技術(shù)活動(dòng)融入到系統(tǒng)需求分析、架構(gòu)設(shè)計(jì)、開發(fā)實(shí)現(xiàn)、測(cè)試運(yùn)行和人員知識(shí)傳遞等系統(tǒng)開發(fā)生命周期的典型階段,系統(tǒng)地識(shí)別和消除各個(gè)階段可能出現(xiàn)的來自于人員知識(shí)技能、開發(fā)環(huán)境、業(yè)務(wù)邏輯所帶來的信息安全風(fēng)險(xiǎn)和系統(tǒng)缺陷,從而提高軟件的質(zhì)量[11]。

系統(tǒng)安全開發(fā)生命周期包括安全需求分析階段、設(shè)計(jì)階段、實(shí)施開發(fā)階段、測(cè)試驗(yàn)證階段、上線發(fā)布和運(yùn)維階段,以下結(jié)合網(wǎng)上訂貨系統(tǒng)對(duì)這五個(gè)階段功能目標(biāo)進(jìn)行簡(jiǎn)要分析。

（1）安全需求分析階段：分析網(wǎng)上訂貨系統(tǒng)面向的環(huán)境、需求和安全成本,通過威脅建模找到攻擊界面,分析和歸類安全威脅,定義網(wǎng)上訂貨系統(tǒng)的安全功能。

（2）安全功能設(shè)計(jì)階段：針對(duì)安全需求分析,提出緩解和降低安全威脅的措施,定義網(wǎng)上訂貨系統(tǒng)的安全功能和安全策略,并進(jìn)行概要設(shè)計(jì)和詳細(xì)設(shè)計(jì)。

（3）安全功能實(shí)現(xiàn)和驗(yàn)證階段：通過編程規(guī)約和培訓(xùn)開發(fā)人員,配合源代碼審計(jì)工具,保證網(wǎng)上訂貨系統(tǒng)開發(fā)代碼都是以良好的安全習(xí)慣得以實(shí)施,減少安全問題。通過安全測(cè)試,確保安全需求階段定義的安全功能、安全設(shè)計(jì)階段定義的安全策略和威脅緩解措施都得以實(shí)現(xiàn)。通過測(cè)試盡量找出可定性的安全漏洞或攻擊點(diǎn),提供給開發(fā)團(tuán)隊(duì)修復(fù),避免系統(tǒng)發(fā)布后的0day帶來的安全損失。

（4）測(cè)試驗(yàn)證階段：通過Web漏洞掃描設(shè)備對(duì)訂貨系統(tǒng)進(jìn)行漏洞安全掃描,或者請(qǐng)專業(yè)公司對(duì)系統(tǒng)進(jìn)行上線前的全面評(píng)估,發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)并及時(shí)修復(fù)。如有需要可進(jìn)行源代碼審計(jì),針對(duì)網(wǎng)上訂貨系統(tǒng)源代碼,從結(jié)構(gòu)、脆弱性以及缺陷等方面進(jìn)行審查。

（5）發(fā)布和維護(hù)階段：在系統(tǒng)上線發(fā)布后,應(yīng)用系統(tǒng)集成到真實(shí)環(huán)境,需再次對(duì)系統(tǒng)整體進(jìn)行安全性測(cè)試,以發(fā)現(xiàn)系統(tǒng)運(yùn)行中存在的安全問題。通過安全產(chǎn)品如Web應(yīng)用防火墻、入侵防御系統(tǒng)、網(wǎng)站安全監(jiān)測(cè)系統(tǒng)等配置完善的網(wǎng)上監(jiān)測(cè)規(guī)則并進(jìn)行嚴(yán)密的檢測(cè),在發(fā)現(xiàn)可疑行為時(shí)進(jìn)行安全告警并及時(shí)進(jìn)行判斷和處理。安全不是一成不變的,防護(hù)與威脅一直處在博弈之中,本階段需要建立定期安全評(píng)估機(jī)制,及時(shí)發(fā)現(xiàn)和處理最新的安全威脅。

3.1.2 建立基于長(zhǎng)效修復(fù)和加固機(jī)制的網(wǎng)上訂貨系統(tǒng)

當(dāng)前煙草商業(yè)企業(yè)大部分網(wǎng)上訂貨系統(tǒng)已上線運(yùn)營(yíng)較長(zhǎng)時(shí)間,這些系統(tǒng)大都未經(jīng)過完整的系統(tǒng)安全開發(fā)生命周期管理,導(dǎo)致系統(tǒng)整體的安全漏洞無法控制,針對(duì)已上線運(yùn)行的網(wǎng)上訂貨系統(tǒng),安全防護(hù)的策略是建立漏洞發(fā)現(xiàn)和修復(fù)的長(zhǎng)效機(jī)制。

漏洞的發(fā)現(xiàn)可以通過Web漏洞掃描設(shè)備對(duì)系統(tǒng)進(jìn)行漏洞安全掃描,或者請(qǐng)專業(yè)公司定期對(duì)系統(tǒng)進(jìn)行全面的安全壓力和滲透測(cè)試,這是借助外力進(jìn)行專業(yè)評(píng)估,是發(fā)現(xiàn)系統(tǒng)漏洞的一種有效方法。漏洞修復(fù)最直接的方式是修改程序或網(wǎng)頁(yè)代碼,但一旦漏洞需要在系統(tǒng)部署上線后修復(fù),除相對(duì)固定的漏洞修復(fù)成本外,還將伴隨著企業(yè)一定程度上的業(yè)務(wù)能力損失,修復(fù)成本相對(duì)較大。對(duì)于一些暫時(shí)不能修復(fù)或需要投入較長(zhǎng)時(shí)間才能修復(fù)的漏洞,可通過部署專業(yè)的安全防護(hù)設(shè)備和設(shè)置相應(yīng)的規(guī)則進(jìn)行防護(hù)。通過安全設(shè)備的實(shí)時(shí)防護(hù)能力獲得網(wǎng)上訂貨系統(tǒng)安全防護(hù)能力的提升,以達(dá)到更好的防護(hù)效果,例如對(duì)于基于Web應(yīng)用的訂貨系統(tǒng)來說,應(yīng)用層攻擊主要包括諸如SQL注入、跨站腳本等攻擊,這時(shí)應(yīng)當(dāng)通過在網(wǎng)上訂貨系統(tǒng)前端部署Web應(yīng)用防火墻,進(jìn)行實(shí)時(shí)防護(hù)[12]。威脅是動(dòng)態(tài)的,在不同時(shí)期、不同應(yīng)用、不同技術(shù)、不同用戶及不同環(huán)境條件下,會(huì)暴露出不同隱患,因而定期對(duì)系統(tǒng)進(jìn)行安全測(cè)試評(píng)估、對(duì)安全設(shè)備進(jìn)行動(dòng)態(tài)配置和策略升級(jí)管理是信息安全防護(hù)中必須開展的常規(guī)而又重要的工作。

3.2 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

為保證網(wǎng)上訂貨業(yè)務(wù)的連續(xù)順暢,避免線路和設(shè)備單點(diǎn)故障,一般采用雙運(yùn)營(yíng)商或多運(yùn)營(yíng)商線路接入模式。如圖5所示。

3.2.1 建立DMZ區(qū)

DMZ是“demilitarized zone”的縮寫,稱為“隔離區(qū)”,也叫“非軍事化區(qū)”。 是為了解決安裝防火墻后,外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)備系統(tǒng),如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。通過這樣一個(gè)DMZ區(qū)域,可以更有效地保護(hù)內(nèi)部網(wǎng)絡(luò)[13]。

為保證網(wǎng)上訂貨系統(tǒng)的安全,同時(shí)有效保護(hù)內(nèi)網(wǎng)的安全,當(dāng)前網(wǎng)上訂貨系統(tǒng)部署在DMZ區(qū),DMZ區(qū)負(fù)責(zé)對(duì)外提供網(wǎng)上訂貨Web網(wǎng)站服務(wù),同時(shí)起到安全邊界的作用。DMZ區(qū)直接面對(duì)外網(wǎng),受到的安全威脅最大,所以對(duì)網(wǎng)絡(luò)安全性要求很高,對(duì)DMZ區(qū)采取如下策略。

（1）在DMZ區(qū)通過兩道防火墻進(jìn)行安全區(qū)域隔離,網(wǎng)上訂貨Web服務(wù)器放置在DMZ區(qū)內(nèi),外網(wǎng)用戶只能訪問DMZ區(qū),不能訪問內(nèi)網(wǎng)區(qū)。兩道防火墻（不同品牌）的作用主要是便于在防火墻上進(jìn)行安全策略部署,可以進(jìn)一步提高系統(tǒng)安全性。這里可考慮將防火墻升級(jí)為高性能的下一代防火墻,同時(shí)開啟防火墻防病毒過濾、郵件過濾、DDoS洪泛過濾功能等應(yīng)用管理模塊；

（2）在DMZ區(qū)部署IPS防入侵檢測(cè)設(shè)備,由于網(wǎng)上訂貨Web服務(wù)易受應(yīng)用層攻擊,如病毒、木馬等,導(dǎo)致網(wǎng)頁(yè)篡改、網(wǎng)站癱瘓、信息泄密等不良后果,通過部署IPS主動(dòng)監(jiān)測(cè),實(shí)時(shí)阻斷非法攻擊或病毒等惡意行為；

（3）在訂貨系統(tǒng)Web服務(wù)器前端部署Web應(yīng)用防火墻,該設(shè)備提供網(wǎng)站安全運(yùn)維過程中的一系列控制手段,可以對(duì)到達(dá)網(wǎng)上訂貨系統(tǒng)的所有流量進(jìn)行雙向檢測(cè),及時(shí)阻斷攻擊者對(duì)網(wǎng)上訂貨系統(tǒng)的惡意行為,為訂貨系統(tǒng)提供實(shí)時(shí)的防護(hù)。

網(wǎng)上訂貨DMZ區(qū)部署拓?fù)淙鐖D5所示。

圖5 網(wǎng)上訂貨系統(tǒng)DMZ區(qū)拓?fù)涫疽鈭DFig. 5 Topology diagram for the DMZ area of online ordering system

3.2.2 建立抗拒絕服務(wù)策略

對(duì)于拒絕服務(wù)攻擊的防護(hù),可考慮在網(wǎng)絡(luò)出口端部署流量清洗設(shè)備ADS（Anti-DDoS System）,并協(xié)同流量上游運(yùn)營(yíng)商如電信、移動(dòng)、聯(lián)通等共同防護(hù),運(yùn)營(yíng)商端的ADS設(shè)備做旁路部署,采用流量牽引技術(shù),做大流量監(jiān)測(cè)過濾,以實(shí)現(xiàn)煙草商業(yè)企業(yè)端和運(yùn)營(yíng)商端分層防護(hù)效果,最大程度減少拒絕服務(wù)攻擊帶來的影響[14]。網(wǎng)上訂貨系統(tǒng)抗拒絕服務(wù)部署拓?fù)淙鐖D6所示。

圖6 抗拒絕服務(wù)部署拓?fù)涫疽鈭DFig. 6 Anti-DDoS System deployment topology diagram

3.3 全面安全管理

信息安全管理必須遵循木桶原理,要求補(bǔ)齊短板,全面執(zhí)行到位。

管理上,制定信息安全管理制度。重視信息安全應(yīng)急預(yù)案和細(xì)案的制定并定期開展演練；建立日常信息安全巡查機(jī)制；加強(qiáng)系統(tǒng)賬號(hào)的安全審計(jì)及權(quán)限管理；定期對(duì)用戶開展安全技能培訓(xùn),提高用戶安全防范意識(shí)和水平。

技術(shù)上,完善安全軟硬件的配備。通過部署防病毒軟件、升級(jí)系統(tǒng)補(bǔ)丁保證服務(wù)器操作系統(tǒng)的安全；通過漏洞掃描、威脅檢測(cè)系統(tǒng)發(fā)現(xiàn)和識(shí)別各種漏洞和攻擊行為；合理配置入侵防御系統(tǒng)、Web應(yīng)用防火墻、抗拒絕服務(wù)系統(tǒng)等產(chǎn)品的安全策略；建立協(xié)同防護(hù)機(jī)制,各種防護(hù)設(shè)備不應(yīng)該是彼此孤立的,攻擊流量應(yīng)在不同防護(hù)設(shè)備之間進(jìn)行調(diào)度,安全設(shè)備之間協(xié)同工作配合的效率越高,則防護(hù)效果越好；通過部署運(yùn)維審計(jì)和數(shù)據(jù)庫(kù)審計(jì)設(shè)備及時(shí)發(fā)現(xiàn)入侵行為、非合規(guī)操作行為等,使運(yùn)維管理員能更有效地對(duì)系統(tǒng)和數(shù)據(jù)安全進(jìn)行監(jiān)控和管理；通過部署準(zhǔn)入控制系統(tǒng),阻止外來終端隨意接入內(nèi)網(wǎng),提高內(nèi)網(wǎng)終端安全[15]。

4 結(jié)語

一個(gè)基于完整的系統(tǒng)安全開發(fā)生命周期管理方法能夠極大提高網(wǎng)上訂貨系統(tǒng)的安全質(zhì)量,有效控制系統(tǒng)的漏洞威脅。安全開發(fā)生命周期理念同樣適用于行業(yè)其它應(yīng)用系統(tǒng)的開發(fā),隨著系統(tǒng)安全開發(fā)生命周期管理方法的推行,信息系統(tǒng)安全質(zhì)量將得到明顯提高。

在網(wǎng)上訂貨系統(tǒng)安全防護(hù)上需要建立以安全管理與安全技術(shù)相結(jié)合的縱深防護(hù)體系,才能防范和抵御各種攻擊。一個(gè)全天候、主動(dòng)的、分層的、協(xié)同的、高效的網(wǎng)上訂貨系統(tǒng)安全防護(hù)體系是建立在快速發(fā)現(xiàn)、快速響應(yīng)和快速防護(hù)基礎(chǔ)上的。具體來說,通過對(duì)訂貨系統(tǒng)的有效檢測(cè)和修復(fù)將防護(hù)提前到攻擊發(fā)起之前,通過分層防護(hù)實(shí)現(xiàn)對(duì)系統(tǒng)拒絕服務(wù)攻擊的有效處理,高效的防護(hù)調(diào)度及設(shè)備間的協(xié)同配合,可以極大地提高處理攻擊的響應(yīng)速度和防護(hù)效果。只有把握這一防護(hù)思路,才能為煙草商業(yè)企業(yè)網(wǎng)上訂貨系統(tǒng)提供有力的安全保障。

[1] Michal Zalewski.Web之困：現(xiàn)代Web應(yīng)用安全指南[M].朱筱丹 譯. 北京：機(jī)械工業(yè)出版社,2013.Zalewski M. The Tangled Web: A Guide to Securing of Modern Web Applications[M]. Beijing：China Machine Press,2013.(in Chinese)

[2] 2014年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL].[2015-06-02].http://www.cert.org.cn/publish/main/46/index.html.2014 China Internet Network Security Report[EB/OL].[2015-06-02].http://www.cert.org.cn/publish/main/46/index.html.(in Chinese)

[3] 從安全攻擊實(shí)例看數(shù)據(jù)庫(kù)安全[EB/OL].[2015-06-05].http://www.youxia.org/attack-database-security.html.Database security from security attack case[EB/OL].[2015-06-05].http://www.youxia.org/attack-database-security.html.(in Chinese)

[4] 當(dāng)我們談Web應(yīng)用安全的時(shí)候主要談哪些[EB/OL].[2015-01-29].http://sec.chinabyte.com/34/13164034.shtml.What do we talk about Web application security? [EB/OL].[2015-01-29].http://sec.chinabyte.com/34/13164034.shtml.(in Chinese)

[5] 陳小兵,范淵,孫立偉.Web滲透技術(shù)及實(shí)戰(zhàn)案例解析[M]. 北京：電子工業(yè)出版社,2012.Chen XB, Fan Y, Sun LW. Web penetration technology and case analysis[M].Publishing House of Electronics Industry,2012.(in Chinese)

[6] 克拉克.SQL注入攻擊與防御[M]. 北京：清華大學(xué)出版社,2010.Clarke J. SQL Injection Attack and Defense[M]. Tsinghua University Press,2010. (in Chinese)

[7] 邱永華.XSS跨站腳本攻擊剖析與防御[M]. 北京：人民郵電出版社,2013.Qiu YH. XSS Cross-site Scripting Attacks and Defense Analysis[M].Posts & Telecom Press,2013. (in Chinese)

[8] 如何正確的防范應(yīng)用層拒絕服務(wù)攻擊[EB/OL].[2014-09-13].http://www.2cto.com/Article/201409/332513.html.How to properly prevent application-layer denial of service attacks [EB/OL].[2014-09-13].http://www.2cto.com/Article/201409/332513.html. (in Chinese)

[9] 在線攻擊的幕后場(chǎng)景：對(duì)利用Web漏洞行為的分析[EB/OL].[2015-06-08].http://www.youxia.org/online-attackweb.html.Online attacks behind the scene: To analyze the behavior of Web vulnerability[EB/OL].[2015-06-08].http://www.youxia.org/online-attack-web.html.(in Chinese)

[10] 李銳.新環(huán)境下的信息系統(tǒng)安全開發(fā)與測(cè)試[J].計(jì)算機(jī)安全,2012(10):63-65.Li R. Information System Security Development and Testing In Current Environment Analysis and Discussion [J].Computer Security,2012(10):63-65. (in Chinese)

[11] Michael Howard,Steve Lipner.軟件安全開發(fā)生命周期[M]. 李兆星,原浩,張鋮 譯. 北京：電子工業(yè)出版社,2008.Howard M, Lipner S. The Security Development Lifecycle[M].Publishing House of Electronics Industry,2008.(in Chinese)

[12] 為什么要部署Web應(yīng)用防火墻[EB/OL].[2014-11-24].http://www.searchsecurity.com.cn/showcontent_86318.html.Why do you want to deploy a Web Application Firewall[EB/OL].[2014-11-24].http://www.searchsecurity.com.cn/showcontent_86318.html. (in Chinese)

[13] 怎樣在不同網(wǎng)絡(luò)安全需求下創(chuàng)建DMZ區(qū)[EB/OL].[2013-08-20].http://security.ctocio.com.cn/358/12697858.shtml.How to create a DMZ area under di ff erent network security requirements[EB/OL].[2013-08-20]. http://security.ctocio.com.cn/358/12697858.shtml. (in Chinese)

[14] 王會(huì)梅,鮮明,王國(guó)玉.網(wǎng)絡(luò)抗拒絕服務(wù)攻擊性能的集對(duì)評(píng)估方法[J].計(jì)算機(jī)科學(xué),2012(4):53-55.Wang HM, Xian M, Wang GY. Set Pair Analysis Method for Evaluating Denial of Service Attack Resistance Ability[J].Computer Science,2012(4):53-55. (in Chinese)

[15] 張繼彬.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(7):132-132.Zhang JB. Computer network information security and protection strategy research[J].Network Security Technology & Application, 2014(7):132-132. (in Chinese)

Re fl ection on the protection of online ordering system for cigarettes

LAI Ruqin，YU Min
Information Centre, Fujian Nanping Municipal Tobacco Company, Nanping 353000, China

With the development of web application, security threats including application layer attacks and denial of service attacks are increasingly serious. The online ordering system for cigarettes is also faced with such threats. This paper put forward some thoughts on the methods of safety protection by reviewing those threats for tobacco commercial enterprises.

Web application; SQL injection; XSS; DDoS; SDL; security protect

賴如勤,于閩. 煙草網(wǎng)上訂貨系統(tǒng)安全防護(hù)思路[J]. 中國(guó)煙草學(xué)報(bào),2016,22（2）

賴如勤(1969—),研究生,工程師,主要研究方向?yàn)樾畔⒓夹g(shù)應(yīng)用及管理,Email：423853967@qq.com

2015-07-28

：LAI Ruqin,YU Min. Reflection on the protection of online ordering system for cigarettes [J]. Acta Tabacaria Sinica,2016,22(2)