做好安全測評 加強(qiáng)網(wǎng)站安全建設(shè)

劉 燕

(鐵道黨校，北京 100088)

【現(xiàn)代管理】

做好安全測評 加強(qiáng)網(wǎng)站安全建設(shè)

劉 燕

(鐵道黨校，北京 100088)

當(dāng)今時(shí)代，網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用極大地推動(dòng)了經(jīng)濟(jì)社會(huì)的發(fā)展，加快了人類文明的進(jìn)步。人們通過互聯(lián)網(wǎng)來獲取信息的依賴性越來越大，這進(jìn)一步促進(jìn)了網(wǎng)絡(luò)應(yīng)用的開發(fā)和網(wǎng)站的建設(shè)。然而，互聯(lián)網(wǎng)給人們帶來巨大便利的同時(shí)，也存在著不可忽視的安全問題。網(wǎng)站設(shè)計(jì)之初首先要考慮的就是安全問題，但是總有一些不可避免的風(fēng)險(xiǎn)漏洞，將用戶信息暴露在被非法利用的危險(xiǎn)之中，造成不堪設(shè)想的嚴(yán)重后果。目前，網(wǎng)絡(luò)安全問題已經(jīng)引起了各個(gè)領(lǐng)域的高度重視。作為指導(dǎo)國家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件，國家互聯(lián)網(wǎng)信息辦公室2016年12月27日發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，其重要目的之一就是在保證網(wǎng)站安全建設(shè)中推進(jìn)互聯(lián)網(wǎng)技術(shù)的發(fā)展進(jìn)程。因此，網(wǎng)絡(luò)管理人員需要時(shí)刻保持高度警惕，通過各種方式保證網(wǎng)站安全，防患于未然。定期地通過專業(yè)的安全測評工具對應(yīng)用系統(tǒng)的各方面進(jìn)行安全檢查，是保證網(wǎng)站安全運(yùn)行的必要措施。

一、網(wǎng)站安全問題頻出，給予我們風(fēng)險(xiǎn)警示

在互聯(lián)網(wǎng)的廣泛應(yīng)用過程中，各種網(wǎng)站信息泄露、網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒、拒絕服務(wù)攻擊、SQL注入、跨站點(diǎn)腳本編制和木馬植入等問題層出不窮。目前，最嚴(yán)重的網(wǎng)絡(luò)安全問題是網(wǎng)站篡改。國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)的安全報(bào)告中指出，僅2016年12月19日至25日一周內(nèi)，CNCERT監(jiān)測發(fā)現(xiàn)境內(nèi)被篡改網(wǎng)站數(shù)量為3050個(gè)；境內(nèi)被植入后門的網(wǎng)站數(shù)量為1608個(gè)；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為1997個(gè)。*網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)-2016年第52期漏洞情況中指出，同一時(shí)間段內(nèi)國家信息安全漏洞共享平臺(tái)(CNVD)新收錄的網(wǎng)絡(luò)安全漏洞360個(gè)，其中應(yīng)用程序漏洞占比最高為56.4%，其次為操作系統(tǒng)漏洞占比18.3%，Web應(yīng)用漏洞占比15.63%。

針對國內(nèi)網(wǎng)站安全問題頻出的情況，結(jié)合我單位于2016年6月對單位內(nèi)某網(wǎng)站進(jìn)行的WAF設(shè)備安全掃描結(jié)果，顯示了網(wǎng)站受到的各類攻擊事件和數(shù)量，如：跨站攻擊367起、資源盜鏈329個(gè)、爬蟲事件216起、Cookie篡改212起、服務(wù)器信息泄露124次、Web插件漏洞攻擊113個(gè)，還有相當(dāng)部分的非法下載、HTTP訪問控制事件、HTTP協(xié)議違背和SQL注入攻擊等。根據(jù)統(tǒng)計(jì)數(shù)字分析，在網(wǎng)絡(luò)安全日益嚴(yán)峻的形勢下，如若發(fā)生關(guān)鍵基礎(chǔ)設(shè)施遭受攻擊破壞的重大安全事件，將給網(wǎng)站和用戶帶來各種不利影響，有時(shí)甚至造成不可挽回的損失。因此，網(wǎng)絡(luò)安全應(yīng)該引起我們的高度重視。

作為對網(wǎng)站安全的應(yīng)對，首先可以通過風(fēng)險(xiǎn)測評將網(wǎng)站整體的安全程度和風(fēng)險(xiǎn)承受能力等級了解清晰；同時(shí)，明確風(fēng)險(xiǎn)和漏洞類型，針對這些風(fēng)險(xiǎn)進(jìn)行分析；進(jìn)而，根據(jù)分析結(jié)果來采取相應(yīng)措施，全方位保證網(wǎng)站安全。

二、通過安全測評檢測網(wǎng)站安全風(fēng)險(xiǎn)的實(shí)踐

結(jié)合目前行之有效的方法和本單位網(wǎng)站建設(shè)的實(shí)際，我們經(jīng)由安全測評來檢測網(wǎng)站的風(fēng)險(xiǎn)承受能力，根據(jù)檢測結(jié)果中的指標(biāo)參數(shù)說明網(wǎng)站的安全程度，并依照風(fēng)險(xiǎn)分析結(jié)果來應(yīng)對網(wǎng)站安全防護(hù)問題。

(一)項(xiàng)目背景和實(shí)踐

鑒于上述網(wǎng)站安全頻出的問題，為提高網(wǎng)站安全通暢運(yùn)行能力，我單位開展了網(wǎng)站風(fēng)險(xiǎn)測評項(xiàng)目。利用檢測工具對所管理的網(wǎng)站進(jìn)行測評，明確網(wǎng)站的安全程度和風(fēng)險(xiǎn)承受能力，并根據(jù)檢測結(jié)果來強(qiáng)化風(fēng)險(xiǎn)防護(hù)措施。

網(wǎng)站安全測評主要包括主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)的安全評估測試，找出系統(tǒng)主機(jī)層、應(yīng)用層存在的安全漏洞，分析安全漏洞對系統(tǒng)的威脅，評估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，并給出整改建議。主機(jī)系統(tǒng)的測評工具“漏洞管理工具極光遠(yuǎn)程安全評估系統(tǒng)”(以下簡稱“RSAS”)，采用高效、智能的漏洞識別技術(shù)主動(dòng)對主機(jī)系統(tǒng)進(jìn)行全面的漏洞檢測、分析，并提供專業(yè)、有效的漏洞防護(hù)建議。應(yīng)用系統(tǒng)的測評工具采用AppScan安全滲透測試工具——“IBM Security Appscan 9.0.3 Web網(wǎng)站脆弱性評估工具”，用于發(fā)現(xiàn)應(yīng)用系統(tǒng)存在漏洞，對比自身漏洞庫，給出掃描結(jié)果；該方式支持通過模擬攻擊來測試應(yīng)用中的漏洞，最后根據(jù)安全風(fēng)險(xiǎn)的嚴(yán)重程度對漏洞進(jìn)行風(fēng)險(xiǎn)等級劃分。

(二)風(fēng)險(xiǎn)測評結(jié)果分析

在主機(jī)安全測評中，利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)漏洞掃描。針對以下七個(gè)方面：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制等進(jìn)行全面測評，檢測出目標(biāo)系統(tǒng)中存在的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和常見應(yīng)用漏洞，如緩沖區(qū)溢出漏洞、系統(tǒng)或應(yīng)用程序弱口令漏洞、系統(tǒng)或應(yīng)用程序因未及時(shí)更新補(bǔ)丁所暴露出的漏洞等。根據(jù)網(wǎng)站測評的結(jié)果整體系統(tǒng)存在的威脅和其產(chǎn)生的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面。

1.針對主機(jī)的攻擊威脅

包括針對windows操作系統(tǒng)以及其使用的.NET Framework、Visual Studio和IE等框架和軟件的安全漏洞的攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或?qū)ο到y(tǒng)信息進(jìn)行破壞。

2.針對數(shù)據(jù)庫的攻擊威脅

包括在對數(shù)據(jù)庫系統(tǒng)MariaDB、Oracle MySQL和Percona Serve、Oracle Java SE、Apache Tomcat中間件以及SSL/TLS協(xié)議的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源、拒絕服務(wù)和進(jìn)行其他形式的服務(wù)攻擊。

3.管理不當(dāng)所引起的威脅

包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄露、損毀等；由于采用遠(yuǎn)程管理而引發(fā)的威脅；缺乏足夠的安全審計(jì)致使對安全事件不敏感，無法發(fā)現(xiàn)攻擊行為等。

4.配置不當(dāng)所引起的威脅

包括在主機(jī)上開放了未做安全防范的服務(wù)所造成的威脅。

在應(yīng)用安全測評中，測評人員將綜合采用文檔查閱與分析、人工驗(yàn)證、輔助工具等方法來獲取必要證據(jù)，用于評測信息系統(tǒng)的應(yīng)用安全保護(hù)能力，具體的測評指標(biāo)涉及九個(gè)方面：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復(fù)、軟件容錯(cuò)和資源控制?，F(xiàn)場核查測試結(jié)束后，測試人員需要對得到的脆弱性、威脅數(shù)據(jù)進(jìn)行分類整理和風(fēng)險(xiǎn)分析，主要出現(xiàn)的高危漏洞類型：有MongoDB NoSQL注入和SQL盲注，已解密的登錄請求，跨站點(diǎn)腳本編制；中危漏洞類型有：會(huì)話標(biāo)識未更新，使用HTTP動(dòng)詞篡改的認(rèn)證旁路，通過框架釣魚。

(三)網(wǎng)站安全風(fēng)險(xiǎn)解決辦法

根據(jù)上述網(wǎng)站測評的風(fēng)險(xiǎn)分析結(jié)果，網(wǎng)站安全防護(hù)亟須加強(qiáng)，主機(jī)和應(yīng)用兩個(gè)方面都需要采取有效措施來修復(fù)漏洞和降低風(fēng)險(xiǎn)，主要采用自身修復(fù)和外部防護(hù)措施相結(jié)合的方式提高網(wǎng)站安全程度和抵抗風(fēng)險(xiǎn)和攻擊的能力。將檢測分析結(jié)果整理出整改措施意見并付諸于行動(dòng)，在整改完成之后繼續(xù)按照初測流程進(jìn)行復(fù)測，直至將網(wǎng)站風(fēng)險(xiǎn)漏洞降至低級以至零風(fēng)險(xiǎn)。

總結(jié)網(wǎng)站修復(fù)整改解決方法主要分為三個(gè)方面，系統(tǒng)自身修復(fù)、外部設(shè)備和策略防護(hù)以及網(wǎng)絡(luò)管理人員的安全管理維護(hù)。

1.系統(tǒng)自身修復(fù)主要包括：

一是系統(tǒng)漏洞補(bǔ)丁的安裝。定期修復(fù)主機(jī)漏洞和進(jìn)行補(bǔ)丁更新，在一定程度上完善操作系統(tǒng)和應(yīng)用軟件，降低外界對服務(wù)器的攻擊。建立補(bǔ)丁管理的手段或補(bǔ)丁管理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試記錄。對操作系統(tǒng)的安全配置進(jìn)行嚴(yán)格的設(shè)置，刪除系統(tǒng)不必要的服務(wù)、協(xié)議。

二是安裝殺毒軟件。在服務(wù)器上安裝殺毒軟件能夠?qū)︵]件、FTP 文件、網(wǎng)頁、存儲(chǔ)設(shè)備等信息源進(jìn)行監(jiān)控和安全攔截。制定定期定時(shí)的漏掃和升級策略，通過更新病毒庫提高殺毒軟件的病毒全面覆蓋能力，有效減少攻擊者通過各類病毒、木馬、蠕蟲等惡意代碼對服務(wù)器進(jìn)行攻擊的安全隱患。

2.外部設(shè)備和策略防護(hù)主要包括：

一是防火墻制定嚴(yán)密訪問限制策略。防火墻作為網(wǎng)絡(luò)安全的屏障，保護(hù)網(wǎng)絡(luò)環(huán)境減低風(fēng)險(xiǎn)，加強(qiáng)安全設(shè)置，過濾不安全的服務(wù)，制定授權(quán)訪問策略，禁止不安全的協(xié)議，監(jiān)控審計(jì)網(wǎng)絡(luò)存取和訪問記錄，設(shè)定閾值進(jìn)行報(bào)警并提示網(wǎng)絡(luò)監(jiān)測和攻擊的詳細(xì)信息，查看日志文件分析網(wǎng)絡(luò)安全行為。劃分網(wǎng)絡(luò)區(qū)域?qū)⒅攸c(diǎn)網(wǎng)絡(luò)隔離保護(hù)，保障敏感區(qū)域的高度安全。

二是利用網(wǎng)絡(luò)設(shè)備做好入侵檢測。應(yīng)用IDS設(shè)備進(jìn)行實(shí)時(shí)入侵檢測和事后入侵檢測，通過檢測可以使系統(tǒng)免遭黑客攻擊、木馬病毒感染、DDoS惡意流量攻擊等危險(xiǎn)侵害；對敏感數(shù)據(jù)外泄、文件識別和服務(wù)器非法外聯(lián)的異常行為進(jìn)行防護(hù)；可以有效監(jiān)測惡意URL和Botnet以保護(hù)用戶在訪問已感染病毒或者植入木馬的網(wǎng)站時(shí)不受侵害；即時(shí)攔截Web威脅，全面監(jiān)測P2P下載和在線網(wǎng)絡(luò)活動(dòng)，限制非授權(quán)的網(wǎng)絡(luò)流量，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

三是添加WAF設(shè)備加強(qiáng)Web服務(wù)器防護(hù)。WAF防護(hù)功能包含：Web服務(wù)器漏洞防護(hù)、Web插件漏洞防護(hù)、爬蟲防護(hù)、跨站腳本防護(hù)、SQL注入防護(hù)、LDAP注入防護(hù)、SSI指令防護(hù)、XPATH注入防護(hù)、命令行注入防護(hù)、路徑穿越防護(hù)、遠(yuǎn)程文件包含防護(hù)，應(yīng)用抗DDoS算法和多種應(yīng)用層抗DDoS技術(shù)，可防護(hù)各類帶寬資源耗盡型DDoS和應(yīng)用層DDoS，實(shí)時(shí)阻斷攻擊流量，從網(wǎng)絡(luò)層面確保Web業(yè)務(wù)的可用性及連續(xù)性。

3.網(wǎng)絡(luò)管理人員的安全管理維護(hù)方面主要包括：

一是配備專職管理人員并提高網(wǎng)站維護(hù)管理頻率。網(wǎng)絡(luò)管理、應(yīng)用系統(tǒng)管理和系統(tǒng)管理分別需要配備專門的管理人員；實(shí)行一崗一責(zé)制，有明確的制度來規(guī)范和界定工作職責(zé)與工作范圍，且崗位實(shí)行主、副崗備用制度。

二是規(guī)范數(shù)據(jù)備份和恢復(fù)工作。數(shù)據(jù)是是整個(gè)網(wǎng)絡(luò)的核心，數(shù)據(jù)一旦被破壞或丟失，對于應(yīng)用服務(wù)器來說，一方面嚴(yán)重影響網(wǎng)站的形象，另一方面影響到web服務(wù)的正常進(jìn)行，導(dǎo)致工作受到阻礙。完整規(guī)范的數(shù)據(jù)備份和恢復(fù)機(jī)制可以將服務(wù)器發(fā)生故障時(shí)的損失降到最低，縮短故障修復(fù)時(shí)間。

三是高度重視網(wǎng)站的密碼安全。網(wǎng)站管理采取密碼安全設(shè)置，制訂賬號密碼管理制度，賬戶密碼應(yīng)按期變更并保存變更相關(guān)記錄，對于有變化的賬戶需要及時(shí)更新并記錄在案。

除了以上所述的安全整改措施，還需要檢查平臺(tái)軟件是否存在自身漏洞。一個(gè)完善的網(wǎng)站在軟件開發(fā)階段有漏洞是難以避免的，通過各項(xiàng)測試最終上線就應(yīng)該保證軟件的穩(wěn)定性、可靠性、健壯性和流暢性，能夠正常運(yùn)行并在承載一定壓力時(shí)確保網(wǎng)站不至于崩潰，因此在選擇軟件時(shí)一定要謹(jǐn)慎選擇，多方面驗(yàn)證，優(yōu)中選優(yōu)。

三、做好網(wǎng)站安全測評帶給我們的啟示

通過此次網(wǎng)站安全測評，對單位網(wǎng)站的安全風(fēng)險(xiǎn)進(jìn)行了明確有效地檢測，將各類風(fēng)險(xiǎn)和漏洞進(jìn)行了分析和歸納，總結(jié)出網(wǎng)站主要攻擊類型，根據(jù)分析結(jié)果完成了網(wǎng)站的安全整改措施，大大提高了網(wǎng)站應(yīng)對和抵御風(fēng)險(xiǎn)的能力。此次項(xiàng)目檢測的實(shí)施，對以后的網(wǎng)站維護(hù)和網(wǎng)絡(luò)安全管理起到了關(guān)鍵的規(guī)范和強(qiáng)化作用，并促進(jìn)了一套行之有效的網(wǎng)絡(luò)安全機(jī)制的建立，保證網(wǎng)站達(dá)到物理安全、鏈路安全、網(wǎng)絡(luò)安全、應(yīng)用安全和用戶安全這五個(gè)層次。

但是，對于任何一套完整的信息系統(tǒng)來講，完全沒有風(fēng)險(xiǎn)是高度理想狀態(tài)，是幾乎不可能達(dá)到的。因此，應(yīng)當(dāng)客觀理性的看待漏洞風(fēng)險(xiǎn)的存在，依照避免安全操作缺失、降低漏洞風(fēng)險(xiǎn)等級、增強(qiáng)主機(jī)和程序的健壯性預(yù)防攻擊、接受所不能消除的風(fēng)險(xiǎn)等條件為宗旨提出解決辦法。在實(shí)際落實(shí)中，綜合考慮風(fēng)險(xiǎn)的嚴(yán)重程度、自身信息系統(tǒng)的發(fā)展需要、必須達(dá)到的安全需求等級以及自身技術(shù)水平的管理?xiàng)l件等幾大因素，對風(fēng)險(xiǎn)漏洞采取相應(yīng)措施，形成風(fēng)險(xiǎn)應(yīng)對方案，達(dá)到風(fēng)險(xiǎn)和成本的有效平衡。

(作者系鐵道黨校信息管理中心助理工程師)

〔責(zé)任編輯：周宗偉〕

TP309

B

1006-8279(2017)01-0069-03