亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

“泄密門”的背后

發(fā)布時間:  2012/8/31 17:16:56

在2011年的歲末發(fā)生的密碼泄露事件引暴信息安全話題。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計,截至12月29日,CNCERT通過公開渠道獲得疑似泄露的數(shù)據(jù)庫有26個,涉及帳號、密碼2.78億條。其中,具有與網(wǎng)站、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫有12個,涉及數(shù)據(jù)1.36億條;無法判斷網(wǎng)站、論壇關(guān)聯(lián)性的數(shù)據(jù)庫有14個,涉及數(shù)據(jù)1.42億條。

2011年12月28日,工業(yè)和信息化部發(fā)布通告稱,用戶信息泄露事件嚴重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益,危害互聯(lián)網(wǎng)安全。工信部對竊取和泄露用戶信息的行為表示強烈譴責(zé)。同時,要求各互聯(lián)網(wǎng)站要開展全面的安全自查。

網(wǎng)站傷不起

大量網(wǎng)站泄密事件的曝光,反映了網(wǎng)站安全防護的薄弱,很多網(wǎng)站甚至采用了明文密碼存儲或不安全的MD5加密存儲。網(wǎng)站處于互聯(lián)網(wǎng)這樣一個相對開放的環(huán)境中,網(wǎng)站整體安全防護中的任何一點漏洞或不足都可能在網(wǎng)絡(luò)上被迅速放大和利用,從而導(dǎo)致網(wǎng)站安全事件層出不窮。

天融信高級安全顧問呂延輝認為,在缺乏整體防護措施或安全意識不夠的情況下安全事件的發(fā)生只是“時間問題”。實際上,國內(nèi)網(wǎng)站競爭激烈,很多企業(yè)都把大部分精力放在了發(fā)展業(yè)務(wù)上,在安全防護上投入很少或無力投入。沒有一種技術(shù)或產(chǎn)品能夠解決所有安全問題,在有限投入情況下,安全的防護水平必然也是有限的,安全風(fēng)險或隱患的存在也成為了一種必然。

在東軟網(wǎng)絡(luò)安全資深咨詢顧問仝磊看來,此次泄密事件可以說是必然會發(fā)生的,只是發(fā)生這件事情的對象存在一定的偶然性而已。目前,國內(nèi)對于信息安全的重視不夠,無論是個人還是組織,均是如此。對信息安全意識不足,發(fā)生安全事故是遲早的事。從另一方面看,如果能借此提高大家的信息安全保護意識,長遠來看或許是件好事。

資深安全顧問張百川表示,許多網(wǎng)站設(shè)計之初就只考慮業(yè)務(wù)而不考慮安全。在試運行期間只要功能滿足就驗收通過。在網(wǎng)站的規(guī)劃、設(shè)計、實施、運維、廢棄等五個階段沒有一個安全的考慮。這樣“湊合”用的系統(tǒng),安全性顯而易見。

一位資深的安全應(yīng)急工程師告訴記者:“很多企業(yè)根本沒有重視過信息安全,出了安全問題才想辦法解決,而且在解決上只考慮掩蓋,而不是從根本上考慮解決。”同時,他向記者舉例,目前國內(nèi)電子商務(wù)公司里有安全部門的很少,有些公司就算設(shè)立安全部門也不過1-2個人,沒權(quán)力沒資源根本沒法實現(xiàn)信息安全。

有專家指出,目前國內(nèi)企業(yè)和機構(gòu)普遍存在對信息安全的認識不足、安全設(shè)備零或少投入、制度的缺失、流程的不完善、權(quán)限分配不合理等問題。一位網(wǎng)警向記者表示,很多因黑客攻擊而報案的網(wǎng)站基本上無安全投入或者沒有相應(yīng)的防護措施。

應(yīng)用漏洞引發(fā)的血案

此次密碼泄露事件讓網(wǎng)站安全成為了大眾的關(guān)注焦點。賽門鐵克資深首席信息安全技術(shù)顧問林育民分析后表示,此次“泄密門”以網(wǎng)站應(yīng)用安全漏洞導(dǎo)致外泄的可能性最高。

根據(jù)安全公司給CSDN提供的審計報告,此次CSDN資料泄露事件暴露出該網(wǎng)站的四個安全問題:第一是開源系統(tǒng)等第三方系統(tǒng)存在漏洞,導(dǎo)致CSDN系統(tǒng)存在安全風(fēng)險;其次是應(yīng)用程序存在跨站腳本漏洞;第三,網(wǎng)站存在大量系統(tǒng)后臺認證漏洞,如安全等級較弱的口令等;第四,一些已經(jīng)停用但還在線上的老系統(tǒng)由于安全級別低,泄露了大量信息。

通過網(wǎng)站應(yīng)用安全漏洞而導(dǎo)致數(shù)據(jù)泄密的事件還在繼續(xù)發(fā)生,在2012年新年伊始,新浪愛問被發(fā)現(xiàn)存在SQL注入漏洞,利用漏洞可讀取愛問數(shù)據(jù)庫的內(nèi)容,包括明文密碼在內(nèi)的7000多萬新浪用戶信息。有安全人士通過SQL注入對著名魔術(shù)師劉謙的賬號和密碼進行嘗試性攻擊并取得成功,劉謙得知此事后在微博上連呼“太恐怖”。

SQL注入攻擊本身就是對數(shù)據(jù)庫進行一系列SQL語句的查詢,黑客可以執(zhí)行一個SQL查詢來實現(xiàn)繞過身份驗證或者操縱數(shù)據(jù)。通過SQL注入攻擊,黑客可以輕松地敲入一些SQL語句登錄進網(wǎng)站、對隱秘數(shù)據(jù)進行查詢等等。而這一切都可以在瀏覽器中進行。不止一位安全工程師向記者調(diào)侃:“不怕流氓會武術(shù),就怕黑客會注入。”可見SQL注入的危害性和代表性。

但此次密碼泄露事件涉及的眾多網(wǎng)站,并不單純是因為SQL注入攻擊而失守。根據(jù)知道創(chuàng)宇公司對500萬個網(wǎng)站檢測后得出結(jié)論,SQL注入和XSS跨站攻擊已經(jīng)成為黑客主流攻擊網(wǎng)站的手段。

防范之道

SQL通用防注入系統(tǒng)的作者Neeao認為,此次密碼泄露事件大部分是因為網(wǎng)站出現(xiàn)安全問題而導(dǎo)致數(shù)據(jù)庫被攻擊。網(wǎng)站程序開發(fā)初期就應(yīng)該考慮安全問題,同時應(yīng)該嚴格把控代碼的上線管理流程,所有代碼規(guī)范管理。

明朝萬達總裁王志海指出,全員的安全意識培訓(xùn)特別是技術(shù)開發(fā)和服務(wù)人員的安全意識是必要的,只要讓大家牢牢樹立信息安全防范意識,徹底排除僥幸心理,并融入到具體的開發(fā)和服務(wù)工作中,才能減少類似事件的發(fā)生。

專注于Web安全的團隊80sec成員宋申雷以木桶比喻網(wǎng)站安全體系。他表示,以新浪愛問存在SQL注入為例,就是關(guān)聯(lián)業(yè)務(wù)出現(xiàn)安全問題導(dǎo)致安全體系出現(xiàn)短板。目前,多數(shù)網(wǎng)站系統(tǒng)存在漏洞是由于業(yè)務(wù)部門不重視安全,沒有產(chǎn)品上線和測試的安全流程所致。

記者在咨詢多位安全工程師后歸納網(wǎng)站應(yīng)用安全問題的原因主要有兩個方面:一方面是代碼的安全問題,SQL注入漏和XSS都是利用了Web頁面的編寫不完善,所以每一個漏洞所利用和針對的弱點都不盡相同。所以,不可能以單一特征來概括,這和開發(fā)人員對于安全的理解程度有關(guān),應(yīng)該通過加強開發(fā)人員的安全意識來避免。另外一方面是由于服務(wù)器配置原因造成,如目錄遍歷、備份文件直接可通過Web下載,IIS寫權(quán)限等,這部分主要與服務(wù)器運維人員有關(guān)。應(yīng)該建立健全的服務(wù)器配置管理流程,并嚴格執(zhí)行。

此外,很多企業(yè)為方便工作,應(yīng)用系統(tǒng)的用戶賬號和口令存在很明顯的規(guī)則性。仝磊向記者介紹了一個因黑客摸清了業(yè)務(wù)系統(tǒng)生成默認賬號密碼的規(guī)律而被入侵的案例。仝磊建議,如果用戶能夠定期變更默認用戶賬號密碼生成的規(guī)律,其損失就會大大減小,發(fā)生惡意事件的幾率也會大大降低。

除了防范網(wǎng)站應(yīng)用安全外,還要加強對數(shù)據(jù)庫的審計,可對數(shù)據(jù)庫操作的有完整記錄并能夠?qū)ν獠康臄?shù)據(jù)庫未授權(quán)訪問行為有效阻斷。

據(jù)了解,目前多家安全公司如綠盟科技、啟明星辰、安恒科技、安全寶等已啟動提供免費的網(wǎng)站安全體檢的服務(wù),可幫助技術(shù)力量相對薄弱的企業(yè)掌握網(wǎng)站的安全狀況。


本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線