数据安全防"脱库"解决方案信息泄密根源

　　注册用户数据作为网站所有者的核心信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。针对此类大规模数据泄密事件，安恒信息专家团队特别制作相关解决方案，敬请大家关注。

　　针对近期部分互联网站信息泄露事件，工信部于2011年12月28日发布通告要求：各互联网站要高度重视用户信息安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的 网站，要妥善做好善后工作，尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示，提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。

　　各互联网站要引以为戒，开展全面的安全自查， 及时发现和修复安全漏洞。要加强系统安全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息，保障用户信息安全。一旦发生网络安全事件，要在开展应急处置的同时，按照规定向互联网行业主管部门及时报告。

　　工信部同时提醒广大互联网用户提高信息安全意识，密切关注相关网站发布的公告，并根据网站安全提示修改密码。提高密码的安全强度并定期修改。

　　信息泄密的根源

　　2.1. 透过现象看本质

　　2.1.1. 攻击者因为利益铤而走险

　　攻击者为什么会冒着巨大的法律风险去获取用户信息?

　　2001年随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏账号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场;

　　2004年-2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库信息，其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客 “拖库”的主要目标。

　　2008年-2009年，国内信息安全立法和追踪手段的得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。

　　2010年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称作“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用ID或EMAIL，可以直接搜索出其常用密码或常用密码密文。

　　2011年12月21日，仅仅是在这一天，攻击者曾经获取到的部分数据库信息内容被陆续地公开了。

　　2.1.2. 应用层防护百密而一疏

　　在当今信息安全意识、信息安全产品都日益成熟的年代，为何入侵者获取数据依然如入无人之境? 很多人认为，在网络中不断部署防火墙、IDS、IPS等设备，可以提高网络的安全性。但是为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。

　　我们可以通过下面例子来举例黑客是如何常规获取信息系统的数据库信息的：攻防回合的延续包括传统安全设备使黑客入侵服务端主机系统难度加大，而WEB应用的登录入口表明了WEB应用程序与用户数据表之间存在关联，通过入侵WEB网站获得数据库信息成为针对网站数据库攻击的主要入手点，常见的攻击步骤如下：

　　一、 寻找目标网站(或同台服务器的其他网站)程序中存在的SQL注入、非法上传、后台管理权限等漏洞;

　　二、 通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WEBSHELL;

　　三、 通过已获得的WEBSHELL提升权限，获得对WEB应用服务器主机操作系统的控制权，并通过查看网站数据库链接文件，获得数据库的链接密码;

　　四、 通过在WEB应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者本地数据库(或直接下载服务器上可能存在的数据库备份文件);

　　五、清理服务器日志，设置长期后门。

　　目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化、趋利化的作业流程。

　　此例中我们发现，黑客针对应用系统的攻击已经完全无视传统的网络安全，而应用安全的建设恰好能够弥补网络安全的不足，提升了整个信息系统安全强度，能够有效地阻止黑客针对性的应用层攻击，降低数据信息被泄露的风险

　　2.2. 防泄密防好应用安全这块板

　　随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。

　　然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径，也将可能成为下一个被攻击者所公开的潜在网站数据。

　　据Gartner权威统计，目前75%的黑客攻击发生在WEB应用层，近期层出不穷的安全事件均源于WEB应用层防护不到位所致，应用系统漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。

　　随着攻击向应用层发展，传统网络安全设备不能有效的解决目前的安全威胁，企业如何有效地防止企业信息泄密，重点在于如何做好应用安全。