1概述

　　黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層

　　隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府、企業(yè)及高校的關(guān)鍵業(yè)務(wù)活動(dòng)越來(lái)越多地依賴(lài)于WEB應(yīng)用，在向公眾及學(xué)生提供通過(guò)瀏覽器訪(fǎng)問(wèn)高校信息功能的同時(shí)，高校所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多;二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗,組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。

　　然而與之形成鮮明對(duì)比的卻是：現(xiàn)階段的安全解決方案無(wú)一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面，致使面臨應(yīng)用層攻擊(如：針對(duì)WEB應(yīng)用的SQL注入攻擊、跨站腳本攻擊等)發(fā)生時(shí)，傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等安全產(chǎn)品對(duì)網(wǎng)站攻擊幾乎不起作用，許多政府和企業(yè)門(mén)戶(hù)網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑。

　　據(jù)統(tǒng)計(jì)75%的網(wǎng)絡(luò)攻擊和互聯(lián)網(wǎng)安全侵害源于應(yīng)用軟件，網(wǎng)頁(yè)上的漏洞的根源還是來(lái)自程序開(kāi)發(fā)者對(duì)網(wǎng)頁(yè)程序編制和檢測(cè)。未經(jīng)過(guò)安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁(yè)安全知識(shí);應(yīng)用部門(mén)缺乏良好的編程規(guī)范和代碼檢測(cè)機(jī)制等等。解決此類(lèi)問(wèn)題必須在WEB應(yīng)用軟件開(kāi)發(fā)程序上整治，僅僅靠打補(bǔ)丁和安裝防火墻是遠(yuǎn)遠(yuǎn)不夠的。

　　2008年上半年，中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)。

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)達(dá)到35113個(gè)，同比增加了23.7%。按月統(tǒng)計(jì)情況如圖所示：

　　2008年上半年中國(guó)被篡改網(wǎng)站數(shù)量

　　2008年1月至6月期間，中國(guó)大陸政府網(wǎng)站被篡改數(shù)量基本保持平穩(wěn)，各月累計(jì)達(dá)2242個(gè)。與去年上半年同期監(jiān)測(cè)情況相比，增加了41%。從中可以看出，每月被篡改的gov.cn域名網(wǎng)站約占整個(gè)大陸地區(qū)被篡改網(wǎng)站的7%，而gov.cn域名網(wǎng)站僅占.cn域名的2.3%，因此政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)。具體比例如下圖：

　　1.1面向應(yīng)用層新型攻擊特點(diǎn)簡(jiǎn)析

　　n隱蔽性強(qiáng)：利用Web漏洞發(fā)起對(duì)WEB應(yīng)用的攻擊紛繁復(fù)雜，包括SQL注入，跨站腳本攻擊等等，一個(gè)共同特點(diǎn)是隱蔽性強(qiáng)，不易發(fā)覺(jué)。

　　n攻擊時(shí)間短：可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取、一次木馬種植、完成對(duì)整個(gè)數(shù)據(jù)庫(kù)或Web服務(wù)器的控制，以至于非常困難做出人為反應(yīng)。

　　n危害性大：目前幾乎所有銀行，證券，電信，移動(dòng)，政府以及電子商務(wù)企業(yè)都提供在線(xiàn)交易，查詢(xún)和交互服務(wù)。用戶(hù)的機(jī)密信息包括賬戶(hù)，個(gè)人私密信息(如身份證)，交易信息等等，都是通過(guò)Web存儲(chǔ)于后臺(tái)數(shù)據(jù)庫(kù)中，這樣，在線(xiàn)服務(wù)器一旦癱瘓，或雖在正常運(yùn)行，但后臺(tái)數(shù)據(jù)已被篡改或者竊取，都將造成企業(yè)或個(gè)人巨大的損失。據(jù)權(quán)威部門(mén)統(tǒng)計(jì)，目前身份失竊(identitytheft)已成為全球最嚴(yán)重的問(wèn)題之一。

　　n造成非常嚴(yán)重的有形和無(wú)形損失：目前，很多大型企業(yè)都是在國(guó)內(nèi)外上市的企業(yè)，一旦發(fā)生這類(lèi)安全事件，必將造成人心惶惶，名譽(yù)掃地，以至于造成經(jīng)濟(jì)和聲譽(yù)上的巨大損失，即便不上市，其影響和損失也是不可估量的。

　　1.2現(xiàn)有的網(wǎng)絡(luò)層防護(hù)產(chǎn)品面對(duì)應(yīng)用層攻擊束手無(wú)策

　　傳統(tǒng)的防火墻或IDS產(chǎn)品存在以下不足：

　　n防火墻：通過(guò)端口限制實(shí)現(xiàn)訪(fǎng)問(wèn)控制，但對(duì)于WEB應(yīng)用而言，其HTTP/HTTPS端口是開(kāi)放的。因此，防火墻無(wú)法檢測(cè)到WEB應(yīng)用攻擊的發(fā)生，更談不上阻止攻擊。

　　nIDS：依靠特征庫(kù)檢測(cè)已知攻擊，而對(duì)于WEB應(yīng)用攻擊，變形非常多(比如：SQL注入、跨站腳本、惡意文件包含等)，IDS無(wú)法窮盡所有的特征，當(dāng)然，更加不可能預(yù)知未來(lái)的變形。

　　1.3數(shù)據(jù)庫(kù)面臨的安全挑戰(zhàn)

　　數(shù)據(jù)庫(kù)是信息系統(tǒng)核心業(yè)務(wù)開(kāi)展過(guò)程中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶(hù)信息，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)的數(shù)據(jù)庫(kù)信息價(jià)值及可訪(fǎng)問(wèn)性得到了提升，同時(shí)，高校中的校園一卡通系統(tǒng)的重要組成部分――電子錢(qián)包，關(guān)系著每位師生在校園活動(dòng)的記錄，對(duì)核心的數(shù)據(jù)庫(kù)信息資產(chǎn)也面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：

　　n管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。

　　n技術(shù)層面：

　　為保護(hù)數(shù)據(jù)庫(kù)信息的安全性，制定了相應(yīng)的管理制度，但沒(méi)有相應(yīng)的技術(shù)手段進(jìn)行控制。

　　數(shù)據(jù)庫(kù)安裝部署時(shí)，使用數(shù)據(jù)庫(kù)廠(chǎng)商默認(rèn)配置、缺省口令、默認(rèn)權(quán)限等現(xiàn)象普遍存在。

　　現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任何安全工具(比如：防火墻、IDS、IPS等)來(lái)阻止內(nèi)部用戶(hù)的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

　　n審計(jì)層面：現(xiàn)有的依賴(lài)于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功能的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。

　　伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪(fǎng)問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自?xún)?nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。

文章作者：國(guó)脈電子政務(wù)網(wǎng)