你愿意,或者不愿意,2012年还是来了。生活照旧,只要搞IT,信息安全就还得重视。在上一年的最后几天,国内发生了“中国互联网史上规模最大的泄密事件”,满眼望去的,除了圣诞的打折活动,就是各大网站疯狂的报道和社区网站们不厌其烦的“密码更改提示邮件”。
同样在上一年年底,中国网民规模突破5亿。2012年1月16日,中国互联网络信息中心发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达到5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。中国手机网民规模达到3.56亿,同比增长17.5%,与前几年相比,中国的整体网民规模增长进入平台期。就这样,5亿网民的信息安全意识终于被集体地科普了一把,办公室里到处都是低头改密码的青年。每一个低着头的孩纸背后,都有几个信息安全工作不咋靠谱的网站。据专家说这个叫:WEB应用安全。
什么是Web应用?Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。
什么是信息安全?保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等。
WEB应用通俗地说,我们通过浏览器访问到大部分内容都是WEB应用,web page就我们说的“网页”,早期的网络应用主要是Client/Server(客户机/服务器) 结构,通过将任务合理分配到客户端和服务端,需要安装客户端才可进行管理操作。后来随着技术的发展,大家发现很多网络应用不用装特制的客户端,通过浏览器就能实现,Browser/Server (浏览器/服务器)这种结构的应用就越来越火了。无论是公共信息发布(单位门户网站)、在线办公(OA)、财务管理(ERP)、交流社区(BBS&SNS)、聊天(WEBIM)、游戏(网页游戏)什么都是WEB应用。因为WEB应用的最大好处是,只要有浏览器就能使用,不用装体积庞大的客户端,更不用考虑特定客户端对操作系统的兼容性问题。
用户通过电子终端(PC、手机、MID等)上的浏览器提交访问信息,信息经网络传输到对应的服务器上,服务器根据接收到的信息进行处理,并将处理的结果信息再次通过网络反馈给浏览器,浏览器将这些反馈回来的结果解释成用户看得懂的内容,展现在浏览器窗口上,就完成了一次WEB应用的访问。由此,我们知道想要做好WEB应用的安全工作,就至少需要考虑以下几个方面的问题:
终端硬件、操作系统和浏览器的安全;
服务器端的安全;
网络传输过程的安全;
WEB访问者和WEB服务提供者的安全意识。
1、终端硬件、操作系统和浏览器的安全
杀毒软件曾经是一般中国网民购买过的唯一的正版软件,终端安全话题对中国网民来说和电脑重启一样熟悉。但随着PC杀毒软件的全面免费和终端操作系统安全加固辅助工具的智能和自动化,病毒等恶意代码的传播面临着更大的挑战。与此同时,怀着各种“远大理想”恶意代码制造者和攻击者也在孜孜不倦地进行着“科研”工作。2012年终端安全我们不得不关注以下内容:
a) 硬件黑客:鼠标键盘等蓝牙设备的监听、USBKEY的模拟或绕过以及硬件形式的系统后门(碟中谍4里面藐似高科技的USB硬件后门早就有,紧张不~);
b) 特种木马:针对于指定目的,专门针对目标可能采用的杀毒软件制作的“免杀”后门;
c) 浏览器0DAY:尚未公布或刚刚公布的浏览器漏洞总会有,是否对具体的用户造成影响就看这个用户是先被攻击还是先打了补丁。
对终端用户来说实际的安全影响除了自身系统的安全增强,更多的是依赖于操作系统、杀毒软件厂商,以及WEB应用提供方的服务器安全。
2、服务器端的安全
WEB应用的服务器端一般包括WEB应用程序、中间件、数据库管理系统、服务器操作系统等。多年来国内对WEB应用服务器端的防御工作主要停留在安全配置和漏洞修复两方面。随着各单位安全基线规范的出台,安全配置工作逐渐实现标准化和批量化,与此同时,各种漏洞响应机制也在不断建立。WEB应用系统的自身安全得到了很大程度的加强。但对企业用户来说也仍然存在一些困扰,比如:我们无法对内部人员的越权操作或利用权限非法操作的行为进行监督和控制;一旦发生入侵事件,我们只知道攻击者入侵了网络,在现有的基础设施条件下无法知道攻击者带走了多少数据。
通过上面的介绍可以看到,我们运维审计和数据库审计的建设工作还有待于加强。同时当发现WEB应用程序出现漏洞后,运维人员也面临着:找不到开发方、开发方不提供免费修复、修复周期非常长系统漏洞长期暴露在互联网中等问题,这都成为未来WEB应用运维工作的难点。