IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

信息泄露事件的频发与第二代Web服务器安全隐患的浅析

2012年08月08日
中国IT运维网/东方博盾 高振宇博士

中国近年个人信息泄露事件频发,并呈现迅猛发展的态势,2011年底中国互联网更是遭遇了史上最大规模的用户信息泄露事件,CSDN、天涯、京东商城等多家大型网站的用户数据被泄露,几千万用户账号和密码被公开,严重威胁到社会秩序和公众利益。

这些泄露用户信息的网站,以及我国目前300多万个网站(含7万政府网站),使用的都是美国第二代Web服务器:Apache,IIS,Nginx等。(见附件)。由于第二代Web服务器自身含有致命的先天安全漏洞,为黑客提供了一条入侵后台数据库的通道,导致了这次大规模用户信息泄露事件的发生。

 Web服务器(Web Server, http server)是构建电子政务、电子商务、电子银行、新闻媒体、医药卫生、文化教育、SaaS、云计算、物联网等各类网站时必不可少的基础设备,它包括了软件和计算机硬件。Web服务器的发明是人类IT史上最伟大的发明之一,带来了全球互联网经济的飞速发展。对各国的经济、文化、科技、生活、教育等方方面面带来了无比深远的影响和变革。

可是,自导入互联网以来我国同时也发生了无数的Web犯罪事件:

· 从大量的网页篡改(平均每天45个中国政府网站被篡改、据原工信部部长的讲话);

· 到大范围的网站挂马(中国80%以上的网站被挂马、据赛迪的报告);

· 再到这次的大规模的黑客刷库(通过Web服务器入侵数据库盗取客户信息。如去年年底发生的史上最大规模的泄密门事件);

· 等等。

这些事件也都发生在美国第二代Web服务器身上,因为第二代Web服务器含有致命的安全漏洞。越来越频繁的Web犯罪,严重地损害了社会秩序、公共利益以及网民个人利益,给社会带来了巨大的经济损失,政治风险,阻碍了我国互联网经济的进一步的发展。

针对2011年底我国互联网突发的大范围刷库泄密事件,工信部于同年12月28日发布紧急通告:“要求各互联网站要开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。”

2012年5月9日,国务院总理温家宝同志主持召开国务院常务会议,讨论通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》。《意见》指出:“重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。”

第二代Web服务器含有致命的先天安全漏洞,是一种可以被篡改、可以被挂马、可以被刷库、可以被盗取信息和盗取Web程序的Web服务器。第二代Web服务器不保证发布信息的真实性和可信度。事实上,正是这些安全漏洞在吸引着黑客们攻击网站。第二代Web服务器甚至已经沦为攻击者的工具,在帮助黑客们污染着互联网。美国SUN公司在2007年的一份报告里称,互联网超过80%的流量是恶意的!

· 散发木马病毒的平台:95%以上的木马病毒是通过网站传播的。平均每天50万挂马网页(360)。

· 入侵后台数据库的通道:如:2011年底的CSDN、天涯、京东商城等知名网站的泄密门、Sony被刷上亿客户资料、花期银行被刷1000万人信息、2011年底韩国因为被刷库3500万人数据而取消了网络实名制……。

· 发布虚假信息平台:如:假入学通知、假地震警报、假政治新闻、蛊惑人心、美网军的战法之一是欺骗……。

· 黑客炫技比武的擂台:黑客们在比试谁黑的网站多?

· 攻击者的首选目标:因为Web网站系统是整个网络系统的安全短板,也是网络系统暴露在互联网上的入口。

一个网站系统如果一旦被害,会损害网站访客、社会秩序、公共利益、甚至国家安全,受伤害的并不局限于被害网站自身。 

坐落在第二代Web服务器上的我国互联网经济如同沙滩上的大厦一样,根基不稳,弱不经风,险象环生,埋下了无穷的隐患。更为严峻的是,今天互联网已经进入了网络战时代,互联网环境变得空前险恶。网络军队多国化、黑客产业化、黑社会化都成为网络战(Cyberwar)时代的主要特点,此外,还存在未知攻击主流化趋势:未知攻击(Unknown Attacks)指的是明天、下个月、未来才出现的,以及被攻击者不知道的各种攻击方法。包括:0日攻击、黑客的秘技攻击、美军的2000种攻击型病毒武器等等。随着黑客及网军的攻击技术的突飞猛进,未知攻击已成互联网上的主要的攻击手段:美国电脑安全产业联盟2007年底指出,每天诞生近200种恶意软件。Symantec报告“每个月平均截获超过2.45亿的恶意代码攻击,其中多数没有见过”。360报告:“2011年上半年中国新增木马等恶意程序数量高达4.48亿个,平均每秒出现29个新木马。

今天的国内互联网环境可以说内忧外患、腹背受敌,空前险恶。我们面临的挑战是:面对如此险恶的互联网环境,如何让我们的互联网经济可以健康持久地发展?如何让我们的网站可以抵御“百万雄师”的黑客与“八国联军”的外国网军的内外夹攻?如何防御“未知攻击”?

可是,遗憾的是,当前流行的“周边安全产品+Web服务器”的解决方案是有限的,不能挡住全部的网络进攻。无数的Web犯罪事件已经反复地证明了这一事实。周边安全产品(如:防火墙、WAF、IDS/IPS、安全网关等)充其量只能防御“已知攻击Known Attacks”,因为这些周边安全产品必须依赖于“攻击特征值Attack Signatures”。它们对于无法事先获取“攻击特征值”的千变万化、层出不穷的“未知攻击”只能束手无策。再高级的周边安全产品也不能消除第二代Web服务器本身内在的安全漏洞,治标不治本。

“城堡式的防御是中世纪的”。微软的比尔盖兹、Symantec主席John和与会专家们在2007年RSA国际会议上揶揄了当前周边防御的理念和技术的陈旧性。

美国第二代Web服务器已经成为各种Web系统的安全短板,也是影响国家互联网战略安全的重大隐患。

为了构建一个阻止木马病毒流行、防止虚假信息散布、绿色可信的互联网环境,为了应对日益险恶的网络战时代的到来,为了发展中国人自主知识权并领先世界的下一代互联网技术,我们需要全新的解决方案,需要自主创新的下一代产品。

第三代Web服务器(3rd Generation Web Server)将是一种不可篡改、不可挂马、防止黑客刷库、防止信息盗取的新型Web服务器,高可信、抗攻击。并且符合W3C国际标准。同时还可以改善网站构筑时的费时、费事、和网站运维时的费钱、费心等诸多现实问题。

目前,中国科学家的关于第三代Web服务器的研究已经超越美日,领先世界。已经取得中国发明专利和美国发明专利,并获得INTEROP国际大奖。中国人的发明首次获此大奖,标志着中国的第三代Web服务器3Gweb的世界领先地位。请参阅:www.bj3gweb.com

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

梭子鱼警示:“捣蛋猪”与“愤怒的小鸟”陷井
梭子鱼警示:“捣蛋猪”与“愤怒的小鸟”陷井9月27日,愤怒的小鸟之父正式发布一款新的游戏-- 捣蛋猪,很快该游戏深受玩家青睐...
卫士通安全桌面云方案亮相信息安全高峰论坛
卫士通安全桌面云方案亮相信息安全高峰论坛日前,由《信息安全与通信保密》杂志社主办的2012中国信息安全高峰论坛在成都举行...

本类热点