摘要:在2011年的岁末发生的密码泄露事件引暴信息安全话题。根据国家互联网应急中心(CNCERT)统计,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、。其中,具有与网站、
|
在2011年的岁末发生的密码泄露事件引暴信息安全话题。根据国家互联网应急中心(CNCERT)统计,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、。其中,具有与网站、论坛相关联信息的数据库有12个,;无法判断网站、论坛关联性的数据库有14个,。 2011年12月28日,工业和信息化部发布通告称,用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时,要求各互联网站要开展全面的安全自查。 大量网站泄密事件的曝光,反映了网站安全防护的薄弱,很多网站甚至采用了明文密码存储或不安全的MD5加密存储。网站处于互联网这样一个相对开放的环境中,网站整体安全防护中的任何一点漏洞或不足都可能在网络上被迅速放大和利用,从而导致网站安全事件层出不穷。 天融信高级安全顾问吕延辉认为,在缺乏整体防护措施或安全意识不够的情况下安全事件的发生只是“时间问题”。实际上,国内网站竞争激烈,很多企业都把大部分精力放在了发展业务上,在安全防护上投入很少或无力投入。没有一种技术或产品能够解决所有安全问题,在有限投入情况下,安全的防护水平必然也是有限的,安全风险或隐患的存在也成为了一种必然。 在东软网络安全资深咨询顾问仝磊看来,此次泄密事件可以说是必然会发生的,只是发生这件事情的对象存在一定的偶然性而已。目前,国内对于信息安全的重视不够,无论是个人还是组织,均是如此。对信息安全意识不足,发生安全事故是迟早的事。从另一方面看,如果能借此提高大家的信息安全保护意识,长远来看或许是件好事。 资深安全顾问张百川表示,许多网站设计之初就只考虑业务而不考虑安全。在试运行期间只要功能满足就验收通过。在网站的规划、运维、废弃等五个阶段没有一个安全的考虑。这样“凑合”用的系统,安全性显而易见。 一位资深的安全应急工程师告诉记者:“很多企业根本没有重视过信息安全,出了安全问题才想办法解决,而且在解决上只考虑掩盖,而不是从根本上考虑解决。”同时,他向记者举例,目前国内电子商务公司里有安全部门的很少,有些公司就算设立安全部门也不过1-2个人,没权力没资源根本没法实现信息安全。 有专家指出,目前国内企业和机构普遍存在对信息安全的认识不足、安全设备零或少投入、流程的不完善、权限分配不合理等问题。一位网警向记者表示,很多因黑客攻击而报案的网站基本上无安全投入或者没有相应的防护措施。 此次密码泄露事件让网站安全成为了大众的关注焦点。赛门铁克资深首席信息安全技术顾问林育民分析后表示,此次“泄密门”以网站应用安全漏洞导致外泄的可能性最高。 根据安全公司给CSDN提供的审计报告,此次CSDN资料泄露事件暴露出该网站的四个安全问题:第一是开源系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;其次是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如安全等级较弱的口令等;第四,一些已经停用但还在线上的老系统由于安全级别低,泄露了大量信息。 通过网站应用安全漏洞而导致数据泄密的事件还在继续发生,在2012年新年伊始,新浪爱问被发现存在SQL注入漏洞,利用漏洞可读取爱问数据库的内容,包括明文密码在内的7000多万新浪用户信息。有安全人士通过SQL注入对着名魔术师刘谦的账号和密码进行尝试性攻击并取得成功,刘谦得知此事后在微博上连呼“太恐怖”。 SQL注入攻击本身就是对数据库进行一系列SQL语句的查询,黑客可以执行一个SQL查询来实现绕过身份验证或者操纵数据。通过注入攻击,黑客可以轻松地敲入一些语句登录进网站、对隐秘数据进行查询等等。而这一切都可以在浏览器中进行。不止一位安全工程师向记者调侃:“不怕流氓会武术,就怕黑客会注入。”可见SQL注入的危害性和代表性。 但此次密码泄露事件涉及的众多网站,并不单纯是因为SQL注入攻击而失守。根据知道创宇公司对500万个网站检测后得出结论,SQL注入和XSS跨站攻击已经成为黑客主流攻击网站的手段。 SQL通用防注入系统的作者Neeao认为,此次密码泄露事件大部分是因为网站出现安全问题而导致数据库被攻击。网站程序开发初期就应该考虑安全问题,同时应该严格把控代码的上线管理流程,所有代码规范管理。 明朝万达总裁王志海指出,全员的安全意识培训特别是技术开发和服务人员的安全意识是必要的,只要让大家牢牢树立信息安全防范意识,彻底 专注于Web安全的团队80sec成员宋申雷以木桶比喻网站安全体系。他表示,以新浪爱问存在SQL注入为例,就是关联业务出现安全问题导致安全体系出现短板。目前,多数网站系统存在漏洞是由于业务部门不重视安全,没有产品上线和测试的安全流程所致。 记者在咨询多位安全工程师后归纳网站应用安全问题的原因主要有两个方面:一方面是代码的安全问题, SQL注入漏和XSS都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。所以,不可能以单一特征来概括,这和开发人员对于安全的理解程度有关,应该通过加强开发人员的安全意识来避免。另外一方面是由于服务器配置原因造成,如目录遍历、备份文件直接可通过Web下载,IIS写权限等,这部分主要与服务器运维人员有关。应该建立健全的服务器配置管理流程,并严格执行。 此外,很多企业为方便工作,应用系统的用户账号和口令存在很明显的规则性。仝磊向记者介绍了一个因黑客摸清了业务系统生成默认账号密码的规律而被入侵的案例。仝磊建议,如果用户能够定期变更默认用户账号密码生成的规律,其损失就会大大减小,发生恶意事件的几率也会大大降低。 除了防范网站应用安全外,还要加强对数据库的审计,可对数据库操作的有完整记录并能够对外部的数据库未授权访问行为有效阻断。 据了解,目前多家安全公司如绿盟科技、安恒科技、安全宝等已启动提供免费的网站安全体检的服务,可帮助技术力量相对薄弱的企业掌握网站的安全状况。 比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。 比特商务周刊是一个及行业资讯、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊! 比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、组网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。 比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。 比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、数据保护与容灾构建以及数据管理部署等方面服务。 比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。 新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,覆盖面广的媒体传播途径。 比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。 比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。 IT专家新闻邮件长期以来,以定向、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、线下会议、读者沙龙等多种服务。 X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。 (责任编辑:admin)
|
排除侥幸心理,并融入到具体的开发和服务工作中,才能减少类似事件的发生。
谈谈您对该文章的看