□文/羅惠君

Web的安全威脅與安全防護(hù)

□文/羅惠君1，2

本文對Web的安全威脅進(jìn)行分析，提出Web安全防護(hù)措施，并基于Windows平臺，簡述一個(gè)Web安全防護(hù)策略的具體應(yīng)用。

Web；網(wǎng)絡(luò)安全；安全防護(hù)

隨著Internet的發(fā)展，Web應(yīng)用滲透到了人們生活中的各個(gè)角落。如今，Web業(yè)務(wù)平臺已經(jīng)在電子商務(wù)、企業(yè)信息化中得到廣泛應(yīng)用，很多企業(yè)都將應(yīng)用架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起了黑客們的強(qiáng)烈關(guān)注，他們將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web業(yè)務(wù)的攻擊上。針對Web網(wǎng)站的攻擊呈現(xiàn)規(guī)?；?、隱蔽化趨勢。Web威脅所具備的滲透性和利益驅(qū)動(dòng)性，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)中增長最快的風(fēng)險(xiǎn)因素。網(wǎng)絡(luò)罪犯已經(jīng)逐漸將Web作為從事惡意活動(dòng)的新途徑，Web安全威脅已經(jīng)成為對企業(yè)來說最為猛烈的攻擊之一。

Web攻擊的最終目標(biāo)是企業(yè)數(shù)據(jù)和獲取商業(yè)利益。對付Web威脅，傳統(tǒng)的防護(hù)模式已不能夠有效化解越來越多的Web攻擊者將合法網(wǎng)站做目標(biāo)。盡管大多Web2.0網(wǎng)站自身都會(huì)采取防掛馬、防注入等保護(hù)措施，但研究結(jié)果顯示：社區(qū)驅(qū)動(dòng)型安全工具在保護(hù)Web用戶避開不良內(nèi)容以及安全風(fēng)險(xiǎn)方面是無效的。面對來勢洶洶的新型Web威脅，傳統(tǒng)安全措施無法跟上Web內(nèi)容不斷變化的步伐。一方面惡意軟件也可能出現(xiàn)在聲譽(yù)良好、受到大家信任的網(wǎng)站上，就像出現(xiàn)在其他網(wǎng)站惡意上一樣容易；另一方面網(wǎng)絡(luò)應(yīng)用程序越來越多，傳統(tǒng)的防護(hù)模式已經(jīng)力不從心，即便是如今已經(jīng)運(yùn)用的非常成熟的“病毒特征碼查殺”技術(shù)，隨著病毒爆發(fā)的生命周期越來越短，其傳統(tǒng)的安全系統(tǒng)防御模型更是滯后于病毒的傳播，用戶只能處于預(yù)防威脅-檢測威脅-處理威脅-策略執(zhí)行的循環(huán)之中。即使利用市場上現(xiàn)有最快速的反病毒系統(tǒng)和服務(wù)機(jī)制，企業(yè)仍然不能防范最新的威脅，因?yàn)榉?wù)方往往無法及早和完整地介入整個(gè)新病毒事件。

Web安全問題基本解決方案：

1、確定Web安全目標(biāo)。根據(jù)網(wǎng)站所處的環(huán)境、網(wǎng)站本身的目標(biāo)和風(fēng)險(xiǎn)程度等因素來確定Web安全目標(biāo)。如，Web服務(wù)器是在Intranet中使用還是面向Internet，Web網(wǎng)站是否代表整個(gè)企業(yè)或組織？它是否用作電子商務(wù)或電子政務(wù)？

2、實(shí)施整體安全方案。由于Web安全涉及的因素較多，必須從整體安全的角度來解決Web安全問題，實(shí)現(xiàn)物理級、系統(tǒng)級、網(wǎng)絡(luò)級和應(yīng)用級的安全。一般從以下幾方面實(shí)施：第一，提高操作系統(tǒng)的安全性，確保服務(wù)器本身的安全；第二，部署防火墻阻止外部非法訪問和入侵；第三，控制內(nèi)部非法訪問和入侵；第四，Web服務(wù)器本身的安全配置；第五，Web應(yīng)用程序和腳本編程安全；第六，后端數(shù)據(jù)庫的安全；第七，Web通信安全；第八，保護(hù)數(shù)據(jù)和應(yīng)用的其他安全措施；第九，Web安全測試和評估。

為綜合檢測Web安全，需要使用漏洞掃描和風(fēng)險(xiǎn)評估工具定期對Web服務(wù)器進(jìn)行掃描和測試，及時(shí)發(fā)現(xiàn)和解決安全問題。就目前情形來看，安全漏洞集合是導(dǎo)致Web服務(wù)器遭受攻擊的主要因素，因此應(yīng)在攻擊者發(fā)動(dòng)攻擊之前，及早發(fā)現(xiàn)網(wǎng)絡(luò)上可能存在的安全漏洞并加以彌補(bǔ)。

安全掃描和評估簡介：

1、安全掃描是對計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測，以找出安全隱患和可能被黑客利用的漏洞。安全掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效地防范黑客入侵。安全掃描只是簡單將檢測結(jié)果羅列出來，直接提供給測試者，而不對信息進(jìn)行任何分析處理。安全評估除了具備最基本的安全掃描功能外，還能夠?qū)呙杞Y(jié)果進(jìn)行說明，給出建議，對系統(tǒng)總體安全狀況作總體評價(jià)，同時(shí)以多種方式生成包括文字圖表等內(nèi)容的評估報(bào)表。

2、掃描工具。從安全掃描范圍來看，此類工具可分為兩大類：專項(xiàng)掃描工具和綜合掃描評估工具。專項(xiàng)掃描工具有專門端口掃描工具、針對特定應(yīng)用和服務(wù)的掃描工具（如掃描Web服務(wù)器及CGI安全漏洞的Stealth等、針對SQL Server的SqlExec）。綜合掃描評估工具的掃描內(nèi)容非常廣泛，掃描結(jié)果報(bào)告翔實(shí)，并給出相應(yīng)的解決辦法，非常適合管理員的系統(tǒng)評估測試。綜合掃描評估工具一般都是商用軟件。從安全評估技術(shù)來看，此類工具可分為兩大類：一類是基于網(wǎng)絡(luò)的掃描工具，如ISS公司的Internet Scanner、AXENT公司的NetRecon等，通過網(wǎng)絡(luò)遠(yuǎn)程探測其他主機(jī)的安全風(fēng)險(xiǎn)漏洞，還可通過模擬攻擊測試系統(tǒng)的防護(hù)能力；另一類是基于主機(jī)的掃描工具，如ISS公司的System Scannet，AXENT公司的ESM，用于測試服務(wù)器本身的安全漏洞，一般需要在所測試的主機(jī)上安裝相應(yīng)的代理軟件且實(shí)施起來不方便。對于Web服務(wù)器的安全測試評估來說，可以納入整個(gè)企業(yè)網(wǎng)絡(luò)的整體安全評估，也可以獨(dú)立地進(jìn)行安全評估。由于Web安全所涉及的范圍較廣，除了Web服務(wù)器本身安全外，還有所在系統(tǒng)的安全，在選擇測試評估軟件時(shí)，應(yīng)考慮測試內(nèi)容的全面性。

對于中小企業(yè)的Web服務(wù)器，出于成本方面的考慮，可選擇一些免費(fèi)的、具有綜合測試能力的工具軟件，如X-Scan。對于基于微軟產(chǎn)品的Web服務(wù)器來說，可選擇微軟公司提供的MBSA（Microsoft Baseline Security Analyzer，可譯為微軟基準(zhǔn)安全分析器），該工具可以評估特定微軟產(chǎn)品中的任何漏洞和弱點(diǎn)，而且是免費(fèi)的。

3、安全評估評價(jià)標(biāo)準(zhǔn)。在實(shí)現(xiàn)了對Web服務(wù)器的安全掃描后，便可根據(jù)掃描結(jié)果，對服務(wù)器的安全性能進(jìn)行評估，給出服務(wù)器的安全狀況。下面給出一個(gè)大致的評價(jià)標(biāo)準(zhǔn)。需要特別注意的是：評價(jià)標(biāo)準(zhǔn)應(yīng)該根據(jù)應(yīng)用系統(tǒng)、應(yīng)用背景的不同而有相應(yīng)的改變，并不存在絕對的評估標(biāo)準(zhǔn)。

A級：掃描結(jié)果顯示沒有漏洞。雖然這并不表明沒有漏洞，因?yàn)橛性S多漏洞是尚未發(fā)現(xiàn)的，但我們只能針對已知的漏洞進(jìn)行測試。

B級：具有一些泄漏服務(wù)器版本信息之類的不是很重要的漏洞，或者提供容易造成被攻擊的服務(wù)，如允許匿名登錄，這種服務(wù)可能會(huì)造成許多其他漏洞。

C級：具有危害級別較小的一些漏洞，如可以驗(yàn)證某賬號的存在，可以造成列出一些頁面目錄、文件目錄等，不會(huì)造成嚴(yán)重后果的漏洞。

D級：具有一般危害程度的漏洞，如拒絕服務(wù)漏洞，造成服務(wù)器不能正常工作，可以讓黑客獲得重要文件的訪問權(quán)的漏洞等。

E級：具有嚴(yán)重危害程度的漏洞，如存在緩沖區(qū)溢出漏洞、存在木馬后門、存在可以讓黑客獲得根用戶權(quán)限或根用戶的shell漏洞以及根目錄被設(shè)置為一般用戶可寫等一些后果非常嚴(yán)重的漏洞。通過安全評估后，用戶則可以根據(jù)情況采取措施，包括給系統(tǒng)打補(bǔ)?。◤募夹g(shù)網(wǎng)站上下載）、關(guān)閉不需要的應(yīng)用服務(wù)等來對系統(tǒng)進(jìn)行加固。可以看出，漏洞掃描、安全評估、采取措施是一個(gè)循環(huán)迭代、前后相繼的流程，用戶可以在使用中多加揣摩，從而保證網(wǎng)絡(luò)系統(tǒng)的安全。

（作者單位：1.重慶大學(xué)軟件工程學(xué)院；2.東莞市公安局清溪分局）

[1]蔡立軍.網(wǎng)絡(luò)安全理論及應(yīng)用[M].北京：中國水利水電出版社，2006.

[2]鮑友仲.網(wǎng)絡(luò)安全之防黑秘訣[M].北京：電子工業(yè)出版社，2005.

F49

A