資源描述:
《安恒信息數(shù)據(jù)安全防“脫庫”決方案》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫����。
1、安恒信息數(shù)據(jù)安全防“脫庫”解決方案1.前言近日不斷有黑客陸續(xù)在互聯(lián)網(wǎng)上公開提供國內(nèi)多家知名網(wǎng)站部分用戶數(shù)據(jù)庫下載��,國內(nèi)外媒體頻繁報道���,影響惡劣,引起社會廣泛關(guān)注���。其中涉及到游戲類����、社區(qū)類、交友類等網(wǎng)站用戶數(shù)據(jù)正逐步公開�,各報道中也針對系列事件向用戶提出密碼設(shè)置策略等安全建議。注冊用戶數(shù)據(jù)作為網(wǎng)站所有者的核心信息資產(chǎn)�����,涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實質(zhì)業(yè)務(wù)�����,對其保密性的要求強(qiáng)度不言而喻�����。隨著網(wǎng)站及微博實名制規(guī)定的陸續(xù)出臺����,如果在實名制的網(wǎng)站出現(xiàn)用戶數(shù)據(jù)泄露事件,將會產(chǎn)生更惡劣的影響�。針對近期部分互聯(lián)網(wǎng)站信息泄露事件,工信部于2011年12月28日發(fā)布通告要求:各互聯(lián)網(wǎng)站要高度重視
2���、用戶信息安全工作����,把用戶信息保護(hù)作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設(shè)的重要工作抓好抓實。發(fā)生用戶信息泄露的網(wǎng)站����,要妥善做好善后工作,盡快通過網(wǎng)站公告��、電子郵件���、電話����、短信等方式向用戶發(fā)出警示��,提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼�����。未發(fā)生用戶信息泄露的網(wǎng)站��,要加強(qiáng)安全監(jiān)測�,必要時提醒用戶修改密碼。各互聯(lián)網(wǎng)站要引以為戒���,開展全面的安全自查���,及時發(fā)現(xiàn)和修復(fù)安全漏洞。要加強(qiáng)系統(tǒng)安全防護(hù)���,落實相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)�����,提高系統(tǒng)防入侵���、防竊取、防攻擊能力���。要采用加密方式存儲用戶信息��,保障用戶信息安全��。一旦發(fā)生網(wǎng)絡(luò)安全事件�,要在開展應(yīng)急處置的同時�����,按照規(guī)定向互聯(lián)網(wǎng)行業(yè)主管部門及
3、時報告��。工信部同時提醒廣大互聯(lián)網(wǎng)用戶提高信息安全意識�����,密切關(guān)注相關(guān)網(wǎng)站發(fā)布的公告����,并根據(jù)網(wǎng)站安全提示修改密碼。提高密碼的安全強(qiáng)度并定期修改�����。2.信息泄密的根源2.1.透過現(xiàn)象看本質(zhì)2.1.1.攻擊者因為利益鋌而走險攻擊者為什么會冒著巨大的法律風(fēng)險去獲取用戶信息�����?2001年隨著網(wǎng)絡(luò)游戲的興起��,虛擬物品和虛擬貨幣的價值逐步被人們認(rèn)可���,網(wǎng)絡(luò)上出現(xiàn)了多種途徑可以將虛擬財產(chǎn)轉(zhuǎn)化成現(xiàn)實貨幣����,針對游戲賬號攻擊的逐步興起,并發(fā)展成龐大的虛擬資產(chǎn)交易市場�;2004年-2007年,相對于通過木馬傳播方式獲得的用戶數(shù)據(jù)�,攻擊者采用入侵目標(biāo)信息系統(tǒng)獲得數(shù)據(jù)庫信息����,其針對性與攻擊效率都有顯著提高。在
4���、巨額利益驅(qū)動下����,網(wǎng)絡(luò)游戲服務(wù)端成為黑客“拖庫”的主要目標(biāo)�。2008年-2009年,國內(nèi)信息安全立法和追蹤手段的得到完善��,攻擊者針對中國境內(nèi)網(wǎng)絡(luò)游戲的攻擊日趨收斂���。與此同時殘余攻擊者的操作手法愈加精細(xì)和隱蔽�����,攻擊目標(biāo)也隨著電子交易系統(tǒng)的發(fā)展擴(kuò)散至的電子商務(wù)����、彩票、境外賭博等主題網(wǎng)站�����,并通過黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實貨幣����。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務(wù)價值,成為攻擊者的“拖庫”的目標(biāo)�。2010年,攻防雙方經(jīng)歷了多年的博弈�,國內(nèi)網(wǎng)站安全運(yùn)維水平不斷提升,信息安全防御產(chǎn)品的成熟度加強(qiáng)��,單純從技術(shù)角度對目標(biāo)系統(tǒng)進(jìn)行滲透攻擊的難度加大����,而通過收集分析管理員、用戶信息等
5��、一系列被稱作“社會工程學(xué)”的手段的攻擊效果被廣大攻擊者認(rèn)可�����。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實際效率,攻擊者將目標(biāo)指向了擁有大量注冊用戶真實詳細(xì)信息的社區(qū)及社交網(wǎng)站��,并在地下建立起“人肉搜索庫”����,預(yù)期實現(xiàn):獲知某用戶常用ID或EMAIL,可以直接搜索出其常用密碼或常用密碼密文�。2011年12月21日���,僅僅是在這一天��,攻擊者曾經(jīng)獲取到的部分?jǐn)?shù)據(jù)庫信息內(nèi)容被陸續(xù)地公開了����。2.1.2.應(yīng)用層防護(hù)百密而一疏在當(dāng)今信息安全意識���、信息安全產(chǎn)品都日益成熟的年代�����,為何入侵者獲取數(shù)據(jù)依然如入無人之境?很多人認(rèn)為����,在網(wǎng)絡(luò)中不斷部署防火墻、IDS����、IPS等設(shè)備,可以提高網(wǎng)絡(luò)的安全性��。但是為
6����、何基于應(yīng)用的攻擊事件以及相應(yīng)的“泄庫事件”仍然不斷發(fā)生?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范,作用十分有限�����。我們可以通過下面例子來舉例黑客是如何常規(guī)獲取信息系統(tǒng)的數(shù)據(jù)庫信息的:攻防回合的延續(xù)包括傳統(tǒng)安全設(shè)備使黑客入侵服務(wù)端主機(jī)系統(tǒng)難度加大�,而WEB應(yīng)用的登錄入口表明了WEB應(yīng)用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián),通過入侵WEB網(wǎng)站獲得數(shù)據(jù)庫信息成為針對網(wǎng)站數(shù)據(jù)庫攻擊的主要入手點(diǎn)��,常見的攻擊步驟如下:一����、尋找目標(biāo)網(wǎng)站(或同臺服務(wù)器的其他網(wǎng)站)程序中存在的SQL注入、非法上傳����、后臺管理權(quán)限等漏洞�;二�����、通過上述漏洞添加一個以網(wǎng)頁腳本方式控制網(wǎng)站服務(wù)器的后門�����,即:WEB
7�、SHELL;三����、通過已獲得的WEBSHELL提升權(quán)限�����,獲得對WEB應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)的控制權(quán)���,并通過查看網(wǎng)站數(shù)據(jù)庫鏈接文件�����,獲得數(shù)據(jù)庫的鏈接密碼�����;四�、通過在WEB應(yīng)用服務(wù)器上鏡像數(shù)據(jù)庫連接,將目標(biāo)數(shù)據(jù)庫中所需要的信息導(dǎo)入至攻擊者本地數(shù)據(jù)庫(或直接下載服務(wù)器上可能存在的數(shù)據(jù)庫備份文件)�����;五���、清理服務(wù)器日志��,設(shè)置長期后門����。目前攻擊者以團(tuán)隊為單位���,無論從工具的制造�、攻擊實施的具體手法都已經(jīng)形成了體系化���、趨利化的作業(yè)流程�����。此例中我們發(fā)現(xiàn)���,黑客針對應(yīng)用系統(tǒng)的攻擊已經(jīng)完全無視傳統(tǒng)的網(wǎng)絡(luò)安全���,而應(yīng)用安全的建設(shè)恰好能夠彌補(bǔ)網(wǎng)絡(luò)
