三、政務(wù)網(wǎng)站面臨的問(wèn)題和解決方案

根據(jù)《CNCERT/CC2007年上半年網(wǎng)絡(luò)安全報(bào)告》，2007 年上半年，中國(guó)內(nèi)地被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)。CNCERT/CC監(jiān)測(cè)到內(nèi)地被篡改網(wǎng)站總數(shù)達(dá)到28367 個(gè)，比去年全年增加了近16%。按月統(tǒng)計(jì)情況如下圖所示。

（數(shù)據(jù)來(lái)源：CNCERT）

政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)，某些政府網(wǎng)站被篡改后長(zhǎng)期無(wú)人過(guò)問(wèn)，還有些網(wǎng)站雖然在接到報(bào)告后能夠恢復(fù)，但并沒(méi)有根除安全隱患，從而遭到多次篡改。

對(duì)政務(wù)網(wǎng)站（運(yùn)營(yíng)商、政府）的維護(hù)，重點(diǎn)有兩個(gè)方面：一是對(duì)頁(yè)面的篡改，二是Web服務(wù)的提供，也就是保證網(wǎng)站的完整性和可用性。

1.完整性安全防護(hù)

作為政務(wù)工程的窗口，政務(wù)網(wǎng)站的防篡改是第一位重要的，而目前對(duì)網(wǎng)站的攻擊方式也層出不窮。據(jù)2007年發(fā)布的十大web安全漏洞稱，基于注入技術(shù)的隱碼攻擊（主要指SQL注入等類型攻擊行為）排名第二，是直接攻擊網(wǎng)站的最主要手段（排名第一的XSS主要是被動(dòng)式攻擊，往網(wǎng)頁(yè)中加入惡意代碼，讓訪問(wèn)者遭受攻擊）。

那么，什么是SQL注入呢？SQL注入就是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，這是SQL注入的標(biāo)準(zhǔn)釋義。

隨著B(niǎo)/S模式被廣泛的應(yīng)用，用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多，但由于開(kāi)發(fā)人員的水平和經(jīng)驗(yàn)參差不齊，相當(dāng)一部分的開(kāi)發(fā)人員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶的輸入數(shù)據(jù)或者是頁(yè)面中所攜帶的信息（如Cookie）進(jìn)行必要的合法性判斷，導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得一些想得到的數(shù)據(jù)。

SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來(lái)和正常的Web訪問(wèn)沒(méi)有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。

啟明星辰積極防御實(shí)驗(yàn)室（ADLab）研究發(fā)現(xiàn)，SQL注入攻擊有以下顯著特點(diǎn)：

（1）攻擊初始權(quán)限低

只要擁有internet訪問(wèn)權(quán)限的人都可以發(fā)動(dòng)SQL注入攻擊，甚至還可以通過(guò)web端口進(jìn)行攻擊。

（2）危害、后果嚴(yán)重

SQL注入成功后，攻擊者將擁有Web的最高權(quán)限，可以修改頁(yè)面，可以修改數(shù)據(jù)，可以在網(wǎng)頁(yè)中添加惡意代碼實(shí)現(xiàn)XSS……

（3）攻擊特征不唯一

任意更改攻擊提交參數(shù)都可以實(shí)現(xiàn)對(duì)Web的攻擊，無(wú)法通過(guò)定義特征來(lái)實(shí)現(xiàn)對(duì)SQL注入的全檢測(cè)。

啟明星辰公司的天清入侵防御系統(tǒng)，采用基于攻擊注入手法檢測(cè)的專利技術(shù)（VSID），和傳統(tǒng)的產(chǎn)業(yè)界檢測(cè)算法（基于signature的關(guān)鍵字匹配和基于異常檢測(cè)技術(shù)的web firewall）以及學(xué)術(shù)界檢測(cè)算法（基于正常行為模型的AMNESIA和基于數(shù)字簽名技術(shù)的SQLRand）相比，其漏報(bào)率和誤報(bào)率都有顯著的降低。

2.可用性安全防護(hù)

可用性方面，政務(wù)網(wǎng)站是對(duì)外提供服務(wù)的接口，在保障信息完整性的情況下，盡量不影響應(yīng)用的正常運(yùn)營(yíng)，是政務(wù)網(wǎng)站安全解決方案的另外一個(gè)重點(diǎn)。而確保網(wǎng)站可用性又包括兩個(gè)方面的因素，一種是正常情況下的訪問(wèn)，一種是異常情況下的訪問(wèn)。

在正常情況下，確保網(wǎng)站可用意味著訪問(wèn)者可以很容易地得到所需要的服務(wù)，要求訪問(wèn)時(shí)延短，天清入侵防御系統(tǒng)采用了包括poll、驅(qū)動(dòng)無(wú)鎖、自適應(yīng)CPU負(fù)載均衡等多項(xiàng)技術(shù)在內(nèi)的性能優(yōu)化算法，確保數(shù)據(jù)報(bào)的轉(zhuǎn)發(fā)時(shí)延在微秒級(jí)單位，在用戶的正常使用過(guò)程中基本感覺(jué)不到影響。

在異常情況下，天清入侵防御（IPS）系統(tǒng)提供了軟、硬件的雙bypass技術(shù)，在各種異常狀況下都可以將數(shù)據(jù)切換到無(wú)源通道，確保了在極端情況下的網(wǎng)絡(luò)可用，甚至在斷電等嚴(yán)重硬件問(wèn)題情況下，也能保證網(wǎng)絡(luò)正常通訊。

標(biāo)簽： 安全 標(biāo)準(zhǔn) 代碼 漏洞 排名 權(quán)限 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)站 問(wèn)題 用戶 政務(wù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。