网络安全的攻防战争

当前，来自Web的各种攻击已经成为全球安全领域最大的挑战，并且有愈演愈烈之势。目前的难点在于，很多Web威胁的思路已经有别于传统，隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲，Web威胁令人无法忽视，而相关防御技术的应用与保护也同样充满挑战。

　　Web服务的隐忧

　　所谓Web服务，是指由企业发布的完成其特别商务需求的在线应用服务，其他公司或应用软件能够通过Internet来访问并使用这项应用服务。Web服务采用基本的Internet协议，松散地连接网络上的服务节点，并将服务过程定义在Web应用程序中，利用标准的存取协议（XML）为客户端节点提供服务。

　　Web服务主要解决基于分布在网络上不同服务器或终端之间的业务集成，面对海量的外部信息资源和应用资源提供一种中间的服务，使得所有用户可以得到方便的信息共享和应用共享。Web服务平台已经在电子商务、企业信息化中得到广泛的应用，很多企业都将应用架设在Web平台上，并不断完善和提高其功能和性能，为客户提供更为方便、快捷的服务支持。

　　启明星辰总工程师万卿在接受本报独家采访时透露，当前Web服务的迅速发展引起了黑客们的强烈关注，他们已将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web服务的攻击上。但是，很多企业对此并没有做好足够的准备，也没有给予足够的重视。

　　根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，2/3的 Web 站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，忽略了保证 Web服务本身的安全，才给了黑客可乘之机。

　　而趋势科技2008年一季度病毒报告显示，今年一季度Web威胁感染数量增长了1.5倍，可以预见，今年又将是Web威胁大肆爆发的一年。 Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径，Web安全威胁已经成为对企业来说最为猛烈的攻击之一。

　　不难看出，所有从Web服务引起和针对于Web服务的各种恶意活动构成了Web安全威胁。据深信服高级产品经理邱德文介绍，Web威胁的主要形式包括两种：一种是从Web服务器发起，针对于广大互联网用户的Web威胁；另外一种的攻击对象就是Web服务，由在互联网上活动的黑客发起，针对于企业、政府的网站攻击和破坏行为。

　　浪潮信息安全技术总监孙大军表示，针对于广大互联网用户而言，Web威胁的危害是很大的，破坏性也是比较强的，各种各样的木马、网络钓鱼、僵尸网络对用户正常使用互联网的造成了非常大的影响。目前国内的大型企业、政府部门已经意识到了Web安全的重要性，从领导到员工也普遍比较重视。然而，广大中小企业和个别网站还没有意识到Web安全的重要性。

　　Web威胁随着互联网应用的发展而不断地发展。特别是在网上办公、网上银行等多种互联网应用的开展以后，恶意攻击者们看到了有利可图，导致各种Web攻击方式层出不穷，形式也不断翻新。

　　对于不同规模的企业而言，威胁程度显然是不同的，因为不同规模的企业受到Web攻击和受到的影响所产生的损失是不同的，这也是导致不同规模的企业对Web威胁重视程度不同的原因之一。

　　防御的僵局

　　目前企业用户对于Web威胁的重视程度也越来越高，大部分企业都会选择部署软硬件安全产品，以抵御Web威胁。趋势科技产品营销经理徐学龙认为，仅仅依靠单一安全产品已不能保证整个网络的安全、稳定运行。应对目前新型的Web威胁，利用架设在网关处的安全产品，在威胁进入企业网络之前就将其拦截在企业大门之外是更加有效的方法。在此基础上，还需要将被动防御转化为快速响应、主动出击的主动式安全专家服务，才可以最快的速度帮助企业客户有效管理安全事件并减少业务损失。

　　根据IDC年初公布的报告，全球Web安全市场将会在2012年前达到65亿美元的规模。事实上，这一市场容量已经超过了UTM所预期的40亿美元的规模。与此对应的是，根据Gartner在第二季度公布的统计数字，全球Web安全产品的使用程度相当低，仅有10%的企业部署了专门的Web安全网关。

　　对此万卿的看法是，传统上企业为了保障信息系统安全，通常会使用不同的技术，主要包括：访问控制技术、防病毒技术、加密技术等等。但是即便有防病毒保护、防火墙和VPN，企业仍然不得不允许一部分的通信经过防火墙。毕竟 Web服务的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是Web应用必须的 80 和 443 端口是一定要开放的。可以顺利通过的这部分通信，可能是善意的，也可能是恶意的，很难辨别。

　　须要指出的是，Web应用是由软件构成的，那么它一定会包含缺陷（Bug），这些Bug 就可以被恶意的用户利用，他们通过执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用数据、甚至利用Web系统作为攻击跳板，破坏企业的整个信息系统。

　　Web业务平台的不安全性主要是由Web平台的特点，即开放性所致，企业需要利用Web业务平台为用户提供服务就必须接受这个特点。对此孙大军的看法是，只要访问可以顺利通过企业的防火墙，Web业务就可以毫无保留地呈现在用户面前。因此，只有加强Web业务服务器自身的安全，才是真正的Web服务安全解决之道。

　　另外，徐学龙表示，全球爆发大规模疫情的时代已经宣告结束，今后 Web威胁的数量将持续成长，并且越来越显现出逐利性，以窃取企业、个人用户的私密信息牟利为目的。新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点，员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此，普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络，从而对公司数据资产、行业信誉和关键业务构成极大威胁。

　　由于Web威胁的发展越来越表现逐利性，而攻击的越是大型企业，黑客们所能够获得的收益也就越大。因此，越是大型的企业，他们遭遇Web威胁的程度也就越严重，很多知名的大型企业往往成为黑客零日攻击和目标定点攻击的主要威胁目标。由于采用定向攻击的手法，这些病毒并不会大规模传播，普通病毒数据库也很难收集到它们的病毒样本。因此，这些定向攻击的病毒也就很难被防病毒软件侦测并查杀。

　　只有依靠提供量身定做的客制化病毒码，才能走在新病毒的前面，快速有效地进行病毒查杀，将未知威胁带来的危害降至最小。像趋势科技推出的针对未知威胁的主动式服务TMHD，可为企业量身打造客制化病毒码，满足不同企业的差异化网络安全需求。

　　新技术威胁

　　根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。

　　SQL注入攻击

　　SQL注入的攻击原理是利用程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通过恶意SQL命令的执行，获得数据读取和修改的权限。攻击者成功进行SQL注入后，会拥有整个系统的最高权限，可以修改页面、数据，在网页中添加恶意代码，危害极大。

　　SQL注入攻击的变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种不胜枚举，这导致传统的特征匹配检测方法仅能识别相当少的攻击。

　　另外，此类攻击的实现过程非常简单。目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

　　令人担忧的是，由于Web编程语言自身的缺陷，以及具有安全编程能力的开发人员少之又少，大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦注入成功，可以控制整个Web业务系统，包括对数据做任意的修改。

　　跨站脚本（XSS）攻击

　　不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。

　　跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者以通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

　　根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果非常严重，影响面也十分之广，主要包括了：

　　第一，盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号等。

　　第二，控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力。

　　第三，盗窃企业重要的具有商业价值的资料。

　　第四，非法转账。

　　第五，强制发送电子邮件。

　　第六，网站挂马。

　　第七，控制受害者机器向其他网站发起攻击。

　　跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统上基于攻击特征匹配的防御技术难以奏效。

　　关注Web站点

　　Web应用的发展，对网站产生越来越重要的作用，而越来越多的网站在此过程中也因为存在安全隐患而成为Web安全重灾区。在黑客的眼里，网站并非是一个提供互联网服务和信息交流的平台，而是可以成为被低成本利用获取利益的一个途径。

　　根据启明星辰发布的2008年Web安全统计报告，显示中国大陆网站遭入侵导致网页被篡改成倍增长。截至到今年二季度，仅网页篡改数量已经是2004年的30倍，达到61228起，这还不包含未被官方披露的数字。Web安全问题几乎成为网站不能承受之重，追溯起来诱因很多。

　　第一，大多数网站设计，只考虑正常用户稳定使用。

　　一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者，网站维护人员对网站攻防技术的了解甚少。在正常使用过程中，即便存在安全漏洞，正常的使用者也不会察觉。但在黑客对漏洞敏锐的发现和充分的利用下，网站存在的这些漏洞就被挖掘出来了，且成为黑客们直接或间接获取利益的机会。

　　第二，网站防御措施过于落后

　　大多数传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击，基于特征匹配技术防御攻击，不能精确阻断攻击。

　　大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如：and 1=1和and 2=2是一类数据库语句，但可以人为地任意构造数字构成同类语句的不同特征。而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。

　　第三，黑客入侵后未被及时发现。

　　一些黑客在获取网站的控制权限之后并不暴露自己，而是利用所控制网站产生直接利益。

　　网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情，导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务，但访问网站的人却遭受着木马程序的危害。

　　第四，发现安全问题不能彻底解决。

　　网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。即使发现网站安全存在问题和漏洞，其修补方式也只是停留在页面修复，很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。

　　碰撞与变迁

　　鉴于上述对Web业务系统常见攻击的分析，对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷拿出了识别和防御的措施及技术方案，力求为Web业务系统提供深层的安全防御。

　　但遗憾的是，由于Web威胁的迅猛发展，仅借助硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统，显然是不够的。因此，需要在网络边界和服务器前增加安全控制设备，或者在服务器系统上部署软件来防御各种攻击。

　　据孙大军介绍，目前防御Web威胁的主要挑战在于各种新的攻击方式不断出现，而传统的针对Web威胁的防御方式主要是从代码分析入手，导致随着各种攻击方式的不断翻新，防御方式也要被动地跟着更新，无法从根本上解决问题。

　　据悉，针对SQL 注入攻击和跨站脚本攻击，在传统的安全产业界，主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法，一些主流的IPS产品都采用这种检测技术。但由于其技术的局限性和机械性，使得这类IPS产品会形成漏报和误报。

　　而应用于像Web防火墙这类产品中的基于异常检测技术，能够发现一些异常情况。但其缺陷也显而易见，比如需要一定的学习期才能投入使用，而且一但业务模型发生变化，就需要重新学习，更为重要的是，异常未必就是攻击。

　　在学术界，针对SQL注入，同样有两个重要的研究方向，即基于正常行为模型的AMNESIA和基于数字签名技术的SQL Rand 方法。这两种方法的主要弱点是需要能够获得应用程序的源代码和修改源码。同时需要改变原有业务系统的部署，方案相当复杂。

　　传统的产业界和学术界解决方案的不足，还主要存在于对SQL 注入攻击和跨站脚本攻击的误报、漏报，以及部署复杂的问题。可见，解决Web业务安全的关键在于检测和部署。

　　对此，万卿的看法是，目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题。比如基于攻击手法VXID的检测算法，可以在很大程度上解决上述难题。

　　据悉，VXID算法是一种将规则分析（建立虚拟机检测规则的过程）和异常分析（符合Web攻击模型的，就是Web攻击）相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法（包括SQL注入特征和XSS攻击特征），并提取出相应的有针对性的攻击机理。之后为这些攻击方法建立相应的检测模型（VXID算法误用检测模型）。根据这些虚拟机检测来自URL、Cookie、POST-Form中的各参数域值是否符合SQL注入模型，检测提交的脚本代码是否符合XSS攻击模型，如果符合则表示发生了Web攻击。

　　采用此类算法的好处是，避免了单纯特征匹配方法的大量漏报和误报。换句话说，这种技术不会因为将关键字定义得过于严格而出现误报，也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。另外，此种技术不需要在业务系统的代码上做任何修改，实现难度较低。

　　另外，徐学龙介绍说，在面对不断自我更新、快速动态变化的Web威胁时，一些企业往往显得很被动。传统解决方案往往是当病毒入侵企业并造成明显程度的损害后，IT人员才知道问题的发生，随后才展开问题的调查、对策研究、获取厂商支持、解决方案测试和部署等工作。由于发现病毒到清除病毒的周期较长，使得企业在此期间面临很大的风险。此外，由于企业IT人员所能掌握的技术有限，对有些安全威胁了解不够，使得他们在面对这些Web攻击时往往显得束手无策。这些问题的存在，使很多企业虽然部署了软硬件网络安全解决方案，却无法最大限度地发挥它们的功能，IT维护成本也居高不下，给企业带来很大的风险和负担。

　　从这个意义上说，用户急需一套具备动态、主动防御Web威胁的技术，其中Web信誉服务（WRS）技术成为了一个热点。借助Web信誉服务，一旦嵌有恶意程序的网站刚刚出现，安全厂商就可以通过独特的防护技术保护用户的访问不受侵害，有效拦截出现在每个区域的Web威胁。

　　一般来说，WRS技术为每个URL提供一个信誉分值，这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对，就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时，就可以及时获得系统提醒或阻止，Web信誉服务可以帮助用户快速地确认目标网站的安全性。

　　编看编想

　　Web安全与人员意识

　　在很多情况下，Web安全防御常常都会牵扯到人员的意识问题。举例来看，有很多企业的网管对网站的价值认识仅仅是一台服务器或者是网站的建设成本，为了这个服务器而增加超出其成本的安全防护措施则认为是得不偿失。

　　而实际上，当网站遭受攻击之后，带来的直接和间接的损失往往不能用一台服务器或者是网站建设成本来衡量。因为很多信息资产在遭受攻击之后会造成无形价值的流失。不幸的是，当前很多用户单位的网站负责人员，只有在Web站点遭受攻击，且造成的损失远超过网站本身价值之后才开始意识到这一点。

　　另外，由于各种用户的应用环境千差万别，所以用户在进行Web安全防御的时候，更多地应该考虑因地制宜。适合于自己的安全方案才是最好的方案。

　　具体的建议有两点：

　　一是应该尽量从系统开始规划的时候就考虑Web威胁问题；

　　二是尽量从根本入手，避免头痛医头、脚痛医脚，而是针对于Web威胁，尽量从保护相关进程免受攻击入手。