安全建议

近日国内多家知名网站用户数据库被公开下载，国内外媒体频繁报道，影响恶劣。涉及到游戏类、社区类以及交友类等网站用户数据正逐步公开。各报道中也针对系列事件向用户提出密码设置策略等安全建议。

用户数据作为网站所有者的信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。为此，安恒信息已于近日对多家受到攻击的网站提供网站安全检测并为其提供解决方案。安恒信息的专家将从信息安全防御的角度，就Web应用的数据库的防泄密策略提出解决建议，以杜绝类似的数据库泄露事件再次发生。

数据库为什么成为目标

攻击者为什么会冒着巨大的法律风险去获取数据库信息？

2001年，随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏帐号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场。

2004～2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客“拖库”的主要目标。

2008～2009年，国内信息安全立法和追踪手段得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时，残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票和境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。

2010年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用ID或Email，可以直接搜索出其常用密码或常用密码密文。

2011年12月21日，仅仅是在这一天，攻击者曾经获取到的部分数据库被陆续公开了。

数据库是如何被获取的

攻防回合的延续使入侵网游服务端主机系统难度加大，而Web应用的登录入口表明了Web应用程序与用户数据表之间存在关联，通过入侵Web网站获得数据库信息成为针对网站数据库攻击的主要入手点，常见的攻击步骤如下：

1.寻找目标网站（或同台服务器的其他网站）程序中存在的SQL注入、非法上传或者后台管理权限等漏洞；

2.通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WebShell；

3.通过已获得的WebShell提升权限，获得对Web应用服务器主机操作系统的控制权，并通过查看网站数据库链接文件，或得数据库的链接密码；

4.通过在Web应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者本地数据库（或直接下载服务器上可能存在的数据库备份文件）；

5.清理服务器日志，设置长期后门。

目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化的作业流程。从安恒支持的全国网站安全大检查数据分析中，可以知道全国70%的网站存在安全问题，这些网站也将均有可能成为下一个数据信息泄露的潜在安全隐患群体。

安恒专家建议

针对于Web应用和数据库基于以上技术防御目标和业务影响，安恒信息提出以下基本防御策略。

技术方面，根据具体信息系统的实际情况适当采用对应的安全工具或设备，如Web应用弱点扫描器、数据库弱点扫描器、Web应用防火墙、数据库审计系统等；并通过人工手段，对系统进行多种方式的脆弱性评估和加固工作，如：渗透测试、代码审计等。

其实很早我们和一些互联网公司就发现一个奇怪的现象，传统的暴力破解密码等较为成熟的攻击手段发生了改变。另外一种攻击手法越来越多——直接拿一批账号密码去业务系统上进行尝试，这一动作变得相当普遍。尽管账号密码不一定是正确的，但是可以明显看出是用户的正常密码，而且一次失败就不再进行尝试，其实这个时候大量的账号密码数据泄露已经发生了，业界有一个名词来指代这种行为，叫“撞库”。

如何变得安全

作为一个互联网厂商，如果想让自己变得安全，有两种方式。

第一种是让自己在黑客眼里变得没有价值，如果攻击成本和收益不成比例，相信黑客一定不会攻击你的。这里对于密码而言，最好的方式就是将你的密码加密，并且使得逆向不可能，譬如常见的一用户一加密，每个用户生成单独的足够复杂的盐，然后用盐对密码进行加密，这样会使得你的密码库对于黑客攻击的吸引会较小，一些公司可以通过这种方式减免风险。

第二种方式自然就是让自己足够的安全，这一点很困难。但是对于某些公司来说必须这么做，因为也许不是你的用户密码信息重要，你的业务已经决定了你的敏感性，譬如游戏公司、微博、社区、购物以及邮箱等等，这些业务注定是黑客的目标，这个时候只能提升自身的安全性以避免遭受攻击时受到损失。

但是这次的事件一样说明了一个问题，躺着中枪的事现在太多了。互联网这么大，各大公司的用户重合度非常高，很可能一家的数据库被入侵了，就发生了前面到别家撞库的现象。所以即使暂时没有被直接披露数据库泄露的厂商和企业，在做好自身安全建设的同时，也建议及时做出反应。对已经泄露的用户进行及时提醒，修改账号、密码。对于业务系统的登录日志要定期审计，重点包括单IP多账号尝试登录的情况。如果有很明显是可能躺着中枪的现象，要及时作出响应。

如果要做到自身的足够安全，这是一项艰巨和艰难的工作。安全本身的范畴就较广，但绝对不能是在出了事故之后找一些人来临时解决。最好的安全应该是自始至终就有人为安全负责，将安全落实到公司的流程制度规范以及基础技术架构里去，形成完善的安全体系，并且持续更新迭代。如果以前没有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公司或者外部顾问。但是记住，不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链，当然作为一个与外部安全社区沟通的平台，乌云也是值得关注的。

管理方面，加强对Web应用和数据库对应的组织人员、开发规范、运维策略和安全培训等的建设，在单业务系统的范围内，达到体系完善。如对数据库用户权限和备份文件加强管理，针对于某些攻击手段的防御效果可能高于产品部署而大幅降低成本。

解决方案

国内对网络信息安全存在一定的误区，如用户普遍认为没有必要制订符合企业长远发展的安全策略；面对不法分子日益猖獗的复合式攻击，不少行业用户试图通过单点产品的简单堆砌来加以应对，而对产品之间的协调工作考虑较少，导致了安全防护体系的整体防御能力低下；对复杂多变的网络环境和层出不穷的安全漏洞认识不足，许多行业用户把已经部署了的安全防御体系看成是“完美工事”。

然而这些都不足以抵抗日趋严酷的网络安全环境，安恒信息根据一般Web应用和数据库常见的部署情况，研发了多款针对性的防御产品，可有效地弥补上述的安全误区。

但同时我们也要注意到，由于目前任何设备都不能完全模拟人的工作思路和操作。作为相关产品的补充，我们可以适当考虑采用人工操作的方式对Web应用和数据库的安全防御能力进行加强。攻防是一种动态博弈，安全产品的部署和相关的安全管理策略采用在技术层面并不存在硬性要求，在实际的信息安全工作中，应当针对具体情况采用更加灵活的安全措施。

对于很多有实际工作需要的读者，可以通过安恒信息网站联系客服索取更为详细的防御实施方案。我们也期待与系统运维和安全管理人员当面进行交流。

安恒信息作为专注于Web应用和数据库安全的国内厂商，以服务于国内大型信息安全保障工作的最佳实践，有信心和能力为应用安全行业提供科学先进体系完善的最佳解决方案。