龍 娟

(廣西政法管理干部學(xué)院信息工程系，廣西 南寧 530022)

0 引言

根據(jù)《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，2008年我國(guó)網(wǎng)民數(shù)、寬帶網(wǎng)民數(shù)、國(guó)家CN域名數(shù)三項(xiàng)指標(biāo)穩(wěn)居世界排名第一。互聯(lián)網(wǎng)絡(luò)已經(jīng)成為我國(guó)人民生活中的重要組成部分，Web站點(diǎn)是互聯(lián)網(wǎng)發(fā)展的重要載體。用戶通過(guò) Web站點(diǎn)享受互聯(lián)網(wǎng)提供的服務(wù)、進(jìn)行信息交流；黑客則想方設(shè)法對(duì)Web站點(diǎn)進(jìn)行攻擊，對(duì)網(wǎng)頁(yè)進(jìn)行SQL 注入，篡改網(wǎng)頁(yè)、利用Web站點(diǎn)傳播木馬給瀏覽網(wǎng)站用戶等，利用Web站點(diǎn)獲取非法利益。

1 Web面臨的安全問(wèn)題

根據(jù)X-Force的2008年年度報(bào)告，Web安全事件數(shù)量增長(zhǎng)迅猛，如圖1所示。

圖1 1998-2008年度Web安全事件數(shù)量

在國(guó)內(nèi)，根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計(jì)數(shù)據(jù)顯示，2009年我國(guó)大陸地區(qū)政府網(wǎng)頁(yè)遭篡改事件呈大幅增長(zhǎng)趨勢(shì)，被篡改網(wǎng)站的數(shù)量達(dá)到52225個(gè)。2010年一季度各種網(wǎng)絡(luò)安全事件與 2009年同期相比都有明顯增加、被植入木馬的主機(jī)數(shù)量大幅攀升?？v觀Web的發(fā)展歷程其面臨安全問(wèn)題主要有以下幾種情況[1-4]:

1.1 服務(wù)器的安全問(wèn)題

擊者利用，就會(huì)對(duì)服務(wù)器的安全性造成極大的威脅，甚至導(dǎo)致服務(wù)器淪陷，如弱口令、系統(tǒng)自身漏洞、管理共享、多余端口開放、空鏈接等，導(dǎo)致黑客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

1.2 Web發(fā)布系統(tǒng)的漏洞

Web業(yè)務(wù)發(fā)布系統(tǒng)目前用得較多的有IIS、Apache等，這些Web服務(wù)器軟件自身存在很多安全漏洞或缺口，如IIS的Null.htw、MDAC、Webhits.dll & .htw、Unicode解析錯(cuò)誤漏洞等10多種漏洞給入侵者可乘之機(jī)。

1.3 Web應(yīng)用程序及數(shù)據(jù)庫(kù)的漏洞

Web應(yīng)用程序的編寫人員，在編程的過(guò)程中沒(méi)有考慮到安全的因素，使得入侵者能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊XXS、越權(quán)操作、文件上傳組件漏洞、下載漏洞等。

1.4 網(wǎng)絡(luò)自身的安全狀況

網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊、網(wǎng)絡(luò)協(xié)議自身的缺陷等，也會(huì)影響到網(wǎng)站的正常運(yùn)營(yíng)，被入侵者可直接用來(lái)攻擊Web服務(wù)器系統(tǒng)。

2 Web安全問(wèn)題基本解決方案

2.1 Web站點(diǎn)安全目標(biāo)

Web站點(diǎn)安全目標(biāo)是通過(guò)對(duì)Web網(wǎng)站進(jìn)行管理控制和實(shí)施技術(shù)措施保證在網(wǎng)站環(huán)境里，保證信息數(shù)據(jù)的機(jī)密性、完整性、可用性。總的來(lái)說(shuō)應(yīng)實(shí)現(xiàn)的目標(biāo)如圖2所示。

圖2 Web站點(diǎn)安全目標(biāo)

2.2 實(shí)施整體安全方案[5]

2.2.1 使用防火墻技術(shù)

互聯(lián)網(wǎng)上防火墻是一種有效的網(wǎng)絡(luò)安全模型，它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。通過(guò)防火墻可實(shí)現(xiàn)：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；②防止入侵者接近你的防御設(shè)施；③限定用戶訪問(wèn)特殊站點(diǎn)；④為監(jiān)視Internet安全提供方便，這是Web站點(diǎn)的第一道防線。

2.2.2 安裝入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，捕捉危險(xiǎn)或有惡意的訪問(wèn)動(dòng)作，按照指定的安全策略，以記錄、阻斷、發(fā)警報(bào)等多種方式進(jìn)行響應(yīng)，實(shí)時(shí)阻止入侵行為，保護(hù)系統(tǒng)的安全。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全門。

2.2.3 正確配置Web服務(wù)器

服務(wù)器正確的配置是保證Web站點(diǎn)安全的基礎(chǔ)之一，應(yīng)完成操作有：①跟蹤并安裝服務(wù)器軟件的最新補(bǔ)?。虎谡_設(shè)置、管理賬號(hào)；③正確設(shè)置目錄和文件權(quán)限；④關(guān)閉不必要的服務(wù)、端口，禁止建立空鏈接；⑤建立本地安全策略和審核策略。

2.2.4 建立多級(jí)備份機(jī)制

對(duì)于重要數(shù)據(jù)、文件等資料應(yīng)定期進(jìn)行備份，在網(wǎng)絡(luò)環(huán)境下，通?？煞謱哟蔚夭捎镁W(wǎng)絡(luò)異地備份、服務(wù)器雙機(jī)熱備份、RAID鏡像技術(shù)、軟件系統(tǒng)自動(dòng)備份等多種方式做好數(shù)據(jù)備份工作。

2.2.5 Web安全測(cè)試和評(píng)估

針對(duì)目前Web站點(diǎn)安全現(xiàn)狀，實(shí)現(xiàn)Web站點(diǎn)的安全目標(biāo)最好的解決方法是在實(shí)施以上相應(yīng)的安全防范安全解決方案的同時(shí)，對(duì)Web站點(diǎn)做網(wǎng)絡(luò)掃描，進(jìn)行安全測(cè)試和評(píng)估，發(fā)現(xiàn) Web站點(diǎn)中的漏洞，及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，有效地阻止入侵事件的發(fā)生。

3 Web安全測(cè)試和評(píng)估

3.1 評(píng)測(cè)對(duì)象

Web站點(diǎn)的安全問(wèn)題是多個(gè)層面疊加產(chǎn)生，在對(duì) Web站點(diǎn)進(jìn)行測(cè)評(píng)過(guò)程中，對(duì)網(wǎng)絡(luò)層、系統(tǒng)層面及Web通用組件（如IIS、Apache等Web server軟件）的安全性需要考慮，Web應(yīng)用層面的安全問(wèn)題需要重點(diǎn)考慮。

在評(píng)估過(guò)程中具體的評(píng)估實(shí)施目標(biāo)[6]包括 Web服務(wù)器主機(jī)、Web發(fā)布系統(tǒng)、Web應(yīng)用程序及數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。這幾個(gè)因素是Web站點(diǎn)安全評(píng)估工作中缺一不可的，缺少任何一個(gè)或任何一個(gè)出現(xiàn)問(wèn)題，都會(huì)使整個(gè)評(píng)估工作中斷或使評(píng)估結(jié)果不可信。

3.2 評(píng)測(cè)方法

Web安全測(cè)評(píng)方法可總結(jié)為訪談、上機(jī)檢查和工具測(cè)試3種[7-8]。

訪談是指測(cè)評(píng)人員通過(guò)與被評(píng)測(cè)Web站點(diǎn)的相關(guān)管理員、技術(shù)員進(jìn)行交流、討論等，了解和熟悉整個(gè)系統(tǒng)的實(shí)際情況，以利于生成實(shí)施測(cè)評(píng)的作業(yè)指導(dǎo)書。

檢查是指測(cè)評(píng)人員根據(jù)已生成的作業(yè)指導(dǎo)書內(nèi)容對(duì)被評(píng)測(cè)系統(tǒng)網(wǎng)絡(luò)設(shè)備的配置是否正確、網(wǎng)絡(luò)連接是否合理，并對(duì)此進(jìn)行分析、判斷 Web站點(diǎn)現(xiàn)有安全保護(hù)措施是否有效。

工具測(cè)試是指測(cè)評(píng)人員按照工具接入測(cè)試方案和測(cè)試用例對(duì)被測(cè)評(píng)Web站點(diǎn)進(jìn)行漏洞掃描、滲透測(cè)試的方法[9]。

3.3 實(shí)施步驟

對(duì)被評(píng)估Web站點(diǎn)情況先做全面了解，搜集Web站點(diǎn)的安全需求分析報(bào)告、安全現(xiàn)狀評(píng)價(jià)報(bào)告、網(wǎng)絡(luò)拓?fù)鋱D等相關(guān)資料；調(diào)查Web站點(diǎn)所使用網(wǎng)絡(luò)設(shè)備情況等，分析調(diào)查結(jié)果，熟悉Web站點(diǎn)的各項(xiàng)實(shí)際情況；根據(jù)相關(guān)安全性評(píng)估準(zhǔn)則和安全風(fēng)險(xiǎn)評(píng)估規(guī)范結(jié)合已掌握的情況，制定作業(yè)指導(dǎo)書、測(cè)評(píng)計(jì)劃、編寫各個(gè)安全測(cè)評(píng)控制項(xiàng)的安全檢查方法和測(cè)試用例，并列好表格，在測(cè)試過(guò)程中準(zhǔn)確、及時(shí)的對(duì)應(yīng)各自項(xiàng)目記錄也便于后期查閱匯總?，F(xiàn)場(chǎng)測(cè)評(píng)完成后，匯總評(píng)測(cè)結(jié)果，找出Web系統(tǒng)中存在的安全問(wèn)題，生成評(píng)測(cè)報(bào)告。

3.3.1 Web服務(wù)器安全評(píng)估

Web服務(wù)器的安全測(cè)評(píng)包括操作系統(tǒng)安全及應(yīng)用服務(wù)器安全?？刹捎迷L談?wù){(diào)研、現(xiàn)場(chǎng)檢查主機(jī)配置、工具檢測(cè)等方法。使用工具檢測(cè)方法時(shí)可以使用目前比較成熟的 Web安全評(píng)估系統(tǒng)，快速發(fā)現(xiàn)問(wèn)題、避免遺漏，主要從外部和內(nèi)部?jī)蓚€(gè)角度著手展開[10]。

外部評(píng)估主要針對(duì) Web服務(wù)器和應(yīng)用服務(wù)進(jìn)行安全評(píng)估。由測(cè)試人員從Web站點(diǎn)外部發(fā)起，針對(duì)服務(wù)器和應(yīng)用服務(wù)的遠(yuǎn)程評(píng)估工作，主要模擬攻擊者的惡意掃描、攻擊等行為，主要查看Web服務(wù)器的操作系統(tǒng)和應(yīng)用服務(wù)層面是否有遠(yuǎn)程緩沖區(qū)溢出漏洞、遠(yuǎn)程身份驗(yàn)證漏洞、遠(yuǎn)程拒絕服務(wù)漏洞、遠(yuǎn)程信息泄漏漏洞等。對(duì)于Web服務(wù)安全性，測(cè)試常見(jiàn)的Web安全問(wèn)題：跨站腳本漏洞、文件包含漏洞、命令執(zhí)行漏洞、目錄遍歷漏洞、信息泄漏漏洞、暴力破解漏洞等。

內(nèi)部評(píng)估對(duì)Web服務(wù)器的配置和策略做安全性檢查。策略設(shè)置方面查看是否存在多余的設(shè)置包括不必要服務(wù)，如DHCP，不必要的共享連接，如windows默認(rèn)共享，是否有多余用戶，口令設(shè)置是否符合要求，文件系統(tǒng)是否可靠，是否進(jìn)行了訪問(wèn)控制、審計(jì)設(shè)置、權(quán)限設(shè)置等；Web服務(wù)配置方面檢查不必要的組件是否存在，是否啟用目錄遍歷功能，對(duì)隱秘頁(yè)面是否使用SSL傳輸加密，是否加強(qiáng)了日志記錄內(nèi)容，操作權(quán)限是否進(jìn)行了嚴(yán)格的設(shè)置，否設(shè)置了必要的訪問(wèn)控制列表ACL等。

3.3.2 Web應(yīng)用程序安全評(píng)估

對(duì)Web應(yīng)用程序的安全進(jìn)行評(píng)估，主要可采用代碼審核方式。代碼審核在整個(gè)應(yīng)用程序的安全評(píng)估中非常重要，是對(duì)應(yīng)用程序源代碼進(jìn)行系統(tǒng)性檢查的工作。它的目的是為了找到并且修復(fù)應(yīng)用程序在開發(fā)階段存在的一些漏洞或者程序邏輯錯(cuò)誤，避免程序漏洞被非法利用給Web站點(diǎn)帶來(lái)不必要的風(fēng)險(xiǎn)。

代碼審核可用訪談和上機(jī)檢查方法完成。訪談?dòng)糜谑占瘧?yīng)用程序信息，熟悉整個(gè)應(yīng)用程序的業(yè)務(wù)流程；上機(jī)檢查完成數(shù)據(jù)驗(yàn)證工作，查看是否存在命令注入、跨站腳本、文件包含、代碼注入、SQL注入、文件上傳組件漏洞、緩沖區(qū)溢出、加密弱點(diǎn)等漏洞。

3.3.3 數(shù)據(jù)庫(kù)安全性評(píng)估

無(wú)論何種類型的Web站點(diǎn)，數(shù)據(jù)庫(kù)都是它的核心。數(shù)據(jù)庫(kù)安全性評(píng)估本質(zhì)上是在某個(gè)時(shí)間點(diǎn)衡量數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的過(guò)程。通過(guò)評(píng)估數(shù)據(jù)庫(kù)對(duì)一系列漏洞和攻擊條件的易感程度，可測(cè)定存在的首要風(fēng)險(xiǎn)是什么。評(píng)估過(guò)程中檢查是否正確實(shí)施密碼策略，管理權(quán)限分配是否符合最低權(quán)限標(biāo)準(zhǔn)，是否存在緩沖區(qū)溢出漏洞，數(shù)據(jù)引擎漏洞等。

3.3.4 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全評(píng)估

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全評(píng)估可采用訪談、檢查、測(cè)試方法完成。包括檢查網(wǎng)絡(luò)物理設(shè)備的放置結(jié)構(gòu)是否安全、合理，物理環(huán)境是否符合信息保護(hù)策略（IPP，Information Protection Policy）的要求，是否有網(wǎng)絡(luò)訪問(wèn)控制、撥號(hào)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)入侵防范、惡意代碼防范等。

4 結(jié)語(yǔ)

對(duì)Web站點(diǎn)進(jìn)行安全評(píng)估是Web安全防范處理過(guò)程中的重要環(huán)節(jié)。定期地、有組織地開展Web站點(diǎn)安全評(píng)估是非常有必要的，具體說(shuō)來(lái)，有以下好處：

①通過(guò)定期的Web站點(diǎn)安全評(píng)估，能夠及時(shí)發(fā)現(xiàn)、消除Web站點(diǎn)中存在的安全隱患和新出現(xiàn)的安全漏洞，有效增強(qiáng)Web站點(diǎn)對(duì)各種網(wǎng)絡(luò)安全威脅和突發(fā)性安全事件的抵御能力。

②通過(guò)Web站點(diǎn)安全評(píng)估，能夠準(zhǔn)確、及時(shí)地掌握現(xiàn)階段Web站點(diǎn)的網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)網(wǎng)絡(luò)維護(hù)人員進(jìn)行日常的網(wǎng)絡(luò)維護(hù)工作等有參考價(jià)值。

③通過(guò)Web站點(diǎn)安全評(píng)估，可有效地促進(jìn)Web站點(diǎn)的安全管理工作，提高Web站點(diǎn)管理人員的安全素養(yǎng)。

[1] 彭賡,范明鈺.基于改進(jìn)網(wǎng)絡(luò)爬蟲技術(shù)的SQL注入漏洞檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究, 2010,27(07):2605-2607.

[2] 蘇劍飛，王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].通信技術(shù),2010,43(01):91-93.

[3] 肖衍.一種基于 Web漏洞威脅模型的應(yīng)用層異常檢測(cè)方法研究[J].福建電腦,2010(04):93-95.

[4] 楊林,楊鵬,李長(zhǎng)齊.Web應(yīng)用漏洞分析及防御解決方案研究[J]. 信息安全與通信保密,2011(02):58-60,63.

[5] 王春紅.中小企業(yè)網(wǎng)站安全問(wèn)題與防范策略研究[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2010(12):64-66.

[6] 王利青,武仁杰,蘭安怡.Web安全測(cè)試及對(duì)策研究[J].通信技術(shù),2008,41(06):29-32.

[7] 陳廣勇,張潔昕,郭冠男.基于等級(jí)保護(hù)的網(wǎng)絡(luò)測(cè)評(píng)實(shí)施[J]. 信息安全與通信保密,2010(12):47-48.

[8] 王海峰,吳旭.一種新的信息安全測(cè)評(píng)系統(tǒng)與方法的研究[J].微計(jì)算機(jī)信息,2008,24(11):70-71.

[9] 向虎賢,李承浩,高琳紅.電子政務(wù)系統(tǒng)信息安全測(cè)評(píng)研究[J].數(shù)字技術(shù)與應(yīng)用,2010(01):117-119.

[10] 李博,李寧,費(fèi)中華.校園網(wǎng) WEB服務(wù)器的性能測(cè)評(píng)及優(yōu)化方案研究[J].電腦知識(shí)與應(yīng)用,2010,34(06):9723-9725.