德州職業(yè)技術(shù)學(xué)院 何 芳

隨著大數(shù)據(jù)時(shí)代的到來(lái)，如何針對(duì)信息安全應(yīng)用風(fēng)險(xiǎn)及隱患做好防護(hù)措施，逐漸成為大家所關(guān)注的焦點(diǎn)。本文將對(duì)大數(shù)據(jù)時(shí)代的信息安全隱患及防護(hù)措施進(jìn)行分析。

1 關(guān)于信息安全

1.1 信息安全威脅的主要形式

互聯(lián)網(wǎng)中的信息安全威脅主要來(lái)自以下幾個(gè)方面：系統(tǒng)漏洞、黑客侵襲、病毒木馬攻擊、用戶安全防范意識(shí)薄弱、用戶信息被泄露、虛假不良信息的傳播和移動(dòng)信息安全威脅等。其主要表現(xiàn)形式有：黑客攻擊、DDOS攻擊（包括SYN攻擊、DNS放大攻擊、DNS泛洪攻擊和應(yīng)用層DDOS攻擊）；網(wǎng)絡(luò)安全漏洞給病毒、DDOS、僵尸網(wǎng)絡(luò)、蠕蟲、間諜軟件等的侵入留下可乘之機(jī)；木馬病毒通過不斷的升級(jí)更新帶給用戶的持續(xù)性威脅；信息數(shù)據(jù)在傳輸過程中被泄露、篡改、添加和刪除；用網(wǎng)絡(luò)釣魚的方式誘騙用戶進(jìn)入威脅網(wǎng)站，從而獲取用戶私密信息等。

1.2 信息安全漏洞的主要表現(xiàn)

（1）SQL注入漏洞

SQL注入攻擊包括通過輸入數(shù)據(jù)從客戶端插入或“注入”SQL查詢到應(yīng)用程序，SQL注入漏洞方法有很多，比如：數(shù)字注入、字符串注入、布爾型注入等。在數(shù)字注入方面，$sql ="SELECT * FROM article WHERE id=",$id是“l(fā)earn.me/sql/article.php?id=1”這個(gè)地址被輸入地址欄后，被調(diào)用的一個(gè)查詢語(yǔ)句，我們將會(huì)得到id=1的返回信息；但如果在地址欄中輸入learn.me/sql/article.php?id=-1 OR 1 =1，那么就將得到所有文章的相關(guān)信息，這就是一個(gè)SQL注入攻擊的過程。

（2）“內(nèi)部IP暴露”漏洞

“內(nèi)部IP暴露”漏洞是指活躍在網(wǎng)絡(luò)上的私有IP地址經(jīng)常會(huì)被攻擊者通過信息收集方式獲得，被攻擊者獲得的IP地址將被用于接下來(lái)對(duì)用戶所采取的滲透攻擊。除了普通客戶端外，IP路由也會(huì)受到影響，常見的泄露內(nèi)網(wǎng)IP的web容器有IIS。

（3）Struts2遠(yuǎn)程命令執(zhí)行漏洞

已被編號(hào)為S2-045和CVE-2017-5638的Struts2遠(yuǎn)程命令執(zhí)行漏洞受到越來(lái)越多人的關(guān)注，攻擊者可以在上傳文件時(shí)，通過改變Content-Type值（存在于HTTP請(qǐng)求中）來(lái)觸發(fā)該漏洞，被修改后的命令一旦開始被執(zhí)行，服務(wù)器安全將受到極大威脅。

除了上述三種信息安全漏洞外，跨站腳本漏洞、弱口令漏洞、HTTP報(bào)頭追蹤漏洞、框架釣魚漏洞、文件上傳漏洞、應(yīng)用程序測(cè)試腳本泄露、未加密登錄請(qǐng)求、敏感信息泄露漏洞等，也是比較常見的信息安全漏洞。

2 大數(shù)據(jù)時(shí)代下的信息安全威脅

2.1 大數(shù)據(jù)時(shí)代下，信息安全威脅的主要方面

（1）基礎(chǔ)設(shè)施安全威脅

包括存儲(chǔ)設(shè)備和運(yùn)算設(shè)備在內(nèi)的硬件設(shè)備，以及其它基礎(chǔ)軟件（如虛擬化軟件）都屬于大數(shù)據(jù)基礎(chǔ)設(shè)施。由于內(nèi)容和體量過于龐大，大數(shù)據(jù)在傳輸過程中很容易因加密強(qiáng)度不夠而受到攻擊，比如通過實(shí)施嗅探、中間人攻擊、重放攻擊來(lái)竊取或篡改數(shù)據(jù)。

（2）大數(shù)據(jù)存儲(chǔ)安全威脅

大數(shù)據(jù)存儲(chǔ)安全威脅主要分為關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)安全威脅和非關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)安全威脅。其中，前面所講到的SQL注入漏洞是困擾著關(guān)系型數(shù)據(jù)庫(kù)應(yīng)用程序的大問題，SQL注入漏洞的存在，使得成千上萬(wàn)的用戶時(shí)刻都在承受巨大的信息泄露風(fēng)險(xiǎn)。

（3）大數(shù)據(jù)網(wǎng)絡(luò)安全威脅

大數(shù)據(jù)下的網(wǎng)絡(luò)安全威脅有很多種，除了前面所講的利用Struts2遠(yuǎn)程命令執(zhí)行漏洞來(lái)實(shí)施攻擊外，APT（高級(jí)持續(xù)性威脅）也是一種很有威脅的攻擊方式，它所帶來(lái)的損失會(huì)隨攻擊次數(shù)的增多而不斷增大；同時(shí)，它的攻擊渠道非常廣，目前已被曝光的有社交攻擊、0day漏洞利用、物理擺渡等。

2.2 攻擊技術(shù)分析

2.2.1 NoSQL注入

Web應(yīng)用和服務(wù)通常使用NoSQL數(shù)據(jù)庫(kù)去保存客戶數(shù)據(jù)。驅(qū)動(dòng)程序在對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問時(shí)，會(huì)為多種編程語(yǔ)言編寫的數(shù)據(jù)庫(kù)客戶端提供類庫(kù)，盡管該驅(qū)動(dòng)程序自身不易受到攻擊，但由于它無(wú)法提供出一個(gè)安全的API，所以當(dāng)使用者錯(cuò)誤地應(yīng)用它時(shí)，就會(huì)給惡意用戶制造利用漏洞進(jìn)行惡意攻擊的機(jī)會(huì)。NoSQL注入攻擊的種類有很多，比如PHP重言式注入、NoSQL聯(lián)合查詢注入、NoSQL JavaScript注入、背負(fù)式查詢注入等。

2.2.2 APT

APT攻擊的入侵方式主要有：防火墻、服務(wù)器漏洞、惡意郵件（主要在社交活動(dòng)中）、通過移動(dòng)電子產(chǎn)品和設(shè)備進(jìn)入到企業(yè)信息系統(tǒng)中實(shí)施攻擊。

其攻擊方式有以下三種：

（1）惡意用戶通常會(huì)用直連物理設(shè)備來(lái)連接被攻擊者所使用的硬件設(shè)備，將病毒注入進(jìn)去，以此將病毒傳染給整個(gè)局域網(wǎng)絡(luò)。

（2）惡意用戶通常會(huì)以目標(biāo)組織中的一個(gè)用戶端所使用DNS訪問過的網(wǎng)站作為突破口，先去感染網(wǎng)絡(luò)，進(jìn)而感染到所有訪問過相同網(wǎng)站的客戶端，從而使相關(guān)的設(shè)備也一并受到感染。

（3）惡意用戶通過發(fā)送惡意軟件給目標(biāo)用戶的方式也會(huì)將病毒注入目標(biāo)客戶端，比如Cryptolocker就是一種感染方式，它也被稱為勒索軟件。目標(biāo)客戶一旦打開接受到的惡意郵件，Cryptolocker就會(huì)在本地磁盤上加密文件和映射網(wǎng)絡(luò)磁盤。如果你不交贖金，惡意軟件就會(huì)刪除加密密鑰，從而使你無(wú)法訪問自己的數(shù)據(jù)。

3 大數(shù)據(jù)時(shí)代下，信息安全的防護(hù)措施

3.1 基于SQL注入漏洞的防護(hù)措施

基于SQL注入漏洞的防護(hù)措施主要有：（1）普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)格的區(qū)分；（2）強(qiáng)迫使用參數(shù)化語(yǔ)句；（3）加強(qiáng)對(duì)用戶輸入的驗(yàn)證；

（4）使用SQL Server數(shù)據(jù)庫(kù)自帶的安全參數(shù)；（5）多層環(huán)境如何防治SQL注入式攻擊；（6）必要的情況下使用專業(yè)的漏洞掃描工具來(lái)尋找可能被攻擊的點(diǎn)。

除上述六點(diǎn)外，我們還可以考慮設(shè)置陷阱賬號(hào)，比如將防注入的賬號(hào)設(shè)置的很象管理員（如admin）以制造假象吸引軟件的檢測(cè)，而密碼是大于千字以上的中文字符，迫使軟件分析賬號(hào)的時(shí)候進(jìn)入全負(fù)荷狀態(tài)甚至資源耗盡而死機(jī)。

3.2 基于“內(nèi)部IP暴露”漏洞的防護(hù)措施

基于“內(nèi)部IP暴露”漏洞的防護(hù)措施主要有：（1）包含有內(nèi)網(wǎng)IP不要在源代碼中被注釋；（2）完善安全編碼策略，同時(shí)保證內(nèi)部IP不要出現(xiàn)在頁(yè)面代碼中；（3）加強(qiáng)代碼審查；（4）數(shù)據(jù)交互過程中避免使內(nèi)網(wǎng)IP參與進(jìn)去。

3.3 基于Struts2遠(yuǎn)程命令執(zhí)行漏洞的防護(hù)措施

（1）禁用jakarta框架

修改default.properties這個(gè)文件中的基本配置，比如我們可以把配置struts.multipart.parser=jakarta修改成struts.multipart.parser=pell，這樣便相當(dāng)于把jakarta框架給禁用了。

（2）添加action攔截器，過濾掉非法請(qǐng)求

針對(duì)前文提到的S 2-0 4 5漏洞觸發(fā)點(diǎn)為Content-TypeHTTP頭字段，我們可以添加action攔截器來(lái)過濾掉非法請(qǐng)求。通過將SecurityFilter.java文件編譯成SecurityFilter.class，然后存入服務(wù)器中，存放路徑如下：/var/www/apachetomcat-7.0.14/webapps/ROOT/WEB-INF/classes/。最后修改web.xml(/var/www/apachetomcat-7.0.14/webapps/ROOT/WEB-INF/web.xml)使被添加的攔截器生效；然后，繼續(xù)添加的代碼，保存web.xml后重啟tomcat，重啟后服務(wù)器需要切換到/var/www/apache-tomcat-7.0.14/bin/目錄下，首先執(zhí)行./shutdown.sh，然后執(zhí)行./startup.sh，接著輸入驗(yàn)證漏洞的命令：

poc.exe http://172.16.12.2/example/Hello-World.action “cat /etc/passwd”

3.4 基于NoSQL注入漏洞的防護(hù)措施

基于NoSQL注入漏洞的監(jiān)控和攻擊檢測(cè)主要有以下幾個(gè)方面：

（1）用Web應(yīng)用防火墻來(lái)檢查HTTP數(shù)據(jù)流和檢測(cè)惡意HTTP事務(wù)的安全性；

（2）基于主機(jī)的侵入檢測(cè)系統(tǒng)可以檢測(cè)執(zhí)行應(yīng)用和服務(wù)器上的負(fù)載，從而向與預(yù)期行為不符的行為發(fā)出預(yù)警；

（3）運(yùn)行期應(yīng)用自我保護(hù)（RASP）是一種新的安全防護(hù)與檢測(cè)方式，它可以被嵌入到應(yīng)用程序中進(jìn)行自我監(jiān)控。

結(jié)束語(yǔ)：大數(shù)據(jù)時(shí)代下的信息安全隱患來(lái)自很多方面，毫不夸張地講，只要是與原有計(jì)算機(jī)技術(shù)相關(guān)的安全問題也都是大數(shù)據(jù)時(shí)代下的信息安全問題。相應(yīng)地，信息安全隱患的防護(hù)方法也有很多，本文從技術(shù)的角度列舉了其中的一些方面，希望能給大家?guī)?lái)幫助。