從12306看下一代安全
責編:admin |2015-01-08 15:05:02又到春運時節,12306再爆新聞,13萬用戶數據泄露。有關此事件眾說紛紜,有稱12306網站存在遠程執行漏洞,有稱這是這是“撞庫”行為。所幸現在已經有消息稱,目前犯罪嫌疑人已被鐵路公安機關抓獲。
做為下一代網絡安全的下一代防火墻廠商對此事如何看待?對待今后發生類似網絡威脅應如何去進行防范?就此問題我走訪一些下一代防火墻安全廠商,收集到了一些他們對此類網絡安全問題建議的更加主動的解決辦法。
“漏洞”、“撞庫”與“脫庫”
實際上12306所發生的網絡安全問題十分具有代表性,這些問題在其它網站中也普遍存在,并且對當前網絡用戶的網絡應用安全產生了極大的負面影響。下面就地這些威脅進行一下具體分析:
一、漏洞
黑客每天都會利用掃描工具對各大網站進行瘋狂地掃描,若網站存在SQL注入等漏洞或Web服務器本身含有漏洞,則黑客可輕易挖掘出這些漏洞,并利用其進行數據竊取。
二、撞庫
“撞庫”是指黑客通過收集互聯網已泄露的用戶名和密碼信息,生成龐大的密碼庫,到12306等網站嘗試批量登錄,然后得到一系列可以登錄的用戶名和密碼。
三、脫庫
“脫庫”是指通過非法手段獲取網站的數據庫,取得其中的會員信息或者黑客需要的各類信息。
12306一直強調,自身的數據庫是安全的,網絡公開的用戶數據是黑客在第三方網站上獲取到的,但現在已有多家網絡安全公司指出,12306網站主域名下共有6個分站存在嚴重的Strust2框架的遠程執行漏洞,因此,“漏洞”問題無可避免。同樣13萬用戶數據也已被正實均為真實有效,所以“撞庫”問題也是現實存在。至于是否存在“脫庫”情況,現在信息不足還無法進行判斷。但如果黑客未在第三方數據庫中進行“脫庫”,那這13萬的用戶信息也是不可能“撞庫”成功的。
12306用戶泄露信息的郵箱、明文密碼、姓名和身份證號碼
在這里我們不是要對誰去進行批判,事實上做為一個鐵路售票網站,12306對用戶網絡應用請求和網絡安全性,均是十分重視的。但在現有的網絡安全機制下,即便是處處小心,一不留神還是會出現問題。哪怕自身沒有問題,別人也會給你“撞”出問題來!
為什么這樣講?下面我們就透過現象看本質,來對12306問題進行一個深度分析。
12306問題的深度分析
從表面上看,12306的問題是“漏洞”、“撞庫”和“脫庫”。然而在更深層次的分析后,卻發現,問題的根源不是在于“漏洞”,而是在于現有的網絡安全防護體制。為什么這么說,下面我們從專家提供的12306問題解決方案逐步說起。
為了對此類問題進行深入分析,我聯系了幾家具有下一代防火墻產品的網絡安全廠商,并從深信服與飛塔處得到了一些相關的解決方案,現在就對這些解決方案進行一下分析。
我們先看一下深信服安全專家給出的建議:
深信服安全專家回看幾次重大的網站個人隱私泄露事件,發現導致網站用戶信息泄露的原因主要是由于網站平臺自身的安全防護不到位,以及開放的第三方程序/接口安全防護不足。此外,個人信息存儲方式設計不當(明文)進一步增加了用戶隱私受威脅影響的等級。
為有效保障網站用戶的信息安全,深信服安全專家建議您采取以下措施提升網站的安全防護水平:
- 1.定期升級網站系統補丁、安裝并及時更新殺毒軟件;
- 2.嚴格設置網站目錄權限,禁止上傳目錄腳本執行權限;
- 3.部署具備優秀的Web防護能力的下一代防火墻產品,建議選用獲得國際權威機構如NSS Labs最高評價“推薦”或OWASP Web防護測評4星及以上的產品。
- 4.網站需采用非明文方式存儲用戶信息,關鍵數據信息需定期進行備份。
- 5.采用二次身份驗證機制進行網站登錄。
而在日常的工作和生活中,個人應該如何提高密碼安全意識,才不會給黑客留下可乘之機呢?深信服安全專家建議您:
- 1.切忌一套密碼到處用,不同的網站應設置單獨的賬號和密碼;
- 2.密碼設置盡量使用“字母+數字+特殊字符”形式的高強度密碼,且長度至少為8位;
需要定期對各套密碼進行更換,我們建議每兩個月更換一次密碼。
可以說深信服安全專家所給出的安全防護建議十分經典,長久以來,我們始終是這樣向用戶進行建議的。采用更復雜并時常變換的密碼、加防火墻、加密、打補丁等等。
安全措施提了這么多年,為什么網絡安全現狀依然如此惡劣?從前一段為網康做的百家講壇中,可以看出一些端倪。
在與網康產品市場經理熊瑛的視頻訪談中,熊瑛向我們闡述了當前網關安全產品在很多企業中形同虛設,甚至很多安全產品并未進行加電部署的現實情況。當前傳統的網絡安全防護辦法無法滿足網絡應用的實際需求。打個比方就是互聯網是一條條四通八達的道路,而現有的網絡安全防護辦法,就是在這一條條的道路上人為的加上無數的障礙物,甚至是壘上一堵堵的高墻!
安全呼喚下一代解決方案
那么對于“漏洞”、“撞庫”與“脫庫”這些現實存在的網絡安全威脅,我們應當如何去正確處理?這個問題實際在本文一開始就已經給出了答案。12306數據泄漏事件得以迅速平息,是由于數據泄漏者在短時間內即被鐵路公安機關抓獲。也就是說在解決這個事件當中,“查”所起到的作用比“防”更加重要,通過“查”對犯罪嫌疑人進行追源并緝捕,從根源上鏟除了數據泄漏的危害。再通過一系列的補救措施,對所發生問題進行彌補。12306為本此數據泄漏事件交上了一份令人滿意的答卷,其問題處理方式堪稱經典。如果今后網絡安全事件均可以此類方式加以解決,那么未來網絡安全風險勢必會大幅下降。
然而在一般性企業中,未必具備12306那樣全面的網絡安全防護體系,那么網絡安全建設應該如何進行實施呢?為此,我們又對老牌網絡安全廠商Fortinet(飛塔)進行了采訪。在采訪中飛塔向我們介紹了其有關應用交付、應用安全、信息安全、Web安全、Mail安全以及APT[注]等相關安全解決方案。與之相對應的,飛塔也推出了FortiADC、FortiWeb、FortiGate、FortiMail、FortiSIEM等相與之對應的產品,以供不同用戶進行選擇。
在我感慨飛塔眾多且齊全的同時,也產生了一個疑問,如此眾多的產品,用戶需要如何進行選擇?這還僅是一家廠商的產品,當前國內外有眾多的下一代網絡安全廠商,提供的產品也各不相同,什么樣的產品可以適用于什么樣的用戶?用戶對下一代網絡安全產品的實際需求又是什么樣的?會不會再次出現安全產品采購后因不適用而長久擱置的情況出現?為此,我們將推出一個下一代防火墻選型指南,希望可以為用戶下一代網絡安全產品選型提供一些幫助。