安恒信息数据安全防“脱库”解决案例.docVIP

安恒信息数据安全防“脱库”解决方案1.前言 近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载，国内外媒体频繁报道，影响恶劣，引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开，各报道中也针对系列事件向用户提出密码设置策略等安全建议。 注册用户数据作为网站所有者的核心信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。 针对近期部分互联网站信息泄露事件，工信部于2011年12月28日发布通告要求：各互联网站要高度重视用户信息 安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的 网站，要妥善做好善后工作，尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示，提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。 各互联网站要引以为戒，开展全面的安全自查， 及时发现和修复安全漏洞。要加强系统安全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息，保障用户信 息安全。一旦发生网络安全事件，要在开展应急处置的同时，按照规定向互联网行业主管部门及时报告。 工信部同时提醒广大互联网用户提高信息安全意识，密切关注相关网站发布的公告，并根据网站安全提示修改密码。提高密码的安全强度并定期修改。  2.源 2.1.过现质 2.1.1.击为铤险 攻击者为什么会冒着巨大的法律风险去获取用户信息？ 2001年随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏账号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场； 2004年-2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库信息，其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客 “拖库”的主要目标。 2008年-2009年，国内信息安全立法和追踪手段的得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与 此同时残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站，并通过黑色产业链将权限或数 据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。 2010年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产品的成熟度加强，单纯从技 术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称作“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用 户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知 某用户常用ID或EMAIL，可以直接搜索出其常用密码或常用密码密文。 2011年12月21日，仅仅是在这一天，攻击者曾经获取到的部分数据库信息内容被陆续地公开了。 2.1.2.层护疏 在当今信息安全意识、信息安全产品都日益成熟的年代，为何入侵者获取数据依然如入无人之境? 很多人认为，在网络中不断部署防火墙、IDS、IPS等设备，可以提高网络的安全性。但是为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其 根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。 我们可以通过下面例子来举例黑客是如何常规获取信息系统的数据库信息的：攻防回合的延续包括传统安全设备使黑客入 侵服务端主机系统难度加大，而WEB应用的登录入口表明了WEB应用程序与用户数据表之间存在关联，通过入侵WEB网站获得数据库信息成为针对网站数据库 攻击的主要入手点，常见的攻击步骤如下： 一、寻找目标网站（或同台服务器的其他网站）程序中存在的SQL注入、非法上传、后台管理权限等漏洞； 二、通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WEBSHELL； 三、通过已获得的WEBSHELL提升权限，获得对WEB应用服务器主机操作系统的控制权，并通过查看网站数据库链接文件，获得数据库的链接密码； 四、通过在WEB应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者本地数据库（或直接下载服务器上可能存在的数据库备份文件）； 五、清理服务器日志，设置长期后门。 目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化、趋利化的作业流程。 此例中我们发现，黑客针对应用系统的攻击已经完全无视传统的网络安