作者: 沈颖, 出处:金融时报, 责任编辑: 郭秋爽, 2008-06-19 09:36
Web业务的发展引起黑客们的关注,他们将注意力从对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。但是,很多企业对此未做好足够的准备,也未给予足够的重视。
Web业务平台已经在电子商务、企业信息化中得到广泛的应用,很多企业都将应用架设在Web平台上,并不断完善和提高其功能和性能,为客户提供更为方便、快捷的服务支持。因此,国内城市商业银行业务系统多为Web应用业务。
Web业务的迅速发展引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。但是,很多企业对此并没有做好足够的准备,也没有给予足够的重视。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的 Web 站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界上知名的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。
SQL注入攻击。SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。
跨站脚本(XSS)攻击。不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
根据以往跨站脚本攻击的安全事件及产生的后果来看,跨站脚本攻击可导致的后果极其严重,影响面也十分之广,列举出一部分如下:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击……
鉴于上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷提出了识别和防御的措施和技术方案,力求为Web业务系统提供深层的安全防御。
而对国内城市商业银行的风险评估发现,城商行的Web应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端。如何进一步加强信息安全保障建设,启明星辰的安全专家给出了几点建议。
安全域调整。划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网实现隔离。
内外网逻辑隔离。在生产网与互联网之间部署UTM(统一威胁管理)设备,使其工作在透明模式,通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录。
核心服务器保护。银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对Web业务的应用威胁。目前针对Web系统破坏力最强的威胁就是SQL注入,因此彻底屏蔽SQL注入威胁至关重要。