重新思考网站安全管理：网络犯罪早已存在

　　网站已经成为了网络犯罪份子窃取敏感信息的首要途径，他们同时还会向浏览网站的用户电脑中植入恶意软件。

——————————————————————————————————————————

　　网络犯罪份子都明白，网站是一个很好的目标，一旦入侵成功，网站将成为进入后台服务器的一个入口。同时，被入侵的网站也能够成为恶意软件下载的平台。

　　只需要将“被入侵的网站”几个字录入任何一个网络搜索引擎，你都能看到网络罪犯们是如何成功的。在 Google的搜索结果上，第一位的是SC Magazine有关Websense 研究的文件：

　　“在互联网前100位流行网站中，有超过七成的网站要么存在恶意内容，要么就是隐藏了重定向代码。”

　　如果这还不算是坏消息的话，那么下面就应该算是坏消息了：

　　“被恶意软件感染的合法网站的数量已经超过了网络犯罪份子自己建立的恶意网站数量。”

　　为什么会这样?

　　我不明白为什么会这样，于是我阅读了《漏洞突出了更有效的安全管理的重要性》一文。这篇文章的标题就说明了一切。下面是国土安全部(DHS)检查长Richard Skinner和他的团队针对9个DHS运营的网站的调查给出的报告，这9个网站分别是：

　　美国海关及边境保护局 (cbp.gov)

　　DHS 总部 (interactive.dhs.gov)

　　美国联邦紧急事务管理局 (fema.gov)

　　美国联邦执法培训中心 (fletc.gov)

　　美国移民和海关执法局 (ice.gov)

　　美国国家保护和计划司 (us-cert.gov)

　　美国运输安全管理局 (twicprogram.tsa.dhs.gov)

　　美国海岸警备队 (uscg.mil)

　　美国公民及移民服务局 (uscis.gov)

　　这些都是非常重要的网站，应该被尽可能的保护。我尤其感兴趣的是国家保护和计划司 (NPPD)的网站。你也许会注意到， NPPD是US-CERT(美国计算机应急处理小组)的成员。

　　幸运的是，US-CERT的网站是由USCG和FEMA控制的，并没有被感染或入侵，并且服务器已经安装了最新的补丁。Skinner表示：

　　“这些网站的安全工作，包括定期评估，打补丁以及升级策略，归档处理等，已经成为了IT系统安全中有效进行深度防御的良好范例。”

　　测试了什么

　　Skinner的调查工作的一部分就是检查网站服务器。检查人员发现网站的相关设备和操作系统软件没有足够的安全性。这并不是我希望看到的。于是Skinner给出了以下批示：

　　“虽然IT安全人员定期进行操作系统的测试，但是只有少部分人员有工具或技能来测试web应用的安全漏洞。随着网站内容的更新或改变，现有的安全漏洞可能会继续保留，或者会出现新的安全漏洞，将系统和数据至于风险之中。”

　　在Skinner的报告中，列出了实际发现的漏洞，同时也包含了其他敏感信息。不过还好一切都还来得及修补。但是其它网站又怎么样呢?

　　建议

　　Skinner为网站安全提出了以下一些建议：

　　要求所有对公众开放的网站进行定期的安全风险评估。

　　要求所有对公众开放的网站及时进行安全补丁更新。

　　明确部门的漏洞评估策略，确保能够解决尤其是有关于网站的风险威胁。

　　对于向公众开放的网站，创建一个包含网站主要应用以及支持系统的清单。

　　对于以上建议，我咨询了我的一个网站设计师朋友，她觉得这些建议很有必要，并决定要对她的所有客户进行推广。

　　总结

　　Skinner的报告解答了我的疑问。我们需要更多的关注网站应用程序，因为他们都存在于网站服务器上。类似于DHS 的检察长给出的报告可以让我们找到网站安全管理的正确方向。