龍 娟

(廣西政法管理干部學院信息工程系，廣西 南寧 530022)

0 引言

根據(jù)《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》，2008年我國網(wǎng)民數(shù)、寬帶網(wǎng)民數(shù)、國家CN域名數(shù)三項指標穩(wěn)居世界排名第一。互聯(lián)網(wǎng)絡已經(jīng)成為我國人民生活中的重要組成部分，Web站點是互聯(lián)網(wǎng)發(fā)展的重要載體。用戶通過 Web站點享受互聯(lián)網(wǎng)提供的服務、進行信息交流；黑客則想方設法對Web站點進行攻擊，對網(wǎng)頁進行SQL 注入，篡改網(wǎng)頁、利用Web站點傳播木馬給瀏覽網(wǎng)站用戶等，利用Web站點獲取非法利益。

1 Web面臨的安全問題

根據(jù)X-Force的2008年年度報告，Web安全事件數(shù)量增長迅猛，如圖1所示。

圖1 1998-2008年度Web安全事件數(shù)量

在國內(nèi)，根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心的統(tǒng)計數(shù)據(jù)顯示，2009年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，被篡改網(wǎng)站的數(shù)量達到52225個。2010年一季度各種網(wǎng)絡安全事件與 2009年同期相比都有明顯增加、被植入木馬的主機數(shù)量大幅攀升?？v觀Web的發(fā)展歷程其面臨安全問題主要有以下幾種情況[1-4]:

1.1 服務器的安全問題

擊者利用，就會對服務器的安全性造成極大的威脅，甚至導致服務器淪陷，如弱口令、系統(tǒng)自身漏洞、管理共享、多余端口開放、空鏈接等，導致黑客、病毒可以利用這些缺陷對網(wǎng)站進行攻擊。

1.2 Web發(fā)布系統(tǒng)的漏洞

Web業(yè)務發(fā)布系統(tǒng)目前用得較多的有IIS、Apache等，這些Web服務器軟件自身存在很多安全漏洞或缺口，如IIS的Null.htw、MDAC、Webhits.dll & .htw、Unicode解析錯誤漏洞等10多種漏洞給入侵者可乘之機。

1.3 Web應用程序及數(shù)據(jù)庫的漏洞

Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得入侵者能夠利用這些漏洞發(fā)起對網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊XXS、越權(quán)操作、文件上傳組件漏洞、下載漏洞等。

1.4 網(wǎng)絡自身的安全狀況

網(wǎng)站服務器所處的網(wǎng)絡安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡中存在的DoS攻擊、網(wǎng)絡協(xié)議自身的缺陷等，也會影響到網(wǎng)站的正常運營，被入侵者可直接用來攻擊Web服務器系統(tǒng)。

2 Web安全問題基本解決方案

2.1 Web站點安全目標

Web站點安全目標是通過對Web網(wǎng)站進行管理控制和實施技術措施保證在網(wǎng)站環(huán)境里，保證信息數(shù)據(jù)的機密性、完整性、可用性?？偟膩碚f應實現(xiàn)的目標如圖2所示。

圖2 Web站點安全目標

2.2 實施整體安全方案[5]

2.2.1 使用防火墻技術

互聯(lián)網(wǎng)上防火墻是一種有效的網(wǎng)絡安全模型，它可以隔離風險區(qū)域(即Internet或有一定風險的網(wǎng)絡)與安全區(qū)域(局域網(wǎng))的連接，不會妨礙人們對風險區(qū)域的訪問。通過防火墻可實現(xiàn)：①限制他人進入內(nèi)部網(wǎng)絡，過濾掉不安全服務和非法用戶；②防止入侵者接近你的防御設施；③限定用戶訪問特殊站點；④為監(jiān)視Internet安全提供方便，這是Web站點的第一道防線。

2.2.2 安裝入侵檢測系統(tǒng)

入侵檢測系統(tǒng)在不影響網(wǎng)絡性能的情況下對網(wǎng)絡數(shù)據(jù)包進行監(jiān)測，捕捉危險或有惡意的訪問動作，按照指定的安全策略，以記錄、阻斷、發(fā)警報等多種方式進行響應，實時阻止入侵行為，保護系統(tǒng)的安全。入侵檢測被認為是防火墻之后的第二道安全門。

2.2.3 正確配置Web服務器

服務器正確的配置是保證Web站點安全的基礎之一，應完成操作有：①跟蹤并安裝服務器軟件的最新補?。虎谡_設置、管理賬號；③正確設置目錄和文件權(quán)限；④關閉不必要的服務、端口，禁止建立空鏈接；⑤建立本地安全策略和審核策略。

2.2.4 建立多級備份機制

對于重要數(shù)據(jù)、文件等資料應定期進行備份，在網(wǎng)絡環(huán)境下，通?？煞謱哟蔚夭捎镁W(wǎng)絡異地備份、服務器雙機熱備份、RAID鏡像技術、軟件系統(tǒng)自動備份等多種方式做好數(shù)據(jù)備份工作。

2.2.5 Web安全測試和評估

針對目前Web站點安全現(xiàn)狀，實現(xiàn)Web站點的安全目標最好的解決方法是在實施以上相應的安全防范安全解決方案的同時，對Web站點做網(wǎng)絡掃描，進行安全測試和評估，發(fā)現(xiàn) Web站點中的漏洞，及時采取適當?shù)奶幚泶胧┻M行修補，有效地阻止入侵事件的發(fā)生。

3 Web安全測試和評估

3.1 評測對象

Web站點的安全問題是多個層面疊加產(chǎn)生，在對 Web站點進行測評過程中，對網(wǎng)絡層、系統(tǒng)層面及Web通用組件（如IIS、Apache等Web server軟件）的安全性需要考慮，Web應用層面的安全問題需要重點考慮。

在評估過程中具體的評估實施目標[6]包括 Web服務器主機、Web發(fā)布系統(tǒng)、Web應用程序及數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡基礎設施等。這幾個因素是Web站點安全評估工作中缺一不可的，缺少任何一個或任何一個出現(xiàn)問題，都會使整個評估工作中斷或使評估結(jié)果不可信。

3.2 評測方法

Web安全測評方法可總結(jié)為訪談、上機檢查和工具測試3種[7-8]。

訪談是指測評人員通過與被評測Web站點的相關管理員、技術員進行交流、討論等，了解和熟悉整個系統(tǒng)的實際情況，以利于生成實施測評的作業(yè)指導書。

檢查是指測評人員根據(jù)已生成的作業(yè)指導書內(nèi)容對被評測系統(tǒng)網(wǎng)絡設備的配置是否正確、網(wǎng)絡連接是否合理，并對此進行分析、判斷 Web站點現(xiàn)有安全保護措施是否有效。

工具測試是指測評人員按照工具接入測試方案和測試用例對被測評Web站點進行漏洞掃描、滲透測試的方法[9]。

3.3 實施步驟

對被評估Web站點情況先做全面了解，搜集Web站點的安全需求分析報告、安全現(xiàn)狀評價報告、網(wǎng)絡拓撲圖等相關資料；調(diào)查Web站點所使用網(wǎng)絡設備情況等，分析調(diào)查結(jié)果，熟悉Web站點的各項實際情況；根據(jù)相關安全性評估準則和安全風險評估規(guī)范結(jié)合已掌握的情況，制定作業(yè)指導書、測評計劃、編寫各個安全測評控制項的安全檢查方法和測試用例，并列好表格，在測試過程中準確、及時的對應各自項目記錄也便于后期查閱匯總。現(xiàn)場測評完成后，匯總評測結(jié)果，找出Web系統(tǒng)中存在的安全問題，生成評測報告。

3.3.1 Web服務器安全評估

Web服務器的安全測評包括操作系統(tǒng)安全及應用服務器安全。可采用訪談調(diào)研、現(xiàn)場檢查主機配置、工具檢測等方法。使用工具檢測方法時可以使用目前比較成熟的 Web安全評估系統(tǒng)，快速發(fā)現(xiàn)問題、避免遺漏，主要從外部和內(nèi)部兩個角度著手展開[10]。

外部評估主要針對 Web服務器和應用服務進行安全評估。由測試人員從Web站點外部發(fā)起，針對服務器和應用服務的遠程評估工作，主要模擬攻擊者的惡意掃描、攻擊等行為，主要查看Web服務器的操作系統(tǒng)和應用服務層面是否有遠程緩沖區(qū)溢出漏洞、遠程身份驗證漏洞、遠程拒絕服務漏洞、遠程信息泄漏漏洞等。對于Web服務安全性，測試常見的Web安全問題：跨站腳本漏洞、文件包含漏洞、命令執(zhí)行漏洞、目錄遍歷漏洞、信息泄漏漏洞、暴力破解漏洞等。

內(nèi)部評估對Web服務器的配置和策略做安全性檢查。策略設置方面查看是否存在多余的設置包括不必要服務，如DHCP，不必要的共享連接，如windows默認共享，是否有多余用戶，口令設置是否符合要求，文件系統(tǒng)是否可靠，是否進行了訪問控制、審計設置、權(quán)限設置等；Web服務配置方面檢查不必要的組件是否存在，是否啟用目錄遍歷功能，對隱秘頁面是否使用SSL傳輸加密，是否加強了日志記錄內(nèi)容，操作權(quán)限是否進行了嚴格的設置，否設置了必要的訪問控制列表ACL等。

3.3.2 Web應用程序安全評估

對Web應用程序的安全進行評估，主要可采用代碼審核方式。代碼審核在整個應用程序的安全評估中非常重要，是對應用程序源代碼進行系統(tǒng)性檢查的工作。它的目的是為了找到并且修復應用程序在開發(fā)階段存在的一些漏洞或者程序邏輯錯誤，避免程序漏洞被非法利用給Web站點帶來不必要的風險。

代碼審核可用訪談和上機檢查方法完成。訪談用于收集應用程序信息，熟悉整個應用程序的業(yè)務流程；上機檢查完成數(shù)據(jù)驗證工作，查看是否存在命令注入、跨站腳本、文件包含、代碼注入、SQL注入、文件上傳組件漏洞、緩沖區(qū)溢出、加密弱點等漏洞。

3.3.3 數(shù)據(jù)庫安全性評估

無論何種類型的Web站點，數(shù)據(jù)庫都是它的核心。數(shù)據(jù)庫安全性評估本質(zhì)上是在某個時間點衡量數(shù)據(jù)庫風險的過程。通過評估數(shù)據(jù)庫對一系列漏洞和攻擊條件的易感程度，可測定存在的首要風險是什么。評估過程中檢查是否正確實施密碼策略，管理權(quán)限分配是否符合最低權(quán)限標準，是否存在緩沖區(qū)溢出漏洞，數(shù)據(jù)引擎漏洞等。

3.3.4 網(wǎng)絡基礎設施安全評估

網(wǎng)絡基礎設施安全評估可采用訪談、檢查、測試方法完成。包括檢查網(wǎng)絡物理設備的放置結(jié)構(gòu)是否安全、合理，物理環(huán)境是否符合信息保護策略（IPP，Information Protection Policy）的要求，是否有網(wǎng)絡訪問控制、撥號訪問控制、網(wǎng)絡安全審計、網(wǎng)絡入侵防范、惡意代碼防范等。

4 結(jié)語

對Web站點進行安全評估是Web安全防范處理過程中的重要環(huán)節(jié)。定期地、有組織地開展Web站點安全評估是非常有必要的，具體說來，有以下好處：

①通過定期的Web站點安全評估，能夠及時發(fā)現(xiàn)、消除Web站點中存在的安全隱患和新出現(xiàn)的安全漏洞，有效增強Web站點對各種網(wǎng)絡安全威脅和突發(fā)性安全事件的抵御能力。

②通過Web站點安全評估，能夠準確、及時地掌握現(xiàn)階段Web站點的網(wǎng)絡安全現(xiàn)狀，對網(wǎng)絡維護人員進行日常的網(wǎng)絡維護工作等有參考價值。

③通過Web站點安全評估，可有效地促進Web站點的安全管理工作，提高Web站點管理人員的安全素養(yǎng)。

[1] 彭賡,范明鈺.基于改進網(wǎng)絡爬蟲技術的SQL注入漏洞檢測[J].計算機應用研究, 2010,27(07):2605-2607.

[2] 蘇劍飛，王景偉.網(wǎng)絡攻擊技術與網(wǎng)絡安全探析[J].通信技術,2010,43(01):91-93.

[3] 肖衍.一種基于 Web漏洞威脅模型的應用層異常檢測方法研究[J].福建電腦,2010(04):93-95.

[4] 楊林,楊鵬,李長齊.Web應用漏洞分析及防御解決方案研究[J]. 信息安全與通信保密,2011(02):58-60,63.

[5] 王春紅.中小企業(yè)網(wǎng)站安全問題與防范策略研究[J].現(xiàn)代計算機(專業(yè)版),2010(12):64-66.

[6] 王利青,武仁杰,蘭安怡.Web安全測試及對策研究[J].通信技術,2008,41(06):29-32.

[7] 陳廣勇,張潔昕,郭冠男.基于等級保護的網(wǎng)絡測評實施[J]. 信息安全與通信保密,2010(12):47-48.

[8] 王海峰,吳旭.一種新的信息安全測評系統(tǒng)與方法的研究[J].微計算機信息,2008,24(11):70-71.

[9] 向虎賢,李承浩,高琳紅.電子政務系統(tǒng)信息安全測評研究[J].數(shù)字技術與應用,2010(01):117-119.

[10] 李博,李寧,費中華.校園網(wǎng) WEB服務器的性能測評及優(yōu)化方案研究[J].電腦知識與應用,2010,34(06):9723-9725.