Web站點安全評估研究

龍 娟

(廣西政法管理干部學(xué)院信息工程系，廣西 南寧 530022)

0 引言

根據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，2008年我國網(wǎng)民數(shù)、寬帶網(wǎng)民數(shù)、國家CN域名數(shù)三項指標(biāo)穩(wěn)居世界排名第一?；ヂ?lián)網(wǎng)絡(luò)已經(jīng)成為我國人民生活中的重要組成部分，Web站點是互聯(lián)網(wǎng)發(fā)展的重要載體。用戶通過 Web站點享受互聯(lián)網(wǎng)提供的服務(wù)、進(jìn)行信息交流；黑客則想方設(shè)法對Web站點進(jìn)行攻擊，對網(wǎng)頁進(jìn)行SQL 注入，篡改網(wǎng)頁、利用Web站點傳播木馬給瀏覽網(wǎng)站用戶等，利用Web站點獲取非法利益。

1 Web面臨的安全問題

根據(jù)X-Force的2008年年度報告，Web安全事件數(shù)量增長迅猛，如圖1所示。

圖1 1998-2008年度Web安全事件數(shù)量

在國內(nèi)，根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計數(shù)據(jù)顯示，2009年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，被篡改網(wǎng)站的數(shù)量達(dá)到52225個。2010年一季度各種網(wǎng)絡(luò)安全事件與 2009年同期相比都有明顯增加、被植入木馬的主機(jī)數(shù)量大幅攀升?？v觀Web的發(fā)展歷程其面臨安全問題主要有以下幾種情況[1-4]:

1.1 服務(wù)器的安全問題

擊者利用，就會對服務(wù)器的安全性造成極大的威脅，甚至導(dǎo)致服務(wù)器淪陷，如弱口令、系統(tǒng)自身漏洞、管理共享、多余端口開放、空鏈接等，導(dǎo)致黑客、病毒可以利用這些缺陷對網(wǎng)站進(jìn)行攻擊。

1.2 Web發(fā)布系統(tǒng)的漏洞

Web業(yè)務(wù)發(fā)布系統(tǒng)目前用得較多的有IIS、Apache等，這些Web服務(wù)器軟件自身存在很多安全漏洞或缺口，如IIS的Null.htw、MDAC、Webhits.dll & .htw、Unicode解析錯誤漏洞等10多種漏洞給入侵者可乘之機(jī)。

1.3 Web應(yīng)用程序及數(shù)據(jù)庫的漏洞

Web應(yīng)用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得入侵者能夠利用這些漏洞發(fā)起對網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊XXS、越權(quán)操作、文件上傳組件漏洞、下載漏洞等。

1.4 網(wǎng)絡(luò)自身的安全狀況

網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊、網(wǎng)絡(luò)協(xié)議自身的缺陷等，也會影響到網(wǎng)站的正常運營，被入侵者可直接用來攻擊Web服務(wù)器系統(tǒng)。

2 Web安全問題基本解決方案

2.1 Web站點安全目標(biāo)

Web站點安全目標(biāo)是通過對Web網(wǎng)站進(jìn)行管理控制和實施技術(shù)措施保證在網(wǎng)站環(huán)境里，保證信息數(shù)據(jù)的機(jī)密性、完整性、可用性。總的來說應(yīng)實現(xiàn)的目標(biāo)如圖2所示。

圖2 Web站點安全目標(biāo)

2.2 實施整體安全方案[5]

2.2.1 使用防火墻技術(shù)

互聯(lián)網(wǎng)上防火墻是一種有效的網(wǎng)絡(luò)安全模型，它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，不會妨礙人們對風(fēng)險區(qū)域的訪問。通過防火墻可實現(xiàn)：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；②防止入侵者接近你的防御設(shè)施；③限定用戶訪問特殊站點；④為監(jiān)視Internet安全提供方便，這是Web站點的第一道防線。

2.2.2 安裝入侵檢測系統(tǒng)

入侵檢測系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)測，捕捉危險或有惡意的訪問動作，按照指定的安全策略，以記錄、阻斷、發(fā)警報等多種方式進(jìn)行響應(yīng)，實時阻止入侵行為，保護(hù)系統(tǒng)的安全。入侵檢測被認(rèn)為是防火墻之后的第二道安全門。

2.2.3 正確配置Web服務(wù)器

服務(wù)器正確的配置是保證Web站點安全的基礎(chǔ)之一，應(yīng)完成操作有：①跟蹤并安裝服務(wù)器軟件的最新補(bǔ)??；②正確設(shè)置、管理賬號；③正確設(shè)置目錄和文件權(quán)限；④關(guān)閉不必要的服務(wù)、端口，禁止建立空鏈接；⑤建立本地安全策略和審核策略。

2.2.4 建立多級備份機(jī)制

對于重要數(shù)據(jù)、文件等資料應(yīng)定期進(jìn)行備份，在網(wǎng)絡(luò)環(huán)境下，通?？煞謱哟蔚夭捎镁W(wǎng)絡(luò)異地備份、服務(wù)器雙機(jī)熱備份、RAID鏡像技術(shù)、軟件系統(tǒng)自動備份等多種方式做好數(shù)據(jù)備份工作。

2.2.5 Web安全測試和評估

針對目前Web站點安全現(xiàn)狀，實現(xiàn)Web站點的安全目標(biāo)最好的解決方法是在實施以上相應(yīng)的安全防范安全解決方案的同時，對Web站點做網(wǎng)絡(luò)掃描，進(jìn)行安全測試和評估，發(fā)現(xiàn) Web站點中的漏洞，及時采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，有效地阻止入侵事件的發(fā)生。

3 Web安全測試和評估

3.1 評測對象

Web站點的安全問題是多個層面疊加產(chǎn)生，在對 Web站點進(jìn)行測評過程中，對網(wǎng)絡(luò)層、系統(tǒng)層面及Web通用組件（如IIS、Apache等Web server軟件）的安全性需要考慮，Web應(yīng)用層面的安全問題需要重點考慮。

在評估過程中具體的評估實施目標(biāo)[6]包括 Web服務(wù)器主機(jī)、Web發(fā)布系統(tǒng)、Web應(yīng)用程序及數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。這幾個因素是Web站點安全評估工作中缺一不可的，缺少任何一個或任何一個出現(xiàn)問題，都會使整個評估工作中斷或使評估結(jié)果不可信。

3.2 評測方法

Web安全測評方法可總結(jié)為訪談、上機(jī)檢查和工具測試3種[7-8]。

訪談是指測評人員通過與被評測Web站點的相關(guān)管理員、技術(shù)員進(jìn)行交流、討論等，了解和熟悉整個系統(tǒng)的實際情況，以利于生成實施測評的作業(yè)指導(dǎo)書。

檢查是指測評人員根據(jù)已生成的作業(yè)指導(dǎo)書內(nèi)容對被評測系統(tǒng)網(wǎng)絡(luò)設(shè)備的配置是否正確、網(wǎng)絡(luò)連接是否合理，并對此進(jìn)行分析、判斷 Web站點現(xiàn)有安全保護(hù)措施是否有效。

工具測試是指測評人員按照工具接入測試方案和測試用例對被測評Web站點進(jìn)行漏洞掃描、滲透測試的方法[9]。

3.3 實施步驟

對被評估Web站點情況先做全面了解，搜集Web站點的安全需求分析報告、安全現(xiàn)狀評價報告、網(wǎng)絡(luò)拓?fù)鋱D等相關(guān)資料；調(diào)查Web站點所使用網(wǎng)絡(luò)設(shè)備情況等，分析調(diào)查結(jié)果，熟悉Web站點的各項實際情況；根據(jù)相關(guān)安全性評估準(zhǔn)則和安全風(fēng)險評估規(guī)范結(jié)合已掌握的情況，制定作業(yè)指導(dǎo)書、測評計劃、編寫各個安全測評控制項的安全檢查方法和測試用例，并列好表格，在測試過程中準(zhǔn)確、及時的對應(yīng)各自項目記錄也便于后期查閱匯總。現(xiàn)場測評完成后，匯總評測結(jié)果，找出Web系統(tǒng)中存在的安全問題，生成評測報告。

3.3.1 Web服務(wù)器安全評估

Web服務(wù)器的安全測評包括操作系統(tǒng)安全及應(yīng)用服務(wù)器安全?？刹捎迷L談?wù){(diào)研、現(xiàn)場檢查主機(jī)配置、工具檢測等方法。使用工具檢測方法時可以使用目前比較成熟的 Web安全評估系統(tǒng)，快速發(fā)現(xiàn)問題、避免遺漏，主要從外部和內(nèi)部兩個角度著手展開[10]。

外部評估主要針對 Web服務(wù)器和應(yīng)用服務(wù)進(jìn)行安全評估。由測試人員從Web站點外部發(fā)起，針對服務(wù)器和應(yīng)用服務(wù)的遠(yuǎn)程評估工作，主要模擬攻擊者的惡意掃描、攻擊等行為，主要查看Web服務(wù)器的操作系統(tǒng)和應(yīng)用服務(wù)層面是否有遠(yuǎn)程緩沖區(qū)溢出漏洞、遠(yuǎn)程身份驗證漏洞、遠(yuǎn)程拒絕服務(wù)漏洞、遠(yuǎn)程信息泄漏漏洞等。對于Web服務(wù)安全性，測試常見的Web安全問題：跨站腳本漏洞、文件包含漏洞、命令執(zhí)行漏洞、目錄遍歷漏洞、信息泄漏漏洞、暴力破解漏洞等。

內(nèi)部評估對Web服務(wù)器的配置和策略做安全性檢查。策略設(shè)置方面查看是否存在多余的設(shè)置包括不必要服務(wù)，如DHCP，不必要的共享連接，如windows默認(rèn)共享，是否有多余用戶，口令設(shè)置是否符合要求，文件系統(tǒng)是否可靠，是否進(jìn)行了訪問控制、審計設(shè)置、權(quán)限設(shè)置等；Web服務(wù)配置方面檢查不必要的組件是否存在，是否啟用目錄遍歷功能，對隱秘頁面是否使用SSL傳輸加密，是否加強(qiáng)了日志記錄內(nèi)容，操作權(quán)限是否進(jìn)行了嚴(yán)格的設(shè)置，否設(shè)置了必要的訪問控制列表ACL等。

3.3.2 Web應(yīng)用程序安全評估

對Web應(yīng)用程序的安全進(jìn)行評估，主要可采用代碼審核方式。代碼審核在整個應(yīng)用程序的安全評估中非常重要，是對應(yīng)用程序源代碼進(jìn)行系統(tǒng)性檢查的工作。它的目的是為了找到并且修復(fù)應(yīng)用程序在開發(fā)階段存在的一些漏洞或者程序邏輯錯誤，避免程序漏洞被非法利用給Web站點帶來不必要的風(fēng)險。

代碼審核可用訪談和上機(jī)檢查方法完成。訪談用于收集應(yīng)用程序信息，熟悉整個應(yīng)用程序的業(yè)務(wù)流程；上機(jī)檢查完成數(shù)據(jù)驗證工作，查看是否存在命令注入、跨站腳本、文件包含、代碼注入、SQL注入、文件上傳組件漏洞、緩沖區(qū)溢出、加密弱點等漏洞。

3.3.3 數(shù)據(jù)庫安全性評估

無論何種類型的Web站點，數(shù)據(jù)庫都是它的核心。數(shù)據(jù)庫安全性評估本質(zhì)上是在某個時間點衡量數(shù)據(jù)庫風(fēng)險的過程。通過評估數(shù)據(jù)庫對一系列漏洞和攻擊條件的易感程度，可測定存在的首要風(fēng)險是什么。評估過程中檢查是否正確實施密碼策略，管理權(quán)限分配是否符合最低權(quán)限標(biāo)準(zhǔn)，是否存在緩沖區(qū)溢出漏洞，數(shù)據(jù)引擎漏洞等。

3.3.4 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全評估

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全評估可采用訪談、檢查、測試方法完成。包括檢查網(wǎng)絡(luò)物理設(shè)備的放置結(jié)構(gòu)是否安全、合理，物理環(huán)境是否符合信息保護(hù)策略（IPP，Information Protection Policy）的要求，是否有網(wǎng)絡(luò)訪問控制、撥號訪問控制、網(wǎng)絡(luò)安全審計、網(wǎng)絡(luò)入侵防范、惡意代碼防范等。

4 結(jié)語

對Web站點進(jìn)行安全評估是Web安全防范處理過程中的重要環(huán)節(jié)。定期地、有組織地開展Web站點安全評估是非常有必要的，具體說來，有以下好處：

①通過定期的Web站點安全評估，能夠及時發(fā)現(xiàn)、消除Web站點中存在的安全隱患和新出現(xiàn)的安全漏洞，有效增強(qiáng)Web站點對各種網(wǎng)絡(luò)安全威脅和突發(fā)性安全事件的抵御能力。

②通過Web站點安全評估，能夠準(zhǔn)確、及時地掌握現(xiàn)階段Web站點的網(wǎng)絡(luò)安全現(xiàn)狀，對網(wǎng)絡(luò)維護(hù)人員進(jìn)行日常的網(wǎng)絡(luò)維護(hù)工作等有參考價值。

③通過Web站點安全評估，可有效地促進(jìn)Web站點的安全管理工作，提高Web站點管理人員的安全素養(yǎng)。

[1] 彭賡,范明鈺.基于改進(jìn)網(wǎng)絡(luò)爬蟲技術(shù)的SQL注入漏洞檢測[J].計算機(jī)應(yīng)用研究, 2010,27(07):2605-2607.

[2] 蘇劍飛，王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].通信技術(shù),2010,43(01):91-93.

[3] 肖衍.一種基于 Web漏洞威脅模型的應(yīng)用層異常檢測方法研究[J].福建電腦,2010(04):93-95.

[4] 楊林,楊鵬,李長齊.Web應(yīng)用漏洞分析及防御解決方案研究[J]. 信息安全與通信保密,2011(02):58-60,63.

[5] 王春紅.中小企業(yè)網(wǎng)站安全問題與防范策略研究[J].現(xiàn)代計算機(jī)(專業(yè)版),2010(12):64-66.

[6] 王利青,武仁杰,蘭安怡.Web安全測試及對策研究[J].通信技術(shù),2008,41(06):29-32.

[7] 陳廣勇,張潔昕,郭冠男.基于等級保護(hù)的網(wǎng)絡(luò)測評實施[J]. 信息安全與通信保密,2010(12):47-48.

[8] 王海峰,吳旭.一種新的信息安全測評系統(tǒng)與方法的研究[J].微計算機(jī)信息,2008,24(11):70-71.

[9] 向虎賢,李承浩,高琳紅.電子政務(wù)系統(tǒng)信息安全測評研究[J].數(shù)字技術(shù)與應(yīng)用,2010(01):117-119.

[10] 李博,李寧,費中華.校園網(wǎng) WEB服務(wù)器的性能測評及優(yōu)化方案研究[J].電腦知識與應(yīng)用,2010,34(06):9723-9725.