Web站點安全評估研究

龍 娟

(廣西政法管理干部學院信息工程系，廣西 南寧 530022)

0 引言

根據《中國互聯網絡發展狀況統計報告》，2008年我國網民數、寬帶網民數、國家CN域名數三項指標穩居世界排名第一。互聯網絡已經成為我國人民生活中的重要組成部分，Web站點是互聯網發展的重要載體。用戶通過 Web站點享受互聯網提供的服務、進行信息交流；黑客則想方設法對Web站點進行攻擊，對網頁進行SQL 注入，篡改網頁、利用Web站點傳播木馬給瀏覽網站用戶等，利用Web站點獲取非法利益。

1 Web面臨的安全問題

根據X-Force的2008年年度報告，Web安全事件數量增長迅猛，如圖1所示。

圖1 1998-2008年度Web安全事件數量

在國內，根據國家計算機網絡應急技術處理協調中心的統計數據顯示，2009年我國大陸地區政府網頁遭篡改事件呈大幅增長趨勢，被篡改網站的數量達到52225個。2010年一季度各種網絡安全事件與 2009年同期相比都有明顯增加、被植入木馬的主機數量大幅攀升。縱觀Web的發展歷程其面臨安全問題主要有以下幾種情況[1-4]:

1.1 服務器的安全問題

擊者利用，就會對服務器的安全性造成極大的威脅，甚至導致服務器淪陷，如弱口令、系統自身漏洞、管理共享、多余端口開放、空鏈接等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

1.2 Web發布系統的漏洞

Web業務發布系統目前用得較多的有IIS、Apache等，這些Web服務器軟件自身存在很多安全漏洞或缺口，如IIS的Null.htw、MDAC、Webhits.dll & .htw、Unicode解析錯誤漏洞等10多種漏洞給入侵者可乘之機。

1.3 Web應用程序及數據庫的漏洞

Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得入侵者能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊XXS、越權操作、文件上傳組件漏洞、下載漏洞等。

1.4 網絡自身的安全狀況

網站服務器所處的網絡安全狀況也影響著網站的安全，比如網絡中存在的DoS攻擊、網絡協議自身的缺陷等，也會影響到網站的正常運營，被入侵者可直接用來攻擊Web服務器系統。

2 Web安全問題基本解決方案

2.1 Web站點安全目標

Web站點安全目標是通過對Web網站進行管理控制和實施技術措施保證在網站環境里，保證信息數據的機密性、完整性、可用性。總的來說應實現的目標如圖2所示。

圖2 Web站點安全目標

2.2 實施整體安全方案[5]

2.2.1 使用防火墻技術

互聯網上防火墻是一種有效的網絡安全模型，它可以隔離風險區域(即Internet或有一定風險的網絡)與安全區域(局域網)的連接，不會妨礙人們對風險區域的訪問。通過防火墻可實現：①限制他人進入內部網絡，過濾掉不安全服務和非法用戶；②防止入侵者接近你的防御設施；③限定用戶訪問特殊站點；④為監視Internet安全提供方便，這是Web站點的第一道防線。

2.2.2 安裝入侵檢測系統

入侵檢測系統在不影響網絡性能的情況下對網絡數據包進行監測，捕捉危險或有惡意的訪問動作，按照指定的安全策略，以記錄、阻斷、發警報等多種方式進行響應，實時阻止入侵行為，保護系統的安全。入侵檢測被認為是防火墻之后的第二道安全門。

2.2.3 正確配置Web服務器

服務器正確的配置是保證Web站點安全的基礎之一，應完成操作有：①跟蹤并安裝服務器軟件的最新補丁；②正確設置、管理賬號；③正確設置目錄和文件權限；④關閉不必要的服務、端口，禁止建立空鏈接；⑤建立本地安全策略和審核策略。

2.2.4 建立多級備份機制

對于重要數據、文件等資料應定期進行備份，在網絡環境下，通常可分層次地采用網絡異地備份、服務器雙機熱備份、RAID鏡像技術、軟件系統自動備份等多種方式做好數據備份工作。

2.2.5 Web安全測試和評估

針對目前Web站點安全現狀，實現Web站點的安全目標最好的解決方法是在實施以上相應的安全防范安全解決方案的同時，對Web站點做網絡掃描，進行安全測試和評估，發現 Web站點中的漏洞，及時采取適當的處理措施進行修補，有效地阻止入侵事件的發生。

3 Web安全測試和評估

3.1 評測對象

Web站點的安全問題是多個層面疊加產生，在對 Web站點進行測評過程中，對網絡層、系統層面及Web通用組件（如IIS、Apache等Web server軟件）的安全性需要考慮，Web應用層面的安全問題需要重點考慮。

在評估過程中具體的評估實施目標[6]包括 Web服務器主機、Web發布系統、Web應用程序及數據庫系統、網絡基礎設施等。這幾個因素是Web站點安全評估工作中缺一不可的，缺少任何一個或任何一個出現問題，都會使整個評估工作中斷或使評估結果不可信。

3.2 評測方法

Web安全測評方法可總結為訪談、上機檢查和工具測試3種[7-8]。

訪談是指測評人員通過與被評測Web站點的相關管理員、技術員進行交流、討論等，了解和熟悉整個系統的實際情況，以利于生成實施測評的作業指導書。

檢查是指測評人員根據已生成的作業指導書內容對被評測系統網絡設備的配置是否正確、網絡連接是否合理，并對此進行分析、判斷 Web站點現有安全保護措施是否有效。

工具測試是指測評人員按照工具接入測試方案和測試用例對被測評Web站點進行漏洞掃描、滲透測試的方法[9]。

3.3 實施步驟

對被評估Web站點情況先做全面了解，搜集Web站點的安全需求分析報告、安全現狀評價報告、網絡拓撲圖等相關資料；調查Web站點所使用網絡設備情況等，分析調查結果，熟悉Web站點的各項實際情況；根據相關安全性評估準則和安全風險評估規范結合已掌握的情況，制定作業指導書、測評計劃、編寫各個安全測評控制項的安全檢查方法和測試用例，并列好表格，在測試過程中準確、及時的對應各自項目記錄也便于后期查閱匯總。現場測評完成后，匯總評測結果，找出Web系統中存在的安全問題，生成評測報告。

3.3.1 Web服務器安全評估

Web服務器的安全測評包括操作系統安全及應用服務器安全。可采用訪談調研、現場檢查主機配置、工具檢測等方法。使用工具檢測方法時可以使用目前比較成熟的 Web安全評估系統，快速發現問題、避免遺漏，主要從外部和內部兩個角度著手展開[10]。

外部評估主要針對 Web服務器和應用服務進行安全評估。由測試人員從Web站點外部發起，針對服務器和應用服務的遠程評估工作，主要模擬攻擊者的惡意掃描、攻擊等行為，主要查看Web服務器的操作系統和應用服務層面是否有遠程緩沖區溢出漏洞、遠程身份驗證漏洞、遠程拒絕服務漏洞、遠程信息泄漏漏洞等。對于Web服務安全性，測試常見的Web安全問題：跨站腳本漏洞、文件包含漏洞、命令執行漏洞、目錄遍歷漏洞、信息泄漏漏洞、暴力破解漏洞等。

內部評估對Web服務器的配置和策略做安全性檢查。策略設置方面查看是否存在多余的設置包括不必要服務，如DHCP，不必要的共享連接，如windows默認共享，是否有多余用戶，口令設置是否符合要求，文件系統是否可靠，是否進行了訪問控制、審計設置、權限設置等；Web服務配置方面檢查不必要的組件是否存在，是否啟用目錄遍歷功能，對隱秘頁面是否使用SSL傳輸加密，是否加強了日志記錄內容，操作權限是否進行了嚴格的設置，否設置了必要的訪問控制列表ACL等。

3.3.2 Web應用程序安全評估

對Web應用程序的安全進行評估，主要可采用代碼審核方式。代碼審核在整個應用程序的安全評估中非常重要，是對應用程序源代碼進行系統性檢查的工作。它的目的是為了找到并且修復應用程序在開發階段存在的一些漏洞或者程序邏輯錯誤，避免程序漏洞被非法利用給Web站點帶來不必要的風險。

代碼審核可用訪談和上機檢查方法完成。訪談用于收集應用程序信息，熟悉整個應用程序的業務流程；上機檢查完成數據驗證工作，查看是否存在命令注入、跨站腳本、文件包含、代碼注入、SQL注入、文件上傳組件漏洞、緩沖區溢出、加密弱點等漏洞。

3.3.3 數據庫安全性評估

無論何種類型的Web站點，數據庫都是它的核心。數據庫安全性評估本質上是在某個時間點衡量數據庫風險的過程。通過評估數據庫對一系列漏洞和攻擊條件的易感程度，可測定存在的首要風險是什么。評估過程中檢查是否正確實施密碼策略，管理權限分配是否符合最低權限標準，是否存在緩沖區溢出漏洞，數據引擎漏洞等。

3.3.4 網絡基礎設施安全評估

網絡基礎設施安全評估可采用訪談、檢查、測試方法完成。包括檢查網絡物理設備的放置結構是否安全、合理，物理環境是否符合信息保護策略（IPP，Information Protection Policy）的要求，是否有網絡訪問控制、撥號訪問控制、網絡安全審計、網絡入侵防范、惡意代碼防范等。

4 結語

對Web站點進行安全評估是Web安全防范處理過程中的重要環節。定期地、有組織地開展Web站點安全評估是非常有必要的，具體說來，有以下好處：

①通過定期的Web站點安全評估，能夠及時發現、消除Web站點中存在的安全隱患和新出現的安全漏洞，有效增強Web站點對各種網絡安全威脅和突發性安全事件的抵御能力。

②通過Web站點安全評估，能夠準確、及時地掌握現階段Web站點的網絡安全現狀，對網絡維護人員進行日常的網絡維護工作等有參考價值。

③通過Web站點安全評估，可有效地促進Web站點的安全管理工作，提高Web站點管理人員的安全素養。

[1] 彭賡,范明鈺.基于改進網絡爬蟲技術的SQL注入漏洞檢測[J].計算機應用研究, 2010,27(07):2605-2607.

[2] 蘇劍飛，王景偉.網絡攻擊技術與網絡安全探析[J].通信技術,2010,43(01):91-93.

[3] 肖衍.一種基于 Web漏洞威脅模型的應用層異常檢測方法研究[J].福建電腦,2010(04):93-95.

[4] 楊林,楊鵬,李長齊.Web應用漏洞分析及防御解決方案研究[J]. 信息安全與通信保密,2011(02):58-60,63.

[5] 王春紅.中小企業網站安全問題與防范策略研究[J].現代計算機(專業版),2010(12):64-66.

[6] 王利青,武仁杰,蘭安怡.Web安全測試及對策研究[J].通信技術,2008,41(06):29-32.

[7] 陳廣勇,張潔昕,郭冠男.基于等級保護的網絡測評實施[J]. 信息安全與通信保密,2010(12):47-48.

[8] 王海峰,吳旭.一種新的信息安全測評系統與方法的研究[J].微計算機信息,2008,24(11):70-71.

[9] 向虎賢,李承浩,高琳紅.電子政務系統信息安全測評研究[J].數字技術與應用,2010(01):117-119.

[10] 李博,李寧,費中華.校園網 WEB服務器的性能測評及優化方案研究[J].電腦知識與應用,2010,34(06):9723-9725.