報(bào)告概要

2011年，中國(guó)企業(yè)面臨的安全風(fēng)險(xiǎn)開始變得多樣化，并向高風(fēng)險(xiǎn)方向發(fā)展。以CSDN、天涯等一批著名網(wǎng)站遭遇"拖庫(kù)"攻擊為標(biāo)志，國(guó)內(nèi)企業(yè)（尤其是存儲(chǔ)了用戶資料的企業(yè)）面臨極大的安全風(fēng)險(xiǎn)，包括網(wǎng)游、網(wǎng)購(gòu)等行業(yè)因?yàn)榘踩胧┎坏轿欢斐捎脩糍Y料泄漏的情況時(shí)有發(fā)生，給整個(gè)行業(yè)帶來(lái)嚴(yán)重的信任危機(jī)。

從警方公布的數(shù)據(jù)和案例來(lái)看，各地針對(duì)企業(yè)的惡性黑客攻擊均呈現(xiàn)上升勢(shì)頭，單單在北京，2011年警方就偵破網(wǎng)絡(luò)違法犯罪案件2600余起,打掉各類犯罪團(tuán)伙15個(gè),抓獲犯罪嫌疑人2600余人。其中，百合網(wǎng)遭競(jìng)爭(zhēng)對(duì)手雇傭黑客攻擊案、兩黑客攻擊最高檢網(wǎng)站案等是其中影響力比較大的案例。

根據(jù)瑞星公司提供的數(shù)據(jù)，2011年，有199,665個(gè)網(wǎng)站曾被成功入侵（以頁(yè)面計(jì)算），教育科研網(wǎng)站、網(wǎng)游相關(guān)網(wǎng)站和政府網(wǎng)站，是最容易被攻擊植入木馬的三種類型，分別占總體數(shù)量的31%、19%和15%。

2011年，幾乎所有互聯(lián)公司都曾遭遇了滲透測(cè)試、漏洞掃描、內(nèi)網(wǎng)結(jié)構(gòu)分析等安全事件，其中被黑客成功獲取一定權(quán)限的公司，占總體比例的80%以上。根據(jù)瑞星公司進(jìn)行的抽樣測(cè)試，在訪問(wèn)量超過(guò)1萬(wàn)IP/日的網(wǎng)站中，存在10個(gè)以上嚴(yán)重漏洞的占75%，這些網(wǎng)站十分容易遭到黑客攻擊。

在傳統(tǒng)企業(yè)領(lǐng)域，絕大多數(shù)企業(yè)內(nèi)網(wǎng)曾發(fā)生過(guò)安全事故，其中遇到惡意代碼（病毒和木馬等）侵入的比例占50%以上，黑客攻擊和滲透占35%，釣魚網(wǎng)站攻擊和其它形式安全事件占10%。

根據(jù)統(tǒng)計(jì)，中國(guó)企業(yè)遭到攻擊的IP地址，至少有65%來(lái)自國(guó)外，其中美國(guó)、日本、韓國(guó)是攻擊IP三大來(lái)源地。在所有受攻擊的企業(yè)和單位中，諸如國(guó)家機(jī)關(guān)、涉密單位、科研院校、金融單位等涉及國(guó)家機(jī)密和資金安全的企業(yè)和單位，遭到黑客攻擊的技術(shù)含量、攻擊頻率都遠(yuǎn)高于普通企業(yè)。

國(guó)內(nèi)企業(yè)的惡性競(jìng)爭(zhēng)，已經(jīng)延伸到了黑客領(lǐng)域。以百合網(wǎng)遭攻擊為例（百合網(wǎng)自稱是其合作網(wǎng)站遭攻擊，而非百合網(wǎng)自身），是其競(jìng)爭(zhēng)對(duì)手直接雇傭黑客發(fā)動(dòng)DDOS攻擊，導(dǎo)致遭攻擊網(wǎng)站無(wú)法正常訪問(wèn)。

自動(dòng)工控系統(tǒng)、打印機(jī)等智能設(shè)備成為黑客攻擊企業(yè)的新途徑，自從"超級(jí)工廠"病毒之后，關(guān)于黑客和病毒對(duì)于自動(dòng)工控系統(tǒng)的威脅一直在持續(xù)發(fā)酵，由于這些系統(tǒng)傳統(tǒng)上屬于和互聯(lián)網(wǎng)隔絕的部分，很少在安全上投入關(guān)注，所以一旦出現(xiàn)安全問(wèn)題，就會(huì)變得不可收拾。

國(guó)內(nèi)企業(yè)的"鴕鳥"心態(tài)給自身的安全帶來(lái)嚴(yán)重隱患。從目前的情況來(lái)看，國(guó)內(nèi)安全行業(yè)、白帽安全人員在給相關(guān)企業(yè)報(bào)告安全漏洞時(shí)，很少遇到負(fù)責(zé)任的反饋，有的甚至因?yàn)槭盏铰┒淳娑鴲貉韵嘞?。這樣一來(lái)，安全行業(yè)與企業(yè)之間無(wú)法形成良性互動(dòng)，導(dǎo)致整體安全形勢(shì)與國(guó)外相比有很大差距。

國(guó)內(nèi)企業(yè)安全概況

進(jìn)入2011年以來(lái)，國(guó)內(nèi)多個(gè)行業(yè)發(fā)生較為嚴(yán)重的安全事件。包括互聯(lián)網(wǎng)行業(yè)的密碼泄漏（拖庫(kù)攻擊）、網(wǎng)游行業(yè)遭到針對(duì)服務(wù)器的掛馬攻擊、教育科研網(wǎng)站遇到的"黑鏈攻擊"等等，均給相關(guān)行業(yè)帶來(lái)嚴(yán)重影響。

互聯(lián)網(wǎng)行業(yè)的密碼泄漏由于關(guān)系到數(shù)千萬(wàn)普通網(wǎng)民的切身利益，使得該事件的影響在廣大網(wǎng)民中持續(xù)發(fā)酵，而且由于個(gè)人資料屬于基礎(chǔ)性的攻擊利用材料，黑客利用這些資料可以進(jìn)行社會(huì)工程攻擊探測(cè)、詐騙、網(wǎng)絡(luò)釣魚等不良活動(dòng)，其帶來(lái)的危害，還需要進(jìn)一步觀察。

??

針對(duì)網(wǎng)游公司服務(wù)器的攻擊也成為2011年企業(yè)風(fēng)險(xiǎn)的重要部分。2011年12月，北京警方偵破一起黑客通過(guò)篡改網(wǎng)游服務(wù)器數(shù)據(jù)，非法盜取千萬(wàn)游戲幣案件，抓獲并刑事拘留犯罪嫌疑人6名，追繳贓款820余萬(wàn)元。類似情況，在網(wǎng)游行業(yè)多次發(fā)生。

教育科研類網(wǎng)站也是黑客窺測(cè)的主要對(duì)象，這些網(wǎng)站通常不存儲(chǔ)用戶資料、密碼等黑客感興趣的東西，但他們的硬件條件普遍較好，而且在搜索引擎中擁有較高的"權(quán)重"，因此黑客攻擊這類網(wǎng)站通常是為了在服務(wù)器上植入"黑鏈"，幫助其他網(wǎng)站提高搜索權(quán)重，在搜索引擎中擁有較好的位置，或者是直接在上面儲(chǔ)存非法信息供人瀏覽。

對(duì)于國(guó)內(nèi)少量的高等級(jí)、涉密網(wǎng)絡(luò)和單位來(lái)講，2011年是更加危險(xiǎn)的一年。來(lái)自國(guó)外IP的攻擊有增無(wú)減，而包括數(shù)據(jù)庫(kù)、自動(dòng)工控系統(tǒng)、移動(dòng)終端設(shè)備等爆出的安全問(wèn)題，也使這些單位面臨嚴(yán)重的安全風(fēng)險(xiǎn)。

??

根據(jù)瑞星公司的估算，2011年針對(duì)高等級(jí)涉密網(wǎng)絡(luò)的攻擊至少50萬(wàn)次，其中60%的攻擊IP地址來(lái)自國(guó)外，美國(guó)、日本、韓國(guó)是排行最前的三個(gè)攻擊來(lái)源地。但由于黑客攻擊通常采取代理服務(wù)器的方式，這只能說(shuō)黑客通過(guò)上述三國(guó)的服務(wù)器對(duì)國(guó)內(nèi)企業(yè)進(jìn)行了攻擊，黑客國(guó)籍和攻擊目的不能通過(guò)簡(jiǎn)單技術(shù)手段探知。

企業(yè)網(wǎng)站和內(nèi)網(wǎng)安全狀況不容樂觀

在瑞星檢測(cè)過(guò)的高等級(jí)涉密網(wǎng)絡(luò)中，常見的安全問(wèn)題包括XSS漏洞、文件讀寫權(quán)限不規(guī)范、泄漏敏感信息、弱口令等。尤其是弱口令和泄漏敏感信息，在90%以上的企業(yè)局域網(wǎng)中廣泛存在。

??

即使在保密等級(jí)比較高的網(wǎng)絡(luò)中，仍然有許多基本安全保護(hù)措施未得到貫徹執(zhí)行，在抽樣調(diào)查中，有45%的主機(jī)系統(tǒng)未及時(shí)彌補(bǔ)高風(fēng)險(xiǎn)補(bǔ)丁，70%以上的內(nèi)部網(wǎng)存在弱口令（可被黑客輕易猜解），未安裝防火墻，不能防范黑客攻擊等問(wèn)題。

針對(duì)目前國(guó)內(nèi)企業(yè)所共有的安全危險(xiǎn)，瑞星提出以下一些解決方法和改進(jìn)措施：

1、解決SQL注入和XSS漏洞的方法：

所謂SQL注入，就是通過(guò)把SQL命令插入到WEB表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，導(dǎo)致攻擊者可以利用該漏洞將腳本木馬程序上傳到服務(wù)器上進(jìn)而獲取到webshell。解決方法可以在程序中添加安全代碼，禁止輸入一些危險(xiǎn)字符。XSS漏洞同樣需要對(duì)輸入進(jìn)行過(guò)濾。

2、需要構(gòu)建一套整體安全運(yùn)營(yíng)監(jiān)控體系，及時(shí)有效發(fā)現(xiàn)黑客的入侵行為，對(duì)于安全事件能做到事前預(yù)防事后分析，檢測(cè)服務(wù)器對(duì)于入侵，滲透等行為缺乏強(qiáng)有力的主動(dòng)性觀測(cè)手段，處于被動(dòng)的安全防護(hù)階段，缺乏對(duì)全網(wǎng)關(guān)鍵核心服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的的關(guān)聯(lián)分析。

3、在服務(wù)器上運(yùn)行的程序，應(yīng)該更改其默認(rèn)后臺(tái)頁(yè)面名稱，如發(fā)現(xiàn)疑似相關(guān)或相似漏洞入侵后，要及時(shí)更改后臺(tái)管理員密碼。

4、不定時(shí)更改管理員密碼,并且密碼長(zhǎng)度應(yīng)該八位以上字母、數(shù)字、特征字符混合的強(qiáng)度密碼。定時(shí)查看系統(tǒng)日志，遇到可疑日志應(yīng)該及時(shí)處理對(duì)應(yīng)的程序或策略。

5、安裝防范ARP攻擊的軟件。

6、殺毒軟件與防火墻定時(shí)更新。

7、內(nèi)網(wǎng)所有機(jī)器定期更新系統(tǒng)補(bǔ)丁。

8、盡量避免相同的密碼可以登陸多臺(tái)主機(jī)的情況發(fā)生，最好使用一臺(tái)主機(jī)一個(gè)密碼。

黑鏈成為黑客的生財(cái)之道

2011年里，以"黑鏈"方式賺取非法收入，成為黑客的"生財(cái)之道"。2011年1月，兩名黑客因?yàn)楣糇罡邫z察院網(wǎng)站，并在其中添加黑鏈代碼而被提起公訴。檢方指控，兩名黑客范某和文某通過(guò)后門程序進(jìn)入最高檢反瀆職侵權(quán)廳網(wǎng)站后臺(tái)，在網(wǎng)頁(yè)源代碼中添加黑鏈代碼，為其他網(wǎng)站提升搜索排名率，從中牟利。二人還用同樣手段，先后侵入長(zhǎng)沙質(zhì)量技術(shù)監(jiān)督局、撫順政務(wù)公開網(wǎng)等8家政務(wù)網(wǎng)和3家企業(yè)網(wǎng)網(wǎng)站后臺(tái)，添加黑鏈代碼，非法獲利6000余元。

根據(jù)瑞星公司的監(jiān)測(cè)，教育科研類網(wǎng)站、政府網(wǎng)站、媒體日?qǐng)?bào)類網(wǎng)站成為"黑鏈"猖獗的重災(zāi)區(qū)，這些網(wǎng)站的安全防護(hù)程度很低，但他們本身的品牌、網(wǎng)站權(quán)值、知名度都相當(dāng)高，甚至被選入百度新聞新聞源、谷歌新聞源，當(dāng)他們被黑客攻陷后，黑客在其服務(wù)器上加入黑鏈代碼，當(dāng)用戶在搜索引擎中搜索時(shí)，就可能被引導(dǎo)到這些網(wǎng)站上，進(jìn)而受騙。

詳解"拖庫(kù)"攻擊

2011年12月，天涯、CSDN等一批著名網(wǎng)站數(shù)據(jù)庫(kù)連續(xù)外泄，數(shù)千萬(wàn)網(wǎng)民的賬號(hào)、密碼等個(gè)人資料被公開，形成了2011年末影響整個(gè)互聯(lián)網(wǎng)的安全大事件，給本已脆弱的互聯(lián)網(wǎng)安全造成了巨大沖擊。由于此次密碼外泄發(fā)生在網(wǎng)站服務(wù)器端，用戶在遇到這樣的安全問(wèn)題時(shí)幾乎束手無(wú)策。

那么，"拖庫(kù)"攻擊是如何實(shí)施的，網(wǎng)站管理員應(yīng)該注意哪些問(wèn)題，"拖庫(kù)"攻擊有什么危害？本報(bào)告將對(duì)"拖庫(kù)"攻擊及其影響進(jìn)行深入分析。

（1）什么是"拖庫(kù)"攻擊？

"拖庫(kù)"本來(lái)是數(shù)據(jù)庫(kù)領(lǐng)域的術(shù)語(yǔ)，指從數(shù)據(jù)庫(kù)中導(dǎo)出數(shù)據(jù)。到了黑客攻擊泛濫的今天，它被用來(lái)指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫(kù)。

"拖庫(kù)"的通常步驟為：第一，黑客對(duì)目標(biāo)網(wǎng)站進(jìn)行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞等。

第二，通過(guò)該漏洞在網(wǎng)站服務(wù)器上建立"后門（webshell）"，通過(guò)該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。

第三，利用系統(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫(kù)，或查找數(shù)據(jù)庫(kù)鏈接，將其導(dǎo)出到本地。

（2）"拖庫(kù)"攻擊的危害

企業(yè)分為多種類型，"拖庫(kù)"成功之后，黑客會(huì)對(duì)數(shù)據(jù)庫(kù)進(jìn)行深加工處理，根據(jù)其實(shí)用程度、透露信息的多少出售給相關(guān)需求方，各種數(shù)據(jù)的利用方式是不同的（下面談到的企業(yè)，僅是為了舉例所用，并非真實(shí)遭到黑客攻擊）。

媒體型互聯(lián)網(wǎng)站

CSDN、新浪均屬于這一類，他們主要提供新聞資訊，用戶在注冊(cè)其賬戶時(shí)很少透露個(gè)人資料。如果遭到拖庫(kù)攻擊，泄漏的是郵箱賬戶和密碼的組合。這樣的數(shù)據(jù)庫(kù)，黑客通常會(huì)利用其猜測(cè)其它網(wǎng)站的密碼，或者收集郵箱賬戶做成數(shù)據(jù)庫(kù)，賣給垃圾郵件發(fā)送者。

SNS互聯(lián)網(wǎng)站

天涯、人人、微博都屬于這一類。SNS網(wǎng)站會(huì)有較多的個(gè)人信息，除了常用郵箱賬戶、密碼之外，還會(huì)有常用的QQ號(hào)、手機(jī)號(hào)、家庭住址、教育信息（同學(xué)關(guān)系）等。黑客可以利用這些資料進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚、"QQ借錢詐騙"等。例如，當(dāng)用戶在某個(gè)SNS網(wǎng)站拿到了某個(gè)用戶的社會(huì)關(guān)系，可以向其同學(xué)、好友等發(fā)送QQ消息，"我的支付寶里沒錢了，你幫我買張手機(jī)卡吧"。這種詐騙的成功率會(huì)比沒拿到資料之前提高若干倍。

電商網(wǎng)站

這些網(wǎng)站的數(shù)據(jù)庫(kù)主要包含了用戶的購(gòu)買行為、住址、手機(jī)號(hào)、支付賬號(hào)等信息，主要用于網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)營(yíng)銷等。黑客可以攻擊大型網(wǎng)站，將那些具有購(gòu)買能力、經(jīng)常購(gòu)物的用戶資料出售給其競(jìng)爭(zhēng)對(duì)手。

根據(jù)相關(guān)數(shù)據(jù)，使用通常的廣告方式，電商網(wǎng)站獲取一個(gè)新用戶的成本高達(dá)百余元。而購(gòu)買這些黑客出售的資料，獲取每個(gè)新用戶的成本就會(huì)降低數(shù)十倍，甚至近百倍。而且這些灰色交易通常私下進(jìn)行，被竊網(wǎng)站很難在短時(shí)間內(nèi)發(fā)現(xiàn)。

旅行、酒店類網(wǎng)站

這些網(wǎng)站的數(shù)據(jù)更加全面，由于我國(guó)的酒店業(yè)要求身份證登記，所以一旦數(shù)據(jù)庫(kù)外泄，會(huì)造成幾乎所有的個(gè)人隱私曝光。例如，黑客可以根據(jù)客人訂購(gòu)的房間類型，推算其經(jīng)濟(jì)實(shí)力，進(jìn)而對(duì)其進(jìn)行網(wǎng)絡(luò)詐騙；通過(guò)客人行程的變化、日程及所屬公司，推算其公司運(yùn)營(yíng)機(jī)密等，這些都會(huì)帶來(lái)嚴(yán)重后果。這些網(wǎng)站屬于傳統(tǒng)行業(yè)，相對(duì)來(lái)講利潤(rùn)率較低，在安全上的投入不足，這就給用戶帶來(lái)更大的隱患。

銀行、證券類網(wǎng)站

與上述企業(yè)一樣，他們同樣也掌握很多用戶的信息，同樣可能被拖庫(kù)攻擊。但有一點(diǎn)不同的是，銀行和證券類網(wǎng)站屬于安全等級(jí)較高的類型，他們一旦出現(xiàn)安全漏洞，在短時(shí)間內(nèi)就會(huì)被黑客瘋狂利用，造成巨大的金額損失。此前，某國(guó)家級(jí)銀行曾經(jīng)在手機(jī)驗(yàn)證流程上出現(xiàn)問(wèn)題，在短短幾個(gè)月就有數(shù)千萬(wàn)用戶資金被竊，損失慘重。

企業(yè)內(nèi)網(wǎng)拖庫(kù)

這是一類專門針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的攻擊，盡管有些單位采用了"核心業(yè)務(wù)與互聯(lián)網(wǎng)物理隔離"的方式預(yù)防黑客攻擊，但該網(wǎng)在有些情況下對(duì)公眾有限度開放，尤其是帶有WIFI節(jié)點(diǎn)的網(wǎng)絡(luò)，極其容易遭到黑客通過(guò)WIFI接入企業(yè)內(nèi)網(wǎng)，竊取內(nèi)網(wǎng)數(shù)據(jù)庫(kù)。

2011年9月，福州某三甲醫(yī)院發(fā)現(xiàn)，每隔一個(gè)月左右，醫(yī)院內(nèi)部信息系統(tǒng)的數(shù)據(jù)庫(kù)就會(huì)留下"統(tǒng)方"痕跡，各種藥品每月的實(shí)際處方量情況，被醫(yī)院外部的人所掌握。后來(lái)，醫(yī)院值守的工作人員發(fā)現(xiàn)，醫(yī)院的數(shù)據(jù)庫(kù)又出現(xiàn)異常情況，通過(guò)軟件定位，發(fā)現(xiàn)異常端口的位置位于其中一座大樓的一層。工作人員立即趕到，把正在竊取醫(yī)院數(shù)據(jù)的兩名黑客抓住，黑客隨即被扭送到派出所。據(jù)了解，一家三甲醫(yī)院一個(gè)月的"統(tǒng)方"，最高可以賣到數(shù)十萬(wàn)元。

（3）黑客"拖庫(kù)"攻擊的常用方法

根據(jù)瑞星互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室的統(tǒng)計(jì)，目前針對(duì)服務(wù)器端的黑客攻擊，主要分為漏洞利用、弱口令及默認(rèn)配置利用、遠(yuǎn)程運(yùn)維風(fēng)險(xiǎn)、內(nèi)部運(yùn)營(yíng)疏忽等。

1、漏洞利用是最容易出問(wèn)題的大類。由于Web應(yīng)用的開放性，Web應(yīng)用程序越來(lái)越多，其帶來(lái)的安全漏洞必然會(huì)隨之增加，而且這些漏洞通過(guò)傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無(wú)法識(shí)別，使得企業(yè)即使配置了傳統(tǒng)的防火墻等設(shè)備，也無(wú)法阻止黑客針對(duì)這些漏洞的攻擊。

2、弱口令和默認(rèn)配置帶來(lái)的危險(xiǎn)。由于安全涉及到的軟硬件設(shè)備非常龐大，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序、路由器、移動(dòng)終端等等，幾乎所有的部分都可能有默認(rèn)密碼、默認(rèn)賬戶權(quán)限等，如果安裝部署的時(shí)候未改動(dòng)，這些默認(rèn)密碼和設(shè)置就會(huì)被黑客利用，進(jìn)而發(fā)動(dòng)攻擊。

3、遠(yuǎn)程運(yùn)維風(fēng)險(xiǎn)。事實(shí)上，很多企業(yè)、網(wǎng)站都會(huì)給員工開通遠(yuǎn)程維護(hù)權(quán)限，比如網(wǎng)絡(luò)編輯可以在家里發(fā)布文章、網(wǎng)絡(luò)管理員可以遠(yuǎn)程維護(hù)服務(wù)器，由于在遠(yuǎn)程維護(hù)中涉及到多個(gè)環(huán)節(jié)，根本沒辦法做到像公司環(huán)境下那樣的安全。例如，家里使用的PC經(jīng)常會(huì)上不同的網(wǎng)站，可能被木馬入侵，而公司里只允許安裝商業(yè)程序的PC相對(duì)而言就會(huì)好很多。在這種情況下，遠(yuǎn)程運(yùn)維就會(huì)存在一定風(fēng)險(xiǎn)。

4、內(nèi)部運(yùn)營(yíng)風(fēng)險(xiǎn)。這包括內(nèi)部員工的權(quán)限分配疏忽、不適當(dāng)?shù)胤?wù)器維護(hù)制度、數(shù)據(jù)庫(kù)備份被濫用等等。事實(shí)上，CSDN外泄的數(shù)據(jù)庫(kù)，就是因?yàn)槲丛用艿臄?shù)據(jù)庫(kù)備份被放在服務(wù)器上，使得黑客可以進(jìn)行直接下載。

（4）如何預(yù)防"拖庫(kù)"攻擊

針對(duì)上述風(fēng)險(xiǎn)，瑞星認(rèn)為，應(yīng)對(duì)企業(yè)傳統(tǒng)安全產(chǎn)品、流程及運(yùn)營(yíng)進(jìn)行全方位改造，以適應(yīng)越來(lái)越惡劣的安全形勢(shì)。

1、企業(yè)安全涉及多個(gè)部分，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、WEB應(yīng)用等軟件，也包括服務(wù)器、路由器、網(wǎng)關(guān)等硬件，在部署如此龐雜繁復(fù)的IT系統(tǒng)時(shí)，應(yīng)把安全作為首要考慮因素，尤其是網(wǎng)商、支付等涉及到大量普通用戶的行業(yè)，更應(yīng)該強(qiáng)調(diào)安全和效率的和諧統(tǒng)一，在兩者發(fā)生沖突時(shí)，應(yīng)把安全放在第一位。

2、安全管理的動(dòng)態(tài)化和長(zhǎng)期化。作為整個(gè)系統(tǒng)中最薄弱的環(huán)節(jié)，應(yīng)用安全是最需要網(wǎng)絡(luò)管理者關(guān)注的部分。尤其是目前漏洞、攻擊方法層出不窮，以往每個(gè)月定時(shí)打補(bǔ)丁、查漏洞的方式已經(jīng)不適應(yīng)目前的安全需要，網(wǎng)絡(luò)管理者應(yīng)該把安全管理作為一種動(dòng)態(tài)的行為，從系統(tǒng)建設(shè)開始生命周期，風(fēng)險(xiǎn)評(píng)估、安全加固、風(fēng)險(xiǎn)審計(jì)應(yīng)該貫穿于整個(gè)過(guò)程中。

3、利用自動(dòng)化工具來(lái)提升安全檢測(cè)效率。在這方面，瑞星提供了許多簡(jiǎn)單有效的解決方案。2011年12月，瑞星公司發(fā)布了國(guó)內(nèi)首個(gè)網(wǎng)站密碼保護(hù)方案--"瑞星網(wǎng)站密碼安全檢測(cè)系統(tǒng)"。此系統(tǒng)可對(duì)網(wǎng)站密碼庫(kù)的安全性進(jìn)行深度檢測(cè)，掃描包括SQL注入、弱口令、XSS跨站攻擊等弱點(diǎn)，并給出專業(yè)的分析報(bào)告和修復(fù)建議，幫助網(wǎng)站保護(hù)用戶密碼庫(kù)。

4、在關(guān)鍵業(yè)務(wù)模塊和核心領(lǐng)域，應(yīng)做專業(yè)安全風(fēng)險(xiǎn)檢測(cè)。在關(guān)鍵業(yè)務(wù)啟動(dòng)前，可以先由專業(yè)團(tuán)隊(duì)進(jìn)行滲透性攻擊測(cè)試，根據(jù)測(cè)試結(jié)果優(yōu)化安全管理流程，對(duì)于容錯(cuò)性、安全風(fēng)險(xiǎn)等做出全面評(píng)估和修改。#p#

企業(yè)應(yīng)采取的防護(hù)建議

對(duì)于企業(yè)信息安全的保護(hù)，應(yīng)當(dāng)從企業(yè)安全流程和安全產(chǎn)品兩方面共同著力。一方面，信息安全不再是分散的、技術(shù)上的簡(jiǎn)單概念，還應(yīng)該與企業(yè)管理、基礎(chǔ)建設(shè)、應(yīng)急處理等宏觀設(shè)計(jì)統(tǒng)一起來(lái)；另一方面，安全廠商需要進(jìn)一步思考在如何將自身各項(xiàng)產(chǎn)品線進(jìn)行長(zhǎng)期規(guī)劃、有機(jī)結(jié)合，從而針對(duì)不同行業(yè)、不同規(guī)模、不同安全級(jí)別的企事業(yè)及政府單位，量身定制完整的安全解決方案。

除了使用質(zhì)量良好的軟硬件系統(tǒng)之外，有些共通的防護(hù)措施和思路，值得所有企業(yè)參考和借鑒：

（1）安全風(fēng)險(xiǎn)評(píng)估

企業(yè)應(yīng)對(duì)自己的信息資產(chǎn)作安全風(fēng)險(xiǎn)評(píng)估，了解自身所面臨的安全威脅，主要來(lái)自外部，還是來(lái)自企業(yè)內(nèi)部？對(duì)企業(yè)威脅最大的攻擊方式，是竊取資料，是用戶無(wú)法訪問(wèn)自己的網(wǎng)站，還是用戶容易訪問(wèn)到被仿冒的網(wǎng)站？

（2）針對(duì)急迫的問(wèn)題迅速擬定執(zhí)行解決方案

進(jìn)行了風(fēng)險(xiǎn)評(píng)估之后，應(yīng)該在短時(shí)間內(nèi)針對(duì)急迫的問(wèn)題迅速擬定執(zhí)行解決方案，由公司整體組織和進(jìn)行。由于有些安全風(fēng)險(xiǎn)無(wú)法在內(nèi)部自行消除，所以需要求助于外部力量。比如：有的公司名字和品牌在搜索引擎上搜索，排在前列的都是仿冒的釣魚網(wǎng)站，這時(shí)候就需要公司的市場(chǎng)部門去與相關(guān)公司溝通，針對(duì)用戶發(fā)布安全警示等等。

（3）根據(jù)不同行業(yè)特性規(guī)劃安全風(fēng)險(xiǎn)對(duì)策

安全風(fēng)險(xiǎn)對(duì)策應(yīng)根據(jù)不同行業(yè)的特性來(lái)規(guī)劃，例如：網(wǎng)游企業(yè)面臨的危險(xiǎn)，主要是DDOS攻擊和用戶資料失竊；IM軟件除了盜號(hào)風(fēng)險(xiǎn)之外，還有傳送惡意文件、詐騙鏈接等等問(wèn)題。這些都可以通過(guò)流程來(lái)彌補(bǔ)和減弱影響，有的網(wǎng)游在用戶進(jìn)行裝備交易時(shí)設(shè)定條件，對(duì)爭(zhēng)議進(jìn)行人工審核，這樣就可以降低盜號(hào)帶來(lái)的影響。

（4）建立嚴(yán)格的權(quán)限管理體系和資料審核機(jī)制

很多企業(yè)的安全風(fēng)險(xiǎn)因素來(lái)自內(nèi)部，離職員工的惡意入侵，低權(quán)限員工試圖獲取超越權(quán)限的資料等等，這些都需要內(nèi)部建立嚴(yán)格的權(quán)限管理體系和資料審核機(jī)制，單純依靠安全軟硬件無(wú)法徹底消除類似風(fēng)險(xiǎn)。

目前，包括瑞星在內(nèi)的安全廠商都會(huì)提供專業(yè)的安全風(fēng)險(xiǎn)評(píng)估、協(xié)助制定安全流程和規(guī)則等服務(wù)，如用戶遇到自己無(wú)法解決的安全問(wèn)題時(shí)，可向?qū)I(yè)廠商求助。#p#

總結(jié)

2011年，CSDN、天涯等網(wǎng)站發(fā)生的"泄密門"，給國(guó)內(nèi)企業(yè)安全敲響了警鐘。像這樣的專業(yè)網(wǎng)站在用戶資料管理、安全流程上都存在種種問(wèn)題，其余企業(yè)的安全防護(hù)水平可想而知。這既給行業(yè)帶來(lái)壓力，同時(shí)也給企業(yè)的發(fā)展帶來(lái)巨大的動(dòng)力，正是因?yàn)榇嬖趩?wèn)題，企業(yè)們才需要向著更好的方向去努力。

除了"拖庫(kù)"這樣顯而易見的攻擊之外，針對(duì)iPad、安卓等智能終端的攻擊，針對(duì)各種工控系統(tǒng)的攻擊，針對(duì)涉密網(wǎng)絡(luò)的攻擊也層出不窮地出現(xiàn)，盡管目前尚未出現(xiàn)"泄密門"那樣影響巨大的案例，但只要我們放松警惕，威脅就出現(xiàn)在懈怠之中。

最后，我們也看到目前國(guó)內(nèi)的安全形勢(shì)不容樂觀，大多數(shù)企業(yè)對(duì)于漏洞和威脅并不重視，只要不出現(xiàn)問(wèn)題就萬(wàn)事大吉；很多安全研究者因?yàn)椴荒芡ㄟ^(guò)正當(dāng)途徑獲取利益，不得不靠灰色收入牟取利益；這樣就使整個(gè)行業(yè)進(jìn)入"有問(wèn)題的企業(yè)不肯花錢，寧肯花錢搞定媒體，導(dǎo)致安全研究不賺錢，不賺錢的廠商無(wú)法提供更好的產(chǎn)品和服務(wù)，致使有問(wèn)題的企業(yè)問(wèn)題越來(lái)越多，最終安全炸彈被引爆"的惡性循環(huán)。

瑞星呼吁國(guó)內(nèi)所有的安全廠商、企業(yè)和安全研究者，大家應(yīng)該把精力放在共同對(duì)付安全威脅上，對(duì)于白帽研究者提供的漏洞和建議應(yīng)給予足夠的重視，對(duì)利用安全漏洞進(jìn)行攻擊和謀取不當(dāng)利益的行為給以堅(jiān)決反擊，只有大家共同努力，才能把安全做到更好。