摘要:网站是一个单位对外宣传、展示形象和提供服务的重要窗口,一旦网站信息被恶意篡改,将直接影响到一个单位的形象、信誉,严重的会造成经济损失甚至产生不利的社会影响。本文从研究网站建设的主要技术与运行机制出发,分析网站被恶意攻击的主要途径,提出有针对性地加强网站管理、预防网站被篡改等安全问题的对策建议,为网站建设与管理单位提供参考。
关键词:网站;攻击;篡改;防篡改
网站是一个单位对外宣传、展示形象和提供服务的重要窗口,一旦网站信息被恶意篡改,将直接影响到一个单位的形象、信誉,严重的会造成经济损失甚至产生不利的社会影响,尤其是政府机关、企事业单位的网站。2017年6月1日起《中华人民共和国网络安全法》正式施行,该法明确了作为网络运营者应当履行安全保护义务,防止网络数据泄露或者被窃取、篡改等相关要求,那么网站作为网络运行中的一类载体,保障网站安全、防止出现网站信息被篡改等安全问题已经成了网站建设与管理单位的重要责任和义务。
1网站的主要分类及其特点
从建站的技术角度分类,网站主要分为静态网站和动态网站。静态网站是指没有数据库作为支撑,网站内容全部以非结构化文件形式存在,每个网页都是一个底层为HTML语言代码格式的独立文件,网站的所有信息内容都包含在网页文件中。静态网站的交互性较差,在制作和维护方面工作量也较大,但是网页信息内容稳定且不易被篡改,访问效率高,也易被检索查询。动态网站是以数据库技术为基础,运用Asp、Jsp、Php、Python等各类动态网页开发语言编写,网站内容可根据不同情况动态变更的网站。动态网站的每个网页文件不是独立文件,除了图片、音频、视频等非结构化文件外,网页内容都以结构化文件形式存储在后台数据库中,当用户通过客户端访问网站服务器时,在客户端返回一个完整的网页。动态网站具有良好的交互性,开发技术丰富,应用广泛,管理简单,但是访问效率与静态网站相比较低,且如果开发技术人员在安全性方面考虑不周全会导致网站存在安全隐患。
2网站的部署及运行机制
静态网站的部署及运行原理较为简单,在Web服务器上配置好IIS或者Nginx等支持静态网站的运行环境,然后将制作好的网站内容放到服务器指定的文件目录下,直接通过网站域名访问即可。动态网站的部署配置较静态网站稍微复杂一些,需要在Web服务器配置网站web应用程序相关组件,并安装配置数据库。虽然部署方式不同,但不管哪类网站,运行机制是一样的。客户端(Client)通过浏览器以URL的形式向服务器(WebServer)发出Request,Web服务器(WebServer)接受客户端的Request并做出响应(Response),根据URL查找相应的文件。若URL指向静态页面(StaticWebPage),则服务器将找到的静态页面(StaticWebPage)通过http协议传输到客户端浏览器,由浏览器引擎解析后显示在浏览器中。若URL的内容为动态页面,需要Web服务器执行相关程序代码并从数据库中读取相关数据,动态生成网页文件并通过http协议传输到客户端浏览器,由浏览器引擎解析后显示在浏览器中。
3造成网站被恶意攻击的主要途径
通过了解网站部署方式及运行机制,我们知道网站的运行主要依托web服务器、网站应用程序及相关组件和数据库系统(主要涉及动态网站)三个方面,任何一方面出现问题都会影响网站安全。再加之如果网站管理不善,存在管理上的安全风险,都会有被不法者扫描到网站漏洞的可能,从而对网站进行入侵乃至篡改网站数据信息。
3.1利用Web服务器操作系统自身安全漏洞。Web服务器使用的操作系统主要有Windows、Linux、Unix等,操作系统在设计时本身都会存在一定的技术缺陷,虽然服务商也不断地系统补丁,但是如果这种缺陷没有及时修复而被不法者利用,通过植入计算机病毒、木马程序等方式就可能控制整个服务器,从而篡改服务器上的数据,包括在服务器上运行的网站数据信息。例如Windows系统的RDP远程桌面漏洞,不法者可以利用该漏洞向目标Windows服务器构造恶意请求,并在目标Windows服务器操作系统上执行任意程序代码,从而破坏或篡改数据信息。
3.2利用web应用程序漏洞。这里的web应用程序指安装在web服务器上为网站提供运行环境的程序及相关组件,如.NetFramework、Tomcat、JDK、Eclipse、PHP等,这些程序自身也存在技术缺陷并在使用过程中不断的更新版本来弥补漏洞并拓展功能,如果使用了存在漏洞的应用程序而没有更新补丁或者使用时配置不当都会造成网站安全问题。例如典型的框架式漏洞Struts2远程代码执行漏洞,利用该漏洞可以在目标服务器上植入后门,然后获取目标系统的权限从而对目标系统进行控制。
3.3利用数据库系统漏洞。目前大部分网站都依托Mysql作为数据库支撑,因此针对MySQL数据库的渗透攻击非常多,经常有Mysql数据库被攻击,导致数据库被删除或者篡改。最有威胁的当属SQL注入,该漏洞可以使不法者将SQL语句注入到数据库中,实现无账号登录,进而读取、修改数据库相关数据,执行各种管理操作等。不法攻击者可以通过获取到的数据库数据,得到网站后台管理密码,进而对网页信息内容进行恶意篡改。
3.4利用系统配置及管理漏洞。没有对服务器操作系统、应用程序、数据库及网站后台进行有效的安全配置,比如设置了弱密码、在服务器上运行了含有病毒、木马的文件、链接了恶意网页、开启了非必要的共享等,导致不法者获取网站或者服务器权限,进而篡改网站数据信息。比较常见的就是网站后台密码过于简单而直接被不法者暴力破解,取得网站管理员口令,然后以网站管理员身份进行网页篡改。
4网站安全管理及防护对策建议
要从根本上解决网站的安全问题,就是要消除操作系统、应用程序、数据库系统及网站管理上的所有安全漏洞。所以,需要针对网站的类型及其特点并从可能造成网站安全问题的原因入手,采取有针对性的网站保护措施,形成一体化的网站管理与防护方案,力求防患于未然。
4.1及时发现并修复各类系统自身漏洞。密切关注网站服务器操作系统、应用程序、数据库系统服务商及国家有关安全漏洞通报平台的漏洞信息,及时对与本网站有关的漏洞进行修复。需要注意的是,对于操作系统漏洞的修复,要在安装补丁前做好数据备份,如果是虚拟服务器可以提前做快照,以免出现蓝屏或者其他影响系统启动的情形。对于应用程序的升级也需要进行兼容性测试,防止出现无法运行的情况。如果无法进行自身漏洞修复,可以通过部署具有虚拟补丁功能的安全防护系统,在一定程度上解决漏洞问题。目前已有成熟的虚拟补丁防护产品,通过漏洞防护规则,在网站服务器不重启,不进行补丁更新的情况下防护漏洞,阻止漏洞被利用。
4.2启用严格的访问控制策略。依据最小权限原则进行访问控制策略的配置。不论网站服务器操作系统、应用程序、数据库还是管理后台都授予相应的用户以最小权限。同时,明确用户、角色、权限、资源之间的对应关系,针对各类管理用户进行严格的分角色、分权限设置。删除无关账户,禁用或者限制各类默认账户权限,修改默认口令。对服务器管理、网站管理后台管理登录IP进行限制。对操作系统和数据库系统特权用户进行权限分离。在Web应用程序中不要用管理员账号连接数据库。限制非管理账户访问网站及有关目录文件,禁止非管理账户访问目录的文件列表。建议隐藏网站后台管理地址。
4.3加强用户身份鉴别。对操作系统、数据库系统用户访问时进行身份鉴别,用户口令采用至少10位以上包括数字、大小写字母、特殊字符的综合性口令,推荐设置16位以上动态口令技术生成的无规律综合性口令,口令需定期更换。重要的网站建议进行Session校验,防止未授权人员非法登录页面。启用认证失败处理功能,如锁定账户、结束会话、限制非法登录次数等。
4.4最小化原则。操作系统遵循最小安装原则,仅安装需要使用的组件和应用程序,最大程度上确保系统安全。遵循最小服务原则,启用Web服务器自身防火墙,关闭不必要的服务,仅开启需要的端口和服务。配置各类用户以最小权限。如果是Windows系统,建议关闭所有驱动器的自动播放功能和非必要的磁盘共享。针对web应用程序,禁用非法Http方法的使用。
4.5提高网站代码编写质量。网站开发人员应规范编写代码,网站上线前对网站代码进行安全审查,清除不安全的代码。同时还应注意以下几点:一是对一些特殊字符、编码及SQL语句关键词进行过滤,限制各项输入字段的长度预防SQL注入和跨站攻击;二是对跨站脚本关键词进行过滤;三是对Html页面文件和脚本源文件进行MD5校验;四是所有用户的密码都采用MD5加密后再存入数据库;五是对上传页面的格式进行限制,防止上传后门脚本等。
4.6合理采用安全设备和软件保护网站安全。采用防火墙、态势感知系统、IPS、Waf、防病毒系统甚至专业的防篡改工具等专业安全设备及软件进行防护,保障网站安全也是非常必要的。但是安全设备和软件也不能滥用,不能毫无选择的进行安全设备叠加,而应根据网站实际运行情况,科学选择、合理配置,以免顾此失彼,影响网站的正常运行。
4.7优化网页机制。可以采用动静结合方式提高动态网站的安全性,将动态网站的所有网页内容以静态网页的形式出来。具体可采用“后台动态制作与管理维护服务器+静态页面服务器”的部署方式。为了进一步提高网站访问速度和安全性,可建立多台静态页面服务器,在静态页面服务器前端部署负载均衡,可通过负载均衡建立网站的虚拟IP(VIP),隐藏所有内部服务器使用的真实IP,保证服务器的安全性。
5小结
应对网站篡改攻击、保障网站安全不是仅仅采用某种或者几种防篡改技术就能解决的,本文仅是给出了一些网站防篡改方面的思路性建议,具体还需要根据网站自身使用的操作系统、应用程序及数据库等方面并结合网络架构和运行管理,因地制宜,细化配置策略,形成制作建设、环境部署、运行维护等全方位的防护方案。
作者:孙斌 王金民 裴建廷 于谦 周伟单位:潍坊医学院