网站安全管理与网络犯罪

m8i4n2g6 · 发表于 2010-11-25 10:45:43

网络犯罪份子都明白，网站是一个很好的目标，一旦入侵成功，网站将成为进入后台服务器的一个入口。网站已经成为了网络犯罪份子窃取敏感信息的首要途径，他们同时还会向浏览网站的用户电脑中植入恶意软件。故网站安全成了很重要一个话题。
而像网站漏洞，sql注入这些往往成为他们的利用的渠道。
　同时，被入侵的网站也能够成为恶意软件下载的平台。

　　只需要将“被入侵的网站”几个字录入任何一个网络搜索引擎，你都能看到网络罪犯们是如何成功的。在 Google的搜索结果上，第一位的是SC Magazine有关Websense 研究的文件：

　　“在互联网前100位流行网站中，有超过七成的网站要么存在恶意内容，要么就是隐藏了重定向代码。”

　　如果这还不算是坏消息的话，那么下面就应该算是坏消息了：

　　“被恶意软件感染的合法网站的数量已经超过了网络犯罪份子自己建立的恶意网站数量。”

　　为什么会这样?

　　我不明白为什么会这样，于是我阅读了《漏洞突出了更有效的安全管理的重要性》一文。这篇文章的标题就说明了一切。下面是国土安全部(DHS)检查长Richard Skinner和他的团队针对9个DHS运营的网站的调查给出的报告，这9个网站分别是：

　　美国海关及边境保护局 (cbp.gov)

　　DHS 总部 (interactive.dhs.gov)

　　美国联邦紧急事务管理局 (fema.gov)

　　美国联邦执法培训中心 (fletc.gov)

　　美国移民和海关执法局 (ice.gov)

　　这些都是非常重要的网站，应该被尽可能的保护。我尤其感兴趣的是国家保护和计划司 (NPPD)的网站。你也许会注意到， NPPD是US-CERT(美国计算机应急处理小组)的成员。

　　幸运的是，US-CERT的网站是由USCG和FEMA控制的，并没有被感染或入侵，并且服务器已经安装了最新的补丁。Skinner表示：

　　“这些网站安全工作，包括定期评估，打补丁以及升级策略，归档处理等，已经成为了IT系统安全中有效进行深度防御的良好范例。”

　　测试了什么

　调查工作的一部分就是检查网站服务器。检查人员发现网站的相关设备和操作系统软件没有足够的安全性。这并不是我希望看到的。
　　“虽然IT安全人员定期进行操作系统的测试，但是只有少部分人员有工具或技能来测试web应用的安全漏洞。随着网站内容的更新或改变，现有的安全漏洞可能会继续保留，或者会出现新的安全漏洞，将系统和数据至于风险之中。”

　列出了实际发现的漏洞，同时也包含了其他敏感信息。不过还好一切都还来得及修补。但是其它网站又怎么样呢?

　　建议

　　要求所有对公众开放的网站进行定期的安全风险评估。

　　要求所有对公众开放的网站及时进行安全补丁更新。

　　明确部门的漏洞评估策略，确保能够解决尤其是有关于网站的风险威胁。

　　对于向公众开放的网站，创建一个包含网站主要应用以及支持系统的清单。