天融信安全专家:12306信息泄露事件浅谈网站安全加固
2018-06-11 来源:
随着气温的逐渐下降,中国最隆重、最热闹的传统节日——春节也一天天临近。每年的春运都是舆论和公众关注的焦点。网民为了抢到一张宝贵的车票施展了浑身解数,当然最为广泛的方法是下载第三方的抢票软件,但是网民往往忽略一个非常严重的问题:信息的泄露。在去年的12月份,12306网站爆出了信息泄露事件,导致超过13万条的用户个人信息被公开、数据安全防护再度成为热门话题。
相关安全专家已经证实,此次12306用户数据泄露是由“撞库”攻击导致的。“撞库”是指黑客通过收集互联网已泄露的用户名和密码信息,生成庞大的密码库,到12306等网站尝试批量登录,然后得到一系列可以登录的用户名和密码。
近年来个人隐私泄露事件接连不断,如“CSDN网站600万用户数据外泄”、“知名连锁酒店2000万个人开房隐私泄露”,以及互联网社交平台上各种有关研究生、公务员考生、建造师和造价员的个人信息倒卖层出不穷
个人隐私为何频遭泄露?承载网民个人信息的网站安全防护因何屡存缺失?
天融信安全专家回看几次重大的网站个人隐私泄露事件发现导致网站用户信息泄露的原因主要是由于网站平台自身的安全防护不到位,以及开放的第三方程序/接口安全防护不足。此外,个人信息存储方式设计不当(明文)进一步增加了用户隐私受威胁影响的等级。
黑客每天都会利用扫描工具对各大网站进行疯狂地扫描,若网站存在SQL注入等漏洞或Web服务器本身含有漏洞,则黑客可轻易挖掘出这些漏洞,并利用其进行数据窃取。为有效保障网站用户的信息安全,天融信安全专家建议您采取以下措施提升网站的安全防护水平:
一、网站用户的身份认证
一般可以采用用户名+密码验证,确认用户登录身份并根据数据库中预设的权限,向用户展示相应的界面。对于重要的网站应用,需要根据PKI机制验证用户提供的证书,从而对用户身份认证,并确保交易的不可抵赖性。证书的提供可以采用两种方式文件:证书或是USB设备存储的证书。文件证书保存在用户磁盘和文件系统上,有一定的安全风险,但是可以免费;USB证书安全性高,但是一般需要向用户收费。
二、网站数据的加密传输
对于使用Web浏览器的网上系统应用,采用SSL+数字证书结合的方式,(即HTTPS协议),保证通信数据的加密传输,同时也保证了用户端对服务器端的认证,避免用户被冒充合法网站的“钓鱼网站”欺骗,从而泄露机密信息(用户名和密码等),造成不可挽回的经济损失。
三、用户账号使用行为的日志记录及其审计
系统服务器侧应根据账号,对用户的使用行为进行详细的日志记录和审计,通过上述因素的日志记录,进行阶段性的审计(时间间隔应该比较小)从而做到发现用户账号的盗用、恶意使用等问题,尽早进行处理。
四、恶意用户流量的检测、过滤及阻断
系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备或者部署目前高效、流行的UTM设备,对恶意用户采用的各种攻击手段进行检测和防护,重点过滤恶意流量、突发流量等。
五、对非正常应用请求的过滤和处理
系统的服务器端,尤其是数据库服务器端,应该通过配置和增加对用户非常应用请求的过滤和处理模块,以避免由于数据库的自身漏洞未及时打上补丁而遭受目前流行的SQL注入攻击等。
六、合理的子网划分及流量分割
系统服务器侧包括大量的服务器类型,包括数据库服务器、Web服务器、FTP服务器、邮件服务器等,为了避免由于恶意流量造成的某种服务器崩溃,而引起的攻击后果扩散,并最终导致其他服务器也发生“雪崩效应”,则需要通过子网隔离(比如VLAN划分)、DMZ区域的设定等方式来将这些服务器放置在不同的安全域当中,做到流量和数据的安全隔离,从而将服务器端在遭受攻击后对整个业务系统及其他内网资源和数据造成的影响尽量控制在最低的范围内。
七、负载均衡及负载保护机制
系统面临着巨大的服务量,服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,避免处理瓶颈的出现,因此需要采用合理的负载均衡和负载保护机制。
◆对各服务器的业务流量进行有效地分担,可按照Round Robin、LRU等方式来进行负载均衡。
◆负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估,如果一旦超过设定的阈值。将马上进行过载保护从而保证服务器自身的安全。
八、灾难备份及恢复
任何系统都不能说100%的安全,都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作,需要着重考虑如下几点:
1、选择合适的备份策略做好提前备份包括全备份、差分备份、增量备份等等;
2、选择合适的备份介质包括磁带、光盘、RAID磁盘阵列等;
3、选择合适的备份地点包括本地备份、远程备份等等电脑自动关机;
4、选择合适的备份技术包括NAS、SAN、DAS等等;
5、作好备份的后期维护和安全审计跟踪。
九、管理规范化
系统功能复杂业务数据敏感,保密级别比较高,并且对不同管理人员的权限、角色要求都不尽相同为了保证安全管理避免内部管理中出现安全问题建议作如下要求:
1、严格划分管理人员的角色及其对应的权限,避免一权独揽,引起安全隐患;
2、作好服务器机房的物理条件管理,避免电子泄露、避免由于静电等引起的故障;
3、应作好服务器管理员的帐号/口令管理,要求使用强口令,避免内部人员盗用;
4、作好服务器的端口最小化管理,避免内部人员扫描得出服务器的不必要的开放端口及其漏洞,实行内部攻击;
5、作好服务器系统软件、应用软件的日志管理和补丁管理工作,便于审计和避免由于安全漏洞而遭受到内部人员的攻击;
6、根据业务和数据的机密等级需求,严格划分服务器的安全域,避免信息泄露。
十、网站漏洞自我挖掘及防护
采用漏洞扫描和挖掘设备,对内网各服务器进行阶段性的扫描,并根据扫描所得的风险和漏洞进行及时地修补,以实现该漏洞为黑客使用之前进行自行修复的目的。
而在日常的工作和生活中,个人应该如何提高密码安全意识,才不会给黑客留下可乘之机呢?天融信安全专家建议您:
1. 切忌一套密码到处用,不同的网站应设置单独的账号和密码;
2. 密码设置尽量使用“字母+数字+特殊字符”形式的高强度密码,且长度至少为8位;
3. 需要定期对各套密码进行更换,我们建议每两个月更换一次密码。
标签: ftp服务器 https ssl web服务器 安全 防火墙 服务器 服务器端 服务器管理 服务器机房 服务器系统 互联网 机房 漏洞 权限 数据库 通信 网站
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。