从12306看下一代安全

  又到春运时节,12306再爆新闻,13万用户数据泄露。有关此事件众说纷纭,有称12306网站存在远程执行漏洞,有称这是这是“撞库”行为。所幸现在已经有消息称,目前犯罪嫌疑人已被铁路公安机关抓获。

  做为下一代网络安全的下一代防火墙厂商对此事如何看待?对待今后发生类似网络威胁应如何去进行防范?就此问题我走访一些下一代防火墙安全厂商,收集到了一些他们对此类网络安全问题建议的更加主动的解决办法。

  “漏洞”、“撞库”与“脱库”

  实际上12306所发生的网络安全问题十分具有代表性,这些问题在其它网站中也普遍存在,并且对当前网络用户的网络应用安全产生了极大的负面影响。下面就地这些威胁进行一下具体分析:

  一、漏洞

  黑客每天都会利用扫描工具对各大网站进行疯狂地扫描,若网站存在SQL注入等漏洞或Web服务器本身含有漏洞,则黑客可轻易挖掘出这些漏洞,并利用其进行数据窃取。

  二、撞库

  “撞库”是指黑客通过收集互联网已泄露的用户名和密码信息,生成庞大的密码库,到12306等网站尝试批量登录,然后得到一系列可以登录的用户名和密码。

  三、脱库

  “脱库”是指通过非法手段获取网站的数据库,取得其中的会员信息或者黑客需要的各类信息。

  12306一直强调,自身的数据库是安全的,网络公开的用户数据是黑客在第三方网站上获取到的,但现在已有多家网络安全公司指出,12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞,因此,“漏洞”问题无可避免。同样13万用户数据也已被正实均为真实有效,所以“撞库”问题也是现实存在。至于是否存在“脱库”情况,现在信息不足还无法进行判断。但如果黑客未在第三方数据库中进行“脱库”,那这13万的用户信息也是不可能“撞库”成功的。

  12306用户泄露信息的邮箱、明文密码、姓名和身份证号码

  在这里我们不是要对谁去进行批判,事实上做为一个铁路售票网站,12306对用户网络应用请求和网络安全性,均是十分重视的。但在现有的网络安全机制下,即便是处处小心,一不留神还是会出现问题。哪怕自身没有问题,别人也会给你“撞”出问题来!

  为什么这样讲?下面我们就透过现象看本质,来对12306问题进行一个深度分析。

  12306问题的深度分析

  从表面上看,12306的问题是“漏洞”、“撞库”和“脱库”。然而在更深层次的分析后,却发现,问题的根源不是在于“漏洞”,而是在于现有的网络安全防护体制。为什么这么说,下面我们从专家提供的12306问题解决方案逐步说起。

  为了对此类问题进行深入分析,我联系了几家具有下一代防火墙产品的网络安全厂商,并从深信服与飞塔处得到了一些相关的解决方案,现在就对这些解决方案进行一下分析。

  我们先看一下深信服安全专家给出的建议:

  深信服安全专家回看几次重大的网站个人隐私泄露事件,发现导致网站用户信息泄露的原因主要是由于网站平台自身的安全防护不到位,以及开放的第三方程序/接口安全防护不足。此外,个人信息存储方式设计不当(明文)进一步增加了用户隐私受威胁影响的等级。

  为有效保障网站用户的信息安全,深信服安全专家建议您采取以下措施提升网站的安全防护水平:

  •   1.定期升级网站系统补丁、安装并及时更新杀毒软件;
  •   2.严格设置网站目录权限,禁止上传目录脚本执行权限;
  •   3.部署具备优秀的Web防护能力的下一代防火墙产品,建议选用获得国际权威机构如NSS Labs最高评价“推荐”或OWASP Web防护测评4星及以上的产品。
  •   4.网站需采用非明文方式存储用户信息,关键数据信息需定期进行备份。
  •   5.采用二次身份验证机制进行网站登录。

  而在日常的工作和生活中,个人应该如何提高密码安全意识,才不会给黑客留下可乘之机呢?深信服安全专家建议您:

  •   1.切忌一套密码到处用,不同的网站应设置单独的账号和密码;
  •   2.密码设置尽量使用“字母+数字+特殊字符”形式的高强度密码,且长度至少为8位;

  需要定期对各套密码进行更换,我们建议每两个月更换一次密码。

  可以说深信服安全专家所给出的安全防护建议十分经典,长久以来,我们始终是这样向用户进行建议的。采用更复杂并时常变换的密码、加防火墙、加密、打补丁等等。

  安全措施提了这么多年,为什么网络安全现状依然如此恶劣?从前一段为网康做的百家讲坛中,可以看出一些端倪。

  在与网康产品市场经理熊瑛的视频访谈中,熊瑛向我们阐述了当前网关安全产品在很多企业中形同虚设,甚至很多安全产品并未进行加电部署的现实情况。当前传统的网络安全防护办法无法满足网络应用的实际需求。打个比方就是互联网是一条条四通八达的道路,而现有的网络安全防护办法,就是在这一条条的道路上人为的加上无数的障碍物,甚至是垒上一堵堵的高墙!

  安全呼唤下一代解决方案

  那么对于“漏洞”、“撞库”与“脱库”这些现实存在的网络安全威胁,我们应当如何去正确处理?这个问题实际在本文一开始就已经给出了答案。12306数据泄漏事件得以迅速平息,是由于数据泄漏者在短时间内即被铁路公安机关抓获。也就是说在解决这个事件当中,“查”所起到的作用比“防”更加重要,通过“查”对犯罪嫌疑人进行追源并缉捕,从根源上铲除了数据泄漏的危害。再通过一系列的补救措施,对所发生问题进行弥补。12306为本此数据泄漏事件交上了一份令人满意的答卷,其问题处理方式堪称经典。如果今后网络安全事件均可以此类方式加以解决,那么未来网络安全风险势必会大幅下降。

  然而在一般性企业中,未必具备12306那样全面的网络安全防护体系,那么网络安全建设应该如何进行实施呢?为此,我们又对老牌网络安全厂商Fortinet(飞塔)进行了采访。在采访中飞塔向我们介绍了其有关应用交付、应用安全、信息安全、Web安全、Mail安全以及APT[注]等相关安全解决方案。与之相对应的,飞塔也推出了FortiADC、FortiWeb、FortiGate、FortiMail、FortiSIEM等相与之对应的产品,以供不同用户进行选择。

  在我感慨飞塔众多且齐全的同时,也产生了一个疑问,如此众多的产品,用户需要如何进行选择?这还仅是一家厂商的产品,当前国内外有众多的下一代网络安全厂商,提供的产品也各不相同,什么样的产品可以适用于什么样的用户?用户对下一代网络安全产品的实际需求又是什么样的?会不会再次出现安全产品采购后因不适用而长久搁置的情况出现?为此,我们将推出一个下一代防火墙选型指南,希望可以为用户下一代网络安全产品选型提供一些帮助。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:2014趋势科技"金毒奖"得奖名单火热出炉