专家解读网站数据库泄密带来的隐私危机

近日国内多家知名网站用户数据库被公开下载，国内外媒体频繁报道，影响恶劣，涉及到游戏类、社区类、交友类等网站用户数据正逐步公开。各报道中也针对系列事件向用户提出密码设置策略等安全建议。

用户数据作为网站所有者的信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。为此，安恒信息已于近日对多家受到攻击的网站提供网站安全检测并为其提供解决方案。安恒信息的专家将从信息安全防御的角度，就WEB应用的数据库的防泄密策略提出解决建议，以杜绝类似的数据库泄露事件再次发生。

数据库为什么成为目标

攻击者为什么会冒着巨大的法律风险去获取数据库信息？

2001年随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏帐号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场；2004年-2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客 “拖库”的主要目标。

2008年-2009年，国内信息安全立法和追踪手段的得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。

2010年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用ID或EMAIL，可以直接搜索出其常用密码或常用密码密文。

2011年12月21日，仅仅是在这一天，攻击者曾经获取到的部分数据库被陆续地公开了。

数据库是如何被获取的

攻防回合的延续使入侵网游服务端主机系统难度加大，而WEB应用的登录入口表明了WEB应用程序与用户数据表之间存在关联，通过入侵WEB网站获得数据库信息成为针对网站数据库攻击的主要入手点，常见的攻击步骤如下：

1. 寻找目标网站（或同台服务器的其他网站）程序中存在的SQL注入、非法上传、后台管理权限等漏洞；

2. 通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WEBSHELL；

3. 通过已获得的WEBSHELL提升权限，获得对WEB应用服务器主机操作系统的控制权，并通过查看网站数据库链接文件，或得数据库的链接密码；

4. 通过在WEB应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者本地数据库（或直接下载服务器上可能存在的数据库备份文件）；

5. 清理服务器日志，设置长期后门。

目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化的作业流程。

安全专家的建议

针对于WEB应用和数据库基于以上技术防御目标和业务影响，安恒信息提出以下基本防御策略：

技术方面，根据具体信息系统的实际情况适当采用对应的安全工具或设备，如：WEB应用弱点扫描器、数据库弱点扫描器、WEB应用防火墙、数据库审计系统等；并通过人工手段，对系统进行多种方式的脆弱性评估和加固工作，如：渗透测试、代码审计等。

管理方面，加强对WEB应用和数据库对应的组织人员、开发规范、运维策略、安全培训等的建设，在单业务系统的范围内，达到体系完善。如：对数据库用户权限和备份文件加强管理，针对于某些攻击手段的防御效果可能高于产品部署而大幅降低成本。

实现控制安全事件发生的可能性和对业务造成的影响。

解决方案

国内对网络信息安全存在一定的误区，如用户普遍认为没有必要制订符合企业长远发展的安全策略；面对不法分子日益猖獗的复合式攻击不少行业用户试图通过单点产品的简单堆砌来加以应对，而对产品之间的协调工作考虑较少，导致了安全防护体系的整体防御能力低下；对复杂多变的网络环境和层出不穷的安全漏洞认识不足，许多行业用户把已经部署了的安全防御体系看成是“完美工事”。安恒信息根据一般WEB应用和数据库常见的部署情况，推荐了几款针对性的防御产品：

1.1.WEB应用弱点扫描器

WEB应用弱点扫描器（简称：WEBSCAN）的主要功能是发现WEB应用的常见技术弱点，本质是一种模拟常见WEB攻击的非破坏性的工具。在WEB应用的开发、测试、运维阶段，WEBSCAN经常作为一种事前的安全检查用具，来快速高效地，发现系统可能存在的弱点，常见功能如图所示：

图1－1 WEBSCAN主要功能

1.2.数据库弱点扫描器
数据库弱点扫描器（简称：DBSCAN）是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具。DBSCAN主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库，执行前端提交的扫描请求，并将扫描结果返回前端。前端功能是与用户交互，主要功能模块包含：项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行，它们之间一般采用自定义的网络协议通信。功能如图所示：

图1－2 DBSCAN主要功能
目前，除各系统运维单位外，国内各公安部门、测评中心、检验所等检查机构也将WEBSCAN和DBSCAN作为等级保护测评工具，它们是事前系统弱点检测的有效工具。一般部署扫描工具，只需要对应网络协议可达，并不会影响现有网络结构。

1.3.WEB应用防火墙

Web应用防火墙（Web Application Firewall，简称： WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是：检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时，提升系统防御能力的主要手段，能够阻挡攻击者对WEB应用程序漏洞的利用，为修复程序漏洞争取时间。在WAF的保护下，也能够提升新业务系统上线的速度。甚至于，保护哪些历史上遗留下来，已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下：

图1－3 WAF部署方式

透明直连模式不需要给WAF配置IP地址，只要将WAF接入业务链路，配置好保护的WEB应用服务器的IP地址及端口，就可以实现对WEB应用业务的安全检测。而部署WAF，不但不会影响业务系统的性能，同时还能够提升应用交付。

1.4.数据库审计系统

数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现：

·对数据库的对象（包括用户（数据库）、表、字段、视图、索引、存储过程、包等）进行审计规则定制；

·制定细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；

·基于IP地址、MAC地址和端口号审计；

·根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。

数据库审计系统不光能够检测、记录与回放攻击者的在任何时间的操作行为，也应当能够展现其已经获取到的信息，让运维和安全人员了解到当前造成的损失。如图所示：

图1－4 数据库审计系统操作回放示例

对于B/S架构的应用系统而言，用户通过WEB应用服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 应用服务器的相关信息，无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），产品主要根据时间片、关键字等要素进行信息筛选，以确定符合数据库操作请求的WEB访问，通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示：

图1－5 三层审计的部署示意图如下

由于目前任何设备都不能完全模拟人的工作思路和操作。作为相关产品的补充，我们可以适当考虑采用人工操作的方式对WEB应用和数据库的安全防御能力进行加强。攻防是一种动态博弈，安全产品的部署和相关的安全管理策略采用在技术层面并不存在硬性要求，在实际的信息安全工作中，应当针对具体情况采用更加灵活的安全措施。