网站安全策略初探
2016-06-30刘文炎
刘文炎
摘要:当前网络安全形势严峻,网站被攻击、数据被窃取事件频发,因此成立了以习近平总书记为组长的中央网络安全和信息化领导小组。对此对网站密码的安全使用,关闭系统不用的端口和服务,使用杀毒软件,扫描漏洞、打上安全补丁,查杀病毒和木马进行策略探讨。
关键词:网站安全;口令;端口;漏洞;补丁
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)14-0024-03
2015年的互联网世界,可谓多事之秋。2月,美国第二大医疗保险公司Anthem受到攻击,丢失8000万个人信息。7月,全球最臭名昭著的黑客公司Hacking Team至少400G的文件被窃取。8月,全球最大婚外情网站Ashley Madison被黑,10G用户数据被窃取和公布。9月,苹果公司的App Store,被上传了携带XcodeGhost病毒的APP,并被数亿人下载使用,甚至iCloud帐号密码的安全遭到威胁。10月,英国宽带服务提供商TalkTalk的400多万用户的隐私数据被泄露。
国内同样鸡犬不宁,社保等系统的高危漏洞就涉及数据5279.4万条。网易用户数据库疑似泄露,影响数据总共数亿条。国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户、6万多旅行社账号密码、上百万导游信息。草榴社区遭到攻击导致数据库外泄。机锋论坛2300万用户数据泄露,涉及数据总数多达4亿多条。三星输入法漏洞,影响全球超过6亿的三星手机用户。
面对入侵者们日益猖獗的进攻态势,我们就黑客入侵方法和我们平时使用习惯、软件防护和硬件防护几个方面来探讨网站防黑、防盗的安全策略。
1 口令、密码篇
1.1 设置复杂口令,让试图暴力破解者无计可施
口令是在看不清楚的时候用来识别敌我的口头暗号,也被称为密码或者密钥。在银行取钱或者转账时,只有输对密码,才能正常交易。所以入侵者一定会想方设法窃取你的口令。入侵者使用一个包含用户名和口令的字典数据库程序,不断地尝试登录系统,直到成功进入。这个庞大的数据库中,光包含大小写的4字符的口令部分就有50万个组合,想想我们平时为了贪图好记、方便,就使用诸如123456、888888、abcd等纯数字或者纯字母作为密码,这些非常容易被别人猜到或被破解工具轻而易举快速破解的密码(也叫弱口令)是多么危险。因此,赶紧把弱口令改为安全口令吧。
怎样的口令才比较安全呢?1个包含大小写且标点符号的7个字符的口令大约有10万亿个组合,对于一般的计算机需要花费大约几个月的时间才能全部试验一遍,真正是一两拨千斤啊。所以安全口令长度应该不小于8个字符,由大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符组合而成,4种字符每一种都要有,如果某一种字符只有一个,那么不应为第一个字符或最后一个字符。口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。安全密码让使用动态字典,包含了所有可能的字符组合的暴力攻击者也头痛不已。因此,要启用密码复杂度校验。
1.2 设置验证码登录,限定登陆失败尝试次数
现在的计算机太过强大,暴力破解一个6位纯数字或纯字母的密码,几乎是眨眼之间的事情,我们的密码再复杂也终有被破解的一天。为了防止黑客程序反复尝试登录,我们可以使用验证码,使得每次登录都必须手工输入验证码,不让暴力破解程序顺利运行,让入侵者品尝验证码的厉害。
看到这里,你是否突然想起了的自己的银行密码,那么重要的银行密码只有6位,而且还是纯数字的,从000000到999999,这不是太容易被攻击了吗?不用害怕,由于银行设置了登陆失败尝试次数的限制,当输入密码错误达到一定次数,ATM机吞卡没商量,网银会在一段时间里拒绝服务,甚至锁住账号,要求持卡人带着身份证到银行解锁,这样就很好地保护了存款的安全性。所以,为了你的网站更加安全,不妨使用验证码,并设置登陆失败尝试次数限制,建议为6-10次。但是与此同时,你还要设置账户锁定时间,以便你可以登录,建议为30分钟。以上的账户锁定设置,可以有效地避免自动破解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定账户常常会造成一些不便,但系统的安全有时更为重要。
密码复杂度校验的具体设置如下:按Windows图标键+R键,打开运行窗口→输入GPEDIT.MSC并按回车键→Windows配置→安全设置→账户策略→密码策略→设置密码必须符合复杂性要求为已启用→设置密码长度最小值为8→设置密码最短使用期限为0天→设置密码最长使用期限为99天(在99天以内最少更新一次密码,使旧的口令失效)。
登录失败次数限制的具体设置如下:在账户策略里→账户锁定策略→设置账户锁定阈值为9次无效登录→设置账户锁定时间为30分钟→设置复位账户锁定计数器为30分钟之后;
1.3 其他注意事项
1) 避免口令被他人偷窥。不在笔记本或其他地方记录口令;不向他人透露口令,不在e-mail或即时通讯工具中透露口令。
2) 每一个系统,都使用自己独有的口令。现在的网站服务器有操作系统,有数据库,还有中间件,不同的帐户使用不同的口令,犹如每一道门,都有一把自己独立的钥匙,避免被入侵者一网打尽。
3) 对网站后台管理系统的接口和地址进行隐藏,不在网站上提供链接,让入侵者找不到大门。
以上策略,并不需要高深的技术,只要我们稍加重视,就可以让多数的入侵者望而却步。
2 服务、端口篇
服务是指执行指定系统功能的程序、例程或进程。支持其他程序,尤其是底层(接近硬件)程序的称为系统服务(system services),电脑的各种功能需要各种的服务支持。
一台拥有一个IP地址的主机可以提供许多服务,如Web、FTP、SMTP等,通过“IP地址+端口号”来区分。端口可以认为是设备与外界通讯交流的出口。如果把服务器比作房子,那么端口就犹如一个个窗口,负责对外交流,入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞。因此,关闭不使用的端口也是重要的防黑安全策略之一。
关闭网络端口的步骤如下:
步骤一:开始→设置→控制面板→管理工具→本地安全策略→IP 安全策略,在本地计算机→操作→创建 IP 安全策略(弹出“IP安全策略向导”对话框)→下一步→IP 安全策略→在“名称框”输入“关闭端口”→下一步→去除“激活默认相应规则”的勾→下一步→去除“编辑属性”的勾→完成
步骤二:双击关闭端口(弹出“关闭端口 属性”对话框)→去除“使用‘添加向导”的勾→添加(弹出“新规则 属性”对话框)→添加(弹出“IP 筛选器 列表”对话框)→去除“使用‘添加向导”的勾→添加(弹出“筛选器 属性”对话框)→源地址选“任何 IP 地址”→目标地址选“我的 IP 地址”→协议→选择协议类型为“TCP”→“从此端口”和“到此端口”都输入“135”→确定(就添加好了一条关于TCP135端口的策略并回到“IP 筛选器 列表”对话框)
步骤三:单击添加按钮,重复上述步骤,添加其他的TCP、UDP等端口策略。
步骤四:全部添加好了以后,单击“IP 筛选器 列表”对话框的确定,在“新规则属性”框中,给“新IP筛选器列表”左侧的圆圈加点(激活),单击筛选器操作,去除“使用添加向导”左边的勾,点击添加,在“新筛选器操作属性”的“安全措施”中阻止,然后确定。
步骤五:回到“新规则属性”框,激活“新筛选器操作”(左边圆圈加黑点),点击关闭。最后在“关闭端口属性”框,勾选“新的IP筛选器列表”,按确定。
右击新添加的“关闭端口”策略,选择分配或指派(根据版本不同)。电脑重启以后,不管是黑客还是病毒都无法利用上述已经关闭的端口攻击你的电脑了。
3 漏洞、补丁篇
漏洞是指电脑的操作系统或者是一些应用软件,在程序设计或者应用过程中,出现的一些失误或者缺陷,有可能被黑客、病毒利用,对系统的安全构成潜在威胁。
补丁则是针对上述潜在的威胁,发布的修补漏洞的小程序。软件是人编写的,总会有疏漏的地方,程序不可能是十全十美的。一般在软件的开发过程中,开始的时候总会有很多因素没有考虑周全,但是随着时间的推移,软件所存在的漏洞会慢慢地被发现。这时候,为了提高系统的安全,软件开发商会编制并发布一个小程序(即所谓的补丁),专门用于修复这些漏洞。
乌云网www.wooyun.org和补天网https://butian.360.cn是两个安全问题反馈及发布平台。安全研究者(白帽子)通过平台提交网站的安全漏洞,帮助厂商做出快速响应,从而提高网站对黑客攻击的防御能力,弥补自动扫描的缺点和不足,同时获得厂商的现金奖励。
漏洞修补方法很多,除了系统自动更新功能以外,还有很多的软件也可以胜任这一工作,如360安全卫士、金山安全卫士、QQ电脑管家、鲁大师等,安装并运行漏洞扫描和修补功能即可。
4 病毒和木马篇
4.1 认识病毒和木马
计算机病毒是一段具有破坏作用的程序,不仅会干扰计算机的正常运行,还会破坏计算机里的软件和数据,甚至能够破坏计算机的硬件设备,病毒程序不但能够自我复制,还会通过网络、优盘等数据交换时感染其他计算机。
病毒具有繁殖、破坏、传染、潜伏、隐蔽、可触发等特征。繁殖性是指计算机病毒能够像生物病毒一样进行自身复制,并传染给其他文件或者计算机;破坏性是指计算机中毒后,可能会导致正常的程序无法运行,或者文件被破坏、被删除;传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其他无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件;潜伏性是指计算机病毒可以依附于其他媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作,会使电脑变慢;隐蔽性是指计算机病毒大多通过病毒软件才能检查出来,少数隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难;可触发性是编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。
病毒发作时都会有一些征兆,比如屏幕上出现莫名其妙的特殊字符或图像、字符无规则变换、脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提示等;蜂鸣音发出尖叫或非正常奏乐;经常无故死机,随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地变成无效设备;磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等;打印异常、打印速度明显降低、不能打印、不能打印汉字与图形或打印时出现乱码;收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等等。
与病毒的破坏性相比,悄无声息的木马危害性更不可小觑。什么是木马?古希腊传说,特洛伊王子在希腊皇宫作客后,拐跑了希腊皇后。于是希腊军队围攻特洛伊城,但打了10年都未能攻下。最后希腊军队制作了一具巨大的木马,并且假装撤退,把内藏士兵的木马留在特洛伊城下。特洛伊人以为木马是战利品,拖进城内。晚上,藏在木马中的希腊士兵,乘着特洛伊人不防备,悄悄溜出来打开城门,放进了城外的希腊军队……
知道了特洛伊木马故事,再来了解一下计算机中的木马发展历程。最早的木马程序,是用电子邮件把窃得的密码发送到指定的邮箱;为了躲避杀毒软件的识别和查杀,出现了利用畸形报文传递数据的ICMP类型的木马;以后出现的灰鸽子和蜜蜂大盗等DLL木马,在进程方面达到了良好的隐藏效果。驱动级木马不但深度隐藏,并能攻击杀毒软件和网络防火墙。随着UsbKey和主动防御的兴起,以盗取和篡改用户敏感信息为主的黏虫和以动态口令和硬证书攻击为主的暗黑蜘蛛侠等木马兴起。
现在的木马程序不但容量十分轻小,而且非常善于隐藏,因此不使用杀毒软件是难以发觉的。木马运行时不会浪费太多资源,运行后,立刻把自己写入系统的引导区,在Windows加载时悄悄运行;或者立刻改名换姓,甚至隐身;或者马上复制到别的文件夹中;有的木马一旦运行,其控制端就可以浏览、复制、删除文件,给计算机增加口令,修改注册表,更改计算机配置等。
网银木马“弼马温”能够监视用户网络交易,屏蔽余额支付和快捷支付,强制用户使用网银,毫无痕迹的修改支付界面,并借机篡改订单,盗取财产。
4.2 防毒杀毒
首先,要养成良好的习惯,积极预防病毒和木马的入侵,不使用来历不明的程序或数据,不轻易打开来历不明的电子邮件,下载的软件先杀毒后使用,做好系统和数据备份,建立系统的应急计划等都是很有必要的。数据要分类管理,特别是要安装杀毒软件。
杀毒软件具有发现和消灭病毒、木马程序的作用,大多集成了监视内存、扫描识别清除病毒和自动升级的功能,部分还带有数据恢复等功能,是网络安全的重要组成部分。
国外常见的杀毒软件有avast(艾维斯特)、Avira Free Antivirus(小红伞)、BitDefender(比特梵德)、ClamWinAntivirus(开源杀毒)、Dr.WebCureIT(大蜘蛛)、NOD32(诺德)、Norton Antivirus(诺顿)、McAfeeVirusScan(麦咖啡)、MSE(微软)、Kaspersky Anti-Virus(卡巴斯基)、pandacloudantivirus(熊猫云)、PC-cillin(趋势科技) 、Symantec(赛门铁克)等。
国内比较流行的有360、金山毒霸、百度杀毒、瑞星、江民等杀毒软件。
使用时需要注意下列问题:一是不要同时打开两个或这多个杀毒软件,否则很容易造成内存竞争,引发死机;二是要经常升级更新病毒样本库和杀毒引擎,使用最新样本比对,找出病毒;三是尽量开机时按F8键,进入安全模式,再进行杀毒。启用安全启动是不让病毒有启动的机会。
俗话说,道高一尺魔高一丈,病毒制造者为了对抗杀毒软件,想方设法要用免杀技术逃避杀毒软件的打击。单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马免于被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。
自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就创建了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有些杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。
除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程,可以对主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗,自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。
免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。
5 其他安全事项
1)使用网络边界安全防护设备:部署防火墙等访问控制设备,并启用严格访问控制措施;部署入侵检测设备;部署防病毒网关;部署Web应用防火墙。
2) 定期检查网站内容:有专人定期(至少每天)检查网站内容是否被篡改或者有自动工具及时监测网站内容是否被篡改,并及时通知相关人员。
3) 网站前、后台系统采用逻辑隔离。
4) 采用加密方式(如https、VPN等),远程访问、管理和维护网站。
5) 禁止外部访问网站服务器中间件管理界面。
“没有网络安全,就没有国家安全”,当我们从这一高度充分重视网站自身的安全问题,充分做好自我防护工作时,我想黑客也会见你绕道而行吧。
参考文献:
[1] 卜英奇.网站安全技术的分析及应用[D].吉林大学,2007.
[2] 姜伟.网站的安全策略分析[J].经济研究导刊,2011,20:210,234.
[3] 钟文建.浅析网站安全隐患及应对策略[J].中小企业管理与科技(上旬刊),2015,2:314-316.
[4] 丁桂红.浅析信息网站建设与管理的安全策略[J].华南金融电脑,2004,4:63-65.