你愿意，或者不愿意，2012年還是來了。生活照舊，只要搞IT，信息安全就還得重視。在上一年的最后幾天，國內(nèi)發(fā)生了“中國互聯(lián)網(wǎng)史上規(guī)模最大的泄密事件”，滿眼望去的，除了圣誕的打折活動，就是各大網(wǎng)站瘋狂的報道和社區(qū)網(wǎng)站們不厭其煩的“密碼更改提示郵件”。

    同樣在上一年年底，中國網(wǎng)民規(guī)模突破5億。2012年1月16日，中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第29次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2011年12月底，中國網(wǎng)民規(guī)模達到5.13億，全年新增網(wǎng)民5580萬；互聯(lián)網(wǎng)普及率較上年底提升4個百分點，達到38.3%。中國手機網(wǎng)民規(guī)模達到3.56億，同比增長17.5%，與前幾年相比，中國的整體網(wǎng)民規(guī)模增長進入平臺期。就這樣，5億網(wǎng)民的信息安全意識終于被集體地科普了一把，辦公室里到處都是低頭改密碼的青年。每一個低著頭的孩紙背后，都有幾個信息安全工作不咋靠譜的網(wǎng)站。據(jù)專家說這個叫：WEB應(yīng)用安全。

    什么是Web應(yīng)用？Web應(yīng)用是由動態(tài)腳本、編譯過的代碼等組合而成。它通常架設(shè)在Web服務(wù)器上，用戶在Web瀏覽器上發(fā)送請求，這些請求使用HTTP協(xié)議，經(jīng)過因特網(wǎng)和企業(yè)的Web應(yīng)用交互，由Web應(yīng)用和企業(yè)后臺的數(shù)據(jù)庫及其他動態(tài)內(nèi)容通信。

    什么是信息安全？保持信息的保密性、完整性、可用性；另外也可包括例如真實性、可核查性、不可否認性和可靠性等。

    WEB應(yīng)用通俗地說，我們通過瀏覽器訪問到大部分內(nèi)容都是WEB應(yīng)用，web page就我們說的“網(wǎng)頁”，早期的網(wǎng)絡(luò)應(yīng)用主要是Client/Server（客戶機/服務(wù)器） 結(jié)構(gòu)，通過將任務(wù)合理分配到客戶端和服務(wù)端，需要安裝客戶端才可進行管理操作。后來隨著技術(shù)的發(fā)展，大家發(fā)現(xiàn)很多網(wǎng)絡(luò)應(yīng)用不用裝特制的客戶端，通過瀏覽器就能實現(xiàn)，Browser/Server （瀏覽器/服務(wù)器）這種結(jié)構(gòu)的應(yīng)用就越來越火了。無論是公共信息發(fā)布（單位門戶網(wǎng)站）、在線辦公（OA）、財務(wù)管理（ERP）、交流社區(qū)（BBS&SNS）、聊天（WEBIM）、游戲（網(wǎng)頁游戲）什么都是WEB應(yīng)用。因為WEB應(yīng)用的最大好處是，只要有瀏覽器就能使用，不用裝體積龐大的客戶端，更不用考慮特定客戶端對操作系統(tǒng)的兼容性問題。

    用戶通過電子終端（PC、手機、MID等）上的瀏覽器提交訪問信息，信息經(jīng)網(wǎng)絡(luò)傳輸?shù)綄?yīng)的服務(wù)器上，服務(wù)器根據(jù)接收到的信息進行處理，并將處理的結(jié)果信息再次通過網(wǎng)絡(luò)反饋給瀏覽器，瀏覽器將這些反饋回來的結(jié)果解釋成用戶看得懂的內(nèi)容，展現(xiàn)在瀏覽器窗口上，就完成了一次WEB應(yīng)用的訪問。由此，我們知道想要做好WEB應(yīng)用的安全工作，就至少需要考慮以下幾個方面的問題：

    終端硬件、操作系統(tǒng)和瀏覽器的安全；

    服務(wù)器端的安全；

    網(wǎng)絡(luò)傳輸過程的安全；

    WEB訪問者和WEB服務(wù)提供者的安全意識。

    1、終端硬件、操作系統(tǒng)和瀏覽器的安全

    殺毒軟件曾經(jīng)是一般中國網(wǎng)民購買過的唯一的正版軟件，終端安全話題對中國網(wǎng)民來說和電腦重啟一樣熟悉。但隨著PC殺毒軟件的全面免費和終端操作系統(tǒng)安全加固輔助工具的智能和自動化，病毒等惡意代碼的傳播面臨著更大的挑戰(zhàn)。與此同時，懷著各種“遠大理想”惡意代碼制造者和攻擊者也在孜孜不倦地進行著“科研”工作。2012年終端安全我們不得不關(guān)注以下內(nèi)容：

    a） 硬件黑客：鼠標鍵盤等藍牙設(shè)備的監(jiān)聽、USBKEY的模擬或繞過以及硬件形式的系統(tǒng)后門（碟中諜4里面藐似高科技的USB硬件后門早就有，緊張不~）；

    b） 特種木馬：針對于指定目的，專門針對目標可能采用的殺毒軟件制作的“免殺”后門；

    c） 瀏覽器0DAY：尚未公布或剛剛公布的瀏覽器漏洞總會有，是否對具體的用戶造成影響就看這個用戶是先被攻擊還是先打了補丁。

    對終端用戶來說實際的安全影響除了自身系統(tǒng)的安全增強，更多的是依賴于操作系統(tǒng)、殺毒軟件廠商，以及WEB應(yīng)用提供方的服務(wù)器安全。

    2、服務(wù)器端的安全

    WEB應(yīng)用的服務(wù)器端一般包括WEB應(yīng)用程序、中間件、數(shù)據(jù)庫管理系統(tǒng)、服務(wù)器操作系統(tǒng)等。多年來國內(nèi)對WEB應(yīng)用服務(wù)器端的防御工作主要停留在安全配置和漏洞修復(fù)兩方面。隨著各單位安全基線規(guī)范的出臺，安全配置工作逐漸實現(xiàn)標準化和批量化，與此同時，各種漏洞響應(yīng)機制也在不斷建立。WEB應(yīng)用系統(tǒng)的自身安全得到了很大程度的加強。但對企業(yè)用戶來說也仍然存在一些困擾，比如：我們無法對內(nèi)部人員的越權(quán)操作或利用權(quán)限非法操作的行為進行監(jiān)督和控制；一旦發(fā)生入侵事件，我們只知道攻擊者入侵了網(wǎng)絡(luò)，在現(xiàn)有的基礎(chǔ)設(shè)施條件下無法知道攻擊者帶走了多少數(shù)據(jù)。

    通過上面的介紹可以看到，我們運維審計和數(shù)據(jù)庫審計的建設(shè)工作還有待于加強。同時當發(fā)現(xiàn)WEB應(yīng)用程序出現(xiàn)漏洞后，運維人員也面臨著：找不到開發(fā)方、開發(fā)方不提供免費修復(fù)、修復(fù)周期非常長系統(tǒng)漏洞長期暴露在互聯(lián)網(wǎng)中等問題，這都成為未來WEB應(yīng)用運維工作的難點。