中國(guó)近年個(gè)人信息泄露事件頻發(fā),并呈現(xiàn)迅猛發(fā)展的態(tài)勢(shì),2011年底中國(guó)互聯(lián)網(wǎng)更是遭遇了史上最大規(guī)模的用戶(hù)信息泄露事件,CSDN、天涯、京東商城等多家大型網(wǎng)站的用戶(hù)數(shù)據(jù)被泄露,幾千萬(wàn)用戶(hù)賬號(hào)和密碼被公開(kāi),嚴(yán)重威脅到社會(huì)秩序和公眾利益。
這些泄露用戶(hù)信息的網(wǎng)站,以及我國(guó)目前300多萬(wàn)個(gè)網(wǎng)站(含7萬(wàn)政府網(wǎng)站),使用的都是美國(guó)第二代Web服務(wù)器:Apache,IIS,Nginx等。(見(jiàn)附件)。由于第二代Web服務(wù)器自身含有致命的先天安全漏洞,為黑客提供了一條入侵后臺(tái)數(shù)據(jù)庫(kù)的通道,導(dǎo)致了這次大規(guī)模用戶(hù)信息泄露事件的發(fā)生。
Web服務(wù)器(Web Server, http server)是構(gòu)建電子政務(wù)、電子商務(wù)、電子銀行、新聞媒體、醫(yī)藥衛(wèi)生、文化教育、SaaS、云計(jì)算、物聯(lián)網(wǎng)等各類(lèi)網(wǎng)站時(shí)必不可少的基礎(chǔ)設(shè)備,它包括了軟件和計(jì)算機(jī)硬件。Web服務(wù)器的發(fā)明是人類(lèi)IT史上最偉大的發(fā)明之一,帶來(lái)了全球互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展。對(duì)各國(guó)的經(jīng)濟(jì)、文化、科技、生活、教育等方方面面帶來(lái)了無(wú)比深遠(yuǎn)的影響和變革。
可是,自導(dǎo)入互聯(lián)網(wǎng)以來(lái)我國(guó)同時(shí)也發(fā)生了無(wú)數(shù)的Web犯罪事件:
· 從大量的網(wǎng)頁(yè)篡改(平均每天45個(gè)中國(guó)政府網(wǎng)站被篡改、據(jù)原工信部部長(zhǎng)的講話(huà));
· 到大范圍的網(wǎng)站掛馬(中國(guó)80%以上的網(wǎng)站被掛馬、據(jù)賽迪的報(bào)告);
· 再到這次的大規(guī)模的黑客刷庫(kù)(通過(guò)Web服務(wù)器入侵?jǐn)?shù)據(jù)庫(kù)盜取客戶(hù)信息。如去年年底發(fā)生的史上最大規(guī)模的泄密門(mén)事件);
· 等等。
這些事件也都發(fā)生在美國(guó)第二代Web服務(wù)器身上,因?yàn)榈诙鶺eb服務(wù)器含有致命的安全漏洞。越來(lái)越頻繁的Web犯罪,嚴(yán)重地?fù)p害了社會(huì)秩序、公共利益以及網(wǎng)民個(gè)人利益,給社會(huì)帶來(lái)了巨大的經(jīng)濟(jì)損失,政治風(fēng)險(xiǎn),阻礙了我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的進(jìn)一步的發(fā)展。
針對(duì)2011年底我國(guó)互聯(lián)網(wǎng)突發(fā)的大范圍刷庫(kù)泄密事件,工信部于同年12月28日發(fā)布緊急通告:“要求各互聯(lián)網(wǎng)站要開(kāi)展全面的安全自查,及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞。要加強(qiáng)系統(tǒng)安全防護(hù),落實(shí)相關(guān)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn),提高系統(tǒng)防入侵、防竊取、防攻擊能力。”
2012年5月9日,國(guó)務(wù)院總理溫家寶同志主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議,討論通過(guò)了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》。《意見(jiàn)》指出:“重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)要與安全防護(hù)設(shè)施同步規(guī)劃、同步建設(shè)、同步運(yùn)行,強(qiáng)化技術(shù)防范,嚴(yán)格安全管理,切實(shí)提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。”
第二代Web服務(wù)器含有致命的先天安全漏洞,是一種可以被篡改、可以被掛馬、可以被刷庫(kù)、可以被盜取信息和盜取Web程序的Web服務(wù)器。第二代Web服務(wù)器不保證發(fā)布信息的真實(shí)性和可信度。事實(shí)上,正是這些安全漏洞在吸引著黑客們攻擊網(wǎng)站。第二代Web服務(wù)器甚至已經(jīng)淪為攻擊者的工具,在幫助黑客們污染著互聯(lián)網(wǎng)。美國(guó)SUN公司在2007年的一份報(bào)告里稱(chēng),互聯(lián)網(wǎng)超過(guò)80%的流量是惡意的!
· 散發(fā)木馬病毒的平臺(tái):95%以上的木馬病毒是通過(guò)網(wǎng)站傳播的。平均每天50萬(wàn)掛馬網(wǎng)頁(yè)(360)。
· 入侵后臺(tái)數(shù)據(jù)庫(kù)的通道:如:2011年底的CSDN、天涯、京東商城等知名網(wǎng)站的泄密門(mén)、Sony被刷上億客戶(hù)資料、花期銀行被刷1000萬(wàn)人信息、2011年底韓國(guó)因?yàn)楸凰?kù)3500萬(wàn)人數(shù)據(jù)而取消了網(wǎng)絡(luò)實(shí)名制……。
· 發(fā)布虛假信息平臺(tái):如:假入學(xué)通知、假地震警報(bào)、假政治新聞、蠱惑人心、美網(wǎng)軍的戰(zhàn)法之一是欺騙……。
· 黑客炫技比武的擂臺(tái):黑客們?cè)诒仍囌l(shuí)黑的網(wǎng)站多?
· 攻擊者的首選目標(biāo):因?yàn)閃eb網(wǎng)站系統(tǒng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全短板,也是網(wǎng)絡(luò)系統(tǒng)暴露在互聯(lián)網(wǎng)上的入口。
一個(gè)網(wǎng)站系統(tǒng)如果一旦被害,會(huì)損害網(wǎng)站訪(fǎng)客、社會(huì)秩序、公共利益、甚至國(guó)家安全,受傷害的并不局限于被害網(wǎng)站自身。
坐落在第二代Web服務(wù)器上的我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)如同沙灘上的大廈一樣,根基不穩(wěn),弱不經(jīng)風(fēng),險(xiǎn)象環(huán)生,埋下了無(wú)窮的隱患。更為嚴(yán)峻的是,今天互聯(lián)網(wǎng)已經(jīng)進(jìn)入了網(wǎng)絡(luò)戰(zhàn)時(shí)代,互聯(lián)網(wǎng)環(huán)境變得空前險(xiǎn)惡。網(wǎng)絡(luò)軍隊(duì)多國(guó)化、黑客產(chǎn)業(yè)化、黑社會(huì)化都成為網(wǎng)絡(luò)戰(zhàn)(Cyberwar)時(shí)代的主要特點(diǎn),此外,還存在未知攻擊主流化趨勢(shì):未知攻擊(Unknown Attacks)指的是明天、下個(gè)月、未來(lái)才出現(xiàn)的,以及被攻擊者不知道的各種攻擊方法。包括:0日攻擊、黑客的秘技攻擊、美軍的2000種攻擊型病毒武器等等。隨著黑客及網(wǎng)軍的攻擊技術(shù)的突飛猛進(jìn),未知攻擊已成互聯(lián)網(wǎng)上的主要的攻擊手段:美國(guó)電腦安全產(chǎn)業(yè)聯(lián)盟2007年底指出,每天誕生近200種惡意軟件。Symantec報(bào)告“每個(gè)月平均截獲超過(guò)2.45億的惡意代碼攻擊,其中多數(shù)沒(méi)有見(jiàn)過(guò)”。360報(bào)告:“2011年上半年中國(guó)新增木馬等惡意程序數(shù)量高達(dá)4.48億個(gè),平均每秒出現(xiàn)29個(gè)新木馬。
今天的國(guó)內(nèi)互聯(lián)網(wǎng)環(huán)境可以說(shuō)內(nèi)憂(yōu)外患、腹背受敵,空前險(xiǎn)惡。我們面臨的挑戰(zhàn)是:面對(duì)如此險(xiǎn)惡的互聯(lián)網(wǎng)環(huán)境,如何讓我們的互聯(lián)網(wǎng)經(jīng)濟(jì)可以健康持久地發(fā)展?如何讓我們的網(wǎng)站可以抵御“百萬(wàn)雄師”的黑客與“八國(guó)聯(lián)軍”的外國(guó)網(wǎng)軍的內(nèi)外夾攻?如何防御“未知攻擊”?
可是,遺憾的是,當(dāng)前流行的“周邊安全產(chǎn)品+Web服務(wù)器”的解決方案是有限的,不能擋住全部的網(wǎng)絡(luò)進(jìn)攻。無(wú)數(shù)的Web犯罪事件已經(jīng)反復(fù)地證明了這一事實(shí)。周邊安全產(chǎn)品(如:防火墻、WAF、IDS/IPS、安全網(wǎng)關(guān)等)充其量只能防御“已知攻擊Known Attacks”,因?yàn)檫@些周邊安全產(chǎn)品必須依賴(lài)于“攻擊特征值A(chǔ)ttack Signatures”。它們對(duì)于無(wú)法事先獲取“攻擊特征值”的千變?nèi)f化、層出不窮的“未知攻擊”只能束手無(wú)策。再高級(jí)的周邊安全產(chǎn)品也不能消除第二代Web服務(wù)器本身內(nèi)在的安全漏洞,治標(biāo)不治本。
“城堡式的防御是中世紀(jì)的”。微軟的比爾蓋茲、Symantec主席John和與會(huì)專(zhuān)家們?cè)?007年RSA國(guó)際會(huì)議上揶揄了當(dāng)前周邊防御的理念和技術(shù)的陳舊性。
美國(guó)第二代Web服務(wù)器已經(jīng)成為各種Web系統(tǒng)的安全短板,也是影響國(guó)家互聯(lián)網(wǎng)戰(zhàn)略安全的重大隱患。
為了構(gòu)建一個(gè)阻止木馬病毒流行、防止虛假信息散布、綠色可信的互聯(lián)網(wǎng)環(huán)境,為了應(yīng)對(duì)日益險(xiǎn)惡的網(wǎng)絡(luò)戰(zhàn)時(shí)代的到來(lái),為了發(fā)展中國(guó)人自主知識(shí)權(quán)并領(lǐng)先世界的下一代互聯(lián)網(wǎng)技術(shù),我們需要全新的解決方案,需要自主創(chuàng)新的下一代產(chǎn)品。
第三代Web服務(wù)器(3rd Generation Web Server)將是一種不可篡改、不可掛馬、防止黑客刷庫(kù)、防止信息盜取的新型Web服務(wù)器,高可信、抗攻擊。并且符合W3C國(guó)際標(biāo)準(zhǔn)。同時(shí)還可以改善網(wǎng)站構(gòu)筑時(shí)的費(fèi)時(shí)、費(fèi)事、和網(wǎng)站運(yùn)維時(shí)的費(fèi)錢(qián)、費(fèi)心等諸多現(xiàn)實(shí)問(wèn)題。
目前,中國(guó)科學(xué)家的關(guān)于第三代Web服務(wù)器的研究已經(jīng)超越美日,領(lǐng)先世界。已經(jīng)取得中國(guó)發(fā)明專(zhuān)利和美國(guó)發(fā)明專(zhuān)利,并獲得INTEROP國(guó)際大獎(jiǎng)。中國(guó)人的發(fā)明首次獲此大獎(jiǎng),標(biāo)志著中國(guó)的第三代Web服務(wù)器3Gweb的世界領(lǐng)先地位。請(qǐng)參閱:www.bj3gweb.com
