當前，來自Web的各種攻擊已經成為全球安全領域最大的挑戰，并且有愈演愈烈之勢。目前的難點在于，很多Web威脅的思路已經有別于傳統，隱蔽、牟利、產業化已經成為了此類威脅的特點。對廣大企業用戶來講，Web威脅令人無法忽視，而相關防御技術的應用與保護也同樣充滿挑戰。

　　Web服務的隱憂

　　所謂Web服務，是指由企業發布的完成其特別商務需求的在線應用服務，其他公司或 應用軟件能夠通過Internet來訪問并使用這項應用服務。Web服務采用基本的Internet協議，“松散地連接”網絡上的服務節點，并將“服務過程”定義在Web應用程序中，利用標準的存取協議(XML)為客戶端節點提供服務。

　　Web服務主要解決基于分布在網絡上不同服務器或終端之間的業務集成，面對海量的外部信息資源和應用資源提供一種中間的服務，使得所有用戶可以得到方便的信息共享和應用共享。Web服務平臺已經在電子商務、企業信息化中得到廣泛的應用，很多企業都將應用架設在Web平臺上，并不斷完善和提高其功能和性能，為客戶提供更為方便、快捷的服務支持。

　　啟明星辰總工程師萬卿在接受本報獨家采訪時透露，當前Web服務的迅速發展引起了黑客們的強烈關注，他們已將注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對 Web服務的攻擊上。但是，很多企業對此并沒有做好足夠的準備，也沒有給予足夠的重視。

　　根據 Gartner 的調查，信息安全攻擊有 75% 都是發生在 Web 應用層而非網絡層面上。同時，數據也顯示，2/3的 Web 站點都相當脆弱，易受攻擊?？梢哉f，絕大多數企業將大量的投資花費在網絡和服務器的安全上，忽略了保證 Web服務本身的安全，才給了黑客可乘之機。

　　而趨勢科技2008年一季度病毒報告顯示，今年一季度Web威脅感染數量增長了1.5倍，可以預見，今年又將是Web威脅大肆爆發的一年。 Web威脅所具備的滲透性和利益驅動性，已經成為當前網絡中增長最快的風險因素。網絡罪犯已經逐漸將Web作為從事惡意活動的新途徑，Web安全威脅已經成為對企業來說最為猛烈的攻擊之一。

　　不難看出，所有從Web服務引起和針對于Web服務的各種惡意活動構成了Web安全威脅。據深信服高級產品經理邱德文介紹，Web威脅的主要形式包括兩種：一種是從Web服務器發起，針對于廣大互聯網用戶的Web威脅;另外一種的攻擊對象就是Web服務，由在互聯網上活動的黑客發起，針對于企業、政府的網站攻擊和破壞行為。

　　浪潮信息安全技術總監孫大軍表示，針對于廣大互聯網用戶而言，Web威脅的危害是很大的，破壞性也是比較強的，各種各樣的木馬、網絡釣魚、僵尸網絡對用戶正常使用互聯網的造成了非常大的影響。目前國內的大型企業、政府部門已經意識到了Web安全的重要性，從領導到員工也普遍比較重視。然而，廣大中小企業和個別網站還沒有意識到Web安全的重要性。

　　Web威脅隨著互聯網應用的發展而不斷地發展。特別是在網上辦公、網上銀行等多種互聯網應用的開展以后，惡意攻擊者們看到了有利可圖，導致各種Web攻擊方式層出不窮，形式也不斷翻新。

　　對于不同規模的企業而言，威脅程度顯然是不同的，因為不同規模的企業受到Web攻擊和受到的影響所產生的損失是不同的，這也是導致不同規模的企業對Web威脅重視程度不同的原因之一。

　　防御的僵局

　　目前企業用戶對于Web威脅的重視程度也越來越高，大部分企業都會選擇部署軟硬件安全產品，以抵御Web威脅。趨勢科技產品營銷經理徐學龍認為，僅僅依靠單一安全產品已不能保證整個網絡的安全、穩定運行。應對目前新型的Web威脅，利用架設在網關處的安全產品，在威脅進入企業網絡之前就將其攔截在企業大門之外是更加有效的方法。在此基礎上，還需要將被動防御轉化為快速響應、主動出擊的主動式安全專家服務，才可以最快的速度幫助企業客戶有效管理安全事件并減少業務損失。

　　根據IDC年初公布的報告，全球Web安全市場將會在2012年前達到65億美元的規模。事實上，這一市場容量已經超過了UTM所預期的40億美元的規模。與此對應的是，根據Gartner在第二季度公布的統計數字，全球Web安全產品的使用程度相當低，僅有10%的企業部署了專門的Web安全網關。

 

　　對此萬卿的看法是，傳統上企業為了保障信息系統安全，通常會使用不同的技術，主要包括：訪問控制技術、防病毒技術、加密技術等等。但是即便有防病毒保護、防火墻和VPN，企業仍然不得不允許一部分的通信經過防火墻。畢竟 Web服務的目的是為用戶提供服務，保護措施可以關閉不必要暴露的端口，但是Web應用必須的 80 和 443 端口是一定要開放的?？梢皂樌ㄟ^的這部分通信，可能是善意的，也可能是惡意的，很難辨別。

　　須要指出的是，Web應用是由軟件構成的，那么它一定會包含缺陷(Bug)，這些Bug 就可以被惡意的用戶利用，他們通過執行各種惡意的操作，或者偷竊、或者操控、或者破壞 Web 應用數據、甚至利用Web系統作為攻擊跳板，破壞企業的整個信息系統。

　　Web業務平臺的不安全性主要是由Web平臺的特點，即開放性所致，企業需要利用Web業務平臺為用戶提供服務就必須接受這個特點。對此孫大軍的看法是，只要訪問可以順利通過企業的防火墻，Web業務就可以毫無保留地呈現在用戶面前。因此，只有加強Web業務服務器自身的安全，才是真正的Web服務安全解決之道。

　　另外，徐學龍表示，全球爆發大規模疫情的時代已經宣告結束，今后 Web威脅的數量將持續成長，并且越來越顯現出“逐利性”，以竊取企業、個人用戶的私密信息牟利為目的。新一代的Web威脅具備混合型、定向攻擊和區域性爆發等特點，員工對互聯網的依賴性使得公司網絡比以往更加容易受到攻擊。正因為如此，普通的瀏覽網頁都變成了一件帶有極大安全風險的事情。Web威脅可以在用戶完全沒有察覺的情況下進入網絡，從而對公司數據資產、行業信譽和關鍵業務構成極大威脅。

　　由于Web威脅的發展越來越表現“逐利性”，而攻擊的越是大型企業，黑客們所能夠獲得的收益也就越大。因此，越是大型的企業，他們遭遇Web威脅的程度也就越嚴重，很多知名的大型企業往往成為黑客零日攻擊和目標定點攻擊的主要威脅目標。由于采用定向攻擊的手法，這些病毒并不會大規模傳播，普通病毒數據庫也很難收集到它們的病毒樣本。因此，這些定向攻擊的病毒也就很難被防病毒軟件偵測并查殺。

　　只有依靠提供量身定做的客制化病毒碼，才能走在新病毒的前面，快速有效地進行病毒查殺，將未知威脅帶來的危害降至最小。像趨勢科技推出的針對未知威脅的主動式服務TMHD，可為企業量身打造客制化病毒碼，滿足不同企業的差異化網絡安全需求。

　　新技術威脅

　　根據世界上權威的Web安全與數據庫安全研究組織OWASP提供的報告，目前對Web業務系統威脅最嚴重的兩種攻擊方式是SQL注入攻擊和跨站腳本攻擊。

　　SQL注入攻擊

　　SQL注入的攻擊原理是利用程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，導致入侵者可以通過惡意SQL命令的執行，獲得數據讀取和修改的權限。攻擊者成功進行SQL注入后，會擁有整個系統的最高權限，可以修改頁面、數據，在網頁中添加惡意代碼，危害極大。

　　SQL注入攻擊的變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊數據的變種不勝枚舉，這導致傳統的特征匹配檢測方法僅能識別相當少的攻擊。

　　另外，此類攻擊的實現過程非常簡單。目前互聯網上流行眾多的SQL注入攻擊工具，攻擊者借助這些工具可很快對目標Web系統實施攻擊和破壞。

　　令人擔憂的是，由于Web編程語言自身的缺陷，以及具有安全編程能力的開發人員少之又少，大多數Web業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦注入成功，可以控制整個Web業務系統，包括對數據做任意的修改。

　　跨站腳本(XSS)攻擊

 

　　不同于SQL注入以Web服務器為目標的攻擊方式，跨站腳本攻擊則是將目標指向了Web業務系統所提供服務的客戶端。

　　跨站腳本攻擊是通過在網頁中加入惡意代碼，當訪問者瀏覽網頁時，惡意代碼會被執行或者以通過給管理員發信息的方式誘使管理員瀏覽，從而獲得管理員權限，控制整個網站。攻擊者利用跨站請求偽造能夠輕松地強迫用戶的瀏覽器發出非故意的HTTP請求，如詐騙性的電匯請求、修改口令和下載非法的內容等請求。

　　根據以往跨站腳本攻擊的安全事件及產生的后果來看，跨站腳本攻擊可導致的后果非常嚴重，影響面也十分之廣，主要包括了：

　　第一，盜取各類用戶賬號，如機器登錄賬號、用戶網銀賬號、各類管理員賬號等。

　　第二，控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力。

　　第三，盜竊企業重要的具有商業價值的資料。

　　第四，非法轉賬。

　　第五，強制發送電子郵件。

　　第六，網站掛馬。

　　第七，控制受害者機器向其他網站發起攻擊。

　　跨站腳本攻擊不僅威脅程度更大、威脅波及面更廣，同時攻擊過程也更加復雜多變，與SQL注入攻擊檢測類似，傳統上基于攻擊特征匹配的防御技術難以奏效。

　　關注Web站點

　　Web應用的發展，對網站產生越來越重要的作用，而越來越多的網站在此過程中也因為存在安全隱患而成為Web安全重災區。在黑客的眼里，網站并非是一個提供互聯網服務和信息交流的平臺，而是可以成為被低成本利用獲取利益的一個途徑。

　　根據啟明星辰發布的2008年Web安全統計報告，顯示中國大陸網站遭入侵導致網頁被篡改成倍增長。截至到今年二季度，僅網頁篡改數量已經是2004年的30倍，達到61228起，這還不包含未被官方披露的數字。Web安全問題幾乎成為網站不能承受之重，追溯起來誘因很多。

　　第一，大多數網站設計，只考慮正常用戶穩定使用

　　一個網站設計者更多地考慮滿足用戶應用，如何實現業務。很少考慮網站應用開發過程中所存在的漏洞，這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見。大多數網站設計開發者，網站維護人員對網站攻防技術的了解甚少。在正常使用過程中，即便存在安全漏洞，正常的使用者也不會察覺。但在黑客對漏洞敏銳的發現和充分的利用下，網站存在的這些漏洞就被挖掘出來了，且成為黑客們直接或間接獲取利益的機會。

　　第二，網站防御措施過于落后

 

　　大多數傳統的基于特征識別的入侵防御技術或內容過濾技術，對保護網站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網站攻擊，基于特征匹配技術防御攻擊，不能精確阻斷攻擊。

　　大量黑客通過構建任意表達式來繞過防御設備固化的特征庫。比如：and 1=1和and 2=2是一類數據庫語句，但可以人為地任意構造數字構成同類語句的不同特征。而and、=等這些標識在Web提交數據庫應用中又是普遍存在的表達符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標識來構建一個精確阻斷SQL注入攻擊的防御系統。這也導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一?；趹脤訕嫿ǖ墓?，防火墻更是束手無策。

　　第三，黑客入侵后未被及時發現

　　一些黑客在獲取網站的控制權限之后并不暴露自己，而是利用所控制網站產生直接利益。

　　網頁掛馬就是一種利用網站，將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植木馬的人通常并不知情，導致一些用戶的機密信息被竊取。網站成了黑客散布木馬的一個渠道。網站本身雖然能夠提供正常服務，但訪問網站的人卻遭受著木馬程序的危害。

　　第四，發現安全問題不能徹底解決

　　網站技術發展較快、安全問題日益突出，但由于關注重點不同，絕大多數的網站開發與設計公司對網站安全代碼設計方面了解甚少。 即使發現網站安全存在問題和漏洞，其修補方式也只是停留在頁面修復，很難針對網站具體的漏洞原理對源代碼進行改造。這些也是為什么有些網站雖然安裝了網頁防篡改、網站恢復軟件后仍然遭受攻擊的原因。

　　碰撞與變遷

　　鑒于上述對Web業務系統常見攻擊的分析，對Web業務系統的保護已經刻不容緩。安全學術界和產業界的研究機構和各大廠商也紛紛拿出了識別和防御的措施及技術方案，力求為Web業務系統提供深層的安全防御。

　　但遺憾的是，由于Web威脅的迅猛發展，僅借助硬件、操作系統、服務、應用程序提供商提供沒有漏洞的系統，顯然是不夠的。因此，需要在網絡邊界和服務器前增加安全控制設備，或者在服務器系統上部署軟件來防御各種攻擊。

　　據孫大軍介紹，目前防御Web威脅的主要挑戰在于各種新的攻擊方式不斷出現，而傳統的針對Web威脅的防御方式主要是從代碼分析入手，導致隨著各種攻擊方式的不斷翻新，防御方式也要被動地跟著更新，無法從根本上解決問題。

　　據悉，針對SQL 注入攻擊和跨站腳本攻擊，在傳統的安全產業界，主要的識別和防御方法有基于特征的關鍵字匹配技術和基于異常檢測技術?；谔卣鞯年P鍵字匹配技術是目前的主流方法，一些主流的IPS產品都采用這種檢測技術。但由于其技術的局限性和機械性，使得這類IPS產品會形成漏報和誤報。

　　而應用于像Web防火墻這類產品中的基于異常檢測技術，能夠發現一些異常情況。但其缺陷也顯而易見，比如需要一定的學習期才能投入使用，而且一但業務模型發生變化，就需要重新學習，更為重要的是，異常未必就是攻擊。

　　在學術界，針對SQL注入，同樣有兩個重要的研究方向，即基于正常行為模型的AMNESIA和基于數字簽名技術的SQL Rand 方法。這兩種方法的主要弱點是需要能夠獲得應用程序的源代碼和修改源碼。同時需要改變原有業務系統的部署，方案相當復雜。

　　傳統的產業界和學術界解決方案的不足，還主要存在于對SQL 注入攻擊和跨站腳本攻擊的誤報、漏報，以及部署復雜的問題?？梢?，解決Web業務安全的關鍵在于檢測和部署。

 

　　對此，萬卿的看法是，目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化檢測機制來解決Web攻擊的防御問題。比如基于攻擊手法VXID的檢測算法，可以在很大程度上解決上述難題。

　　據悉，VXID算法是一種將規則分析(建立虛擬機檢測規則的過程)#p#副標題#e#和異常分析(符合Web攻擊模型的，就是Web攻擊)相結合的技術。其核心內容是首先收集、分析各種可能的Web攻擊方法(包括SQL注入特征和XSS攻擊特征)，并提取出相應的有針對性的攻擊機理。之后為這些攻擊方法建立相應的檢測模型(VXID算法誤用檢測模型)。根據這些虛擬機檢測來自URL、Cookie、POST-Form中的各參數域值是否符合SQL注入模型，檢測提交的腳本代碼是否符合XSS攻擊模型，如果符合則表示發生了Web攻擊。

　　采用此類算法的好處是，避免了單純特征匹配方法的大量漏報和誤報。換句話說，這種技術不會因為將關鍵字定義得過于嚴格而出現誤報，也不會因為僅能定義有限多個特征而使得變種攻擊可以輕易繞過。另外，此種技術不需要在業務系統的代碼上做任何修改，實現難度較低。

　　另外，徐學龍介紹說，在面對不斷自我更新、快速動態變化的Web威脅時，一些企業往往顯得很被動。傳統解決方案往往是當病毒入侵企業并造成明顯程度的損害后，IT人員才知道問題的發生，隨后才展開問題的調查、對策研究、獲取廠商支持、解決方案測試和部署等工作。由于發現病毒到清除病毒的周期較長，使得企業在此期間面臨很大的風險。此外，由于企業IT人員所能掌握的技術有限，對有些安全威脅了解不夠，使得他們在面對這些Web攻擊時往往顯得束手無策。這些問題的存在，使很多企業雖然部署了軟硬件網絡安全解決方案，卻無法最大限度地發揮它們的功能，IT維護成本也居高不下，給企業帶來很大的風險和負擔。

　　從這個意義上說，用戶急需一套具備動態、主動防御Web威脅的技術，其中Web信譽服務(WRS)技術成為了一個熱點。借助Web信譽服務，一旦嵌有惡意程序的網站剛剛出現，安全廠商就可以通過獨特的防護技術保護用戶的訪問不受侵害，有效攔截出現在每個區域的Web威脅。

　　一般來說，WRS技術為每個URL提供一個信譽分值，這個信譽分值基于該網站的存在時間長短、地理位置變化和歷史情況等諸多因素計算而來。通過信譽分值的比對，就可以知道某個URL潛在的風險級別。當用戶訪問具有潛在風險的網站時，就可以及時獲得系統提醒或阻止，Web信譽服務可以幫助用戶快速地確認目標網站的安全性。