企业网站与管理系统的主要安全问题往往并不是那些技术复杂度很高的网站漏洞,而是一些比较低级的技术错误或人为的失误,主要表现在以下三个方面:密码安全性不足、运维配置不当、SQL注入漏洞。
文丨李琦
近日闹的沸沸扬扬的网易邮箱数据泄露事件继续发酵,几日前乌云称,根据白帽子报告,网易邮箱的用户数据库疑似泄露,数量多达5亿条,其中包括用户名、密码、密码提示问题和答案、注册IP地址、生日等等,部分数据甚至已经在网上流传。但随后遭到易否认,称不存在自身数据库泄露问题。而国家互联网应急中心昨天通报称,网易邮箱存在泄露情况,但不支持“过亿数据泄露”这一判断。
无论争相如何,网络安全形势严峻已是不争的事实,而上个星期百略网也无端遭受了外部网络攻击,导致了一天的宕机。事实上我们对这种无良行为深恶痛绝,但在谴责这种犯罪行径的同时,网络安全也必须引起足够的重视。
网站安全形势严峻
从去年的iCloud好莱坞明星艳照、到Gmail、eBay数据泄密;从索尼遭遇黑客攻击到12306网站用户信息被出售,网络安全事件层出穷,且有越演越烈的趋势。
据360年初发布的2014年中国网站安全报告称:
中国网站存在后门的网站数量大幅攀升
《报告》披露,目前有漏洞和高危漏洞的网站比例较2013年大幅下降,但网站存在后门的比例和绝对数量却大幅攀升。2014年全年,360网站安全检测共对覆盖网站199.6万个的8409台网站服务器进行了网站后门检测,发现约3465台服务器存在后门,占比41.2%,比2013年增多了7.4个百分点。
来自互联网协会的网站安全报告也显示
2013年,互联网黑客地下产业仍然较为活跃,针对中国互联网站的篡改、后门攻击事件数量呈现逐年上升趋势,其中政府网站是重要的攻击目标。
据了解网站遭受攻击方式则主要有以下3种方式
网站篡改与后门:
2014年全年,360网站安全检测平台共扫描各类网站164.2万个,其中,被篡改的网站17.7万个,约占扫描网站总数的10.8%。这也直接导致了钓鱼网站的增多。而这些被篡改的网站也导致了用户的信息泄露,继而受到电信、网络诈骗。
通过对8409台网站服务器进行了网站后门检测,覆盖网站199.6万个,扫描共发现约3465台服务器存在后门,占所有扫描网站服务器的41.2%。 统计显示,服务器删除新发现后门的平均周期为8.28天。这种后门漏洞也导致了大量网站频繁被黑。
漏洞攻击
2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,平均每天拦截漏洞攻击209.6万次。
平均每月有11.0万个网站遭遇各类漏洞攻击,其中,11月是网站遭遇漏洞攻击最为频繁的一个月,平均每天约有6667个网站遭到漏洞攻击。
流量攻击
流量攻击一般分为两类:
通过带有欺骗性的合法大量数据请求,大流量像洪水一样来压垮网络设备和服务器;(类似于将通道堵塞,使交通瘫痪)
有意制造大量无法完成的不完全请求来快速消耗计算资源,使服务器没办法处理正常的事物和请求。(类似于不断打骚扰电话,让服务器没办法正常工作)
2014年全年,360网站卫士共拦截各类CC攻击205.0亿次,平均每天拦截CC攻击6138万次。统计显示,全年共有15.6万个网站被遭遇CC攻击。
全年,360网站卫士平均每月拦截各类DDoS攻击744.4Gb/s。5月(1389Gb/s)和7月(1444Gb/s)是全年拦截DDoS攻击的高峰期。
网站安全问题频繁,呼唤HTTPS
面对严峻的安全形势,专家一直呼吁网站能用上加密技术。比如目前,计算机业界以及美国政府正在发起声势浩大、牵涉面极广的网站加密运动,即 HTTPS。
HTTPS是一种网站加密技术,在说HTTPS之前先讲什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,二十年前,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单讲是HTTP的安全版。
继谷歌之后,百度也在今年年初已经实现全站HTTPS加密搜索,不过我国网站的HTTPS加密普及率仍旧较低,HTTPS加密未来在中国仍然有很长一段路程要走。
HTTPS能解决网站安全问题吗
不过网络安全是一项系统的工程,涉及到个人计算机的安全,协议的安全,传输数据的安全,以及软件开发公司和网站的安全,单纯的依靠一个HTTPS协议并不能解决所有的问题。
因此虽然采用HTTPS协议确实可以让网站的安全性大大提高,但是HTTPS协议所针对的加密范围较为有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面却起不到什么作用。
要不要采用HTTPS
那么“到底该不该采用HTTPS协议呢?”如果也有这个疑问的话,就想想怎样做对你的用户更友好吧!
如果网站属于资金安全的电子商务、金融、以及用户隐私的社交网络等领域的话,那最好是采用HTTPS协议;反之;如果只是获取信息的博客、宣传类网站、分类信息网站、抑或是新闻网站等不要求用户登录的,可不必跟风。毕竟使用HTTPS协议既耗钱,又浪费精力,甚至由于加载缓慢,服务器资源占用高等原因在一定程度上不利于用户的浏览体验。
正如360在分析报告中称:企业网站与管理系统的主要安全问题往往并不是那些技术复杂度很高的网站漏洞,而是一些比较低级的技术错误或人为的失误,主要表现在以下三个方面:密码安全性不足、运维配置不当、SQL注入漏洞。
以上内容为百略网原创,首发于百略网(www.ibailve.com),转载请注明出处!