從應用安全事件談安全服務

　　2011年最有影響的安全事件非個人隱私非法洩露的“拖庫”（或“脫庫”）事件莫屬。據報道稱，CSDN的600萬用戶密碼及賬戶數據都被黑客洩露，且該消息已經被其官方證實， CSDN官方已經向廣大用戶發布了道歉信。此後，網絡上爆出了更驚人的消息：用戶密碼及賬戶數據洩露的不止CSDN一家網站，其中還有一些知名網站的用戶數據也慘遭洩露，比如天涯等。另據報道，截至2011年12月29日，官方CNCERT通過公開渠道獲得疑似洩露的數據庫有26個，涉及帳號、密碼2.78億條。這一系列消息在去年底一經發出，一時間引起網民廣泛的心理恐慌，人人自危，社會影響相當大，至今仍然余波未平。

　　在利益驅動下，從幾年前開始，網絡游戲服務端、彩票、電子商務等實際上就已經逐步成為黑客 “拖庫”的主要攻擊目標，一些網站數據庫信息內容早已在黒客“地下世界”裡“裸奔”，這已經是業界公開的秘密，只是用戶不知道或不以為然而已。

　　在經歷了多年博弈之後，信息安全防御產品的成熟度逐步加強，國內網站安全運維水平不斷提升，單純從技術角度對目標系統進行滲透攻擊的難度加大。而通過收集分析管理員、用戶信息等一系列被安全界稱作“社會工程學”的手段的攻擊效果則被廣大攻擊者認可。由於獲得更多的用戶信息數據有利於提高攻擊的實際效率，因此攻擊者將目標指向了擁有大量注冊用戶真實詳細信息的社區及社交網站。目前，攻擊者僅公開了曾經獲取到的部分數據庫信息內容，讓相關曝光的數據庫信息內容所有者發現自己的危險處境。但這只是冰山一角，而水面以下的部分更加可怕。

　　基於上述，工信部於2011年12月28日發布通告，要求各互聯網站要高度重視用戶信息安全工作。

　　綜上所述，國內信息安全領軍企業網御星雲就從專業安全服務的角度與各位共同探討類似事件該如何防護。

　　類似“拖庫”事件暴露出的針對應用系統的SQL注入攻擊、跨站腳本攻擊等常見黑客攻擊方式，全球每天會發生6000次以上。面對這種情況，如何能保障應用系統的安全？如何發現更隱蔽的安全問題？

　　由於應用安全的獨特性，即應用獨特復雜而沒有大規模復制的可能性，需要規模化才能成型的安全產品很難應對，安全服務產品線就成為各安全廠商能夠提供的解決方案。

　　如果我們站在攻擊者的角度對信息系統進行滲透測試，利用攻擊者的思路和技術，來模擬攻擊者的攻擊行為，就能夠就此判斷出信息系統存在的薄弱環境。

　　北京網御星雲信息技術有限公司（以下簡稱網御星雲）的安全服務產品線可以從兩方面來解決問題。