Web站点安全评估研究

龙 娟

(广西政法管理干部学院信息工程系，广西 南宁 530022)

0 引言

根据《中国互联网络发展状况统计报告》，2008年我国网民数、宽带网民数、国家CN域名数三项指标稳居世界排名第一。互联网络已经成为我国人民生活中的重要组成部分，Web站点是互联网发展的重要载体。用户通过 Web站点享受互联网提供的服务、进行信息交流；黑客则想方设法对Web站点进行攻击，对网页进行SQL 注入，篡改网页、利用Web站点传播木马给浏览网站用户等，利用Web站点获取非法利益。

1 Web面临的安全问题

根据X-Force的2008年年度报告，Web安全事件数量增长迅猛，如图1所示。

图1 1998-2008年度Web安全事件数量

在国内，根据国家计算机网络应急技术处理协调中心的统计数据显示，2009年我国大陆地区政府网页遭篡改事件呈大幅增长趋势，被篡改网站的数量达到52225个。2010年一季度各种网络安全事件与 2009年同期相比都有明显增加、被植入木马的主机数量大幅攀升。纵观Web的发展历程其面临安全问题主要有以下几种情况[1-4]:

1.1 服务器的安全问题

击者利用，就会对服务器的安全性造成极大的威胁，甚至导致服务器沦陷，如弱口令、系统自身漏洞、管理共享、多余端口开放、空链接等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。

1.2 Web发布系统的漏洞

Web业务发布系统目前用得较多的有IIS、Apache等，这些Web服务器软件自身存在很多安全漏洞或缺口，如IIS的Null.htw、MDAC、Webhits.dll & .htw、Unicode解析错误漏洞等10多种漏洞给入侵者可乘之机。

1.3 Web应用程序及数据库的漏洞

Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得入侵者能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击XXS、越权操作、文件上传组件漏洞、下载漏洞等。

1.4 网络自身的安全状况

网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击、网络协议自身的缺陷等，也会影响到网站的正常运营，被入侵者可直接用来攻击Web服务器系统。

2 Web安全问题基本解决方案

2.1 Web站点安全目标

Web站点安全目标是通过对Web网站进行管理控制和实施技术措施保证在网站环境里，保证信息数据的机密性、完整性、可用性。总的来说应实现的目标如图2所示。

图2 Web站点安全目标

2.2 实施整体安全方案[5]

2.2.1 使用防火墙技术

互联网上防火墙是一种有效的网络安全模型，它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，不会妨碍人们对风险区域的访问。通过防火墙可实现：①限制他人进入内部网络，过滤掉不安全服务和非法用户；②防止入侵者接近你的防御设施；③限定用户访问特殊站点；④为监视Internet安全提供方便，这是Web站点的第一道防线。

2.2.2 安装入侵检测系统

入侵检测系统在不影响网络性能的情况下对网络数据包进行监测，捕捉危险或有恶意的访问动作，按照指定的安全策略，以记录、阻断、发警报等多种方式进行响应，实时阻止入侵行为，保护系统的安全。入侵检测被认为是防火墙之后的第二道安全门。

2.2.3 正确配置Web服务器

服务器正确的配置是保证Web站点安全的基础之一，应完成操作有：①跟踪并安装服务器软件的最新补丁；②正确设置、管理账号；③正确设置目录和文件权限；④关闭不必要的服务、端口，禁止建立空链接；⑤建立本地安全策略和审核策略。

2.2.4 建立多级备份机制

对于重要数据、文件等资料应定期进行备份，在网络环境下，通常可分层次地采用网络异地备份、服务器双机热备份、RAID镜像技术、软件系统自动备份等多种方式做好数据备份工作。

2.2.5 Web安全测试和评估

针对目前Web站点安全现状，实现Web站点的安全目标最好的解决方法是在实施以上相应的安全防范安全解决方案的同时，对Web站点做网络扫描，进行安全测试和评估，发现 Web站点中的漏洞，及时采取适当的处理措施进行修补，有效地阻止入侵事件的发生。

3 Web安全测试和评估

3.1 评测对象

Web站点的安全问题是多个层面叠加产生，在对 Web站点进行测评过程中，对网络层、系统层面及Web通用组件（如IIS、Apache等Web server软件）的安全性需要考虑，Web应用层面的安全问题需要重点考虑。

在评估过程中具体的评估实施目标[6]包括 Web服务器主机、Web发布系统、Web应用程序及数据库系统、网络基础设施等。这几个因素是Web站点安全评估工作中缺一不可的，缺少任何一个或任何一个出现问题，都会使整个评估工作中断或使评估结果不可信。

3.2 评测方法

Web安全测评方法可总结为访谈、上机检查和工具测试3种[7-8]。

访谈是指测评人员通过与被评测Web站点的相关管理员、技术员进行交流、讨论等，了解和熟悉整个系统的实际情况，以利于生成实施测评的作业指导书。

检查是指测评人员根据已生成的作业指导书内容对被评测系统网络设备的配置是否正确、网络连接是否合理，并对此进行分析、判断 Web站点现有安全保护措施是否有效。

工具测试是指测评人员按照工具接入测试方案和测试用例对被测评Web站点进行漏洞扫描、渗透测试的方法[9]。

3.3 实施步骤

对被评估Web站点情况先做全面了解，搜集Web站点的安全需求分析报告、安全现状评价报告、网络拓扑图等相关资料；调查Web站点所使用网络设备情况等，分析调查结果，熟悉Web站点的各项实际情况；根据相关安全性评估准则和安全风险评估规范结合已掌握的情况，制定作业指导书、测评计划、编写各个安全测评控制项的安全检查方法和测试用例，并列好表格，在测试过程中准确、及时的对应各自项目记录也便于后期查阅汇总。现场测评完成后，汇总评测结果，找出Web系统中存在的安全问题，生成评测报告。

3.3.1 Web服务器安全评估

Web服务器的安全测评包括操作系统安全及应用服务器安全。可采用访谈调研、现场检查主机配置、工具检测等方法。使用工具检测方法时可以使用目前比较成熟的 Web安全评估系统，快速发现问题、避免遗漏，主要从外部和内部两个角度着手展开[10]。

外部评估主要针对 Web服务器和应用服务进行安全评估。由测试人员从Web站点外部发起，针对服务器和应用服务的远程评估工作，主要模拟攻击者的恶意扫描、攻击等行为，主要查看Web服务器的操作系统和应用服务层面是否有远程缓冲区溢出漏洞、远程身份验证漏洞、远程拒绝服务漏洞、远程信息泄漏漏洞等。对于Web服务安全性，测试常见的Web安全问题：跨站脚本漏洞、文件包含漏洞、命令执行漏洞、目录遍历漏洞、信息泄漏漏洞、暴力破解漏洞等。

内部评估对Web服务器的配置和策略做安全性检查。策略设置方面查看是否存在多余的设置包括不必要服务，如DHCP，不必要的共享连接，如windows默认共享，是否有多余用户，口令设置是否符合要求，文件系统是否可靠，是否进行了访问控制、审计设置、权限设置等；Web服务配置方面检查不必要的组件是否存在，是否启用目录遍历功能，对隐秘页面是否使用SSL传输加密，是否加强了日志记录内容，操作权限是否进行了严格的设置，否设置了必要的访问控制列表ACL等。

3.3.2 Web应用程序安全评估

对Web应用程序的安全进行评估，主要可采用代码审核方式。代码审核在整个应用程序的安全评估中非常重要，是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误，避免程序漏洞被非法利用给Web站点带来不必要的风险。

代码审核可用访谈和上机检查方法完成。访谈用于收集应用程序信息，熟悉整个应用程序的业务流程；上机检查完成数据验证工作，查看是否存在命令注入、跨站脚本、文件包含、代码注入、SQL注入、文件上传组件漏洞、缓冲区溢出、加密弱点等漏洞。

3.3.3 数据库安全性评估

无论何种类型的Web站点，数据库都是它的核心。数据库安全性评估本质上是在某个时间点衡量数据库风险的过程。通过评估数据库对一系列漏洞和攻击条件的易感程度，可测定存在的首要风险是什么。评估过程中检查是否正确实施密码策略，管理权限分配是否符合最低权限标准，是否存在缓冲区溢出漏洞，数据引擎漏洞等。

3.3.4 网络基础设施安全评估

网络基础设施安全评估可采用访谈、检查、测试方法完成。包括检查网络物理设备的放置结构是否安全、合理，物理环境是否符合信息保护策略（IPP，Information Protection Policy）的要求，是否有网络访问控制、拨号访问控制、网络安全审计、网络入侵防范、恶意代码防范等。

4 结语

对Web站点进行安全评估是Web安全防范处理过程中的重要环节。定期地、有组织地开展Web站点安全评估是非常有必要的，具体说来，有以下好处：

①通过定期的Web站点安全评估，能够及时发现、消除Web站点中存在的安全隐患和新出现的安全漏洞，有效增强Web站点对各种网络安全威胁和突发性安全事件的抵御能力。

②通过Web站点安全评估，能够准确、及时地掌握现阶段Web站点的网络安全现状，对网络维护人员进行日常的网络维护工作等有参考价值。

③通过Web站点安全评估，可有效地促进Web站点的安全管理工作，提高Web站点管理人员的安全素养。

[1] 彭赓,范明钰.基于改进网络爬虫技术的SQL注入漏洞检测[J].计算机应用研究, 2010,27(07):2605-2607.

[2] 苏剑飞，王景伟.网络攻击技术与网络安全探析[J].通信技术,2010,43(01):91-93.

[3] 肖衍.一种基于 Web漏洞威胁模型的应用层异常检测方法研究[J].福建电脑,2010(04):93-95.

[4] 杨林,杨鹏,李长齐.Web应用漏洞分析及防御解决方案研究[J]. 信息安全与通信保密,2011(02):58-60,63.

[5] 王春红.中小企业网站安全问题与防范策略研究[J].现代计算机(专业版),2010(12):64-66.

[6] 王利青,武仁杰,兰安怡.Web安全测试及对策研究[J].通信技术,2008,41(06):29-32.

[7] 陈广勇,张洁昕,郭冠男.基于等级保护的网络测评实施[J]. 信息安全与通信保密,2010(12):47-48.

[8] 王海峰,吴旭.一种新的信息安全测评系统与方法的研究[J].微计算机信息,2008,24(11):70-71.

[9] 向虎贤,李承浩,高琳红.电子政务系统信息安全测评研究[J].数字技术与应用,2010(01):117-119.

[10] 李博,李宁,费中华.校园网 WEB服务器的性能测评及优化方案研究[J].电脑知识与应用,2010,34(06):9723-9725.