深度剖析信息安全问题等保测评成解决之道

来源：作者：发布时间： 2012-04-24

迄今为止，信息泄露事件屡屡见诸报端，其中影响面最广的当属CSDN信息泄露事件，此次事件被认为是“中国互联网史上最大信息泄露事件”。

SQL注入漏洞致使CSDN泄密

当“密码门”爆发之后，“账户密码明文存储”首先被千夫所指。很快有关专家指出：最根本的问题是通过合法系统让黑客拿到非授权的数据，即黑客成功侵入系统，而非是账户密码明文存储，事件的责任主要是网站运营方完全没有控制住源代码开发的安全性，导致有漏洞的系统和网站对接，黑客发现并利用漏洞进而泄密。

通过对网上泄露的大量CSDN数据各方面对比分析后，北京专案组发现这些数据大部分集中在2009年7月至2012年7月，并推测网站服务器被入侵时间在2010年7月前。涉及入侵的服务器已于一年前被转做他用，日志未留存、数据无法恢复，当时负责的技术人员已经大部分离职。另外从泄密的数据还可以判断网站存在SQL注入漏洞，导致黑客可以很顺利的利用黑客工具进行攻击，从而获得数据库的访问权限以及有可能获得主机的控制权限，更有可能利用这种漏洞攻击关联的认证系统，如邮件、网银、电子货币等等。

SQL注入漏洞是黑客对数据库进行攻击的常用手段之一。黑客通过网站程序源代码中的漏洞进行SQL注入攻击，渗透获得数据库的访问权限，获得账户及密码仅是其中最基本的一个内容。这种漏洞还会导致主机权限的丢失、关联认证系统的窃取等。导致这种漏洞的主要原因是程序员编写代码时没有对用户输入数据的合法性进行判断，是应用程序存在安全隐患。黑客可以提交一段数据库查询代码，根据程序返回的结果，获得某些想得知的信息。

积极推广专业的信息安全技术

CSDN泄密事故为代表的一系列信息泄密和网络入侵外，互联网的整体挂马普遍存在。据统计，全国的所有省市都存在不同程度的挂马现象，尤其是信息活动与经济发达、商业行为频繁的地区，如北京。另外比挂马更隐蔽、不易发觉的新的恶意行为暗链的发生。统计显示，由于暗链尚未受到普遍关注，被暗链攻击的网站数目在急剧上升，尤其政府类网站和教育类网站。

从接二连三的信息安全事件可以看出，人员的安全意识普遍偏低，信息安全的规章制度不完善，人员的管理也不尽如人意。在技术上，专业的信息安全技术未得到广泛应用。试想，如果人员的安全意识高，能在2010年7月被入侵还不自知或自知而不补漏，如果信息安全的规章制度完善，所有行为就都有规可依，日志会留存，数据会做好备份，人员也会有备案等措施。

在开发过程中，事实上，源代码编译和发布以后，除了功能和性能测试外，还应有权威的工具对其进行安全性测试，检查是否存在SQL注入、跨站脚本和远程恶意程序执行的漏洞。安全性检测是很必要的，开发流程中应该预留出时间进行安全性测试，防患于未然，成本小但利益长远。

解决之道直指等保测评

等保测评全称是“信息安全等级保护测评”。对CSDN信息泄露事件积极开展侦破的同时，北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚，这是我国落实信息安全等级保护制度以来的首例“罚单”。

信息安全等级保护制度是国家在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。等级保护坚持“谁主管谁负责，谁经营谁负责，谁建设谁负责，谁使用谁负责”的原则，实行“国家主导、重点单位强制、一般单位自愿、高保护级别强制、低保护级别自愿”的监管原则。信息网络安全状况等级的技术检测是等级保护的重点。等级保护测评具体通过安全技术测评和安全管理测评两大方面实施，具体见下图。信息网络的技术安全等级是信息网络安全状况等级的主要指标，有国家授权的技术检测机构通过技术检测进行评定。通过等级保护制度，为信息网络安全产品的普及使用提供了广阔的市场和发展空间，引导国内外信息技术和信息安全产品企业根据国家有关法规和技术标准，积极研发和推广使用适合不同安全保护等级的产品。

目前，国内已有相关机构开展了互联网信息安全等级保护测评业务，如工业和信息化部计算机与微电子发展研究中心（中国软件（600536）评测中心），在安全建设规划、定级备案咨询、现状测评、整改咨询、等级测评等方面已有许多成功案例。