12月21日上午，CSDN网站部分用户数据被在网络公开。事件发生后，CSDN立即进行了应急处理，在第一时间向用户致歉，提醒可能存在安全隐患的用户及时做帐号信息修改。

此后陆续几天，天涯、人人、当当、凡客、卓越、开心、多玩等多家网站，相继被曝出密码遭网上公开泄露。目前网上公开暴露的网络账户密码已超1亿个。

用户数据作为网站所有者的信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。为此，安恒信息已于近日对多家受到攻击的网站提供网站安全检测并为其提供解决方案。安恒信息的专家将从信息安全防御的角度，就Web应用的数据库的防泄密策略提出解决建议，以杜绝类似的数据库泄露事件再次发生。

数据库为什么成为目标

攻击者为什么会冒着巨大的法律风险去获取数据库信息？

2001年，随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏帐号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场。

2004～2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客“拖库”的主要目标。

2008～2009年，国内信息安全立法和追踪手段得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时，残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票和境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。

2010年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用ID或Email，可以直接搜索出其常用密码或常用密码密文。

2011年12月21日，仅仅是在这一天，攻击者曾经获取到的部分数据库被陆续公开了。

数据库是如何被获取的

攻防回合的延续使入侵网游服务端主机系统难度加大，而Web应用的登录入口表明了Web应用程序与用户数据表之间存在关联，通过入侵Web网站获得数据库信息成为针对网站数据库攻击的主要入手点，常见的攻击步骤如下：

1.寻找目标网站（或同台服务器的其他网站）程序中存在的SQL注入、非法上传或者后台管理权限等漏洞；

2.通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WebShell；

3.通过已获得的WebShell提升权限，获得对Web应用服务器主机操作系统的控制权，并通过查看网站数据库链接文件，或得数据库的链接密码；

4.通过在Web应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者本地数据库（或直接下载服务器上可能存在的数据库备份文件）；

5.清理服务器日志，设置长期后门。

目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化的作业流程。从安恒支持的全国网站安全大检查数据分析中，可以知道全国70%的网站存在安全问题，这些网站也将均有可能成为下一个数据信息泄露的潜在安全隐患群体。

以下是几点防御策略：

技术方面，根据具体信息系统的实际情况适当采用对应的安全工具或设备，如Web应用弱点扫描器、数据库弱点扫描器、Web应用防火墙、数据库审计系统等；并通过人工手段，对系统进行多种方式的脆弱性评估和加固工作，如：渗透测试、代码审计等。

管理方面，加强对Web应用和数据库对应的组织人员、开发规范、运维策略和安全培训等的建设，在单业务系统的范围内，达到体系完善。如对数据库用户权限和备份文件加强管理，针对于某些攻击手段的防御效果可能高于产品部署而大幅降低成本。

反思

大型互联网公司，不可能没有安全机制，什么硬件防火墙、软件防火墙、杀毒软件、主动防御、漏洞扫描和动态补丁补个不完、自动更新更个没完，等等……，现在能够使用的浑身解数几乎统统用上。

可是为何还会中招？

这是因为目前的安全体系思维过于陈旧，基本上都是从DOS时代传承下来的安全思维，基本上都是哪出问题补哪的安全方式。说句不好听的话，基本上都是“事后诸葛亮”、“马后炮”。即使是什么“主动防御”，也没什么突破性思维。

密码泄露了，就研究让密码加个密，以为那样即使密码丢了对黑客也不会有什么用，以为黑客即使得到密码也无法破解。事实上，网上破密用的密码字典很大，几乎囊括所有可能的密码方式，甚至不需动用暴力破解就可以把绝大部分密码进行破解。

密码数据库泄露，就说明这个网站的核心服务器已经是别人可以随意控制的“私人机器”了，人们总是心理安稳就满足。当XP推出的时候就欢呼以后电脑就安全了，当Vista推出的时候也欢呼以后电脑就安全了，当Windows 7推出的时候也欢呼以后电脑就安全了，现在又翘首以盼，听说当Win8推出以后电脑就安全了。或者，还有人认为可能Windows不安全，所以我们用Linux就安全了，微软的系统可能不安全，我们改用苹果的可能就安全了。事实上，无论使用哪个操作系统，只要你有重要信息数据，黑客照样可以攻克。

有人认为针对黑客应该由政府立法来惩戒就可以解决问题，每一个国家的宪法都规定杀人是刑事问题，可是每天照样有人被杀。所以依靠“权威”来震慑是没有用的，何况技术的问题，传统的立法体系根本就跟不上。让擅长打人的警察在擅长敲键盘的技术领地里与黑客过招，后果可想而知。

由于CSDN是我的老朋友，我特意去听了他们组织的一个小型封闭式的“安全研讨会”，我听到的还是哪些“修补性思维”，只听到一个哥们谈“为什么不能跳出补漏洞的办法，漏洞补不完、那我们能不能就不补，我们为什么不能换一个方式、换一种思维来实现安全？”，这是令我耳目一新的“新思维”。

的确，现在的电脑安全需要“新思维”。番禺监控分析

打个比喻，来说明现有安全体系的思维。

假如电脑就是一个开放的菜市场，菜市场是小偷可以光顾，顾客也可以光顾的地方。那安全的问题就是防止小偷出现。现有的安全方法就是找出小偷，并给小偷贴一个标签“我是小偷”，然后，一旦看到小偷来了，我们就派出城管把它一棍子打死。可是，小偷也是有思维的，小偷也需要保命，于是，小偷就不断化妆、不断更换衣服、不断变脸，使得“我是小偷”的标签失效，然后，小偷就可以在菜市场里自由行动。于是，我们就给小偷发很多标签，以至于标签堆积如山，标签体积远远大过这个菜市场，这就是“杀毒的安全思维”。

既然，小偷经常变换身份，所以就想出来一个“新发明”，就是总结小偷经常的走动路线，把这条路线定义为危险路线，只要有人按照这条路线走，他就“可能是小偷”，于是我们就按响报警，不管什么人只要一走动就报警，以至于想要来买菜的人都提心吊胆，屡屡被警告是小偷，这就是“主动防御”的思维。

又有人，发现菜市场安装防小偷门卫保安，那小偷就不能从正门进来，于是小偷就从墙头翻进来、可以从狗洞钻进来，于是，就发明了专门找出可以翻进来的墙头、狗洞，并且把这些墙头、狗洞堵住。可是菜市场太大了，天天找都能找出很多可以翻进来的墙头，堵住了狗洞还有猫洞，堵住了猫洞还有老鼠洞，堵啊堵，就是堵不完。这就使“漏洞扫面”、“漏洞补丁”的思维。

有人认为这个菜市场太烂小偷太多，换一个新的菜市场就好了，不知道其实只要有菜市场必然有小偷，只是某一个菜市场离市中心太远，市场不够火，很多小偷懒得去而已。这就是以为“换个新操作系统”就安全了的思维。

总之，现在的安全思维不外乎如此，但是小偷到目前为止照样在菜市场里转悠，照样行动自如。

单从大规模用户帐户数据库泄露来看，黑客有几种办法，一种简单的办法就是通过正常的访问请求就被系统当作普通数据传出来。稍微复杂一点的就是注入办法获得网站管理员密码，然后自由下载。再复杂一点的就是爆破攻击，激发漏洞提升权限然后运行自己想要的工具，进而上传自己专用工具，完全控制一台服务器，然后以此为据点进一步控制其他机器，直到所有有用的核心服务器都在自己的掌控制下，慢慢再找出自己想要的东西，比如用户数据库，再把整个数据下载下来。

一台服务器，只要安装一些工具软件，基本上都有10万个文件，即使是刚安装好的系统文件个数也都在2～3万的数量级别，可执行的文件有1万多。系统越来越庞大，提供的漏洞必然会越来越多。

目前随便一个软件就是几百MB、上GB的大小，其中绝大部分是可执行的应用数量。所以漏洞多得无法计算。

现在的编译工具添加了一些补救措施，比如安全SEH、禁用数据执行等等，只能说给黑客添加来一点麻烦而已。

黑客分为几个层次，核心层次是寻找漏洞，这层次的黑客以攻克技术为乐，工具就是反汇编和Debug工具，有没有源码不重要。第二层次是利用漏洞制作工具。第三层次使用工具。

我国是第三层次为主，主要使用已经公布的漏洞或者第二层次中没有公布的漏洞进行攻击牟利。

在核心黑客圈子里通常互相分享他们自己最新发现的成果，一般核心层次的漏洞成果是不公开的，只有核心成员之间分享，但他们一般也不干什么坏事。在核心圈子里，他们拥有各种系统得秘密漏洞，微软的也好、苹果的也好、Linux的也好、甚至大型机的也好、Android的也好、iPhone的也好，都在他们小圈子里分享。

公布出来的基本上都属于过时的漏洞而已。

目前，病毒都可以做到BIOS里的年代，安全已经不能够再用“围追堵截”的方法来实现了。

那么有没有可以实现安全的东西呢？

有的，比如隔离系统。比如ATM取款机，在不破坏机器墙体的情况下，要想让ATM取款机偷出钱来没那么容易，一方面，因为ATM取款机使用的一般都不是Window系统，我看见有不少使用OS/2系统，并不是OS/2系统就没有漏洞，而是因为它是隔离使用，使得OS/2并没有其他连接，只有操作面板这一个I/O入口，如果ATM机也装一个无线网络的话，我相信不需要多久，这个ATM机就会成为免费提款机。

可见，一旦一个机器、一个系统暴露的I/O过多必然就会有大量的漏洞可以使用，它无法实现有效的安全，就如同一个围墙体提供的安全体系，是无法与一个封闭体的碉堡那样的安全。因为围墙是可以从四面八方爬进来的，而封闭的碉堡却只有一个入口，自然安全体系就会不一样。

有人认为网银安全，其实网银安全相当的不安全。尤其是有USB的网银。因为即使有了USB整个网银的线路都是开放的，根本无法与ATM相比，USB只是保证了密码的安全，并不保证电脑的安全，更不保证支付线路的安全。有人认为支付线路是使用SSL的，即使SSL可以安全，但从USB到SSL中间有广阔的空间是不在安全范围里的，今年3月份央视的《经济信息连播》就报道过被穿改支付线路而钱款被盗一空的状况。

如果我们能够实现一个类似ATM机那样的安全体系，那安全就会截然不同。这需要新的安全思维、新的安全体系。

现在已经不是DOS时代，而是四处互联的网络时代，继续依赖DOS时代建立的安全思维，已经过时很久很久了。

安全问题为什么难，就在于安全问题的本质是人与人之间的斗智斗勇问题，如果在一个广阔的舞台上，人与人之间的斗智斗勇永远不会有结果。

番禺监控专家觉得：安全是一种事业，不是一个解决方案。