信息泄露事件的频发与第二代Web服务器安全隐患的浅析

中国近年个人信息泄露事件频发，并呈现迅猛发展的态势，2011年底中国互联网更是遭遇了史上最大规模的用户信息泄露事件，CSDN、天涯、京东商城等多家大型网站的用户数据被泄露，几千万用户账号和密码被公开，严重威胁到社会秩序和公众利益。

这些泄露用户信息的网站，以及我国目前300多万个网站(含7万政府网站)，使用的都是美国第二代Web服务器：Apache，IIS，Nginx等。（见附件）。由于第二代Web服务器自身含有致命的先天安全漏洞，为黑客提供了一条入侵后台数据库的通道，导致了这次大规模用户信息泄露事件的发生。

 Web服务器(Web Server, http server)是构建电子政务、电子商务、电子银行、新闻媒体、医药卫生、文化教育、SaaS、云计算、物联网等各类网站时必不可少的基础设备，它包括了软件和计算机硬件。Web服务器的发明是人类IT史上最伟大的发明之一，带来了全球互联网经济的飞速发展。对各国的经济、文化、科技、生活、教育等方方面面带来了无比深远的影响和变革。

可是，自导入互联网以来我国同时也发生了无数的Web犯罪事件：

· 从大量的网页篡改（平均每天45个中国政府网站被篡改、据原工信部部长的讲话）；

· 到大范围的网站挂马（中国80%以上的网站被挂马、据赛迪的报告）；

· 再到这次的大规模的黑客刷库（通过Web服务器入侵数据库盗取客户信息。如去年年底发生的史上最大规模的泄密门事件）；

· 等等。

这些事件也都发生在美国第二代Web服务器身上，因为第二代Web服务器含有致命的安全漏洞。越来越频繁的Web犯罪，严重地损害了社会秩序、公共利益以及网民个人利益，给社会带来了巨大的经济损失，政治风险，阻碍了我国互联网经济的进一步的发展。

针对2011年底我国互联网突发的大范围刷库泄密事件，工信部于同年12月28日发布紧急通告：“要求各互联网站要开展全面的安全自查，及时发现和修复安全漏洞。要加强系统安全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。”

2012年5月9日，国务院总理温家宝同志主持召开国务院常务会议，讨论通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》。《意见》指出:“重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。”

第二代Web服务器含有致命的先天安全漏洞，是一种可以被篡改、可以被挂马、可以被刷库、可以被盗取信息和盗取Web程序的Web服务器。第二代Web服务器不保证发布信息的真实性和可信度。事实上，正是这些安全漏洞在吸引着黑客们攻击网站。第二代Web服务器甚至已经沦为攻击者的工具，在帮助黑客们污染着互联网。美国SUN公司在2007年的一份报告里称，互联网超过80%的流量是恶意的！

· 散发木马病毒的平台：95%以上的木马病毒是通过网站传播的。平均每天50万挂马网页(360)。

· 入侵后台数据库的通道：如：2011年底的CSDN、天涯、京东商城等知名网站的泄密门、Sony被刷上亿客户资料、花期银行被刷1000万人信息、2011年底韩国因为被刷库3500万人数据而取消了网络实名制……。

· 发布虚假信息平台：如：假入学通知、假地震警报、假政治新闻、蛊惑人心、美网军的战法之一是欺骗……。

· 黑客炫技比武的擂台：黑客们在比试谁黑的网站多？

· 攻击者的首选目标：因为Web网站系统是整个网络系统的安全短板，也是网络系统暴露在互联网上的入口。

一个网站系统如果一旦被害，会损害网站访客、社会秩序、公共利益、甚至国家安全，受伤害的并不局限于被害网站自身。 

坐落在第二代Web服务器上的我国互联网经济如同沙滩上的大厦一样，根基不稳，弱不经风，险象环生，埋下了无穷的隐患。更为严峻的是，今天互联网已经进入了网络战时代，互联网环境变得空前险恶。网络军队多国化、黑客产业化、黑社会化都成为网络战（Cyberwar）时代的主要特点，此外，还存在未知攻击主流化趋势：未知攻击(Unknown Attacks)指的是明天、下个月、未来才出现的,以及被攻击者不知道的各种攻击方法。包括：0日攻击、黑客的秘技攻击、美军的2000种攻击型病毒武器等等。随着黑客及网军的攻击技术的突飞猛进，未知攻击已成互联网上的主要的攻击手段：美国电脑安全产业联盟2007年底指出,每天诞生近200种恶意软件。Symantec报告“每个月平均截获超过2.45亿的恶意代码攻击，其中多数没有见过”。360报告：“2011年上半年中国新增木马等恶意程序数量高达4.48亿个，平均每秒出现29个新木马。

今天的国内互联网环境可以说内忧外患、腹背受敌，空前险恶。我们面临的挑战是：面对如此险恶的互联网环境，如何让我们的互联网经济可以健康持久地发展？如何让我们的网站可以抵御“百万雄师”的黑客与“八国联军”的外国网军的内外夹攻？如何防御“未知攻击”？

可是，遗憾的是，当前流行的“周边安全产品+Web服务器”的解决方案是有限的，不能挡住全部的网络进攻。无数的Web犯罪事件已经反复地证明了这一事实。周边安全产品（如：防火墙、WAF、IDS/IPS、安全网关等）充其量只能防御“已知攻击Known Attacks”，因为这些周边安全产品必须依赖于“攻击特征值Attack Signatures”。它们对于无法事先获取“攻击特征值”的千变万化、层出不穷的“未知攻击”只能束手无策。再高级的周边安全产品也不能消除第二代Web服务器本身内在的安全漏洞，治标不治本。

“城堡式的防御是中世纪的”。微软的比尔盖兹、Symantec主席John和与会专家们在2007年RSA国际会议上揶揄了当前周边防御的理念和技术的陈旧性。

美国第二代Web服务器已经成为各种Web系统的安全短板,也是影响国家互联网战略安全的重大隐患。

为了构建一个阻止木马病毒流行、防止虚假信息散布、绿色可信的互联网环境，为了应对日益险恶的网络战时代的到来，为了发展中国人自主知识权并领先世界的下一代互联网技术，我们需要全新的解决方案，需要自主创新的下一代产品。

第三代Web服务器(3rd Generation Web Server)将是一种不可篡改、不可挂马、防止黑客刷库、防止信息盗取的新型Web服务器，高可信、抗攻击。并且符合W3C国际标准。同时还可以改善网站构筑时的费时、费事、和网站运维时的费钱、费心等诸多现实问题。

目前，中国科学家的关于第三代Web服务器的研究已经超越美日，领先世界。已经取得中国发明专利和美国发明专利，并获得INTEROP国际大奖。中国人的发明首次获此大奖，标志着中国的第三代Web服务器3Gweb的世界领先地位。请参阅：www.bj3gweb.com

标签： web服务器 安全 代码 电子商务 防火墙 服务器 工信部 互联网 互联网技术 互联网站 漏洞 媒体 数据库 网络 网络安全 下一代互联网 信息安全 信息化 云

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。