这次2013年末“QQ群数据库泄露事件”堪称中国史上最大规模的个人隐私泄露事件,2011年之前的所有QQ网友的真实姓名、教育背景、工作经历、兴趣爱好都有可能通过查询QQ群数据库而泄露出来,连腾讯高管的相关信息都未能幸免,已经严重威胁到了中国国家安全和个人隐私安全。从此以后,两个新朋友交换QQ号比交换微信号更能体现彼此之间的信任。“亡羊补牢,未为晚矣”,让我们进行深刻的反思把以后的网络安全工作做好做扎实。
一、要有第3方的审计日志,日志要长期留存
还原现场:2011年的安全事故,到了2013年才完全暴露出来,腾讯公司是否还能还原事实真相?具体过了多长时间腾讯公司才发现?发现时是否还有入侵时的日志记录,只有腾讯自己才清楚。不过,到目前为止,腾讯公司还没找到肇事者,无法把泄露的责任归咎到别人头上。另外,据乌云网站网友爆料:当时腾讯SQL数据库服务器存在安全漏洞,当然这也可能是障眼法。 ? 安全启示:这就要求大型互联网企业能把服务器的访问日志至少留存到2年以上,否则被谁黑了,怎么黑的,过了一段时间,没有当时的日志就无从查询。由此也可推断,肇事者深谙网络安全防护之道,捂着不发期盼受害者的日志能自然消失。
整改措施:联网单位需要留存上网的和对外服务的日志,至少60天(公安部82条令)。鉴于黑客有可能把服务器自身的日志删除,因此,除了服务器自身的日志,还需要网络防火墙等第3方设备的流量审计日志。
二、要有基于异常流量的监控和反制措施以防止拖库
还原现场:整个“QQ群数据库”高达90多G的容量,以512KBS(每2秒下载1M字节)的下载速度计算,最快需要10多个小时下载完毕,就算是分次下载,单个数据库都高达4G以上(可能会事先压缩,但压缩时间也会很长,且会导致CPU增高),而腾讯公司当时竟然一无所知,这也算是很奇怪的了。
安全启示:“智者千虑必有一失”,无论企业有怎么样的安全防护措施,对于当今无处不在的内外网安全威胁(零日、APT攻击)而言,没有绝对的安全,因此,应该假设如果出了安全漏洞,我们应该怎样及时发现,怎样减少损失。
整改措施:联网单位需要安装异常流量检测设备,记录每一个流量的五元组(源IP、源端口、协议、目的IP、目的端口),当有超长时间、超大流量的在线连接时,应该马上中断该连接、阻拦该IP并报警,防止远程黑客下载数据库(拖库/脱裤),保住自身的最后一道防线。
三、按最小安全特权的原则对外开放服务
还原现场:相关SQL数据库服务器虽然没有对外开放,但是黑客可以对公网WEB服务器实施攻击,编造SQL注入等非法指令,获取数据库服务器的最高权限,从而导出整个数据库的内容。
安全启示:不要以为WEB服务器是自己的就是无害的,虽然业务上允许它连接SQL数据库服务器,但是也要对其发出的SQL查询命令做过滤,防止黑客利用SQL注入攻击间接得到SQL数据库服务器的控制权。
整改措施:加装具备WAF功能的网络防火墙或WAF,对请求WEB服务器的URL做过滤,或者加装数据库防火墙,直接对SQL命令做过滤;将WEB和DB服务器分别安装在两台设备上,防止直接拖库。加装网络防火墙,对服务器管理员主机地址做限制,只能让属于单位内部的可信IP登录管理。
其它防护措施例如WEB代码审计、WEB弱点扫描、WEB主机加固、网页防篡改、抗DDoS攻击等就不一一展开了,请读者再多做了解。