独家供稿：移动Labs

    这期我也用一个非常著名的案例来进行分析，主要期望说明业务自身对安全的防护。大家还记得2011年底的CSDN、天涯及随后的一大堆网站密码泄密事件吧，我们今天要说的就是这个问题。我们首先来回顾一下事情，这里我引用权威官方CNCert的说法及CSDN的回复。

    CNCERT公告：截至12月29日，通过公开渠道获得疑似泄露的数据库有26个，涉及帐号、密码2.78亿条。 CNCERT对所曝光的数据进行了抽查核实，发现部分数据是有效的。经过与相关网站、论坛联系核对后，确认CSDN社区、天涯社区两家网站发生了用户数据泄漏事件；其他网站、论坛，虽然曝光数据中个别条目有效，但不能判定发生了网站、论坛用户数据泄漏事件。
    2012年12月30日在《关于相关网站用户信息泄露事件的通报》中说明CSDN用户信息泄露的原因主要是：（1）暴力破解：部分用户设置的密码比较简单（例如使用用户名拼音、电话号码），容易被黑客猜解。（2）撞库：由于部分互联网用户在不同网站注册帐号时习惯使用相同用户名和密码，部分黑客利用个别网站泄漏的用户数据作为“字典”，在其他网站上做恶意尝试。
    对于CSDN给出的信息泄露的原因，我认为是不太准确的，因为从CSDN泄 露出来的用户名及口令看，采用暴力破解是很难获取到这么多信息的。因为暴力破解不仅需要提前预知帐号，而且需要大量猜测口令；而且从口令列表来看，很多口 令的复杂程度还是比较高的，极难通过暴力破解。因此暴力破解或者撞库的方式破解数百万用户的帐号口令基本是不可能的，应该是采用“拖库”的方式。

    2012年1月7日，CSDN创始人蒋涛在YOCSEF论坛上公布了安全审核结论，可能原因包括：开源CMS系统等第三方系统存在漏洞，导致 CSDN系统存在安全风险；应用程序存在跨站脚本漏洞；网站存在大量系统后台认证漏洞，如弱口令及暴露的后台等；CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一。

    相比之下，CSDN给出的安全审核结论比较靠谱，通过CMS漏洞、后台认证漏洞、跨站或停用主机的漏洞均有可能入侵主机，并从主机中直接拷贝出包含用户数据的文件。当然，可接触到数据的人员直接窃取也是可行的，不属于典型技术问题，我们就不在此讨论了。好了，CSDN为什么会泄密可能是上述原因中的一个或多个，我们就不再深究，可能永远是一个谜团。我们在此分析一下业务平台应该如何防止类似的安全问题发生。

    那么我们应该如何进行业务设计及实现，避免类似的安全问题呢？我认为从如下的几点出发应该是有益的。

    （1）将数据与服务分离。Web应用服务器与数据分离，通过web应用服务器的程序去取数据，并对取数据的过程进行强认证，这样可以避免web服务器被攻陷后直接导致大量数据丢失。

    （2）系统安全性。包括加强网站安全性，防止通过网页进行注入；加强主机安全性，防止通过漏洞进入。

（3）业务安全性。我认为可以通过我们经常说的“进不来、拿不走、看不懂”来进行说明。首先是增强远程登录与操作安全性，防止弱口令攻击；然后是进行权限管理与限制，例如远程登录进行分类限制，非内网IP不允许访问机密数据，或者不允许取走机密数据；最后是对数据进行加密存储（CSDN在2010年后已经进行，因此2010年9月后的数据没有丢失），即使数据文件丢失了，也没法解密。

在上面说的几点中，只有（3）是属于狭义的业务安全，（1）（2）则是属于广义的业务安全范畴，为了把这个问题分析全面，我就提前拿出来说了。相信通过这个实例的分析，大家应该对数据安全防护都有了了解，也进一步加深了业务安全的理解。

好了，今天就先到这里，下期再见。

粟栗

本博文发表在移动Labs的文链是：http://labs.chinamobile.com/mblog/2295/188424


【相关博文】
典型业务安全问题分析（3）
典型业务安全问题分析（2）
【精彩推荐】