由于管理SQL注入頗為復(fù)雜，并且使漏洞利用過(guò)程自動(dòng)化的大量工具幾乎都可免費(fèi)獲得，所以惡意攻擊者將繼續(xù)利用SQL注入漏洞對(duì)付面向公眾的網(wǎng)站，作為其獲取關(guān)鍵基礎(chǔ)架構(gòu)系統(tǒng)和網(wǎng)絡(luò)的一種方式。

與其它網(wǎng)絡(luò)漏洞利用的復(fù)雜方法相比，SQL注入所使用的技術(shù)相對(duì)易于學(xué)習(xí)。它易于實(shí)施，但其造成的危害卻可能會(huì)使系統(tǒng)完全癱瘓，面向互聯(lián)網(wǎng)的企業(yè)仍極易遭受這種攻擊。訪(fǎng)問(wèn)遭受損害網(wǎng)站的訪(fǎng)問(wèn)者有可能無(wú)意識(shí)中安裝了惡意代碼，并被重定向到一個(gè)惡意網(wǎng)站，損害其系統(tǒng)中的其它漏洞，或其系統(tǒng)被用于攻擊第三方網(wǎng)站。受感染數(shù)據(jù)的業(yè)務(wù)價(jià)值和敏感性決定了SQL注入損害的長(zhǎng)期影響，并隨著每個(gè)被損害對(duì)象和每次損害而變化。由于這些漏洞的持續(xù)流行，如今的有許多工具都可以使SQL漏洞的利用更容易，這些工具的傳播對(duì)于理解關(guān)鍵基礎(chǔ)架構(gòu)的當(dāng)前風(fēng)險(xiǎn)非常有益。

一個(gè)案例

A公司有一個(gè)存在多年的購(gòu)物網(wǎng)站，當(dāng)然，其多數(shù)客戶(hù)使用的是一個(gè)更新的更安全的網(wǎng)站。在搭建新網(wǎng)站時(shí)，許多客戶(hù)并不遵循新網(wǎng)站的數(shù)據(jù)處理和加密需求，所以老購(gòu)物網(wǎng)站被用于適應(yīng)這些客戶(hù)。

隨著越來(lái)越多的客戶(hù)使用新網(wǎng)站，在服務(wù)等級(jí)合約到期后，對(duì)老網(wǎng)站的維護(hù)也就終止了。此外，由于多數(shù)通信被集中到新網(wǎng)站，管理員開(kāi)始將其努力更多地放在新網(wǎng)站，最終完全忘記了老的購(gòu)物網(wǎng)站。但是，它仍位于互聯(lián)網(wǎng)上，企業(yè)也不再管理它，不為它打補(bǔ)丁，幾乎把它忘掉，但它仍有連接到內(nèi)部網(wǎng)絡(luò)的關(guān)鍵連接。

此外，由于老購(gòu)物網(wǎng)站仍在使用，該公司的基礎(chǔ)架構(gòu)（DMZ、防火墻）需要進(jìn)行配置，以使系統(tǒng)（僅使用簡(jiǎn)單的加密和認(rèn)證協(xié)議）能夠到達(dá)后端數(shù)據(jù)庫(kù)。這會(huì)導(dǎo)致企業(yè)的架構(gòu)產(chǎn)生多個(gè)安全漏洞。

同時(shí)，正準(zhǔn)備攻擊某個(gè)主要防御代理服務(wù)器的攻擊者了解到該代理服務(wù)器與A公司有連接。攻擊者判定到達(dá)防御代理服務(wù)器的最佳方法是利用A公司的防御漏洞，并開(kāi)始執(zhí)行對(duì)A公司的網(wǎng)絡(luò)偵察，知道了到該公司公開(kāi)注冊(cè)的IP地址空間，利用自動(dòng)的Web漏洞掃描器掃描A公司所有面向公眾的機(jī)器。

攻擊者很快就發(fā)現(xiàn)了有漏洞的老購(gòu)物網(wǎng)站，并利用了一個(gè)可免費(fèi)獲得的SQL注入漏洞工具，進(jìn)而獲得了后端數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)。攻擊者很快地就向數(shù)據(jù)庫(kù)服務(wù)器上傳了特權(quán)提升和憑據(jù)竊取工具，利用DMZ和防火墻中的漏洞，然后，就可以訪(fǎng)問(wèn)管理員的登錄憑據(jù)，創(chuàng)建其自己的管理員賬戶(hù)，并且上傳后門(mén)文件，以便于以后隨意進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)，并可以在網(wǎng)絡(luò)中跳轉(zhuǎn)。由于A(yíng)公司網(wǎng)絡(luò)的架構(gòu)存在這種缺陷，所以攻擊者能夠訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò)，并隨意訪(fǎng)問(wèn)任何機(jī)器和上傳自己需要的任何工具或程序。攻擊者還可以控制整個(gè)網(wǎng)絡(luò)，洞悉A公司與主要防御代理服務(wù)器的連接，并將訪(fǎng)問(wèn)A公司網(wǎng)絡(luò)當(dāng)作一個(gè)跳板?？梢哉f(shuō)，SQL注入攻擊代表著任何由數(shù)據(jù)庫(kù)驅(qū)動(dòng)網(wǎng)站的嚴(yán)重威脅。其背后的方法易于學(xué)習(xí)，而其造成的危害卻相當(dāng)巨大。雖然有這些風(fēng)險(xiǎn)，但網(wǎng)絡(luò)上仍有大量的系統(tǒng)易于遭受這種攻擊。但是，管理員通過(guò)計(jì)劃和正確的實(shí)施，幾乎可以完全預(yù)防這種威脅。

SQL注入攻擊由SQL查詢(xún)的注入組成，它通過(guò)由客戶(hù)端向應(yīng)用程序輸入數(shù)據(jù)來(lái)實(shí)施。成功的SQL注入可以從數(shù)據(jù)庫(kù)中讀取敏感數(shù)據(jù)，修改（插入、更新、刪除）數(shù)據(jù)庫(kù)的數(shù)據(jù)、對(duì)數(shù)據(jù)庫(kù)執(zhí)行管理操作（如關(guān)閉數(shù)據(jù)庫(kù)管理系統(tǒng)）、恢復(fù)數(shù)據(jù)庫(kù)管理系統(tǒng)中特定文件的內(nèi)容，有時(shí)還可以向操作系統(tǒng)發(fā)布命令。

圖1顯示了前文所述的攻擊者最終完全損害網(wǎng)絡(luò)的步驟及其影響，也列舉了企業(yè)可用以對(duì)付攻擊的可擴(kuò)展防御。

許多企業(yè)的網(wǎng)絡(luò)實(shí)施了其中的部分防御；為更好地保護(hù)網(wǎng)絡(luò)資源，企業(yè)應(yīng)盡量多地實(shí)施防御。企業(yè)必須使用深度防御策略來(lái)防御攻擊的所有階段。

防御

1.使用Web漏洞掃描工具查找和修復(fù)漏洞

這種方法可以使網(wǎng)絡(luò)所有者看出哪里易受攻擊。但這種方法需要花費(fèi)不少時(shí)間并要求一定的技巧，而且掃描有可能引起不必要的警告。

網(wǎng)絡(luò)所有者和操作人員都應(yīng)當(dāng)對(duì)其網(wǎng)絡(luò)的狀態(tài)保持警惕。很重要的一點(diǎn)是，系統(tǒng)管理員使用可靠的漏洞掃描器，并制定和實(shí)施可以?huà)呙杷泄瞁eb服務(wù)器的計(jì)劃，能夠查找常見(jiàn)漏洞。在發(fā)現(xiàn)漏洞后，管理人員應(yīng)當(dāng)修復(fù)系統(tǒng)或打補(bǔ)丁。對(duì)于那些安裝老Web應(yīng)用程序的網(wǎng)絡(luò)來(lái)說(shuō)，這尤其重要，因?yàn)殡S著網(wǎng)站越來(lái)越老，會(huì)有越來(lái)越多的漏洞被發(fā)現(xiàn)或暴露。

為實(shí)現(xiàn)更強(qiáng)健的防御，建議企業(yè)掃描如下漏洞或缺陷：SQL注入、本地文件包含、跨站腳本攻擊、一般的編碼和輸入錯(cuò)誤。

2.實(shí)施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

在SQL服務(wù)器前面實(shí)施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以防止或阻止多種常見(jiàn)的注入企圖。

雖然修復(fù)Web應(yīng)用程序中的SQL注入漏洞很重要，但Web應(yīng)用防火墻可用作一種防止SQL注入企圖的重要措施。使用Web防火墻時(shí)，白名單是一種重要技術(shù)，因?yàn)楣粽呖偸窃O(shè)法找到繞過(guò)黑名單的方法。

通過(guò)SQL注入，攻擊者可以使用三種主要方法破壞系統(tǒng)：

方法一，代碼的執(zhí)行特權(quán)（mysql中的存儲(chǔ)過(guò)程、oracle中java函數(shù)的創(chuàng)建、sql server中xp_cmdshell等等）

如果攻擊者可以通過(guò)數(shù)據(jù)庫(kù)直接執(zhí)行文件系統(tǒng)上的命令，而數(shù)據(jù)庫(kù)用戶(hù)又擁有系統(tǒng)的“執(zhí)行”特權(quán)，攻擊者就有能力看到并執(zhí)行他期望的任何操作。因?yàn)樵试S用戶(hù)地執(zhí)行“dir”命令是很危險(xiǎn)的，所以請(qǐng)不要將“執(zhí)行”特權(quán)交給普通的數(shù)據(jù)庫(kù)用戶(hù)。

方法二，寫(xiě)入或讀取文件系統(tǒng)上的文件（“INTO OUTFILE”命令）

如果攻擊者擁有文件系統(tǒng)的寫(xiě)入許可，他就可以在網(wǎng)站上創(chuàng)建可執(zhí)行文件，并通過(guò)瀏覽器向其發(fā)送命令。

方法三，竊取SSH或telnet的登錄憑證

這并不是一種通過(guò)數(shù)據(jù)庫(kù)對(duì)系統(tǒng)攻擊的直接方法，而是一種獲取登錄憑據(jù)的方法，這種憑據(jù)可通過(guò)其它方式（SSH、telnet）用于登錄嘗試。

3.強(qiáng)化Web應(yīng)用

強(qiáng)化Web應(yīng)用是防止漏洞被利用的最有效方法，但這種方法的使用要求進(jìn)行測(cè)試，并往往需要重新編碼和對(duì)Web應(yīng)用進(jìn)行維護(hù)。

不安全的購(gòu)物網(wǎng)站在攻擊者的攻擊中扮演著一種重要角色，尤其需要注意的是，這種網(wǎng)站可以充當(dāng)進(jìn)入后端數(shù)據(jù)庫(kù)的通道。強(qiáng)化這些Web應(yīng)用是防止入侵的一種關(guān)鍵措施，這應(yīng)當(dāng)成為每個(gè)企業(yè)全局操作和減輕威脅策略的一部分。

雖然SQL注入可能允許攻擊者竊取數(shù)據(jù)，甚至刪除企業(yè)的數(shù)據(jù)庫(kù)，但企業(yè)應(yīng)當(dāng)部署恰當(dāng)?shù)目刂?，目的是為了防止攻擊者“脫離”數(shù)據(jù)庫(kù)本身而進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正在使用SQL Server，就要確保Web用戶(hù)的許可盡可能受到限制。要保證數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù)并沒(méi)有給與系統(tǒng)特權(quán)，因?yàn)檫@是攻擊者脫離數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)的主要方法之一。

對(duì)于SQL Server而言，管理員應(yīng)當(dāng)關(guān)注如下問(wèn)題，一是要保證SA賬戶(hù)有一個(gè)強(qiáng)健的口令，二是要清除SQL的臨時(shí)用戶(hù)賬戶(hù)，三是要清除BUILTINAdministrators的服務(wù)器登錄，四是不能將許可授與公共角色。

許多攻擊者使用SQL注入獲得數(shù)據(jù)庫(kù)用戶(hù)的登錄憑據(jù)，其目的是使用這些憑據(jù)和SSH（或telnet）進(jìn)入系統(tǒng)。管理員要確保數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù)的口令不同于系統(tǒng)的特權(quán)賬戶(hù)的口令，用以避免攻擊者進(jìn)入系統(tǒng)；還要保證所有的口令滿(mǎn)足最佳實(shí)踐所要求的復(fù)雜性，并改變數(shù)據(jù)庫(kù)賬戶(hù)上的所有默認(rèn)口令。如果企業(yè)還沒(méi)有加密數(shù)據(jù)庫(kù)或哈希用戶(hù)的口令，應(yīng)立即修復(fù)。

以下措施的目的在于減輕SQL注入的威脅、文件上傳、命令執(zhí)行以及其它已知的Web服務(wù)器漏洞。管理員必須注意，除傳統(tǒng)的服務(wù)器、桌面之外，開(kāi)發(fā)和測(cè)試環(huán)境往往運(yùn)行可公共訪(fǎng)問(wèn)的服務(wù)器，如果這些服務(wù)器被利用了漏洞，也會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊和破壞。

不同的企業(yè)和角色都要積極地保證Web應(yīng)用程序的安全。下面的這些減輕威脅的措施可根據(jù)不同的企業(yè)和角色進(jìn)行分組，并根據(jù)具體的企業(yè)結(jié)構(gòu)和本地策略而變化。

SA應(yīng)實(shí)施的減輕威脅的措施包括：確認(rèn)企業(yè)網(wǎng)絡(luò)上的所有Web服務(wù)器和Web應(yīng)用，并保證其管理控制臺(tái)的安全；使正在運(yùn)行的Web服務(wù)器和Web應(yīng)用的數(shù)量最小化；強(qiáng)化系統(tǒng)，減少漏洞被利用的機(jī)會(huì)，使攻擊者破壞系統(tǒng)的影響最小化；啟用日志，經(jīng)常檢查日志。

與SA和開(kāi)發(fā)人員有關(guān)的減輕威脅的措施有：實(shí)施Web應(yīng)用防御，其方法是投資購(gòu)買(mǎi)Web應(yīng)用防火墻，打開(kāi)URL掃描或其它Web過(guò)濾器選項(xiàng)；限制攻擊者所造成的損害，要點(diǎn)是確保所有的Web應(yīng)用都通過(guò)最少特權(quán)進(jìn)行連接，限制并監(jiān)視在所有可訪(fǎng)問(wèn)的Web目錄中的文件創(chuàng)建；減少攻擊者的成功機(jī)會(huì)，其方法是限制可以使用的字符輸入集，并設(shè)置最大的參數(shù)大小，從Web服務(wù)器中移除非必須的HTTP命令；運(yùn)行Web應(yīng)用漏洞掃描器，確認(rèn)漏洞。Web應(yīng)用開(kāi)發(fā)人員可實(shí)施的減輕威脅的措施包括三方面：確認(rèn)已部署的代碼，要確保運(yùn)行在網(wǎng)站上的所有代碼都是最新版本；用最佳方法編程；執(zhí)行定期的代碼檢查，即檢查Web應(yīng)用源代碼中的漏洞。

4.實(shí)施應(yīng)用程序白名單

應(yīng)用程序白名單是一種主動(dòng)的安全技術(shù)，它僅允許經(jīng)許可的有限的程序運(yùn)行，同時(shí)默認(rèn)地阻止所有的其它程序（包括多數(shù)惡意軟件）。相比之下，多數(shù)操作系統(tǒng)所實(shí)施的標(biāo)準(zhǔn)策略允許所有用戶(hù)下載并運(yùn)行大量非授權(quán)的（或惡意的）應(yīng)用程序。應(yīng)用程序的白名單僅準(zhǔn)許管理員而不是用戶(hù)來(lái)決定運(yùn)行哪些程序運(yùn)行。

基于路徑的應(yīng)用程序白名單僅允許從文件系統(tǒng)中的特定位置運(yùn)行程序。這種方法不需要確認(rèn)每個(gè)獨(dú)立程序和可執(zhí)行庫(kù)。管理員必須保護(hù)路徑，只有獲得授權(quán)的管理員可以安裝或修改文件，防止標(biāo)準(zhǔn)用戶(hù)和惡意活動(dòng)繞過(guò)應(yīng)用程序的白名單策略。這些規(guī)則對(duì)系統(tǒng)性能的影響最小，并允許多數(shù)程序?qū)嵤└潞痛蜓a(bǔ)丁，而不需要變更任何規(guī)則，同時(shí)可以防止新的未授權(quán)程序和多數(shù)最新的惡意軟件?；谖募膽?yīng)用白名單可以使管理員根據(jù)文件名決定允許哪些文件運(yùn)行。有些應(yīng)用程序有可能并不位于由基于位置的應(yīng)用白名單所確定的位置，用基于文件的白名單可以使管理員允許位于這些位置的文件運(yùn)行。但由于文件名易被欺騙（篡改），實(shí)施應(yīng)用白名單的更安全方法是基于哈希的方法。在這種方法中，文件的哈希被用于指定是否允許一個(gè)文件運(yùn)行。由于哈希不易被欺騙，所以這種方法可用于向應(yīng)用白名單策略提供更高的精細(xì)度和特異性。不過(guò)，這種方法還要求更多的工作，才能確保文件的哈希保持更新。

對(duì)于微軟的一些較新的操作系統(tǒng)，AppLocker是一種內(nèi)建的特性，它可以強(qiáng)化由管理員定義的白名單策略。AppLocker策略可通過(guò)標(biāo)準(zhǔn)的Windows組策略管理應(yīng)用進(jìn)行創(chuàng)建和管理。AppLocker可用于Windows Server 2012、Windows Server 2008 R2、Windows 8、Windows 7等操作系統(tǒng)。此外，有些主機(jī)入侵防御系統(tǒng)產(chǎn)品還可以執(zhí)行應(yīng)用白名單功能。

5.實(shí)施主機(jī)入侵防御系統(tǒng)

實(shí)施這種系統(tǒng)可以更廣泛進(jìn)行保護(hù)，并可以限制惡意軟件的行為。但主機(jī)入侵防御系統(tǒng)較難以建立，并需要耗費(fèi)較多時(shí)間進(jìn)行監(jiān)視和管理。

計(jì)算機(jī)和系統(tǒng)安全的一個(gè)基本目標(biāo)就是保持每一臺(tái)主機(jī)的健康運(yùn)行或完整性，而主機(jī)入侵防御系統(tǒng)可用于保護(hù)主機(jī)的完整性。在企業(yè)的部署中，主機(jī)入侵防御系統(tǒng)是集中管理的，而SA（超級(jí)管理員）會(huì)將策略和規(guī)則發(fā)布給每一臺(tái)主機(jī)。主機(jī)上惡意或異常行為都被反饋給管理系統(tǒng)，進(jìn)而據(jù)以采取行動(dòng)。

為保證其有效性，非常關(guān)鍵的一點(diǎn)是主機(jī)入侵防御系統(tǒng)要擁有一套定義精細(xì)的策略或規(guī)則。廠(chǎng)商在其產(chǎn)品中定義了許多規(guī)則，但是要由SA調(diào)整這些策略才能滿(mǎn)足其具體的環(huán)境和解決所面臨的特定風(fēng)險(xiǎn)。有些規(guī)則可能與業(yè)務(wù)操作相沖突，因而企業(yè)最好在測(cè)試網(wǎng)絡(luò)中測(cè)試所有的規(guī)則，在將其安裝到生產(chǎn)網(wǎng)絡(luò)中之前，先模擬生產(chǎn)環(huán)境。如果某條規(guī)則的變更影響了生產(chǎn)環(huán)境，企業(yè)就應(yīng)創(chuàng)建一種例外規(guī)則，重新定義規(guī)則直至沒(méi)有沖突產(chǎn)生，或者完全禁用規(guī)則。為使主機(jī)入侵防御系統(tǒng)的有效性最大化，并減少花費(fèi)在部署主機(jī)入侵防御系統(tǒng)上的時(shí)間，企業(yè)應(yīng)預(yù)先構(gòu)建一個(gè)可管理的網(wǎng)絡(luò)。這包括移除或卸載不必要的應(yīng)用，清除或禁用不必要的服務(wù)，并確認(rèn)不正常的網(wǎng)絡(luò)通信的源頭。

多數(shù)主機(jī)入侵防御系統(tǒng)都有一種學(xué)習(xí)模式，它可以使設(shè)備被動(dòng)地監(jiān)視網(wǎng)絡(luò)通信，以便于決定應(yīng)用程序如何實(shí)現(xiàn)功能以及什么才是正常通信。這種模式最好用于未遭受破壞的環(huán)境中。

6.控制管理特權(quán)

控制管理特權(quán)可以減少特權(quán)賬戶(hù)的暴露程度，并限制惡意軟件的訪(fǎng)問(wèn)，但有可能導(dǎo)致用戶(hù)的抱怨，并有可能喪失一些靈活性。計(jì)算機(jī)系統(tǒng)的管理特權(quán)可以使用戶(hù)訪(fǎng)問(wèn)多數(shù)用戶(hù)無(wú)法訪(fǎng)問(wèn)的資源，并可以執(zhí)行本應(yīng)受到限制的操作。如果企業(yè)沒(méi)有正確地管理這種管理特權(quán)，特權(quán)的授權(quán)面又很大，再加上沒(méi)有嚴(yán)格的審核，攻擊者就能夠利用這種漏洞，并輕而易舉地在網(wǎng)絡(luò)中遷移。獲得管理特權(quán)一般都通過(guò)一種被稱(chēng)為“特權(quán)提升”的技術(shù)而實(shí)現(xiàn)。特權(quán)提升是利用漏洞和設(shè)計(jì)缺陷的一種操作，它也能夠利用操作系統(tǒng)或應(yīng)用軟件中的配置錯(cuò)誤，進(jìn)而訪(fǎng)問(wèn)普通用戶(hù)無(wú)法訪(fǎng)問(wèn)的資源。對(duì)管理特權(quán)的管理不善可以使攻擊者更容易地執(zhí)行這種技術(shù)。

非常重要的一點(diǎn)是，企業(yè)部署正確的控制可以防止攻擊者利用數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正使用SQL Server，就應(yīng)確保Web用戶(hù)的許可盡可能受到限制。還要保證數(shù)據(jù)庫(kù)用戶(hù)的賬戶(hù)不會(huì)得到系統(tǒng)特權(quán)，因?yàn)檫@是攻擊者利用數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)的主要方法之一。

在此，筆者提供如下建議：

將企業(yè)管理員與域管理員分離開(kāi)；如果有可能，將活動(dòng)目錄的管理員賬戶(hù)從企業(yè)管理員賬戶(hù)和域管理員賬戶(hù)分離開(kāi)；不要允許本地賬戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)，要從這些賬戶(hù)尤其是管理員賬戶(hù)中清除網(wǎng)絡(luò)交互登錄特權(quán)或遠(yuǎn)程交互登錄特權(quán)；如果無(wú)法實(shí)現(xiàn)物理管理，應(yīng)將遠(yuǎn)程登錄限制給少數(shù)特權(quán)用戶(hù)，并且僅允許從安全有保障的工作站進(jìn)行訪(fǎng)問(wèn)；禁止本地賬戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)；限制特權(quán)賬戶(hù)可以訪(fǎng)問(wèn)的系統(tǒng)，對(duì)這些高級(jí)特權(quán)賬戶(hù)進(jìn)行限制，使其只能登錄到安全系統(tǒng)；從本地管理員組中清除標(biāo)準(zhǔn)用戶(hù)，不要將本地管理員組的成員資格授與標(biāo)準(zhǔn)用戶(hù)賬戶(hù)；確保管理員賬戶(hù)不能擁有電子郵件賬戶(hù)或互聯(lián)網(wǎng)的訪(fǎng)問(wèn)；遵循最小特權(quán)原則，僅給與用戶(hù)只能完成其工作的許可；使用多因素認(rèn)證，為許可用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，要使其證明自己的身份；要有效的管理口令，管理員賬戶(hù)的口令應(yīng)當(dāng)保證復(fù)雜性，要包含由字母、數(shù)字、特別字符的組合，而且至少包含14個(gè)字符；要求所有的管理員賬戶(hù)和其它特權(quán)賬戶(hù)經(jīng)常變更口令；指定專(zhuān)用系統(tǒng)，管理活動(dòng)目錄并阻止通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)這些系統(tǒng)；禁止企業(yè)管理員和域管理員的服務(wù)登錄；禁用企業(yè)和域管理員的本地登錄；從本地管理員組清除企業(yè)和域管理員組；禁止委托特權(quán)賬戶(hù)；審查活動(dòng)目錄用戶(hù)和計(jì)算機(jī)中的所有特權(quán)賬戶(hù)的屬性。

7.限制工作站之間的通信

這種方法的好處是減少哈希傳遞的技術(shù)，但設(shè)置難度較大，且有時(shí)會(huì)造成一些網(wǎng)絡(luò)中斷。準(zhǔn)許工作站之間的通信可以使網(wǎng)絡(luò)攻擊者輕易地?cái)U(kuò)展到多個(gè)系統(tǒng)，并可以在網(wǎng)絡(luò)內(nèi)建立一種有效的陣地，然后，攻擊者還可以建立進(jìn)出網(wǎng)絡(luò)的多種通信通道或后門(mén)，便于其日后的持久訪(fǎng)問(wèn)。

對(duì)攻擊者來(lái)說(shuō)，高價(jià)值的系統(tǒng)可能更難以訪(fǎng)問(wèn)和利用其漏洞，所以攻擊者會(huì)企圖在網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動(dòng)（從網(wǎng)絡(luò)內(nèi)的一個(gè)工作站跳轉(zhuǎn)到另一個(gè)工作站），其目標(biāo)是找到進(jìn)入這些目標(biāo)的方法。攻擊者可以使用多種方法在網(wǎng)絡(luò)中水平移動(dòng)，例如，他可以通過(guò)連接到工作站上一個(gè)開(kāi)放的保護(hù)不善的共享目錄，或者通過(guò)一種更具有破壞性的哈希傳遞方法。

所有實(shí)施單點(diǎn)登錄環(huán)境中都存在一種嚴(yán)重漏洞：哈希傳遞以及重新利用合法憑據(jù)的其它形式。例如，在Windows、Linux 7、Mac 8中。哈希傳遞可以使攻擊者再次利用合法的管理員或用戶(hù)憑據(jù)，從網(wǎng)絡(luò)上的一個(gè)系統(tǒng)移動(dòng)到另一個(gè)系統(tǒng)，卻無(wú)需破解口令。在攻擊者破壞了一臺(tái)主機(jī)后，他就可以重新利用竊取的哈希憑據(jù)進(jìn)而擴(kuò)展到網(wǎng)絡(luò)上的其它系統(tǒng)，訪(fǎng)問(wèn)特權(quán)用戶(hù)的工作站，獲取域管理員的登錄憑據(jù)，然后控制整個(gè)網(wǎng)絡(luò)環(huán)境。

利用防火墻規(guī)則限制通信，主要是設(shè)置Windows防火墻規(guī)則，特別是通過(guò)組策略防止工作站之間的通信。其關(guān)鍵是打開(kāi)并啟用Windows防火墻或類(lèi)似產(chǎn)品，還要設(shè)置防火墻，用以阻止非主動(dòng)請(qǐng)求的進(jìn)入連接。如果企業(yè)還使用了其它防火墻，還要對(duì)其進(jìn)行同樣的設(shè)置。

企業(yè)必須控制管理特權(quán)，即要實(shí)施最少特權(quán)的管理模式，僅授與用戶(hù)完成其工作所必需的特權(quán)，并通過(guò)限制特權(quán)憑證的使用方式和使用地點(diǎn)來(lái)實(shí)施保護(hù)。管理人員還要利用私有VLAN從邏輯上隔離網(wǎng)段，即通過(guò)端口限制實(shí)施私有VLAN。

8.隔離網(wǎng)絡(luò)和功能

網(wǎng)絡(luò)由具有不同功能、目的、敏感程度的互聯(lián)設(shè)備組成，網(wǎng)絡(luò)也可能由多個(gè)網(wǎng)絡(luò)分段組成，這些網(wǎng)段包含Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、開(kāi)發(fā)環(huán)境以及將不同部分連接起來(lái)的基礎(chǔ)設(shè)施。由于這些網(wǎng)段有不同的功能和安全問(wèn)題，所以正確地隔離不同的網(wǎng)段對(duì)于防止網(wǎng)絡(luò)遭受漏洞利用和惡意企圖非常重要。如果攻擊者能夠獲得訪(fǎng)問(wèn)，而網(wǎng)絡(luò)又沒(méi)有正確分段，他就能夠擴(kuò)展其訪(fǎng)問(wèn)，并在網(wǎng)絡(luò)中自由移動(dòng)。在將網(wǎng)絡(luò)隔離成小的部分并限制不同部分的通信時(shí)，攻擊者的訪(fǎng)問(wèn)范圍就受到了限制，而且他在網(wǎng)絡(luò)中橫向移動(dòng)也受到嚴(yán)格限制。

阻止入侵者進(jìn)一步訪(fǎng)問(wèn)網(wǎng)絡(luò)的能力對(duì)于保護(hù)敏感信息和更輕松地修復(fù)危害是至關(guān)重要的。限制設(shè)備的通信可以更好地監(jiān)視和發(fā)現(xiàn)入侵者從一個(gè)領(lǐng)域擴(kuò)展到另一個(gè)領(lǐng)域的企圖。

為此，筆者提供如下建議：

1.如果有可能盡可能從物理上隔離網(wǎng)段，敏感功能應(yīng)當(dāng)擁有與遠(yuǎn)程或可公共訪(fǎng)問(wèn)的Web環(huán)境相分離的基礎(chǔ)架構(gòu)中。

2.利用私有VLAN從邏輯上隔離網(wǎng)段。利用支持端口限制的私有VLAN，防止主機(jī)與同一子網(wǎng)上的其它主機(jī)通信。

3.利用VPN，建立通過(guò)公共或私有網(wǎng)絡(luò)的隧道，安全地?cái)U(kuò)展主機(jī)或網(wǎng)絡(luò)。

4.利用虛擬路由轉(zhuǎn)發(fā)（VRF）對(duì)虛擬基礎(chǔ)架構(gòu)上的網(wǎng)絡(luò)進(jìn)行分段，并且將網(wǎng)絡(luò)通信隔離成不同的區(qū)域。

5.在隔離的網(wǎng)絡(luò)和功能中保護(hù)敏感賬戶(hù)，限制這些特權(quán)賬戶(hù)和憑據(jù)可以進(jìn)一步阻止未授權(quán)的訪(fǎng)問(wèn)。

“千里之堤，毀于蟻穴”。SQL注入漏洞有可能被攻擊者利用來(lái)進(jìn)入并破壞整個(gè)企業(yè)的網(wǎng)絡(luò)資源。安全管理者只有防微杜漸，實(shí)施深度防御，從物理上和邏輯上雙管齊下，才能真正有效地保護(hù)網(wǎng)絡(luò)，真正將攻擊者阻擋于網(wǎng)絡(luò)之外。