高校網(wǎng)站安全分析及對策

時間:2022-05-11 08:54:56

導語:高校網(wǎng)站安全分析及對策一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

高校網(wǎng)站安全分析及對策

摘要:本文通過對高校網(wǎng)站安全風險的分析和探討,以高校非站群網(wǎng)站建設為背景,提出了安全防護對策,以保障高校網(wǎng)站信息的安全,從而更好地服務于廣大師生。

關(guān)鍵詞:網(wǎng)站安全,安全威脅,安全防護對策

1高校網(wǎng)站安全風險概述及分析

2016年3月18日的《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016年)》指出:2015年,針對中國網(wǎng)站的仿冒頁面(URL鏈接)191699個,較2014年增長85.7%,涉及IP地址20488個,較2014年增長199.4%。網(wǎng)頁篡改、網(wǎng)站后門等攻擊事件層出不窮,黨政機關(guān)、科研機構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點目標。2015年被植入后門的中國網(wǎng)站數(shù)量為75028個,較2014年增長86.7%[1]。一旦網(wǎng)站被掛馬或被植入廣告鏈接、釣魚詐騙,可能會造成隱私數(shù)據(jù)被竊取、業(yè)務中斷等不良影響,不僅會侵害社會公眾的利益,而且可能會使單位形象受到損失。可見,高校網(wǎng)站的安全形勢相當嚴峻。高校網(wǎng)站安全性差,主要歸納為以下幾點。1.1網(wǎng)站設計風格各異,開發(fā)環(huán)境、語言不統(tǒng)一,管理困難,程序存在漏洞。最常見的網(wǎng)站被攻擊方式有以下幾種:(1)SQL注入。高校網(wǎng)站被攻擊方式中SQL注入[3]是最主要的風險,占黑客攻擊數(shù)量的63%。據(jù)介紹,SQL注入攻擊主要是利用網(wǎng)站系統(tǒng)漏洞,黑客通過向網(wǎng)站提交的SQL查詢語句,非法獲取網(wǎng)站數(shù)據(jù)庫中的敏感信息(如用戶名、密碼等),從而直接上傳后門文件,篡改網(wǎng)頁內(nèi)容,修改數(shù)據(jù)庫數(shù)據(jù)等一系列嚴重后果。(2)跨站腳本。攻擊者通過偽造請求,模仿用戶提交表單的行為,將看上去來源可靠的鏈接中惡意嵌入代碼,從而達到修改用戶的數(shù)據(jù),執(zhí)行特定任務的目的。(3)上傳文件。攻擊者利用應用程序(如FTP等)上傳惡意代碼,當客戶端執(zhí)行時從而對網(wǎng)站造成破壞。(4)HttpHeads攻擊。WEB網(wǎng)站無論采用何種技術(shù)和框架,都會用到HTTP協(xié)議,攻擊者通過HT-TP協(xié)議在Responseheader和content之間注入任意字符,從而攻擊網(wǎng)站,如執(zhí)行腳本語句、篡改cookies等。除網(wǎng)站程序開發(fā)上的漏洞外,高校網(wǎng)站還常存在網(wǎng)站管理上的問題。很多高校網(wǎng)站基于windowsserver系統(tǒng),借助IIS為網(wǎng)站服務器,將幾十個甚至上百個網(wǎng)站放置在相同目錄下,然而,不同的網(wǎng)站文件夾權(quán)限設置[4]卻相同。網(wǎng)站文件夾權(quán)限設置不合理很可能也會引起網(wǎng)站數(shù)據(jù)被篡改,從而導致網(wǎng)站被掛馬或被植入廣告鏈接等。1.2服務器系統(tǒng)、軟件存在漏洞。無論是WindowsServer還是Linux、Unix操作系統(tǒng),都有可能存在漏洞,如不及時修復、更新、安裝補丁程序,系統(tǒng)隨時會受到威脅。同時,服務器配置上的不完善也會成為被攻擊的對象,如權(quán)限設置不嚴謹,管理員賬號用戶名、密碼為空等;沒有關(guān)閉不必要的服務;共享文件夾不設置相應的權(quán)限;所有主機都可以Telnet到服務器等。運行在服務器上的軟件也可能存在版本過低,非正版軟件等一系列問題,也會產(chǎn)生漏洞[5-7]。1.3網(wǎng)絡安全設備缺失。有的高校存在對網(wǎng)絡安全不夠重視,如網(wǎng)絡設備陳舊,數(shù)量和性能上不能滿足要求,更沒有網(wǎng)絡安全檢測和防護設備。即使大多高校網(wǎng)絡出口都配備了防火墻,仍不能保證網(wǎng)絡安全萬無一失,因為仍有很多攻擊行為可以繞過防火墻,如數(shù)據(jù)驅(qū)動攻擊等。1.4日常維護不到位,安全意識薄弱。網(wǎng)站管理部門安全制度的缺失,管理人員安全意識不高或技術(shù)水平有限,對網(wǎng)站安全防范技術(shù)不了解,使日常維護不到位。此外,網(wǎng)站管理部門對眾多二級網(wǎng)站的管理無法做到無死角防護,導致網(wǎng)站發(fā)生問題時,網(wǎng)站管理部門工作被動,與網(wǎng)站歸屬部門發(fā)生安全責任推諉[8]。

2高校網(wǎng)站安全防護對策

面臨高校網(wǎng)站如此嚴峻的安全威脅,做好安全防護應主要從以下幾個方面進行。2.1統(tǒng)一建設、規(guī)范管理,嚴防程序漏洞。就作者所在院校二級網(wǎng)站建設來說分為:統(tǒng)一建設和各部門自建。無論哪種方式建設都規(guī)定了相應的規(guī)范,采用統(tǒng)一的開發(fā)語言和數(shù)據(jù)庫,避免開發(fā)語言和程序混亂的情況的發(fā)生,對二級網(wǎng)站采取統(tǒng)一的管理的方式。從而規(guī)范了程序開發(fā)時對用戶輸入數(shù)據(jù)的驗證以及數(shù)據(jù)的大小、類型,并限制應用程序編程接口函數(shù)對系統(tǒng)資源、服務器資源的使用,從而防止系統(tǒng)和服務器遭受攻擊。針對開發(fā)上最常見的網(wǎng)站被攻擊方式采取以下措施:(1)防SQL注入。參數(shù)化SQL語句,通過設計與數(shù)據(jù)庫鏈接和訪問數(shù)據(jù)時,使用參數(shù)給值,用@表示參數(shù);字符串過濾和使用正則表達式過濾參數(shù)等方法;屏蔽服務器異常信息。(2)防止跨站腳本攻擊(XSS)。常見解決方法:輸入過濾,對用戶的輸入或者請求的頭部進行過濾。編程者要有良好的安全意識,對所有的輸入源進行覆蓋,但不可以阻止其他問題,如錯誤提示等。輸出過濾或者安裝第三方應用防火墻,攔截css攻擊以可以做到有效的防止跨站腳本攻擊。(3)當上傳文件[9]時,過濾文件擴展名,將不在允許訪問的擴展名列表之內(nèi)的文件,拒絕其訪問。對于文件內(nèi)容的攻擊則無法用文件名過濾來排除,只能通過掃描其文件內(nèi)容來識別。(4)防止HttpHeads攻擊。過濾所有的re-sponseheaders,除去header中出現(xiàn)的非法字符,尤其是CRLF。規(guī)范管理主要體現(xiàn)在:通過IIS設置,刪除默認站點及默認目錄,創(chuàng)建自己的網(wǎng)站目錄,并為各二級網(wǎng)站分配各自的FTP賬號和密碼、IIS瀏覽賬號和密碼及獨立的應用程序池,同時對文件訪問設置權(quán)限,如靜態(tài)網(wǎng)站只可讀取,不可寫入;為動態(tài)網(wǎng)站含有數(shù)據(jù)庫的文件夾,設置讀寫權(quán)限。這樣即使某個網(wǎng)站受到攻擊時其他網(wǎng)站不會受到牽連。此外,信息技術(shù)中心應定期對各網(wǎng)站管理人員進行培訓,宣講信息安全知識,提高各二級單位網(wǎng)站管理人員的網(wǎng)絡安全意識,科學、合理地設置網(wǎng)站管理員的用戶名和密碼,規(guī)范網(wǎng)站日常信息添加、上傳文件等操作。2.2網(wǎng)站服務器系統(tǒng)安全配置。通過Windows自動更新或者輔助軟件,定時升級操作系統(tǒng)安全補丁,同時為確保系統(tǒng)地安全穩(wěn)定性,及時升級操作系統(tǒng)的版本。關(guān)閉或刪除網(wǎng)站服務器系統(tǒng)中不必要的服務端口,盡可能地少使用Telnet、磁盤服務等功能,從而減少被攻擊的可能性。修改管理員用戶名及設置復雜的登錄密碼,定期更換密碼,關(guān)閉Guest用戶。安裝殺毒軟件,及時更新補丁程序,定時查殺病毒和木馬。及時更新Web服務器上的相關(guān)軟件的版本[10]。2.3配備網(wǎng)絡安全設備。在網(wǎng)絡安全防護上,配備硬件防火墻、虛擬專用網(wǎng)、入侵檢測系統(tǒng)等網(wǎng)絡安全設備也是很有力的安全防護手段。硬件防火墻將內(nèi)網(wǎng)與外網(wǎng)之間建立了一個安全網(wǎng)關(guān),有效地保障了內(nèi)網(wǎng)免受非法用戶的入侵,同時,防火墻還可以記錄Internet上的活動,通過日志記錄信息,管理員可以有效地監(jiān)測和跟蹤服務器的通信量及試圖闖入者的任何企圖。對發(fā)生可疑動作時,防火墻還可以進行適當?shù)膱缶?。虛擬專用網(wǎng)(VPN)是在公用網(wǎng)絡上建立專用網(wǎng)絡,通過通訊加密,從而保障網(wǎng)絡訪問的安全性。學校通過VPN接入方式為校園網(wǎng)用戶提供了公網(wǎng)訪問校內(nèi)網(wǎng)絡應用系統(tǒng)的途徑。當校園網(wǎng)用戶出差在外、或不在學校辦公和教學區(qū)時,用戶只要在能上公網(wǎng)的地方,使用相應的VPN軟件和申請的賬號,就可以接入到校園網(wǎng)中,訪問校園網(wǎng)中的網(wǎng)絡資源或進行網(wǎng)絡辦公。方便用戶的同時也有利地保障了網(wǎng)絡安全。入侵檢測系統(tǒng)(IDS)具有網(wǎng)絡監(jiān)視功能,通過分析網(wǎng)絡中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件的類型,檢測非法的網(wǎng)絡行為,對異常的網(wǎng)絡流量進行報警。通過入侵檢測系統(tǒng)網(wǎng)絡管理人員能夠更好地掌握系統(tǒng)的情況,追蹤攻擊者的攻擊線路抓住肇事者,從而使現(xiàn)有的安全防護體系更完善。2.4加強網(wǎng)站日常維護。安排和配置專業(yè)技術(shù)人員從事網(wǎng)站的日常管理維護工作,加強對網(wǎng)絡、網(wǎng)站服務器、網(wǎng)絡安全設備、殺毒軟件、防火墻等的維護和升級。同時,制定嚴格的規(guī)章制度,責任要落實到人,管理要到位,建立建全安全應急響應和處理預案。此外,采取多種備份方式并定期備份系統(tǒng)和網(wǎng)站數(shù)據(jù),以便出現(xiàn)問題時能及時恢復。定期檢查服務器日志,檢查服務器及網(wǎng)站運行狀態(tài),發(fā)現(xiàn)網(wǎng)站異?;蛴腥肭脂F(xiàn)象,進行即時的安全處理,防止問題進一步擴大。

3結(jié)語

隨著信息安全技術(shù)不斷發(fā)展,高校網(wǎng)站面臨的安全威脅也在不斷變化中,為保障正常的教學、管理,應不斷地提高網(wǎng)站建設水平,加強網(wǎng)站安全防護,增強網(wǎng)絡專業(yè)技術(shù)人員的技術(shù)水平和安全防護意識,從而才能將網(wǎng)站安全威脅降至最低,保障其正常平穩(wěn)地運行。

作者:耿娟平 單位:北華航天工業(yè)學院