祝虹　許開(kāi)維

[摘 要] 本文著重介紹了Web應(yīng)用防火墻在自主學(xué)習(xí)信息系統(tǒng)中的應(yīng)用，對(duì)自主學(xué)習(xí)信息系統(tǒng)的安全現(xiàn)狀和防護(hù)策略也作了簡(jiǎn)單的描述，實(shí)踐證明，Web應(yīng)用防火墻的使用對(duì)提高自主學(xué)習(xí)信息系統(tǒng)的安全性和穩(wěn)定性起到了很好的防護(hù)作用。

[關(guān)鍵詞] Web應(yīng)用防火墻；安全漏洞；安全檢測(cè)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 22. 055

[中圖分類號(hào)] TP308 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）22- 0086- 03

0 引 言

隨著近年來(lái)各高校網(wǎng)站不斷曝光的Web應(yīng)用被攻擊事件，暴露出Web信息系統(tǒng)中存在有安全漏洞[1-2]。黑客把Web 應(yīng)用數(shù)據(jù)和程序作為頭號(hào)攻擊目標(biāo)，我校的自主學(xué)習(xí)信息系統(tǒng)，同樣，受到各種安全威脅的困擾，Web應(yīng)用防火墻的使用，有效地阻斷了系統(tǒng)網(wǎng)站被攻擊、數(shù)據(jù)被篡改、竊取、駐留木馬、傳播病毒等破壞活動(dòng)。提高校園自主學(xué)習(xí)系統(tǒng)網(wǎng)站的安全性，因此，保障校園自主學(xué)習(xí)系統(tǒng)的正常運(yùn)行，是我們系統(tǒng)管理人員必須探討的課題。

1 校園自主學(xué)習(xí)信息系統(tǒng)安全現(xiàn)狀

校園自主學(xué)習(xí)信息系統(tǒng)多采用 B/S架構(gòu)，在Web 應(yīng)用訪問(wèn)中，多數(shù)應(yīng)用的是動(dòng)態(tài)而非靜態(tài)的網(wǎng)頁(yè)瀏覽，于是校園自主學(xué)習(xí)網(wǎng)站也成為黑客或惡意程序首選的攻擊目標(biāo)，造成數(shù)據(jù)丟失、網(wǎng)站內(nèi)容篡改等威脅，如果ASP、PHP、JSP等程序語(yǔ)言的開(kāi)發(fā)人員安全意識(shí)不強(qiáng)，對(duì)相關(guān)程序參數(shù)輸入檢查不嚴(yán)格，就會(huì)導(dǎo)致Web網(wǎng)站出現(xiàn)很多安全漏洞。根據(jù)調(diào)研，一般有在下列幾個(gè)方面的問(wèn)題[2-3]：

1.1 SQL注入漏洞

由于Web信息系統(tǒng)的應(yīng)用程序?qū)μ峤坏臄?shù)據(jù)過(guò)濾不嚴(yán)格，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行相應(yīng)判斷[3-4]，導(dǎo)致惡意人員在訪問(wèn)網(wǎng)頁(yè)時(shí)構(gòu)造特定的參數(shù)，實(shí)現(xiàn)非法修改。進(jìn)而獲取后臺(tái)數(shù)據(jù)庫(kù)保存的敏感信息。最終使得運(yùn)行數(shù)據(jù)庫(kù)的主機(jī)被控制。

1.2 信息泄露漏洞

有些Web信息服務(wù)沒(méi)有認(rèn)真處理好用戶提交的特殊請(qǐng)求，如用戶名、密碼等關(guān)鍵信息。導(dǎo)致用戶信息泄露。

1.3 Web管理后臺(tái)asp漏洞

網(wǎng)站系統(tǒng)的Web管理后臺(tái)配置不當(dāng)，黑客可以從互聯(lián)網(wǎng)上侵入信息系統(tǒng)的內(nèi)核。導(dǎo)致重要信息泄露。

1.4 跨站腳本攻擊（XSS）

把用戶輸入的未經(jīng)過(guò)濾或編碼的數(shù)據(jù)直接發(fā)送給瀏覽器，XSS會(huì)導(dǎo)致攻擊者在受害者的瀏覽器中執(zhí)行腳本程序，這些腳本程序可以借此用戶的會(huì)話，修改網(wǎng)頁(yè)甚至傳播蠕蟲(chóng)。JavaSCript、vBSCript、ActiveX、HTML、orFlash都可以注入到存在漏洞 如：網(wǎng)頁(yè)掛馬、釣魚(yú)攻擊等[5-6]。

1.5 網(wǎng)頁(yè)篡改的攻擊

由于網(wǎng)絡(luò)管理人員的疏忽，對(duì)操作系統(tǒng)的漏洞未及時(shí)打好補(bǔ)丁，導(dǎo)致攻擊者通過(guò)系統(tǒng)漏洞對(duì)網(wǎng)站進(jìn)行攻擊，而被植入木馬，產(chǎn)生非授權(quán)訪問(wèn)，泄露敏感信息。破壞系統(tǒng)文件。

1.6 跨站請(qǐng)求偽造CSRF

黑客利用他人與服務(wù)器進(jìn)行數(shù)據(jù)交互時(shí)，將惡意腳本隱藏在提交的數(shù)據(jù)中，從而達(dá)到篡改服務(wù)器正常頁(yè)面響應(yīng)。竊取用戶敏感信息目的。

上述幾項(xiàng)漏洞中，比較嚴(yán)重的當(dāng)屬SQL注入漏洞所造成的危害最為常見(jiàn)。SQL注入攻擊在Web攻擊中通過(guò)本地跨站腳本攻擊、反射跨站腳本攻擊、持久跨站腳本攻擊等方式，構(gòu)造出巧妙的SQL語(yǔ)句，與網(wǎng)頁(yè)提交的正常內(nèi)容結(jié)合并進(jìn)行注入攻擊，先探測(cè)網(wǎng)站是否存在注入漏洞，若存在則獲得后臺(tái)數(shù)據(jù)庫(kù)類型，進(jìn)而獲取系統(tǒng)表信息、列信息，最終取得數(shù)據(jù)信息[7-9]。

2 校園自主學(xué)習(xí)系統(tǒng)安全威脅產(chǎn)生的原因

（1）自主學(xué)習(xí)系統(tǒng)服務(wù)器缺乏有效的網(wǎng)絡(luò)安全防護(hù)策略，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等；

（2）自主學(xué)習(xí)系統(tǒng)服務(wù)器自身的安全配置存在不足，如安全策略設(shè)置為到達(dá)安全基線標(biāo)準(zhǔn)，未及時(shí)安裝系統(tǒng)補(bǔ)丁、存在空口令或弱口令等[6-7]；

（3）網(wǎng)絡(luò)協(xié)議具有開(kāi)放性，本身安全性不高，而開(kāi)發(fā)軟件系統(tǒng)時(shí)未采取適當(dāng)措施以克服其不足；

（4）自主學(xué)習(xí)系統(tǒng)的管理人員技術(shù)水平不足或安全意識(shí)薄弱，導(dǎo)致安全配置不當(dāng)或系統(tǒng)未及時(shí)升級(jí)，容易造成安全漏洞[7-9]；

（5）在應(yīng)用系統(tǒng)編碼的開(kāi)發(fā)設(shè)計(jì)期間，未考慮安全問(wèn)題或考慮不全面，導(dǎo)致出現(xiàn)更多的安全缺陷和漏洞，使得系統(tǒng)更容易遭受外部攻擊；

（6）未建立完善的安全管理制度，或者安全制度未嚴(yán)格落實(shí)到位，導(dǎo)致系統(tǒng)缺乏完善的安全防護(hù)體系。

3 Web應(yīng)用防火墻簡(jiǎn)介

Web 應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱WAF）是一種Web信息安全防護(hù)技術(shù)，與傳統(tǒng)防火墻不同，WAF工作在OSI的第七層即應(yīng)用層，在網(wǎng)絡(luò)中一般位于Web應(yīng)用服務(wù)器前，是一種具有獨(dú)特的保護(hù)Web 應(yīng)用服務(wù)器安全的技術(shù)。對(duì)目前常見(jiàn)的SQL注入攻擊、緩沖溢出攻擊、日志篡改、應(yīng)用平臺(tái)漏洞攻擊、https類攻擊、DOS攻擊等都能予以實(shí)時(shí)拒絕和阻斷，保護(hù)了各類網(wǎng)站群的安全運(yùn)行。

Web 應(yīng)用防火墻的功能：

（1）Web應(yīng)用的防護(hù)；

（2）Web信息系統(tǒng)文件的保護(hù)；

（3）信息系統(tǒng)的網(wǎng)頁(yè)掛馬和漏洞的檢測(cè)；

（4）信息系統(tǒng)的網(wǎng)頁(yè)篡改的檢測(cè)；

（5）Web應(yīng)用的審計(jì)；

（6）管理人員可在Web應(yīng)用防火墻上直接管理， 提高了系統(tǒng)安全的可操作性。

4 Web應(yīng)用防火墻對(duì)自主學(xué)習(xí)系統(tǒng)的防護(hù)

Web應(yīng)用防火墻（簡(jiǎn)稱：WAF）一般部署在自主學(xué)習(xí)系統(tǒng)服務(wù)器和防火墻之間，通過(guò)制定 WAF的安全策略，對(duì)流經(jīng) WAF 的 Web 數(shù)據(jù)流進(jìn)行深度檢測(cè)，發(fā)現(xiàn)可疑數(shù)據(jù)立即阻斷和報(bào)警，進(jìn)而保證系統(tǒng)的正常進(jìn)行。其具體策略為以下幾方面。

4.1 Web應(yīng)用防火墻的部署與安全防護(hù)

采用混合加密部署模式將WAF 部署在自主學(xué)習(xí)系統(tǒng)的服務(wù)器前端，它的工作原理是將原來(lái)由Web服務(wù)器完成的SSL加密、解密工作，現(xiàn)在交給WAF來(lái)完成，即由WAF執(zhí)行SSL加密、解密工作，因此需要將原來(lái)Web服務(wù)器上的SSL證書導(dǎo)入到WAF中，同時(shí)將Web服務(wù)器上的HTTP服務(wù)端口開(kāi)啟，比如80端口。這樣可以對(duì)數(shù)據(jù)流進(jìn)行分析，阻止可疑的端口掃描、SQL注入、惡意信息流，達(dá)到防護(hù)學(xué)習(xí)系統(tǒng)服務(wù)器的 HTTP、HTTPS 等應(yīng)用安全的目的[10]。

4.2 WAF具有過(guò)濾輸出的防護(hù)

通常情況下，信息系統(tǒng)服務(wù)器的報(bào)錯(cuò)信息會(huì)暴露網(wǎng)站的絕對(duì)或相對(duì)路徑、網(wǎng)站部分源碼、SQL語(yǔ)句信息等，WAF自動(dòng)對(duì)回顯的錯(cuò)誤信息進(jìn)行過(guò)濾，禁止外界可以看到服務(wù)器報(bào)錯(cuò)信息，這樣能夠有效地對(duì)數(shù)據(jù)庫(kù)內(nèi)部信息進(jìn)行防護(hù)。

4.3 自主學(xué)習(xí)信息系統(tǒng)程序的編碼安全

自主學(xué)習(xí)信息系統(tǒng)盡管有比較完備防火墻和入侵檢測(cè)系統(tǒng)，但如果Web應(yīng)用程序的編碼出現(xiàn)安全漏洞，同樣能夠威脅到Web信息系統(tǒng)的安全。諸如asp后門編碼就可以輕易侵入自主學(xué)習(xí)信息系統(tǒng)，而這種編程漏洞是在程序開(kāi)發(fā)設(shè)計(jì)過(guò)程中缺乏嚴(yán)謹(jǐn)性造成的。在系統(tǒng)的開(kāi)發(fā)過(guò)程中需要不斷檢測(cè)系統(tǒng)存在的安全漏洞并及時(shí)修復(fù)，主要有：登陸驗(yàn)證漏洞、 SQL注入漏洞、代碼注入漏洞、源代碼泄露、文件上傳的漏洞等。

4.4 自主學(xué)習(xí)系統(tǒng)中的數(shù)據(jù)庫(kù)安全性

4.4.1 杜絕數(shù)據(jù)庫(kù)文件被下載

在一些應(yīng)用系統(tǒng)中常常采用Access作為數(shù)據(jù)庫(kù)，若黑客侵入到學(xué)習(xí)系統(tǒng)服務(wù)器系統(tǒng)中，就有可能猜測(cè)到數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和文件名，則該數(shù)據(jù)庫(kù)文件就可能被下載，數(shù)據(jù)庫(kù)文件也就被泄密。為防止數(shù)據(jù)庫(kù)被下載可采取有效的方法是：對(duì)數(shù)據(jù)庫(kù)文件不規(guī)則命名或使用ODBC數(shù)據(jù)源

4.4.2 對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密

數(shù)據(jù)是整個(gè)信息系統(tǒng)的核心，為確保數(shù)據(jù)庫(kù)的完整和安全，可采用數(shù)據(jù)庫(kù)備份和日志管理分析、數(shù)據(jù)庫(kù)多重加密、存取控制，同時(shí)可以對(duì)數(shù)據(jù)的操作進(jìn)行安全保護(hù)，對(duì)其算法進(jìn)行加密操作。充分地利用DBMS所提供的各種安全服務(wù)，以確保數(shù)據(jù)庫(kù)的安全。

5 結(jié)束語(yǔ)

要保證校園自主學(xué)習(xí)信息系統(tǒng)的安全性，在設(shè)計(jì)和開(kāi)發(fā)Web應(yīng)用程序時(shí)，就必須采取各種安全技術(shù)措施和手段以加強(qiáng)其安全性，引入Web應(yīng)用防火墻技術(shù)對(duì)保證Web信息系統(tǒng)正確安全地運(yùn)行有著極其重要的作用。因此，在開(kāi)放的互聯(lián)網(wǎng)環(huán)境中，有效運(yùn)用Web防護(hù)技術(shù)，保障自主學(xué)習(xí)系統(tǒng)能正確安全地運(yùn)行是我們校園網(wǎng)絡(luò)管理者的職責(zé)所在。

主要參考文獻(xiàn)

[1]羅鵬飛，王映暉. 基于 Hibernate 的數(shù)據(jù)訪問(wèn)框架擴(kuò)展點(diǎn)研究[J].計(jì)算機(jī)工程，2010，36 （12）： 100-103.

[2]戴詩(shī)發(fā). 校園網(wǎng)SQL注入攻擊與防范技術(shù)研究[J]. 昆明理工大學(xué)學(xué)報(bào)：理工版，2005，30（3）：72-75.

[3]羅福強(qiáng).Web應(yīng)用程序設(shè)計(jì)實(shí)用教程[M].北京：清華大學(xué)出版社，2010.

[4]王永紅. 基于中間件的數(shù)字化養(yǎng)殖實(shí)驗(yàn)平臺(tái)研究與設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2010，29（10） ： 191-194.

[5]馬恒太.Web服務(wù)安全[M].北京：電子工業(yè)出版社，2007.

[6]祝智庭.中國(guó)教育信息化十年[J]. 中國(guó)電化教育，2011（1）： 20-25.

[7]白銀，曹梅. 國(guó)內(nèi)教育網(wǎng)站評(píng)價(jià)研究概述 [J]. 現(xiàn)代教育技術(shù)，2011（1） ：107-111.

[8]劉宗田.Web站點(diǎn)安全與防火墻技術(shù)[M].北京：機(jī)械工業(yè)出版社，2007.

[9]張鴻軍，張新剛. 數(shù)字化校園中典型安全問(wèn)題分析及防御對(duì)策[J]. 中國(guó)電化教育，2009（ 6） ： 113-116.

[10]李莉，翟征德.一種基于Web應(yīng)用防火墻的主動(dòng)安全加固方案[J].計(jì)算機(jī)工程與應(yīng)用，2011，47（25）：104-106.