陳澤坤 李正武 呂偉民 陳波 童亞拉

摘 要 隨著高校網(wǎng)站在高校教學(xué)、科研、行政辦公等方面發(fā)揮著越來越重要的作用，所面臨的安全問題越來越多，本文跟據(jù)高校網(wǎng)站安全現(xiàn)狀，提出一些行之有效的解決方案。

關(guān)鍵詞 高校網(wǎng)站安全 高校網(wǎng)站防護(hù)策略 網(wǎng)絡(luò)技術(shù)

中圖分類號(hào)：TP 309 ?文獻(xiàn)標(biāo)識(shí)：A

1高校網(wǎng)站安全現(xiàn)狀

網(wǎng)絡(luò)的飛速發(fā)展、網(wǎng)民數(shù)量的劇增以及日常生活的日益信息化，網(wǎng)站在生活中扮演了重要角色，同時(shí)，針對網(wǎng)站的攻擊也給網(wǎng)站帶來了極大的安全隱患。高校網(wǎng)站作為對外服務(wù)窗口，擁有獨(dú)立IP地址、域名和空間，各網(wǎng)站技術(shù)水平差異大，沒有網(wǎng)站群支持，更容易受黑客青睞，高校網(wǎng)站安全問題層出不窮。根據(jù)360互聯(lián)網(wǎng)安全中心公布的數(shù)據(jù)[1]，平均每個(gè)高校網(wǎng)站每天被攻擊 113 次（包括掃描等嘗試攻擊行為），被攻擊最多的網(wǎng)站最高可達(dá)每日上萬次。360網(wǎng)站安全檢測數(shù)據(jù)中，全國每天被篡改網(wǎng)站中，約20%是高校網(wǎng)站，解決高校網(wǎng)站安全問題刻不容緩。 目前，網(wǎng)站安全問題漸漸得到重視，各類研究成果發(fā)揮了重要作用，然而這些防護(hù)措施往往只能解決局部的問題。高校網(wǎng)站通常是由老師帶領(lǐng)學(xué)生來維護(hù)的，各種網(wǎng)站安全問題使學(xué)校網(wǎng)站安全工作難度加大不少。本文旨在找出高校網(wǎng)站存在的諸多安全隱患，并探討高效的解決對策。

2高校網(wǎng)站安全問題及成因全面分析

2.1硬件條件不足

部分高校由于網(wǎng)站投入經(jīng)費(fèi)有限，網(wǎng)站服務(wù)器的硬件配置，如CPU、芯片組、內(nèi)存、磁盤系統(tǒng)、網(wǎng)絡(luò)等硬件條件較差，導(dǎo)致服務(wù)器運(yùn)算能力、運(yùn)行可靠性、外部數(shù)據(jù)吞吐能力及服務(wù)器的穩(wěn)定性等不是很好，從而造成網(wǎng)站運(yùn)行不穩(wěn)定。

2.2存在多種安全漏洞

（1）操作系統(tǒng)web服務(wù)器系統(tǒng)漏洞;操作系統(tǒng)和web服務(wù)器系統(tǒng)存在多種漏洞，導(dǎo)致黑客攻擊，網(wǎng)站維護(hù)人員難以發(fā)現(xiàn)漏洞，及時(shí)維護(hù)。

（2）SQL注入漏洞;若網(wǎng)站對用戶輸入數(shù)據(jù)缺乏全面判斷或過濾不嚴(yán)格，黑客可以利用SQL語句在服務(wù)器上執(zhí)行惡意程序，黑客可根據(jù)服務(wù)器會(huì)反饋信息盜取網(wǎng)站信息。

（3）腳本執(zhí)行漏洞;主要原因是開發(fā)網(wǎng)站時(shí)對URL提交過濾考慮不足，某些惡意代碼可能隨用戶的URL一起提交，引起腳本攻擊。

（4）FTP/TCP/IP協(xié)議漏洞;由于FTP權(quán)限泄露或程序漏洞，網(wǎng)絡(luò)攻擊者在未經(jīng)授權(quán)的情況下更改網(wǎng)站服務(wù)器系統(tǒng)內(nèi)容進(jìn)而破壞服務(wù)器系統(tǒng)。

（5）IIS漏洞;如MDAC執(zhí)行本地命令漏洞、NT Site Sever Adsamples漏洞、ISMDLL緩沖截?cái)嗦┒础IS中的Unicode解析錯(cuò)誤等。

（6）腳本應(yīng)用程序漏洞;這類漏洞是用戶或代理人編寫的，由于編寫代碼者水平參差不齊，從而威脅網(wǎng)站安全。

2.3 網(wǎng)絡(luò)攻擊

2.3.1 蠕蟲、病毒和特洛伊木馬

網(wǎng)絡(luò)上的病毒可感染受信任主機(jī)，直接感染服務(wù)器或，可能滲入防火墻，侵襲高校網(wǎng)絡(luò)，這會(huì)對核心敏感數(shù)據(jù)造成嚴(yán)重威脅，甚至?xí)?dǎo)致網(wǎng)站服務(wù)中斷。

2.3.2 跨網(wǎng)站請求偽造

CSRF（Cross Site Request Forgeries）或XSRF，跨網(wǎng)站請求偽造。攻擊者偽造目標(biāo)用戶的HTTP請求，然后發(fā)送到存在CSRF漏洞的網(wǎng)站，網(wǎng)站執(zhí)行后，引發(fā)跨站請求偽造攻擊。攻擊者利用讓目標(biāo)用戶單擊此鏈接。由于用戶自己點(diǎn)擊，且擁有合法權(quán)限，所以能執(zhí)行特定HTTP鏈接，從而達(dá)到目的。

2.3.3 DDoS（Distributed Denial of Service）攻擊

DDoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，使服務(wù)器、網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)設(shè)備超負(fù)荷工作，從而導(dǎo)致系統(tǒng)癱瘓，是一種可造成大規(guī)模破壞的黑客武器。

2.3.4 借助系統(tǒng)命令進(jìn)行攻擊

該方法利用早期路由器對包的最大尺寸有限制，而且讀取包的標(biāo)題頭后，根據(jù)該標(biāo)題頭中信息，為有效載荷生成緩沖區(qū)，黑客便可利用內(nèi)存分配錯(cuò)誤的漏洞點(diǎn)，發(fā)動(dòng)攻擊。

2.3.5“破解密碼”實(shí)施攻擊

密碼破解指的是未經(jīng)授權(quán)登錄系統(tǒng)，采用各種方式計(jì)算或解出用戶口令的過程。攻擊者利用XIT、SLURPIE等程序，計(jì)算出登錄密碼，此時(shí)用戶并未察覺，防火墻無法發(fā)揮攔截功能，攻擊者能順利登錄計(jì)算機(jī)，創(chuàng)建管理員帳戶，快速植入后門程序等，當(dāng)用戶發(fā)現(xiàn)時(shí)，程序已植入到系統(tǒng)中。

2.3.6通過系統(tǒng)“應(yīng)用層”攻擊

程序員寫代碼時(shí)沒有發(fā)現(xiàn)并解決錯(cuò)誤，導(dǎo)致應(yīng)用程序暴露在隱式攻擊下。此時(shí)攻擊者可植入木馬程序，獲取該計(jì)算機(jī)上應(yīng)用程序賬戶的許可權(quán)，創(chuàng)建管理員帳戶，破壞應(yīng)用程序、數(shù)據(jù)。

2.3.7跨站腳本攻擊

攻擊者可借助Web網(wǎng)站存在XSS漏洞，攻擊瀏覽網(wǎng)頁的用戶，竊取用戶瀏覽會(huì)話中用戶名和密碼等敏感信息。用戶上網(wǎng)時(shí)會(huì)點(diǎn)擊鏈接，攻擊者在鏈接中插入惡意代碼，盜取用戶的信息。攻擊者常用十六進(jìn)制鏈接編碼，避免用戶懷疑合法性。網(wǎng)站接收到請求后，產(chǎn)成含有惡意代碼的頁面，但此頁面看上去與合法頁面一樣。

2.3.8同步（SYN）攻擊

是DOS攻擊的一種，它利用TCP協(xié)議缺陷，通過發(fā)送大量半連接請求。服務(wù)器接收到連接請求后，將此請求加入未連接隊(duì)列，并發(fā)送給客戶。服務(wù)器未收到確認(rèn)包時(shí)重發(fā)，直到超才將此請求從隊(duì)列刪除。由于源地址不存在，服務(wù)器不斷重發(fā)直至超時(shí)，這將長時(shí)間占用未連接隊(duì)列，使正常請求被丟棄，從而系統(tǒng)運(yùn)行緩慢，引起網(wǎng)絡(luò)堵塞甚至癱瘓。

2.3.9Web欺騙攻擊

就是打斷從被攻擊者主機(jī)到目標(biāo)服務(wù)器間的正常連接，建立從被攻擊者主機(jī)到攻擊者主機(jī)再到目標(biāo)服務(wù)器的連接。雖然被攻擊者主機(jī)的軟、硬件不會(huì)遭受損壞，但危害不可忽視。通過主機(jī)，攻擊者將獲知被攻擊者的一切行為。

2.3.10越權(quán)攻擊

這是由于應(yīng)用系統(tǒng)對權(quán)限沒有嚴(yán)格區(qū)別，用戶的文件權(quán)限過濾不嚴(yán)格而帶來的。

2.3.11表單繞過攻擊

Web網(wǎng)站用表單收集訪問者的用戶名和密碼，被發(fā)送到Web服務(wù)器處理，然后，服務(wù)器端ASP腳本根據(jù)這些信息生成SQL指令語句提交到SQL服務(wù)器，最后通過分析SQL服務(wù)器的返回結(jié)果判斷該用戶名和密碼組合是否有效。表單繞過攻擊也就是針對表單存在的安全漏洞，通過構(gòu)造某些畸形的特殊提交語句，繞過表單安全認(rèn)證的攻擊手段，屬于SQL注入。由于網(wǎng)站對用戶輸入的字符沒有做相應(yīng)的安全檢測，導(dǎo)致黑客在登陸表單時(shí)，可使用一些特殊字符，繞過認(rèn)證體系，從而擁有合法用戶的權(quán)限。

2.4安全意識(shí)和管理制度

2.4.1網(wǎng)絡(luò)安全意識(shí)淡薄

目前高校每個(gè)部門都配有電腦，但使用者安全防范意識(shí)和防范病毒能力較差，部分高校沒有把網(wǎng)絡(luò)安全知識(shí)向?qū)W生和教職工普及到位，導(dǎo)致網(wǎng)絡(luò)攻擊者以用戶為目標(biāo)入侵或破壞校園網(wǎng)。

2.4.2管理制度不完善

部分高校網(wǎng)站安全威脅來自管理者安全意識(shí)欠缺，管理機(jī)構(gòu)不健全，如管理員密碼被多人得知等安全隱患。

3高校網(wǎng)站防護(hù)策略探討

3.1高校網(wǎng)站防護(hù)策略

網(wǎng)站文件安全防護(hù)應(yīng)該是建站初始就應(yīng)考慮的問題：

（1）黑客攻擊網(wǎng)站，主要需要保護(hù)的是admin文件，里面包含后臺(tái)程序和數(shù)據(jù)庫，為做好防護(hù)工作必須做到不要在頁面上留下后臺(tái)入口鏈接，隱藏后臺(tái)文件夾;數(shù)據(jù)庫名字盡可能復(fù)雜，加大數(shù)據(jù)庫名字匹配難度;設(shè)置文件夾訪問權(quán)限，讓外網(wǎng)無法訪問后臺(tái)文件。

（2）網(wǎng)站的密碼保護(hù)要從四個(gè)方面著手：后臺(tái)密碼應(yīng)采用加密算法;數(shù)據(jù)庫設(shè)置密碼;空間域名的管理密碼要復(fù)雜，并常更換;改掉萬能密碼等。

（3）防注入代碼插入，黑客注入攻擊時(shí)會(huì)提示非法字符。

此外，為使網(wǎng)站防護(hù)能力得到提升，還須做到：WEB應(yīng)用防火墻策略，使用網(wǎng)絡(luò)協(xié)議分析技術(shù)，結(jié)合其它防護(hù)技術(shù)，對SQL注入、命令注入、目錄穿越、跨站點(diǎn)腳本攻擊等攻擊進(jìn)行有效防護(hù)。應(yīng)用層檢測技術(shù)防護(hù)策略，對HTTP協(xié)議參數(shù)進(jìn)行識(shí)別和防護(hù)，做到超精細(xì)度防護(hù)。對動(dòng)態(tài)、靜態(tài)網(wǎng)頁實(shí)時(shí)檢測與防護(hù)，對整個(gè)站點(diǎn)爬行檢測，發(fā)現(xiàn)頁面被篡改，采用重定向方式實(shí)現(xiàn)主動(dòng)恢復(fù)并警報(bào)，記錄防篡改日志。抗DDoS網(wǎng)關(guān)防護(hù)策略，針對TCP、HTTP等協(xié)議，定義各種防御閾值。通過流量自學(xué)習(xí)功能幫助管理員配置DoS策略，以適應(yīng)不同網(wǎng)絡(luò)環(huán)境。雙向過濾防護(hù)策略，針對源地址、源端口、目的端口、目的地址、協(xié)議類型進(jìn)行訪問控制，避免數(shù)據(jù)中心和服務(wù)器敏感信息暴露，降低以服務(wù)器作跳板的可能性。穩(wěn)定性防護(hù)策略，使用Bypass功能，在特殊情況下保持網(wǎng)絡(luò)暢通，消除在線產(chǎn)品的隱患。使用敏感詞監(jiān)控防護(hù)策略，針對某些關(guān)鍵字自定義過濾規(guī)則，維護(hù)高校形象。自定義防護(hù)策略，優(yōu)化http、URL、IP白名單、DNS、HTTP等，自定義設(shè)置。

總之，網(wǎng)站出現(xiàn)問題一般是黑客檢測到漏洞，從漏洞入侵服務(wù)器，做好日常維護(hù)，經(jīng)常更新網(wǎng)站服務(wù)器是最重要的保護(hù)策略。

3.2高校網(wǎng)站的防護(hù)細(xì)節(jié)

高校網(wǎng)站防護(hù)技術(shù)包括SQL攻擊防護(hù)、輸入有效性驗(yàn)證、錯(cuò)誤信息檢測、PL/SQL方法應(yīng)用、防御DDoS攻擊、典型的病毒攻擊和防范措施、典型的病毒攻擊和防范措施等，本文作者針對目前網(wǎng)站存在的主要問題，重點(diǎn)關(guān)注幾個(gè)防護(hù)細(xì)節(jié)。

3.2.1校園網(wǎng)硬件方面

首先，網(wǎng)絡(luò)結(jié)構(gòu)要設(shè)置合理。校園網(wǎng)一般采用核心、匯聚、接入三個(gè)網(wǎng)絡(luò)結(jié)構(gòu)層次，重要應(yīng)用系統(tǒng)應(yīng)設(shè)置成中立區(qū)。采用VLAN技術(shù)在交換局域網(wǎng)的基礎(chǔ)上，用網(wǎng)絡(luò)管理軟件劃分，如研究區(qū)、辦公區(qū)、教學(xué)區(qū)、宿舍區(qū)及安全區(qū)等，根據(jù)子網(wǎng)的安全程度合理布局，防止威脅的傳播。其次，采用高性能的網(wǎng)絡(luò)系統(tǒng)設(shè)備和安全設(shè)備。設(shè)置防火墻，發(fā)揮其過濾、NAT轉(zhuǎn)換、安全訪問控制等功能。第三，設(shè)置IPS。當(dāng)IPS和防火墻相互配合時(shí)，防范攻擊的效果十分強(qiáng)大。最后，要有充足的網(wǎng)絡(luò)帶寬，以保證網(wǎng)站訪問時(shí)的響應(yīng)速度。

3.2.2網(wǎng)絡(luò)安全策略設(shè)置方面

首先，建立嚴(yán)謹(jǐn)?shù)挠脩羯矸菡J(rèn)證機(jī)制，嚴(yán)格驗(yàn)證用戶登錄;其次，設(shè)置訪問控制，主要任務(wù)是讓網(wǎng)絡(luò)資源不被非法使用和非正常訪問。再次，加強(qiáng)系統(tǒng)優(yōu)化，及時(shí)更新系統(tǒng)補(bǔ)丁和過濾軟件，關(guān)閉不必要的服務(wù)。此外限制同時(shí)打開的SYN半連接數(shù)目、縮短SYN半連接的timeout時(shí)間等。

3.2.3網(wǎng)絡(luò)管理方面

首先，健全安全管理體制，建立校園網(wǎng)絡(luò)安全管理維護(hù)團(tuán)隊(duì)，加強(qiáng)相關(guān)人員的技術(shù)培訓(xùn)，提前準(zhǔn)備應(yīng)急處理方案。其次，定期檢查及備份網(wǎng)絡(luò)，做好日志記錄，檢測網(wǎng)絡(luò)服務(wù)器訪問情況等。再次，加強(qiáng)校園網(wǎng)用戶的安全意識(shí)，加強(qiáng)病毒防范，經(jīng)常進(jìn)行系統(tǒng)升級(jí)更新。另外，經(jīng)常調(diào)試網(wǎng)絡(luò)安全設(shè)備并不斷改進(jìn)安全策略，以適應(yīng)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化。

4總結(jié)與展望

高校網(wǎng)絡(luò)安全面臨的壓力依然加大，形勢仍舊嚴(yán)峻。本文從高校網(wǎng)站安全現(xiàn)狀出發(fā)，詳細(xì)分析高校網(wǎng)站安全問題及其成因，探討了相應(yīng)的對策，并給出了網(wǎng)站軟、硬件及管理方面的重要防護(hù)細(xì)節(jié)。

基金項(xiàng)目：湖北省教育廳人文社科重點(diǎn)項(xiàng)目（14D022）;湖北工業(yè)大學(xué)校2014年教研項(xiàng)目

參考文獻(xiàn)

[1] 何斌穎.網(wǎng)站安全解決方案[A].2010，08：（174-177）

[2] 曾曉杰，周再紅.高校校園網(wǎng)DDoS攻擊防范措施研究[A].電腦知識(shí)與技術(shù)，2014，（20）：4719-4717.