文/李先毅

看新模式如何破解Web安全老大難

文/李先毅

編者按：

高校網(wǎng)站的首要特點是五花八門，百花齊放。為應(yīng)對這個問題，各個學(xué)校出了不少招。主流的方式就是反向代理服務(wù)器和網(wǎng)站群的應(yīng)用。如中國人民大學(xué)采用域名解析與反向代理服務(wù)器配合，凡是不進(jìn)行校內(nèi)備案的子域名，一律解析成校內(nèi)地址，不允許對外服務(wù)。江南大學(xué)的做法是采取網(wǎng)站群的管理方式，各學(xué)院、部門網(wǎng)站納入網(wǎng)站群管理，原則上不自建網(wǎng)站，新建網(wǎng)站必須進(jìn)入網(wǎng)站群。

在一些非主流方式上，上海海事大學(xué)采用了虛擬機(jī)的保障，這種方式對本校技術(shù)力量的要求比較高。同時，該校也在積極研究如何通過對內(nèi)容的管理保障網(wǎng)站安全。大連理工大學(xué)則采用SAAS云平臺思路，完全放棄了傳統(tǒng)的開發(fā)建設(shè)模式。

在網(wǎng)站安全中，漏洞發(fā)現(xiàn)與管理是一個核心問題也是技術(shù)難點。我們也將分享如何進(jìn)行漏洞管理以及對漏洞進(jìn)行等級劃分。

期待這些探討能給高校網(wǎng)站安全工作帶來新的思路。

網(wǎng)站安全問題日益突出

由于高校自身特點，高校中各類組織、人員存在大量網(wǎng)站建設(shè)需求，而學(xué)校在相當(dāng)長的一段時間內(nèi)基本沒有統(tǒng)一的校內(nèi)網(wǎng)站管理措施，規(guī)范校內(nèi)各類網(wǎng)站建設(shè)，造成高校網(wǎng)站建設(shè)長期處于“小、散、亂”的狀態(tài)。其中網(wǎng)站安全問題是比較突出的問題之一，傳統(tǒng)的網(wǎng)站安全技術(shù)并不高深，這些“小”網(wǎng)站的安全問題通常被看做網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的“小”問題。但就是這些“小”問題，往往會產(chǎn)生大影響，直接威脅學(xué)校網(wǎng)絡(luò)信息安全整體。

大連理工大學(xué)網(wǎng)站安全建設(shè)也經(jīng)歷了一個曲折復(fù)雜的過程的，在2002年前，由于網(wǎng)絡(luò)資源少，學(xué)校鼓勵各類網(wǎng)站的建設(shè)，當(dāng)時的校園網(wǎng)給普通用戶提供了開放的互聯(lián)網(wǎng)實IP地址，在管理上僅開展了域名登記管理。之后校內(nèi)網(wǎng)站建設(shè)進(jìn)入“大躍進(jìn)”階段，校內(nèi)各部門、院系、科研機(jī)構(gòu)甚至項目組、個人都紛紛建立各自需要的網(wǎng)站，網(wǎng)絡(luò)中心也適時地推出數(shù)據(jù)中心服務(wù)，并在2007年進(jìn)行了虛擬化升級，解決了數(shù)據(jù)中心的技術(shù)和資源瓶頸，同時在網(wǎng)站建設(shè)技術(shù)上對校內(nèi)進(jìn)行了一定引導(dǎo)、建立了相應(yīng)的技術(shù)規(guī)范。但隨著網(wǎng)站數(shù)量越來越多，近千個Web網(wǎng)站和Web應(yīng)用其使用的開發(fā)語言及軟件環(huán)境五花八門、開發(fā)人員素質(zhì)參差不齊、運維人員嚴(yán)重不足，而學(xué)校又缺少信息安全相應(yīng)的資金、設(shè)備，網(wǎng)絡(luò)中心管理職能不足，校內(nèi)網(wǎng)站的安全建設(shè)和管理基本處于瀕臨失控的狀態(tài)。從2010年起，校內(nèi)網(wǎng)站安全問題日益突出，網(wǎng)站安全事件數(shù)量占網(wǎng)絡(luò)信息事件總數(shù)量比例居高不下（具體數(shù)據(jù)見圖1），成為學(xué)校網(wǎng)絡(luò)信息安全工作研究解決的主要問題之一。

圖1 大連理工大學(xué)近年校內(nèi)網(wǎng)站安全事件與網(wǎng)絡(luò)信息安全事件總數(shù)量情況

為解決此問題，學(xué)校從2011年開始通過多方調(diào)研及技術(shù)分析，并根據(jù)信息化建設(shè)趨勢提出了保障安全、統(tǒng)一管理、數(shù)據(jù)共享、信息公開的網(wǎng)站建設(shè)基本原則，并明確了通過建設(shè)通用“大”平臺來解決這類零散“小”網(wǎng)站的問題。2013年首先建設(shè)了網(wǎng)站群平臺，啟動了校內(nèi)各類網(wǎng)站的遷移工作，并開始制定相應(yīng)的管理規(guī)則，從技術(shù)和管理兩方面來規(guī)范校內(nèi)網(wǎng)站建設(shè)，建立校內(nèi)網(wǎng)站的安全防護(hù)體系，保障網(wǎng)站安全，提升校內(nèi)信息化整體安全水平。

圖2 網(wǎng)站群服務(wù)器構(gòu)架及運維體系

Web建設(shè)新模式完全放棄傳統(tǒng)模式

新的網(wǎng)站建設(shè)模式采用了SaaS云平臺思路，完全放棄了傳統(tǒng)的開發(fā)建設(shè)模式。從應(yīng)用角度對校內(nèi)的Web網(wǎng)站進(jìn)行了分類，針對不同類型的網(wǎng)站建設(shè)通用云平臺。網(wǎng)絡(luò)與信息化中心負(fù)責(zé)通用平臺的統(tǒng)一建設(shè)、運維及安全保障，明確了安全職責(zé)。同時通用平臺大大減少了系統(tǒng)數(shù)量，網(wǎng)信中心也可以集中精力將平臺的安全防護(hù)做深做實，只需保障平臺的安全無需對各網(wǎng)站投入更多精力。基于平臺的網(wǎng)站建設(shè)還基本消除了技術(shù)門檻，功能的模塊化、操作的可視化，使得網(wǎng)站開發(fā)人員無需太多編程能力就可以快速完成網(wǎng)站建設(shè)，也無需考慮開發(fā)中的安全問題。按照該思路，大連理工大學(xué)陸續(xù)建設(shè)了網(wǎng)站群、會議網(wǎng)、教師個人主頁三套通用平臺，分別解決信息發(fā)布、會議管理和個人主頁三類網(wǎng)站建設(shè)需求。下面以應(yīng)用最廣泛的網(wǎng)站群平臺為例，說明學(xué)校在網(wǎng)站平臺安全建設(shè)方案。

技術(shù)上，首先是網(wǎng)站群平臺自身的安全，在網(wǎng)站群平臺產(chǎn)品選擇上對安全有一定要求，目前學(xué)校使用的網(wǎng)站群產(chǎn)品自身已經(jīng)通過信息安全等級保護(hù)三級檢測，達(dá)到一定安全水平。網(wǎng)站群平臺采用了目前主流的靜態(tài)網(wǎng)頁發(fā)布技術(shù)，從根本上解決了傳統(tǒng)網(wǎng)站建設(shè)中動態(tài)頁面存在的各種漏洞。同時啟用了網(wǎng)站群平臺的網(wǎng)頁防篡改、Web應(yīng)用防護(hù)等技術(shù)安全手段，對網(wǎng)站進(jìn)行實時監(jiān)控和防護(hù)。學(xué)校網(wǎng)站群的網(wǎng)頁防篡改模塊將數(shù)字水印技術(shù)和請求攻擊檢測技術(shù)直接內(nèi)嵌到Web發(fā)布服務(wù)器內(nèi)部，并輔助以增強(qiáng)型事件觸發(fā)檢測技術(shù)，徹底解決網(wǎng)頁防篡改問題。Web應(yīng)用防護(hù)模塊同樣是內(nèi)置于Web發(fā)布服務(wù)器中，通過全面分析應(yīng)用層的用戶HTTP請求數(shù)據(jù)（包括URL、參數(shù)、鏈接、Cookie、請求行、頭部信息、載荷等），區(qū)分正常用戶訪問和攻擊者的惡意攻擊行為，對攻擊行為的源IP地址進(jìn)行實時阻斷和報警。另外，網(wǎng)站群平臺還提供針對單個網(wǎng)站的地址訪問控制功能，可以對網(wǎng)站的敏感信息手工配置IP訪問范圍。

在服務(wù)器安全上，建立了開發(fā)、管理、發(fā)布三套獨立的服務(wù)器，分別負(fù)責(zé)網(wǎng)站開發(fā)建設(shè)、網(wǎng)站的日常管理維護(hù)、網(wǎng)站頁面的發(fā)布，對于三類服務(wù)器分別制定了不同的訪問控制策略和安全防護(hù)策略，從而劃分出不同的安全域，對權(quán)限、網(wǎng)絡(luò)通信等均進(jìn)行限制或隔離，詳細(xì)的網(wǎng)站群服務(wù)器構(gòu)架及運維體系結(jié)構(gòu)見圖2。訪問控制上，通過校園網(wǎng)路由器中ACL設(shè)置，將開發(fā)和管理服務(wù)器嚴(yán)格限制在校內(nèi)訪問，僅開放平臺訪問端口；發(fā)布服務(wù)器除開放Web訪問端口，僅開放與管理服務(wù)器的通信；其他的數(shù)據(jù)庫（DB）、存儲（Store）等相關(guān)設(shè)備嚴(yán)格按照最小通信原則限制訪問。開發(fā)服務(wù)器僅用于網(wǎng)站的建設(shè)開發(fā)，不與其他兩類服務(wù)器直接通信，網(wǎng)站開發(fā)人員在開發(fā)服務(wù)器完成網(wǎng)站建設(shè)后，由網(wǎng)站群平臺管理員將網(wǎng)站包導(dǎo)入到管理服務(wù)器中并發(fā)布，網(wǎng)站進(jìn)行重大調(diào)整時也要在開發(fā)服務(wù)器進(jìn)行，避免了網(wǎng)站開發(fā)、調(diào)整對現(xiàn)有網(wǎng)站的影響，更重要的是可以避免開發(fā)人員對網(wǎng)站的任意修改或誤操作，從技術(shù)上降低了人員安全風(fēng)險。管理服務(wù)器采用負(fù)載均衡集群構(gòu)架，保證管理平臺的高可用性和可擴(kuò)展性，在集群中進(jìn)行了區(qū)域劃分，將學(xué)校主頁、新聞網(wǎng)等重要網(wǎng)站單獨劃分區(qū)域，避免其他網(wǎng)站對重要網(wǎng)站的影響。發(fā)布服務(wù)器采用多服務(wù)器群方式，按照網(wǎng)站重要性、訪問量等進(jìn)行綜合分類，分別發(fā)布到不同服務(wù)器中，對重要網(wǎng)站進(jìn)行重點保障，也基本保證了負(fù)載的均衡分布。

通過堡壘機(jī)、統(tǒng)一身份認(rèn)證等技術(shù)對人員訪問權(quán)限進(jìn)行嚴(yán)格區(qū)分。運維審計系統(tǒng)-堡壘機(jī)不僅僅可以對設(shè)備、服務(wù)器的遠(yuǎn)程操作（如遠(yuǎn)程桌面、SSH、Telnet等）提供統(tǒng)一登錄工具，還可以對Web應(yīng)用、數(shù)據(jù)庫遠(yuǎn)程管理工具（如PLSQL等）等服務(wù)通過應(yīng)用發(fā)布形式進(jìn)行統(tǒng)一訪問。更重要的是，堡壘機(jī)具有完善的審計功能，記錄所有的運維操作，可通過視頻、文本等多種方式重現(xiàn)，還可以預(yù)先定義非法的惡意操作，通過審計系統(tǒng)實施監(jiān)控告警并阻斷，從而規(guī)范和監(jiān)督運維操作。目前大連理工大學(xué)網(wǎng)站群平臺服務(wù)器的遠(yuǎn)程運維必須提供堡壘機(jī)，由網(wǎng)信中心專人及廠商共同完成，具有服務(wù)器運維權(quán)限。網(wǎng)站群平臺管理員由網(wǎng)信中心專人擔(dān)當(dāng)，具有平臺的超級管理權(quán)限，負(fù)責(zé)平臺其他人員權(quán)限的分配，負(fù)責(zé)將開發(fā)完的網(wǎng)站從開發(fā)服務(wù)器導(dǎo)出到管理服務(wù)器并配置發(fā)布。網(wǎng)站管理員僅有管理服務(wù)器中相關(guān)網(wǎng)站的管理權(quán)限，必須是校內(nèi)在職教工，必須通過學(xué)校統(tǒng)一身份認(rèn)證登錄。網(wǎng)站開發(fā)人員，僅有開發(fā)服務(wù)器權(quán)限，可以是第三方技術(shù)人員，開發(fā)人員賬號都是臨時賬號，網(wǎng)站開發(fā)完成后，將清理此類賬號。平臺管理員、網(wǎng)站管理員、網(wǎng)站開發(fā)人員的角色權(quán)限區(qū)分通過學(xué)校統(tǒng)一身份認(rèn)證系統(tǒng)完成，未來計劃其遠(yuǎn)程操作也通過堡壘機(jī)統(tǒng)一實現(xiàn)，并由堡壘機(jī)統(tǒng)一審計。

備份策略是安全建設(shè)中的重要一環(huán)，大連理工大學(xué)網(wǎng)站群建設(shè)中施行了兩級備份，在虛擬化平臺中使用專門的虛擬化備份軟件定期對服務(wù)器進(jìn)行備份，當(dāng)服務(wù)器出現(xiàn)故障時，可快速恢復(fù)服務(wù)器主機(jī)。同時建立備份服務(wù)器，可通過網(wǎng)站群平臺將平臺中各網(wǎng)站備份到備份服務(wù)器中，當(dāng)單獨網(wǎng)站出現(xiàn)故障時可通過備份服務(wù)器快速恢復(fù)單個網(wǎng)站。

同時在校園網(wǎng)、數(shù)據(jù)中心也啟用了相應(yīng)的安全措施，來輔助保證網(wǎng)站群平臺安全。比如校園網(wǎng)出口路由器從2015年起對普通用戶IP地址進(jìn)行了限制，不得對外提供服務(wù)；數(shù)據(jù)中心虛擬化平臺啟用了高可用機(jī)制；數(shù)據(jù)中心部署統(tǒng)一的虛擬化安全防護(hù)系統(tǒng)，集中處理殺毒、防火墻、日志審查等安全問題；部署WAF做進(jìn)一步的Web應(yīng)用層防護(hù)等。

必須有強(qiáng)有力的網(wǎng)站管理制度

以上就是大連理工大學(xué)網(wǎng)站群技術(shù)安全建設(shè)基本情況，下面介紹管理安全方面的措施。根據(jù)多年的建設(shè)經(jīng)驗 ，網(wǎng)站安全建設(shè)僅僅依靠技術(shù)手段無法達(dá)到理想效果，必須有強(qiáng)有力的管理手段配合，才能充分發(fā)揮技術(shù)優(yōu)勢。

首先是組織機(jī)構(gòu)與人員保障，學(xué)校除了建立了網(wǎng)絡(luò)安全與信息化建設(shè)管理委員會及網(wǎng)絡(luò)與信息安全工作組等校內(nèi)網(wǎng)信息安全領(lǐng)導(dǎo)、管理機(jī)構(gòu)；還明確了網(wǎng)絡(luò)與信息化中心作為執(zhí)行機(jī)構(gòu)，負(fù)責(zé)校內(nèi)網(wǎng)站安全建設(shè)的組織工作；而各單位的信息化負(fù)責(zé)人為單位主管網(wǎng)站的主要負(fù)責(zé)人，負(fù)責(zé)本單位各網(wǎng)站安全工作的組織與監(jiān)督；各網(wǎng)站登記的負(fù)責(zé)人、管理員則為網(wǎng)站安全的直接責(zé)任人。通過明確的機(jī)構(gòu)和人員配備，將網(wǎng)站安全責(zé)任落實到地、具體到人，保障網(wǎng)站安全工作的順利推進(jìn)。

其次是制度建設(shè)，從2013年新的網(wǎng)站建設(shè)模式開始實行起，結(jié)合信息化建設(shè)，學(xué)校制定了一系列制度，以校規(guī)的方式確保網(wǎng)站安全工作的開展。

對于以上技術(shù)措施和管理制度還要輔以有力的宣傳推廣，才能在校內(nèi)真正開展起來，一方面做好服務(wù)、宣傳與培訓(xùn)，讓校內(nèi)網(wǎng)站的管理方、使用方真正意識到安全的重要性以及新平臺的技術(shù)優(yōu)勢和使用的便捷性，愿意使用新平臺；另一方面要堅持原則、令行禁止，對于不按照管理制度建設(shè)的網(wǎng)站堅決關(guān)停。經(jīng)過幾年的大平臺的建設(shè)，校內(nèi)網(wǎng)站安全取得了一定效果，到2017年4月，校內(nèi)對外服務(wù)的網(wǎng)站已經(jīng)全部遷移到網(wǎng)站群等大平臺中。同時網(wǎng)站安全事件數(shù)量明顯下降，產(chǎn)生負(fù)面影響的入侵事件大幅減少，詳見圖3，雖然網(wǎng)絡(luò)信息安全事件數(shù)量依然處于高位，但更多的是通過各類渠道檢測到的安全漏洞等預(yù)警信息。

對于未來大連理工大學(xué)網(wǎng)站安全建設(shè)的設(shè)想主要在兩個方面：一個是移動端的建設(shè)，移動應(yīng)用已經(jīng)成為信息化發(fā)展的趨勢，各類網(wǎng)站的移動版已經(jīng)開始建設(shè)，但對于移動端的安全目前還是建設(shè)的短板，需要盡快加強(qiáng)跟進(jìn)。另一個是要繼續(xù)完善相關(guān)制度，進(jìn)一步加強(qiáng)管理，比如網(wǎng)站的年審?fù)顺鲋贫?、管理人員更新機(jī)制等等都需要建立并推進(jìn)。高校網(wǎng)站作為高校信息化建設(shè)的重要組成部分和最直接的成果展示，與信息化建設(shè)一樣都是長期的任務(wù)，只有不斷地更新技術(shù)、建立適應(yīng)形勢的管理制度才能保證網(wǎng)站的安全，推動高校網(wǎng)站建設(shè)的健康發(fā)展。

圖3 大連理工大學(xué)網(wǎng)絡(luò)信息安全事件數(shù)量統(tǒng)計

（責(zé)編：王左利）

(作者單位為大連理工大學(xué)網(wǎng)絡(luò)與信息化中心 )