何佳

摘要：高校網站一直是黑客攻擊的重點部位，面對嚴峻的安全形勢，信息安全管理部門應制定相應的安全防護方案，采取一定的措施，提高抵御外部攻擊的能力。該文針對當前高校校園網站面臨的安全風險和安全防護需求進行分析與思考，提出高校網站安全建設方案，以提高網站的安全性，使網站更好地為師生服務。

關鍵詞：高校網站；WEB防護；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）30-0046-02

1 概述

1.1 概述

隨著互聯網技術的不斷發(fā)展，無論是學校還是個人，對于互聯網的依賴在不斷增強。WEB技術承載著校園網越來越多的核心業(yè)務，重要程度不言而喻。WEB技術的發(fā)展歷史也可以說是攻擊與防護技術不斷交織提升的過程。根據國內網絡安全企業(yè)最新的調查，信息安全攻擊中超過75%都發(fā)生在WEB應用層而非網絡層上，因此，WEB安全性已經提升到一個空前的高度。

對WEB系統(tǒng)的安全防護，由于攻防態(tài)勢的先天性不對等，多數用戶防護能力遠遠落在了新技術和新功能的后面，這個問題在中小規(guī)模的WEB應用平臺中體現的尤為明顯，國內各大眾測平臺暴露的問題就是很好的證明。

1.2 高校網站安全風險

要防護學校的WEB應用安全，必須對網站如何產生威脅進行深入的研究。從攻擊者的角度出發(fā)，WEB安全包括鏈路安全和應用安全兩個部分。

1.2.1 鏈路安全

借助于網絡帶寬資源的快速發(fā)展，攻擊者可以調動的流量資源已經從過去的百兆、千兆級別發(fā)展為如今的萬兆甚至上百萬兆，2014年某游戲公司受到的DDoS攻擊就達到了每秒453.8Gb，創(chuàng)造了新的記錄。這些攻擊案例表明，借助于新的攻擊工具以及大量的僵尸網絡，發(fā)動大規(guī)模的DDoS攻擊變得越來越容易，尤其是受到經濟利益和政治影響驅使的黑產，對企業(yè)及政府用戶危害更大。

流量型攻擊通常被稱為網絡層攻擊或帶寬型攻擊。網絡層/帶寬型DDoS攻擊通過發(fā)出海量數據包，造成設備負載過高，最終導致網絡帶寬或是設備資源耗盡。通常，被攻擊的鏈路帶寬、路由器、服務器和防火墻的處理資源都是有限的，攻擊負載之下它們就無法處理正常的合法訪問，導致服務拒絕。帶寬型攻擊最通常的形式是Flooding方式，可以實用的協(xié)議包括TCP、UDP、ICMP等。

1.2.2 應用安全

支撐WEB系統(tǒng)的業(yè)務結構可以簡要概況為網絡層、系統(tǒng)層、中間件層以應用層四個部分。各層級內均有特定的安全威脅，其根源為軟件漏洞。相關研究數據表明，軟件開發(fā)通常會引入缺陷，普通軟件開發(fā)公司的缺陷密度為4～40個缺陷/千行代碼，因此整體漏洞很難控制，需要更加多樣的手段發(fā)現隱藏的漏洞，另一方面，現有系統(tǒng)的補丁管理缺乏有效的檢測及修補手段，使得漏洞空窗期不斷增加，危害系統(tǒng)安全。除此之外，軟件漏洞還可能發(fā)生在運維和上線階段，配置不當引起的安全問題同樣需要引起重視。

應用安全包含的漏洞類型主要可以概括為以下5類：

1） 軟件漏洞：任何一種軟件或多或少存在一定脆弱性，安全漏洞可視作已知系統(tǒng)脆弱性。這種安全漏洞可分為兩種/一種是由于操作系統(tǒng)本身設計缺陷帶來的漏洞，它將被運行在這個系統(tǒng)上的應用程序所繼承，另一種是應用軟件程序安全漏洞，很常見，更要引起廣泛關注；

2） 結構漏洞：網絡中忽略了安全問題，沒有采取有效的網絡安全措施，使網絡系統(tǒng)處于不設防的狀態(tài)。另外，在一些重要網段中，交換機和集線器等網絡設備設置不當，造成網絡流量被劫持和獲取；

3） 配置漏洞：網絡中忽略了安全策略的制定，即使采取了網絡安全措施，但由于安全配置不合理或不完整，安全沒有發(fā)揮作用。在網絡發(fā)生變化后，沒有及時更改系統(tǒng)內部安全配置而造成安全漏洞。

4） 管理漏洞：網絡管理者不小心和麻痹造成的安全漏洞，如管理員口令太短或長期不更換密碼，造成口令攻擊：兩臺服務器共用同一個用戶名和口令，如果一個服務器被入侵，則中一個服務器也很危險。

5） 信任漏洞：過分地信任外來合作者的機器，一旦這個機器被入侵，則網絡安全受到嚴重危險。

從這些安全漏洞來看，既有技術因素，也有管理因素，實際上，攻擊者正是分析了相關的技術因素和管理因素，尋找其中安全漏洞來入侵系統(tǒng)，因此，堵塞安全漏洞必須從技術手段和管理措施等方面采取有效方案。

2 高校網站安全防護需求

有效的WEB安全防護體系需要在如下的安全策略基礎上建立。

2.1 縱深防御

WEB系統(tǒng)包含多個層面，涉及不同的IT設備與軟硬件系統(tǒng)，其面臨的安全風險也跨越了業(yè)務系統(tǒng)、IT基礎設施、網路通信協(xié)議等多個領域，其風險的多樣性和復合性等特點也決定了其將使用多手段威脅檢測結合縱深防護來實現高級別的安全，實現針對關鍵對象的縱深防御體系。

2.2 安全邊界防護與檢測

WEB系統(tǒng)安全邊界清晰，考慮在互聯網邊界（企業(yè)網絡-互聯網）、業(yè)務網絡＼辦公網絡邊界（一般為DMZ區(qū)域邊界）、數據交互邊界（WEB服務器與數據庫服務器邊界）部署多層的邊界檢測和防護設備，相關設備應首先滿足業(yè)務實時性和可用性的相關要求，并在此基礎之上充分考慮其通信和威脅場景特點，如支持萬兆或特殊協(xié)議等。

2.3 關鍵對象保護

提供針對關鍵對象，如基礎網絡設備、Web服務器等提供安全檢測和防護手段，并且圍繞防護對象建立脆弱性評估、修補等安全操作流程。

2.4 云端防護與監(jiān)測

由于互聯網應用的特性，網站的可用性異常重要，因此需要具備云端感知的能力對網站的可訪問情況進行實時監(jiān)測，同時在發(fā)生鏈路層DDoS攻擊時，單純依靠網絡邊界設備很難有效緩解攻擊危害，因此需要借助云端海量的流量通道進行攻擊流量的清洗，最終保障WEB服務的可用性。endprint

2.5 基于攻擊/異常行為的識別

具備對典型攻擊過程如掃描、遠程溢出的識別能力，能夠對入站流量進行深度檢測，防止非法/異常的通訊數據結構破壞WEB系統(tǒng)運行；同時建立內部訪問會話特征描述，制定運行環(huán)境模板，結合云端威脅情報，從而降低APT以及其他未知威脅的潛伏可能。

2.6 訪問控制

系統(tǒng)與系統(tǒng)之間應具有清晰的訪問控制策略，訪問控制策略在滿足實時性的基礎之上服務器及數據庫等資產實現防護，避免未授權訪問造成安全風險。

2.7 漏洞管理

充分發(fā)掘現有系統(tǒng)中潛在對的漏洞風險，兼顧系統(tǒng)可用性和安全性的同時，采用風險可控的威脅消除或緩解手段，將漏洞對系統(tǒng)帶來的影響降到最低。常用的漏洞發(fā)現方法包括白盒測試和黑盒測試以及漏洞掃描工具等。

2.8 安全審計

使用多種手段，對包括操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)、網絡系統(tǒng)等的行為進行審計，并根據業(yè)務特點和威脅環(huán)境建立獨立于系統(tǒng)的外部審計機制，提供獨立的審核記錄功能。這對于異常情況的發(fā)現和事后溯源具有重要意義。

3 高校網站安全解決方案

3.1 系統(tǒng)部署

Web應用防火墻系統(tǒng)的不斷更新發(fā)展，從傳統(tǒng)的透明代理模式已經轉變?yōu)橥该鞑渴鸱绞健９ぷ髟贠SI七層模型中的第二層（數據鏈路層）。在第二層截獲數據包，對數據包的進行特征庫匹配，匹配上就是攻擊行為，直接把數據包丟棄。如果數據是正常的，過濾引擎重新構造Web和SQL事務生產數據包發(fā)送給后端的Web服務器。

透明部署方式是串聯在Web服務器的前端，在物理層面是Web服務器的前端多了一臺硬件設備。在網絡層面是Web服務器的前端沒有任何硬件設備。透明部署方式不改變校園網的網絡拓撲結構。Web服務器看到的都是瀏覽者的源地址，也不會給審計類安全產品造成無法工作等現象的出現。

Web應用防火墻的旁路阻斷模式，大部分的Web應用防火墻都是串聯部署在網絡中進行流量過濾的，但是有些高校的網絡只允許旁路部署產品。應用防火墻使用鏡像分析功能與交換機、網站服務器進行聯動，實現旁路部署阻斷Web攻擊行為。

3.2 網站云防護

Web應用防火墻系統(tǒng)實現了重塑網站防護邊界，在物理服務器的前端構建了硬件的物理網站防護邊界。在互聯網利用虛擬化技術構建了虛擬的網絡邊界網站防護體系。兩個網站防護邊界實現多層過濾，多層攔截的多邊界協(xié)同防護體系。

3.3 威脅情報中心

網絡安全企業(yè)利用終端用戶產生海量的安全大數據，通過大數據人工智能挖掘技術對未知的安全威脅統(tǒng)一分析，對分析結果形成可機讀的威脅情報數據推送給相關的本地硬件設備，主要解決網絡中的未知威脅安全問題，可大大提高WEB防護能力。

Web應用防火墻系統(tǒng)內置有威脅情報中心功能，實際就是Web應用防火墻制作了一個人工智能大腦，與云端實現數據交流。實現Web應用防火墻自主發(fā)現攻擊行為，并智能化判定對于攻擊行為的是阻斷或是放行。

3.4 網頁防篡改

網頁防篡改系統(tǒng)平臺采用透明部署方式，同樣可以對網頁防篡改客戶端進行實時監(jiān)控。當網頁防篡改客戶端與應用防火墻的網絡中斷時，網頁文件會被自動鎖定，所有“寫”的權限進行封鎖，只有“讀”的權限。當網絡恢復中，所有相關權限會自動下發(fā)，網站正常恢復更新。

4 結束語

通過分析當前高校的安全風險和安全防護需求，提出了針對高校網站的信息安全保護方案。在實際應用過程中，各高?？梢愿鶕W站實際情況，并結合信息安全專業(yè)分析建議，選擇最為合適的網站安全防護方案。

參與文獻：

[1] 季益龍，程松泉.“互聯網+”背景下的高校網站安全保障體系構建[J].中國教育信息化，2017（6）.

[2] 樊強高.校網站安全防范措施研究[J].網絡安全技術與應用，2016（7）.

[3] 陳媛媛.高校網站安全問題分析及對策探討[J].電子商務，2016（9）.

[4] 劉振昌.高校網站安全管理模式的探索與實踐[J].華東師范大學學報：自然科學版，2015（8）.

[5] 黃曉華.高校網站安全問題分析[J].軟件導刊，2014（8）.endprint