高校二级网站安全威胁与对策研究

　　校园网络是CerNet/Internet的重要组成部分，是高等学校教学、科研、管理、服务、文化娱乐等应用的信息支撑平台，是高校必不可少的基础设施。随着我国高校信息化建设的不断发展，各学校建立了门户网站和各种类型的二级网站。然而高校二级网站的安全防护和运维管理方面还存在着很多问题和不足，容易发生网络安全事件。

　　【摘要】近几年来，针对高校二级网站的入侵、挂马、黑链等网络安全事件呈上升趋势。此类安全威胁是以应用层渗透为主，结合传统层面攻击扩大攻击范围。分类分析安全威胁特点，结合架构优化、代码审计、安全渗透测试等防护手段，建立协同工作、相互支撑的安全防护系统才能有效的保证高校二级网站信息安全。

　　【关键词】高校,二级网站,安全,防护策略

　　1引言

　　2009年9月份北京大学计算机所信息安全中心利用其研发的北大网页挂马检测平台发现属于314个不同高校的577个网站被恶意挂马，网站挂马率为3.15%，高于同期检测“ac.cn”科研系统网站挂马率（2.46%）和“gov.cn”政府网站挂马率（1.03%）。所发现的507个被挂马网站均为二级或三级域名网站，占比87.9%。可见高校二级网站的安全形势不容乐观，切实需要提高对安全形势的认识，加强高校二级网站的安全防护水平。

　　2高校二级网站常见安全威胁

　　2.1应用层面安全威胁

　　此类攻击主要针对Web应用中授权、认证、站点结构、输入验证、程序管理接口进行攻击。世界著名的OWASP（OpenWebApplicationSecurityProject）是一个开源的、非盈利的全球性安全组织，致力于应用层面的安全研究。其最知名的研究报告OWASPTop10（Owasp十大Web弱点）也是高校二级网站应用层面常见的安全威胁。

　　除此以外，近几年来的SEO（搜索引擎优化）技术的不断发展，黑帽SEO为了短期内提高网站搜索引擎排名而采用作弊方法，在搜索引擎权值较高的网站中植入广告外链。由于高校网站建立比较早、安全漏洞较多、用户访问量大、搜索引擎权值较高，已成为攻击者注入黑链的首选目标。

　　2.2系统层面安全威胁

　　系统层面安全威胁主要指攻击者利用计算机软件（包括Cmos固化指令、操作系统、应用程序）自身固有缺陷或配置错误进行攻击。例如Windows、Linux等操作系统安全漏洞，应用发布软件安全漏洞，以及文件目录权限设置过高、配置文件设置不当等。但随着防火墙、IPS等安全设备的使用和高校安全防护体系的不断完善这类安全问题呈逐年下降趋势

　　2.3网络层面安全威胁

　　在传统的多层网络防御体系中，防火墙、IPS等对传统网络层攻击有较好的防御效果，攻击者正面的网络攻击易被边界安全设备过滤。攻破一个高信任区域内低安全的网站和主机是攻击者扩大攻击范围的常见方法。攻击者攻击高校二级网站架构中的任意层面后，不仅可以攻击网站主机，还能侵入高校服务器内部基础架构。例如，在被控制的主机中安装ARP软件和嗅探软件等工具篡改ARP信息实现ARP欺骗攻击，截获网段内其他主机敏感数据。修改校区DNS等关键应用，甚至转向攻击用户终端应用程序形成“僵尸网络”。

　　综上所述高校二级网站的主要安全威胁如表1所示。

　　3高校二级网站安全问题分析

　　3.1安全意识不够成熟

　　分管领导重视不够、管理人员安全意识不成熟、维护管理团队不稳定是造成高校二级网站防护薄弱的主要问题。高等院校的各部门在规划二级网站时，只重视实用性和美观性，很少考虑安全性，片面认为信息安全只是高校信息化主管部门责任，只重视网站建设，无视管理和维护。大部分的维护管理工作交由学生负责，缺乏技术文档和安全策略记录。继任者无法对暴露出的安全问题做出处理，也不知从何处理。高校信息化主管部门无法对众多二级网站的安全防护做到面面俱到，导致发生严重问题后，信息化主管部门工作被动，安全责任相互推诿。3.2二级网站架构安全设计不合理

　　1）网络架构设计不合理。建设前未合理划分网络安全区域，多个不可信二级网站与可信的校级网站放在同一台主机上，单个二级网站出现安全问题后，主机控制权极易被夺取影响其他网站运行。或者二级网站托管主机和重要应用主机在同一IP段内，二级网站托管主机出现问题影响同网段内其他主机。

　　2）应用架构设计不合理。前端展现层、应用程序层、数据层信任关系过高或连接权限不加限制。导致造成SQL注入或XSS跨站后，轻易夺取高级权限。

　　3.3二级网站代码存在安全缺陷

　　Web安全的核心问题在于用户可以提交任意的输入，而程序不加过滤直接返回执行结果。针对上述问题Web应用程序防御机制有以几个核心因素组成。

　　1）处理用户访问应用程序的数据与功能，防止用户获得未授权访问。

　　2）处理用户对应用程序的输入，防止错误输入造成不良行为。

　　3）确保应用程序在成为直接攻击目标时能够正常运转，并采取适当的防御与攻击措施挫败攻击者。

　　4）管理应用程序本身，帮助管理员监控其行为，配置其功能。

　　高校二级网站代码大多数都是由合作公司、信息技术水平较高的老师或学生等独立开发，或者使用第三方的CMS应用程序，在第三方的组件上添减代码，自行拼凑在一起。这些Web应用程序存在不完善的身份验证、不完善的访问控制措施等代码漏洞，是导致SQL注入、XSS跨站攻击等应用层威胁的直接原因。利用应用层安全漏洞提升权限，上传Webshell控制主机，应用层安全威胁成为高校二级网站防护的主体。

　　4高校二级网站防护策略研究

　　从目前的安全威胁来看，单纯一种技术或者方法无法行而有效的阻止目前众多的安全威胁，高校二级网站信息安全工作需要一整套协同工作、相互支撑的安全防护系统。如图1所示。

　　4.1提高安全意识和技术水平，规范运维操作

　　良好的组织管理架构、合理的技术支撑体系和规范的运维管理操作是高校二级网站安全防护的基础。组织管理机构需要提高安全意识、明确责任划分，确定防护的范围和技术人员团队。定期对决策者和实施者进行安全意识和安全技术培训。建立运维操作台账，规范操作。所有网络配置、主机配置、应用配置和安全策略配置等技术资料建档保存，网站开发文档和主要操作均记录注释。

　　4.2合理设计安全架构，提高整体防范水平

　　严谨的安全架构是网站安全防护的保障，主要表现在设物理、主机、网络、数据、应用等各个层面的安全架构设计。

　　1）通过网络设备合理划分网络安全域，设计尽可能小的VLAN，实现主机的网络隔离。

　　2）制定严格的访问控制，除正常访问IP、端口外其余连接全部过滤。

　　3）对二级网站程序层和数据库层剥离，建立独立的数据库服务器，把众多二级网站数据库集中管理。并在数据库中依据最小权限原则根据IP地址制定主机连接。

　　4）应用架构中数据库、文件发布目录、Web发布程序等均避免使用过高权限，在Linux系统中使用Chroot控制权限使用。

　　4.3定制开发Web程序，周期进行安全渗透测试

高校二级网站安全威胁与对策研究

　　1）建设前期避免使用网络上源代码公开的CMS系统，根据院校自身情况购买或设计安全编码的程序，实现代码的相对安全。

　　2）对已经使用站点的源代码进行分析，找出由于编程的不完善而导致的安全漏洞，比如缓冲区溢出、格式化字符串、SQL注入等。

　　3）周期性进行安全渗透测试，评估Web站点的部署，模拟网络用户对Web站点进行攻击，找出安全漏洞和弱点，比如认证不充分、信息泄漏等不定期审查筛选高危函数，屏蔽不良输入。

　　4.4多种设备和技术手段联防，实现安全管理统一

　　国内高校常用的Web安全设备和防御手段有几种。

　　1）Web应用防火墙。采用安全网关的技术手段，把Web应用防火墙设备透明的部署于Web服务器区前面，检测每一个访问者的请求内容，并进行规则匹配，拦截已知和常见的Web攻击。

　　2）网络分析系统。结合DPI或DFI（深度数据包检测）对网站数据流进行分析，根据特征包发现已知或常见的Web应用攻击。

　　3）日志服务器。将日志信息集中在安全防护较好的主机上进行数据分析。快速呈现安全事件信息。

　　4）对高校二级网站数据多路备份。当安全事件发生时，可根据时间点快速实施网站数据恢复。

　　目前实际运行效果是各个系统各自独立，遇到问题，需要管理人员登录多台设备分析才能发现整个安全事件的过程。这也反映出高校二级网站需要分阶段建立统一安全管理平台（SOC），实现事件发现、安全策略分发和园区整体防御在一个统一的平台呈现和管理。

　　5结束语

　　总之，随着信息化安全威胁的不断变化，高校二级网站的安全防护任重道远。安全防护策略和技术方法要与攻击手段发展变化相对应。高校二级网站的安全防护应以应用层面防护为主并结合规范化管理、安全架构优化、代码审计和安全渗透测试等防护策略建立协同工作、相互支撑的安全防护系统才能有效的保证高校二级网站信息安全。

　　参考文献

　　[1]诸葛建伟.高校二级网站遭遇严重挂马和篡改[J].中国教育网络，2009（12）：43-44.

　　[2]Wikiowasp[R/OL].http：//en.wikipedia.org/wiki/OWASP.2011.

　　[3]Owasp2010top10[R/OL]，https：//www.owasp.org/index.php/Top_10_2010.

　　[4]WikiXSS[R/OL].http：//es.wikipedia.org/wiki/XSS.2012.

　　[5]DafyddStuttard.MarcusPintoTheWebApplicationHackersHandbook：DiscoveringandExploitingSecurityFlaws2nd[M].WileyPublishing；2012.

　　[6]DafyddStuttard.MarcusPinto攻击者攻防技术宝典.Web实战篇[M].北京：人民邮电出版社，2009.

相关期刊推荐：《计算机仿真》

　　《计算机仿真》是由中国航天科工集团公司主管,由航天科工集团十七所主办。98年起已列入国家科技部中国科技论文统计源期刊，同时被各种文摘数据库引录，如中国导弹与控制文摘、电子文摘等引录。也是全国核心期刊。内容函盖国内、外仿真技术各领域研究的理论与技术新成果。刊出文章中近几年来国家资金项目大约占20%～30%左右。另外期刊质量取决于编委，我刊的编委是由仿真业界专家：院士、研究员、教授等组成。

　　《计算机仿真》办刊宗旨

　　本刊提供有关于论文查询、仿真活动的动态、仿真产品展示、仿真用户需求等。如今，发展我国仿真技术，勇攀世界科技高峰，业已成为仿真界的行动口号。整个科技界都要按照自主创新、重点跨越、支撑发展、引领未来的要求，以求真务实的科学态度和只争朝夕的奋斗精神，为建设创新型国家作出不懈努力。

　　《计算机仿真》栏目设置

　　仿真技术综述、军事领域仿真、人工智能与系统分析、航空、航天领域仿真、化工领域仿真、汽车仿真、分布交互式实时仿真、仿真应用与研究、过程的建模与验证、仿真培训系统、虚拟仿真、仿真方法与算法等20多个栏目。

　　《计算机仿真》收录情况/影响因子

　　国家新闻出版总署收录

　　2003年《中国科学文献计量评价研究中心》评为优秀期刊

　　中国科学引文数据库(CSCD—2008)

　　影响因子：0.301

　　被引次数：32011