高校門戶網(wǎng)站W(wǎng)EB安全問題分析及解決思路

1、幽命一論文發(fā)表專家一 蛔中國學(xué)術(shù)期刊網(wǎng) 85!Fwww.qikanw3ng,nel 高校門戶網(wǎng)站W(wǎng)EB安全問題分析及解決思路摘要校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要 的作用。同時(shí)，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，高校門戶網(wǎng)站安全問 題日益突出。目前高校門戶網(wǎng)站安全存在許多問題，要解決這些問 題，必須建立主動(dòng)的安全檢測(cè)機(jī)制，進(jìn)行有效的入侵防護(hù)，建立及 時(shí)響應(yīng)機(jī)制。關(guān)鍵詞高校門戶網(wǎng)站web安全網(wǎng)頁篡改網(wǎng)站掛馬中圖分類號(hào)g473.8 文獻(xiàn)標(biāo)識(shí)碼a 文章編號(hào)2095-3437(2012) 01-0027-02一、背景情況校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要的作用。同時(shí)，隨著校園網(wǎng)規(guī)模

2、的不斷擴(kuò)大，高校門戶網(wǎng)站所面臨的安全形 勢(shì)越來越嚴(yán)峻，越來越多的高校重要門戶網(wǎng)站或web辦公系統(tǒng)被滲 透。據(jù)統(tǒng)計(jì)，現(xiàn)在對(duì)網(wǎng)站成功的攻擊中，超過7成都是基于web應(yīng) 用層，而非網(wǎng)絡(luò)層。前不久 owasp (open web application security project)機(jī)構(gòu)發(fā)布了“2011年十大web安全漏洞”，xss和sql注 入漏洞排名前兩位，是目前存在最為普遍，利用最為廣泛，造成危 害最為嚴(yán)重的兩類web漏洞。然而，識(shí)別并阻止基于web漏洞的攻 擊，僅靠漏洞掃描、網(wǎng)絡(luò)訪問控制、病毒檢測(cè)防護(hù)等傳統(tǒng)安全措施 是難以做到的。針對(duì)新的網(wǎng)站安全威脅，我們應(yīng)該保持足夠的緊迫 性，并采取有效

3、措施積極應(yīng)對(duì)。二、高校門戶網(wǎng)站web安全現(xiàn)狀分析隨著web應(yīng)用技術(shù)的深入普及，基于web漏洞的攻擊更容易被利 用。高校門戶網(wǎng)站最常見的安全問題包括被搜索引擎定義為惡意高 校門戶網(wǎng)站、高校門戶網(wǎng)站掛馬、sql注入攻擊、跨站點(diǎn)腳本攻擊 等。（一）被搜索引擎定義為惡意高校門戶網(wǎng)站搜索引擎是用戶廣泛使用的搜索工具。高校門戶網(wǎng)站一旦被搜索 引擎定義為惡意網(wǎng)站，必然使高校門戶網(wǎng)站的聲譽(yù)受到影響。主要 表現(xiàn)在高校門戶網(wǎng)站排名權(quán)重降低；點(diǎn)擊高校門戶網(wǎng)站時(shí)被警告 “訪問該高校門戶網(wǎng)站可能會(huì)損害您的計(jì)算機(jī)”更有甚者，用戶在打開該高校門戶網(wǎng)站時(shí)，會(huì)引起死機(jī)、信息被盜等風(fēng)險(xiǎn)。（二）網(wǎng)頁掛馬掛馬是指黑客入侵了一些高校門

4、戶網(wǎng)站后，將自己編寫的網(wǎng)頁木 馬嵌入被黑高校門戶網(wǎng)站的主頁中，利用被黑高校門戶網(wǎng)站的流量 將自己的網(wǎng)頁木馬傳播開去，以達(dá)到不可告人的目的。網(wǎng)頁被掛馬， 在一定程度上可以說是網(wǎng)頁被篡改，但是比較隱蔽，危害卻更大， 嚴(yán)重影響到高校門戶網(wǎng)站的公眾信譽(yù)度，從而使廣大用戶對(duì)高校門 戶網(wǎng)站的信心受挫。（三）sql注入攻擊sql注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。由于從 事高校門戶網(wǎng)站開發(fā)的程序員水平和經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分 程序員在編寫代碼的時(shí)候，僅僅關(guān)注功能的完成，沒有對(duì)用戶輸入 數(shù)據(jù)的有效性進(jìn)行校驗(yàn)。惡意攻擊者可以在高校門戶網(wǎng)站上提交一 段數(shù)據(jù)庫查詢代碼，獲得某些他想得知的數(shù)據(jù)，甚至整個(gè)

5、數(shù)據(jù)庫表。 sql注入是從正常的ww端口訪問，而且表面看起來跟一般的web頁 面訪問沒什么區(qū)別，所以目前市面的防火墻很難對(duì)sql注入發(fā)出警 報(bào)，如果管理員沒查看日志的習(xí)慣，可能被入侵很長時(shí)間都不會(huì)發(fā) 覺。如果被注入，會(huì)被竊取數(shù)據(jù)、修改數(shù)據(jù)，對(duì)高校門戶網(wǎng)站來說， 會(huì)發(fā)生敏感信息泄露、正常的頁面被篡改等情況。（四）跨站點(diǎn)腳本攻擊跨站點(diǎn)腳本漏洞是指惡意攻擊者往web頁面里插入惡意腳本代碼。當(dāng)用戶瀏覽網(wǎng)頁時(shí)，嵌入頁面中的腳本代碼會(huì)被執(zhí)行，從而盜 取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵 害的一種攻擊方式。對(duì)于存在跨站點(diǎn)腳本漏洞的高校門戶網(wǎng)站，惡 意攻擊者往往利用高校門戶網(wǎng)站的公信度，

6、通過及時(shí)通訊工具、電 子郵件發(fā)送通知等手段引導(dǎo)用戶訪問鏈接，從而達(dá)到竊取用戶資料 的目的。三、高校門戶網(wǎng)站web安全問題總結(jié)及防護(hù)解決思路通過對(duì)高校門戶網(wǎng)站安全現(xiàn)狀的分析，我們了解到，就客觀環(huán)境 而言，高校門戶網(wǎng)站所處的威脅環(huán)境已經(jīng)日益惡化，就主觀方面來 講，造成目前攻擊事件不斷發(fā)生的深層次原因到底是什么？針對(duì)這 些問題，我們要怎么應(yīng)對(duì)呢？（一）高校門戶網(wǎng)站安全問題總結(jié)高校門戶網(wǎng)站安全形勢(shì)堪憂，究其原因，主要是因?yàn)榇嬖谝韵聨?個(gè)方面的問題：大多數(shù)高校門戶網(wǎng)站設(shè)計(jì)，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全一個(gè)高校門戶網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè) 務(wù)，很少考慮高校門戶網(wǎng)站應(yīng)用開發(fā)過程中所存在

7、的漏洞。這些漏 洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見，大多數(shù)高校門戶 網(wǎng)站設(shè)計(jì)開發(fā)者、高校門戶網(wǎng)站維護(hù)人員對(duì)高校門戶網(wǎng)站攻防技術(shù) 的了解甚少。在正常使用過程中，即便存在安全漏洞，正常的使用 者并不會(huì)察覺。但在黑客對(duì)漏洞敏銳的發(fā)覺和充分利用的動(dòng)力下， 高校門戶網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或 間接獲取利益的機(jī)會(huì)。對(duì)于web應(yīng)用程序的sql注入漏洞，有試驗(yàn) 表明，通過搜尋1000個(gè)高校門戶網(wǎng)站取樣測(cè)試，檢測(cè)到有11.3% 存在sql注入漏洞。圖1是針對(duì)某高校門戶網(wǎng)站漏洞掃描結(jié)果，結(jié)果表明該高校門戶 網(wǎng)站存在sql注入等漏洞。黑客入侵后，未及時(shí)發(fā)現(xiàn)有些黑客通過篡改網(wǎng)頁來傳播一

8、些非法信息或炫耀自己的水平。 但篡改網(wǎng)頁之前，黑客肯定基于對(duì)漏洞的利用，獲得了高校門戶網(wǎng) 站的控制權(quán)限?？膳碌氖?，通常黑客在獲取高校門戶網(wǎng)站的控制權(quán) 限之后，并不暴露自己，而是持續(xù)利用所控制高校門戶網(wǎng)站產(chǎn)生直幽命一論文發(fā)表專家一 蛔中國學(xué)術(shù)期刊網(wǎng) 接利益。如網(wǎng)頁掛馬就是一種利用高校門戶網(wǎng)站，給訪問者種植木 馬的一種非常隱蔽且直接獲取利益的主要方式之一。被種植木馬的 網(wǎng)站通常是在不知情的情況下，被黑客竊取了自身的機(jī)密信息。這 樣，高校門戶網(wǎng)站成了黑客散布木馬的一個(gè)渠道：高校門戶網(wǎng)站本 身雖然能夠提供正常服務(wù)，但高校門戶網(wǎng)站的訪問者卻遭受著持續(xù) 的危害。圖2是某網(wǎng)頁木馬監(jiān)測(cè)信息。高校門戶網(wǎng)站防御措

9、施滯后，甚至沒有真正的防御高校門戶網(wǎng)站防御不佳的另一個(gè)原因是，有很多高校門戶網(wǎng)站管 理員對(duì)高校門戶網(wǎng)站的價(jià)值認(rèn)識(shí)僅僅是一臺(tái)服務(wù)器或者是高校門 戶網(wǎng)站的建設(shè)成本，認(rèn)為為了這個(gè)服務(wù)器而增加超出其成本的安全 防護(hù)措施是得不償失的。而實(shí)際高校門戶網(wǎng)站遭受攻擊之后，帶來 的間接損失往往不能用一個(gè)服務(wù)器或者是高校門戶網(wǎng)站的建設(shè)成 本來衡量，很多信息資產(chǎn)在遭受攻擊之后造成無形價(jià)值的流失。不 幸的是，很多擁有高校門戶網(wǎng)站的組織和個(gè)人，只有在高校門戶網(wǎng) 站遭受攻擊，造成的損失遠(yuǎn)超過高校門戶網(wǎng)站本身造價(jià)之后才意識(shí) 高校門戶網(wǎng)站安全問題的嚴(yán)重性。發(fā)現(xiàn)安全問題不能徹底解決高校門戶網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出，但

10、由于關(guān)注重 點(diǎn)不同，絕大多數(shù)的高校門戶網(wǎng)站開發(fā)與設(shè)計(jì)公司對(duì)高校門戶網(wǎng)站 安全代碼設(shè)計(jì)方面了解甚少。發(fā)現(xiàn)高校門戶網(wǎng)站安全存在問題和漏 洞，其修補(bǔ)方式只能停留在頁面修復(fù)上，很難針對(duì)高校門戶網(wǎng)站具體的漏洞原理對(duì)源代碼進(jìn)行改造。這也是為什么有些高校門戶網(wǎng)站 安裝網(wǎng)頁防篡改、高校門戶網(wǎng)站恢復(fù)軟件后仍然遭受攻擊的原因。（二）高校門戶網(wǎng)站安全問題解決思路事實(shí)表明，若要解決新形勢(shì)下高校門戶網(wǎng)站的安全問題，需變被 動(dòng)應(yīng)對(duì)為主動(dòng)關(guān)注，實(shí)施積極防御。這就需要以一個(gè)全面的視角看 待高校門戶網(wǎng)站的安全問題，并依靠各個(gè)方面的相互配合，對(duì)高校 門戶網(wǎng)站安全做到心中有數(shù)，防護(hù)有方。具體的思路如下：建立主動(dòng)的安全檢測(cè)機(jī)制面對(duì)w

11、eb應(yīng)用的威脅，我們?nèi)狈τ行У臋z查機(jī)制，因此，首先要 建立一個(gè)主動(dòng)的高校門戶網(wǎng)站安全檢查機(jī)制，確保對(duì)高校門戶網(wǎng)站 安全情況的及時(shí)獲知一一是否已經(jīng)遭到攻擊，是否還存在被攻擊的 風(fēng)險(xiǎn)。進(jìn)行有效的入侵防護(hù)面對(duì)web應(yīng)用的攻擊，我們?nèi)狈τ行У臋z測(cè)防護(hù)機(jī)制，因此，需 要部署針對(duì)高校門戶網(wǎng)站的入侵防護(hù)產(chǎn)品，加強(qiáng)高校門戶網(wǎng)站防入 侵能力，能夠?qū)Ω咝ｉT戶網(wǎng)站主流的應(yīng)用層攻擊（如sql注入和xss 攻擊）進(jìn)行防護(hù)。針對(duì)高校門戶網(wǎng)站安全問題，建立及時(shí)響應(yīng)機(jī)制面對(duì)web應(yīng)用程序漏洞和已經(jīng)造成的危害，我們?nèi)狈謴?fù)的機(jī)制 和足夠的技術(shù)儲(chǔ)備。因此，需要確立專業(yè)支持團(tuán)隊(duì)的外援保障，解 決及時(shí)響應(yīng)問題，在高校門戶網(wǎng)站安全問題

12、被驗(yàn)證后，能確保對(duì)高 校門戶網(wǎng)站進(jìn)行木馬清除以及針對(duì)web漏洞的安全代碼審核修補(bǔ)等 工作。通過以上3個(gè)環(huán)節(jié)的有機(jī)結(jié)合，方可建立一套有檢測(cè)、有防護(hù)、 有響應(yīng)的高校門戶網(wǎng)站安全保障方案，確保高校門戶網(wǎng)站在新威脅 環(huán)境下安全運(yùn)營。隨著校園網(wǎng)絡(luò)的發(fā)展，技術(shù)的進(jìn)步，校園網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也在增大。校園網(wǎng)的web應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全問題也日益嚴(yán) 重，安全問題也變成了校園網(wǎng)的熱點(diǎn)和難點(diǎn)問題。學(xué)校應(yīng)當(dāng)給予足 夠的重視，在資金、人員配備、設(shè)備更新等方面給予大力支持，使 高校門戶網(wǎng)站運(yùn)行更加安全、可靠、穩(wěn)定。參考文獻(xiàn)lee d c.談利群，張文海等.網(wǎng)絡(luò)安全實(shí)踐m.北京:人 民郵電出版社，2004.張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù)m.北京:人民郵電出 版