高校門戶網(wǎng)站W(wǎng)EB安全問題分析及解決思路

1、幽命一論文發(fā)表專家一 蛔中國學術(shù)期刊網(wǎng) 85!Fwww.qikanw3ng,nel 高校門戶網(wǎng)站W(wǎng)EB安全問題分析及解決思路摘要校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要 的作用。同時，隨著校園網(wǎng)規(guī)模的不斷擴大，高校門戶網(wǎng)站安全問 題日益突出。目前高校門戶網(wǎng)站安全存在許多問題，要解決這些問 題，必須建立主動的安全檢測機制，進行有效的入侵防護，建立及 時響應(yīng)機制。關(guān)鍵詞高校門戶網(wǎng)站web安全網(wǎng)頁篡改網(wǎng)站掛馬中圖分類號g473.8 文獻標識碼a 文章編號2095-3437(2012) 01-0027-02一、背景情況校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要的作用。同時，隨著校園網(wǎng)規(guī)模

2、的不斷擴大，高校門戶網(wǎng)站所面臨的安全形 勢越來越嚴峻，越來越多的高校重要門戶網(wǎng)站或web辦公系統(tǒng)被滲 透。據(jù)統(tǒng)計，現(xiàn)在對網(wǎng)站成功的攻擊中，超過7成都是基于web應(yīng) 用層，而非網(wǎng)絡(luò)層。前不久 owasp (open web application security project)機構(gòu)發(fā)布了“2011年十大web安全漏洞”，xss和sql注 入漏洞排名前兩位，是目前存在最為普遍，利用最為廣泛，造成危 害最為嚴重的兩類web漏洞。然而，識別并阻止基于web漏洞的攻 擊，僅靠漏洞掃描、網(wǎng)絡(luò)訪問控制、病毒檢測防護等傳統(tǒng)安全措施 是難以做到的。針對新的網(wǎng)站安全威脅，我們應(yīng)該保持足夠的緊迫 性，并采取有效

3、措施積極應(yīng)對。二、高校門戶網(wǎng)站web安全現(xiàn)狀分析隨著web應(yīng)用技術(shù)的深入普及，基于web漏洞的攻擊更容易被利 用。高校門戶網(wǎng)站最常見的安全問題包括被搜索引擎定義為惡意高 校門戶網(wǎng)站、高校門戶網(wǎng)站掛馬、sql注入攻擊、跨站點腳本攻擊 等。（一）被搜索引擎定義為惡意高校門戶網(wǎng)站搜索引擎是用戶廣泛使用的搜索工具。高校門戶網(wǎng)站一旦被搜索 引擎定義為惡意網(wǎng)站，必然使高校門戶網(wǎng)站的聲譽受到影響。主要 表現(xiàn)在高校門戶網(wǎng)站排名權(quán)重降低；點擊高校門戶網(wǎng)站時被警告 “訪問該高校門戶網(wǎng)站可能會損害您的計算機”更有甚者，用戶在打開該高校門戶網(wǎng)站時，會引起死機、信息被盜等風險。（二）網(wǎng)頁掛馬掛馬是指黑客入侵了一些高校門

4、戶網(wǎng)站后，將自己編寫的網(wǎng)頁木 馬嵌入被黑高校門戶網(wǎng)站的主頁中，利用被黑高校門戶網(wǎng)站的流量 將自己的網(wǎng)頁木馬傳播開去，以達到不可告人的目的。網(wǎng)頁被掛馬， 在一定程度上可以說是網(wǎng)頁被篡改，但是比較隱蔽，危害卻更大， 嚴重影響到高校門戶網(wǎng)站的公眾信譽度，從而使廣大用戶對高校門 戶網(wǎng)站的信心受挫。（三）sql注入攻擊sql注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一。由于從 事高校門戶網(wǎng)站開發(fā)的程序員水平和經(jīng)驗參差不齊，相當大一部分 程序員在編寫代碼的時候，僅僅關(guān)注功能的完成，沒有對用戶輸入 數(shù)據(jù)的有效性進行校驗。惡意攻擊者可以在高校門戶網(wǎng)站上提交一 段數(shù)據(jù)庫查詢代碼，獲得某些他想得知的數(shù)據(jù)，甚至整個

5、數(shù)據(jù)庫表。 sql注入是從正常的ww端口訪問，而且表面看起來跟一般的web頁 面訪問沒什么區(qū)別，所以目前市面的防火墻很難對sql注入發(fā)出警 報，如果管理員沒查看日志的習慣，可能被入侵很長時間都不會發(fā) 覺。如果被注入，會被竊取數(shù)據(jù)、修改數(shù)據(jù)，對高校門戶網(wǎng)站來說， 會發(fā)生敏感信息泄露、正常的頁面被篡改等情況。（四）跨站點腳本攻擊跨站點腳本漏洞是指惡意攻擊者往web頁面里插入惡意腳本代碼。當用戶瀏覽網(wǎng)頁時，嵌入頁面中的腳本代碼會被執(zhí)行，從而盜 取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵 害的一種攻擊方式。對于存在跨站點腳本漏洞的高校門戶網(wǎng)站，惡 意攻擊者往往利用高校門戶網(wǎng)站的公信度，

6、通過及時通訊工具、電 子郵件發(fā)送通知等手段引導用戶訪問鏈接，從而達到竊取用戶資料 的目的。三、高校門戶網(wǎng)站web安全問題總結(jié)及防護解決思路通過對高校門戶網(wǎng)站安全現(xiàn)狀的分析，我們了解到，就客觀環(huán)境 而言，高校門戶網(wǎng)站所處的威脅環(huán)境已經(jīng)日益惡化，就主觀方面來 講，造成目前攻擊事件不斷發(fā)生的深層次原因到底是什么？針對這 些問題，我們要怎么應(yīng)對呢？（一）高校門戶網(wǎng)站安全問題總結(jié)高校門戶網(wǎng)站安全形勢堪憂，究其原因，主要是因為存在以下幾 個方面的問題：大多數(shù)高校門戶網(wǎng)站設(shè)計，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全一個高校門戶網(wǎng)站設(shè)計者更多地考慮滿足用戶應(yīng)用，如何實現(xiàn)業(yè) 務(wù)，很少考慮高校門戶網(wǎng)站應(yīng)用開發(fā)過程中所存在

7、的漏洞。這些漏 洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見，大多數(shù)高校門戶 網(wǎng)站設(shè)計開發(fā)者、高校門戶網(wǎng)站維護人員對高校門戶網(wǎng)站攻防技術(shù) 的了解甚少。在正常使用過程中，即便存在安全漏洞，正常的使用 者并不會察覺。但在黑客對漏洞敏銳的發(fā)覺和充分利用的動力下， 高校門戶網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或 間接獲取利益的機會。對于web應(yīng)用程序的sql注入漏洞，有試驗 表明，通過搜尋1000個高校門戶網(wǎng)站取樣測試，檢測到有11.3% 存在sql注入漏洞。圖1是針對某高校門戶網(wǎng)站漏洞掃描結(jié)果，結(jié)果表明該高校門戶 網(wǎng)站存在sql注入等漏洞。黑客入侵后，未及時發(fā)現(xiàn)有些黑客通過篡改網(wǎng)頁來傳播一

8、些非法信息或炫耀自己的水平。 但篡改網(wǎng)頁之前，黑客肯定基于對漏洞的利用，獲得了高校門戶網(wǎng) 站的控制權(quán)限?？膳碌氖牵ǔ：诳驮讷@取高校門戶網(wǎng)站的控制權(quán) 限之后，并不暴露自己，而是持續(xù)利用所控制高校門戶網(wǎng)站產(chǎn)生直幽命一論文發(fā)表專家一 蛔中國學術(shù)期刊網(wǎng) 接利益。如網(wǎng)頁掛馬就是一種利用高校門戶網(wǎng)站，給訪問者種植木 馬的一種非常隱蔽且直接獲取利益的主要方式之一。被種植木馬的 網(wǎng)站通常是在不知情的情況下，被黑客竊取了自身的機密信息。這 樣，高校門戶網(wǎng)站成了黑客散布木馬的一個渠道：高校門戶網(wǎng)站本 身雖然能夠提供正常服務(wù)，但高校門戶網(wǎng)站的訪問者卻遭受著持續(xù) 的危害。圖2是某網(wǎng)頁木馬監(jiān)測信息。高校門戶網(wǎng)站防御措

9、施滯后，甚至沒有真正的防御高校門戶網(wǎng)站防御不佳的另一個原因是，有很多高校門戶網(wǎng)站管 理員對高校門戶網(wǎng)站的價值認識僅僅是一臺服務(wù)器或者是高校門 戶網(wǎng)站的建設(shè)成本，認為為了這個服務(wù)器而增加超出其成本的安全 防護措施是得不償失的。而實際高校門戶網(wǎng)站遭受攻擊之后，帶來 的間接損失往往不能用一個服務(wù)器或者是高校門戶網(wǎng)站的建設(shè)成 本來衡量，很多信息資產(chǎn)在遭受攻擊之后造成無形價值的流失。不 幸的是，很多擁有高校門戶網(wǎng)站的組織和個人，只有在高校門戶網(wǎng) 站遭受攻擊，造成的損失遠超過高校門戶網(wǎng)站本身造價之后才意識 高校門戶網(wǎng)站安全問題的嚴重性。發(fā)現(xiàn)安全問題不能徹底解決高校門戶網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出，但

10、由于關(guān)注重 點不同，絕大多數(shù)的高校門戶網(wǎng)站開發(fā)與設(shè)計公司對高校門戶網(wǎng)站 安全代碼設(shè)計方面了解甚少。發(fā)現(xiàn)高校門戶網(wǎng)站安全存在問題和漏 洞，其修補方式只能停留在頁面修復上，很難針對高校門戶網(wǎng)站具體的漏洞原理對源代碼進行改造。這也是為什么有些高校門戶網(wǎng)站 安裝網(wǎng)頁防篡改、高校門戶網(wǎng)站恢復軟件后仍然遭受攻擊的原因。（二）高校門戶網(wǎng)站安全問題解決思路事實表明，若要解決新形勢下高校門戶網(wǎng)站的安全問題，需變被 動應(yīng)對為主動關(guān)注，實施積極防御。這就需要以一個全面的視角看 待高校門戶網(wǎng)站的安全問題，并依靠各個方面的相互配合，對高校 門戶網(wǎng)站安全做到心中有數(shù)，防護有方。具體的思路如下：建立主動的安全檢測機制面對w

11、eb應(yīng)用的威脅，我們?nèi)狈τ行У臋z查機制，因此，首先要 建立一個主動的高校門戶網(wǎng)站安全檢查機制，確保對高校門戶網(wǎng)站 安全情況的及時獲知一一是否已經(jīng)遭到攻擊，是否還存在被攻擊的 風險。進行有效的入侵防護面對web應(yīng)用的攻擊，我們?nèi)狈τ行У臋z測防護機制，因此，需 要部署針對高校門戶網(wǎng)站的入侵防護產(chǎn)品，加強高校門戶網(wǎng)站防入 侵能力，能夠?qū)Ω咝ｉT戶網(wǎng)站主流的應(yīng)用層攻擊（如sql注入和xss 攻擊）進行防護。針對高校門戶網(wǎng)站安全問題，建立及時響應(yīng)機制面對web應(yīng)用程序漏洞和已經(jīng)造成的危害，我們?nèi)狈謴偷臋C制 和足夠的技術(shù)儲備。因此，需要確立專業(yè)支持團隊的外援保障，解 決及時響應(yīng)問題，在高校門戶網(wǎng)站安全問題

12、被驗證后，能確保對高 校門戶網(wǎng)站進行木馬清除以及針對web漏洞的安全代碼審核修補等 工作。通過以上3個環(huán)節(jié)的有機結(jié)合，方可建立一套有檢測、有防護、 有響應(yīng)的高校門戶網(wǎng)站安全保障方案，確保高校門戶網(wǎng)站在新威脅 環(huán)境下安全運營。隨著校園網(wǎng)絡(luò)的發(fā)展，技術(shù)的進步，校園網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也在增大。校園網(wǎng)的web應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全問題也日益嚴 重，安全問題也變成了校園網(wǎng)的熱點和難點問題。學校應(yīng)當給予足 夠的重視，在資金、人員配備、設(shè)備更新等方面給予大力支持，使 高校門戶網(wǎng)站運行更加安全、可靠、穩(wěn)定。參考文獻lee d c.談利群，張文海等.網(wǎng)絡(luò)安全實踐m.北京:人 民郵電出版社，2004.張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù)m.北京:人民郵電出 版