高校网站安全分析及对策

时间:2022-05-11 08:54:56

高校网站安全分析及对策

摘要:本文通过对高校网站安全风险的分析和探讨,以高校非站群网站建设为背景,提出了安全防护对策,以保障高校网站信息的安全,从而更好地服务于广大师生。

关键词:网站安全,安全威胁,安全防护对策

1高校网站安全风险概述及分析

2016年3月18日的《中国互联网站发展状况及其安全报告(2016年)》指出:2015年,针对中国网站的仿冒页面(URL链接)191699个,较2014年增长85.7%,涉及IP地址20488个,较2014年增长199.4%。网页篡改、网站后门等攻击事件层出不穷,党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT攻击的重点目标。2015年被植入后门的中国网站数量为75028个,较2014年增长86.7%[1]。一旦网站被挂马或被植入广告链接、钓鱼诈骗,可能会造成隐私数据被窃取、业务中断等不良影响,不仅会侵害社会公众的利益,而且可能会使单位形象受到损失。可见,高校网站的安全形势相当严峻。高校网站安全性差,主要归纳为以下几点。1.1网站设计风格各异,开发环境、语言不统一,管理困难,程序存在漏洞。最常见的网站被攻击方式有以下几种:(1)SQL注入。高校网站被攻击方式中SQL注入[3]是最主要的风险,占黑客攻击数量的63%。据介绍,SQL注入攻击主要是利用网站系统漏洞,黑客通过向网站提交的SQL查询语句,非法获取网站数据库中的敏感信息(如用户名、密码等),从而直接上传后门文件,篡改网页内容,修改数据库数据等一系列严重后果。(2)跨站脚本。攻击者通过伪造请求,模仿用户提交表单的行为,将看上去来源可靠的链接中恶意嵌入代码,从而达到修改用户的数据,执行特定任务的目的。(3)上传文件。攻击者利用应用程序(如FTP等)上传恶意代码,当客户端执行时从而对网站造成破坏。(4)HttpHeads攻击。WEB网站无论采用何种技术和框架,都会用到HTTP协议,攻击者通过HT-TP协议在Responseheader和content之间注入任意字符,从而攻击网站,如执行脚本语句、篡改cookies等。除网站程序开发上的漏洞外,高校网站还常存在网站管理上的问题。很多高校网站基于windowsserver系统,借助IIS为网站服务器,将几十个甚至上百个网站放置在相同目录下,然而,不同的网站文件夹权限设置[4]却相同。网站文件夹权限设置不合理很可能也会引起网站数据被篡改,从而导致网站被挂马或被植入广告链接等。1.2服务器系统、软件存在漏洞。无论是WindowsServer还是Linux、Unix操作系统,都有可能存在漏洞,如不及时修复、更新、安装补丁程序,系统随时会受到威胁。同时,服务器配置上的不完善也会成为被攻击的对象,如权限设置不严谨,管理员账号用户名、密码为空等;没有关闭不必要的服务;共享文件夹不设置相应的权限;所有主机都可以Telnet到服务器等。运行在服务器上的软件也可能存在版本过低,非正版软件等一系列问题,也会产生漏洞[5-7]。1.3网络安全设备缺失。有的高校存在对网络安全不够重视,如网络设备陈旧,数量和性能上不能满足要求,更没有网络安全检测和防护设备。即使大多高校网络出口都配备了防火墙,仍不能保证网络安全万无一失,因为仍有很多攻击行为可以绕过防火墙,如数据驱动攻击等。1.4日常维护不到位,安全意识薄弱。网站管理部门安全制度的缺失,管理人员安全意识不高或技术水平有限,对网站安全防范技术不了解,使日常维护不到位。此外,网站管理部门对众多二级网站的管理无法做到无死角防护,导致网站发生问题时,网站管理部门工作被动,与网站归属部门发生安全责任推诿[8]。

2高校网站安全防护对策

面临高校网站如此严峻的安全威胁,做好安全防护应主要从以下几个方面进行。2.1统一建设、规范管理,严防程序漏洞。就作者所在院校二级网站建设来说分为:统一建设和各部门自建。无论哪种方式建设都规定了相应的规范,采用统一的开发语言和数据库,避免开发语言和程序混乱的情况的发生,对二级网站采取统一的管理的方式。从而规范了程序开发时对用户输入数据的验证以及数据的大小、类型,并限制应用程序编程接口函数对系统资源、服务器资源的使用,从而防止系统和服务器遭受攻击。针对开发上最常见的网站被攻击方式采取以下措施:(1)防SQL注入。参数化SQL语句,通过设计与数据库链接和访问数据时,使用参数给值,用@表示参数;字符串过滤和使用正则表达式过滤参数等方法;屏蔽服务器异常信息。(2)防止跨站脚本攻击(XSS)。常见解决方法:输入过滤,对用户的输入或者请求的头部进行过滤。编程者要有良好的安全意识,对所有的输入源进行覆盖,但不可以阻止其他问题,如错误提示等。输出过滤或者安装第三方应用防火墙,拦截css攻击以可以做到有效的防止跨站脚本攻击。(3)当上传文件[9]时,过滤文件扩展名,将不在允许访问的扩展名列表之内的文件,拒绝其访问。对于文件内容的攻击则无法用文件名过滤来排除,只能通过扫描其文件内容来识别。(4)防止HttpHeads攻击。过滤所有的re-sponseheaders,除去header中出现的非法字符,尤其是CRLF。规范管理主要体现在:通过IIS设置,删除默认站点及默认目录,创建自己的网站目录,并为各二级网站分配各自的FTP账号和密码、IIS浏览账号和密码及独立的应用程序池,同时对文件访问设置权限,如静态网站只可读取,不可写入;为动态网站含有数据库的文件夹,设置读写权限。这样即使某个网站受到攻击时其他网站不会受到牵连。此外,信息技术中心应定期对各网站管理人员进行培训,宣讲信息安全知识,提高各二级单位网站管理人员的网络安全意识,科学、合理地设置网站管理员的用户名和密码,规范网站日常信息添加、上传文件等操作。2.2网站服务器系统安全配置。通过Windows自动更新或者辅助软件,定时升级操作系统安全补丁,同时为确保系统地安全稳定性,及时升级操作系统的版本。关闭或删除网站服务器系统中不必要的服务端口,尽可能地少使用Telnet、磁盘服务等功能,从而减少被攻击的可能性。修改管理员用户名及设置复杂的登录密码,定期更换密码,关闭Guest用户。安装杀毒软件,及时更新补丁程序,定时查杀病毒和木马。及时更新Web服务器上的相关软件的版本[10]。2.3配备网络安全设备。在网络安全防护上,配备硬件防火墙、虚拟专用网、入侵检测系统等网络安全设备也是很有力的安全防护手段。硬件防火墙将内网与外网之间建立了一个安全网关,有效地保障了内网免受非法用户的入侵,同时,防火墙还可以记录Internet上的活动,通过日志记录信息,管理员可以有效地监测和跟踪服务器的通信量及试图闯入者的任何企图。对发生可疑动作时,防火墙还可以进行适当的报警。虚拟专用网(VPN)是在公用网络上建立专用网络,通过通讯加密,从而保障网络访问的安全性。学校通过VPN接入方式为校园网用户提供了公网访问校内网络应用系统的途径。当校园网用户出差在外、或不在学校办公和教学区时,用户只要在能上公网的地方,使用相应的VPN软件和申请的账号,就可以接入到校园网中,访问校园网中的网络资源或进行网络办公。方便用户的同时也有利地保障了网络安全。入侵检测系统(IDS)具有网络监视功能,通过分析网络中的传输数据来判断破坏系统和入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。通过入侵检测系统网络管理人员能够更好地掌握系统的情况,追踪攻击者的攻击线路抓住肇事者,从而使现有的安全防护体系更完善。2.4加强网站日常维护。安排和配置专业技术人员从事网站的日常管理维护工作,加强对网络、网站服务器、网络安全设备、杀毒软件、防火墙等的维护和升级。同时,制定严格的规章制度,责任要落实到人,管理要到位,建立建全安全应急响应和处理预案。此外,采取多种备份方式并定期备份系统和网站数据,以便出现问题时能及时恢复。定期检查服务器日志,检查服务器及网站运行状态,发现网站异常或有入侵现象,进行即时的安全处理,防止问题进一步扩大。

3结语

随着信息安全技术不断发展,高校网站面临的安全威胁也在不断变化中,为保障正常的教学、管理,应不断地提高网站建设水平,加强网站安全防护,增强网络专业技术人员的技术水平和安全防护意识,从而才能将网站安全威胁降至最低,保障其正常平稳地运行。

作者:耿娟平 单位:北华航天工业学院