郑州
(重庆市教育信息技术与装备中心,重庆 400020)
随着计算机网络的快速普及,与我们息息相关的众多信息都通过网站这一载体进行存储和传递,各行各业都对网站系统依赖程度越来越高,特别是近年教育信息化建设的逐步深入,“数字校园”建设蓬勃开展,各教育机构的教务工作对信息系统的投入越来越大,教育系统网站已从一个简单的信息发布、形象展示,逐步转变为汇集招生就业、远程教育、资源共享、教学研究、继续教育、招标采购等功能的综合性业务应用平台。都在大力进行教育网站业务建设的同时,各教育系统在安全保障的建设上出现了严重缺失,网站挂马、网页篡改、DDOS攻击等威胁网络安全的事件呈逐年上升的趋势,以2010年高招为例,2010年5月14日一天内,全国128所高校被集体挂马,其中不乏名牌重点高校,这一数字已超过2009年全年挂马数,近几年全国各级各类教育行政部门的网站应用系统也成为黑客争先攻击的重点,修改考试成绩、骗取认证证书、篡改报名信息等事件屡有发生,攻击者有利可图,在巨大经济利益的驱使下,教育系统网站已经逐渐成为黑客关注的新目标,因此教育系统网站安全保障工作已经迫在眉睫。
教育网站的建设主要包括各级教育行政部门、各类学校以及其他教育机构,用卡尔萨根“魔鬼出没的世界”这句话来形容教育网站目前所处的恶劣安全环境是再合适不过了。针对当前信息化技术的发展,当前比较典型的网站安全威胁主要分为外部攻击和内部威胁,据统计,外部攻击几乎占整个网站安全事件的70%左右,内部威胁占到整个网络安全事件的30%左右,其攻击方式主要有以下几种:
(1)跨站脚本攻击
跨站攻击,即Cross Site Script Execution(通常简写为 XSS),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,通过插入挂马代码盗取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息,再利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
(2)信息泄露
信息泄漏是攻击者通过应用系统部署时没有将注释去掉、应用系统部署时没有正确地配置服务器程序等方式获得应用系统某些敏感信息的攻击技巧,通常是利用程序员遗留在代码中的注释或者服务器程序的错误信息进行攻击。信息泄露的危害:远程攻击者可以利用漏洞获得敏感信息,有利于攻击者进一步的攻击。
(3)SQL 注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。值得注意的是SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
(4)越权攻击
越权攻击是由于程序员对页面的访问权的检测不完善而造成的,使入侵者不需得到用户或管理员的密码即可访问只有特定用户或管理员才能访问的页面的一种漏洞。越权攻击最早出现在2000年左右,最初以流行的“聊天室踢人大法”出现,就是利用访问某些对用户权限检测不完善的聊天室程序的负责踢人的页面来达到任意踢人的目的,不过这种越管理员权限的漏洞通常比较隐蔽,尤其是对非开源的程序,大多只能凭经验来猜。 再一种越权,我们可以称之为“越步越权”,这类漏洞针对的是某些需要N个步骤完成的过程,第X步没有检测是否完成了X-1步而使攻击者可以跳过第X-1步。这种漏洞常出现在找回密码的程序中,最后验证完毕修改密码的页面只是把要修改的用户名以隐藏域的方式放在了网页中,但是下一步没有进行相关检测导致攻击者可以修改任意用户的密码。
(5)DDOS 攻击
DDOS全名是Distributed Denialof service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS最早可追溯到1996年初,在中国2002年开始频繁出现,2003年已经初具规模。DDOS攻击通过制造伪造的流量数据,使被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
(1)人为管理失误
人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任,还面临越来越大的压力,稍有考虑不周,安全配置不当,就会造成安全漏洞。黑客往往会通过人们安全意识低、不及时更新修复系统漏洞、对信任的网站和文件不谨慎对待等特点,对网站进行入侵,没有健全的安全机制、对危机处理反应速度慢等都给黑客留下入侵的时机,对邮件、聊天信息等信息的传递没有提高警惕,也给黑客入侵提供了传播途径。
(2)安全意识低
虽然信息技术在飞速地发展,但是网络的安全问题却一直都存在,其中很重要的一点就是我们对黑客入侵的安全防范认识还不够,用户安全意识还不强,不按照安全规定操作,如口令选择不慎,将自己的网站用户账户随意转借他人或与别人共享,都会对网络安全带来威胁。这是一种非代码的入侵方式,不通过计算机网络、黑客技术等进行入侵,这种入侵实际上是一种利用攻击用户心理弱点来骗取目标重要信息的方式,这种入侵方式简单,应用广泛,应当引起网络安全管理员和网站用户的重视。
围绕教育网站所承载的业务特点以及面临的典型威胁,结合现在 《国家信息安全等级保护制度》的有关要求,通过对网站进行外部的过滤防护、内部的Web服务保护、操作系统内核加固等环节的安全建设,并在运维阶段加强信息安全管理,方可有效保障教育网站的信息安全,满足国家、行业主管机构的监管要求;保证重大事件(如在线录取、在线考试、证书颁发)期间的网站安全,维护网站运营主管单位的形象和声誉,提高网站的安全运维效率。
结合网站安全威胁的主要问题,我们应对的主要思路应该是:以教育网站面临的威胁风险为设计核心,从威胁产生的来源进行全方位的立体防御,有效地解决教育网站安全内外威胁,不留短板,不留软肋,从而提高教育网站的整体安全性。其主要防护手段包括外部过滤防御、Web服务安全、操作系统安全和管理使用安全等几个方面,如图1所示。
外部的过滤防御主要通过风险事前预警、风险事中防护、风险事后处理等积极主动方式来实现教育系统网站安全风险全流程控制。
(1)风险事前预警
图1 网站安全防护架构拓扑图
目前对网站新漏洞、网页被挂马等状况,绝大多数网站建设和运维者并不能及时察觉。增设Web应用防火墙后,可围绕具体业务类采用针对性比较强的Web安全自动化检测,定期或不定期地对网站安全问题进行检测,可分为预警检测和事后检测两方面。
我们以重庆市教委为例,2011年11月,重庆市教委机关网络机房已根据自身实际情况成功地部署了“Web应用防火墙”,通过硬件加固的方式,对Web服务器的多种项目(包括潜在的危险文件/CGI以及多个服务器版本上的特定问题等)进行了全面的检测,还可以对Web服务器、应用服务器、数据库服务器的配置进行定期检查,确保服务器的配置正确,对后台数据库进行安全基线审计,对一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(Directory traversal)、身份验证页上的弱口令长度等进行技术层面的验证,有效地防止网页篡改、网页挂马等安全事件的发生。
(2)风险事中防护
一是网页篡改在线防护。
按照网页篡改事件发生的时序,提供事件中防护以及事后补偿的在线防护保护机制。通过防篡改发布系统,事中,实际过滤HTTP请求中混杂的网页篡改攻击流量(如 SQL注入、XSS等); 事后,自动监控网站所有保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警提示,对外仍显示篡改前的正常页面,用户还能继续正常访问网站。
二是网页挂马在线防护。
网页挂马是一种相对比较隐蔽的网页篡改方式,本质上这种方式也破坏了网页的完整性,网页挂马攻击目标为各类网站的最终用户,网站作为传播网页木马的“傀儡帮凶”,严重影响网站的公信力。加装防篡改发布系统后,可有效地进行挂马在线防护,当用户请求访问某一个页面时,会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。
三是敏感信息泄露防护。
Web应用防火墙通常会提供自定义非法敏感关键字过滤功能,站点在信息发布时可能包含一些不在正常网站数据目录树内的URL链接,提供细粒度的URLACL,防止这些链接非授权访问。对其进行自动过滤,防止非法内容发布给公众浏览,识别并更正Web应用错误的业务流程,识别并防护敏感数据泄露,满足内容合规与审计要求。
四是智能应用层DDOS攻击防护。
面对各类宽带及资源耗尽拒绝服务攻击,如对SYNFLOOD这种常见攻击行为,Web应用防火墙能够有效地进行识别,并实时对攻击流量进行阻断,确保Web业务的可用性及连续性。
(3)风险事后安全恢复
当前防篡改系统与Web应用防火墙的并用,对于网站发生的攻击行为能够做到有效的并网审计,具有丰富的日志报表,借助图形化的方式来做数据的统计分析。对于攻击能够做到发起的地区,使用什么样的系统、访问了哪些资源、做了哪些破坏行为,可实时分析,进行自定义事件查询。
(1)动态网页脚本保护
当前教育网站越来越多地使用动态技术来输出网页。动态网页由网页脚本和内容组成,网页脚本以文件形式存在于Web服务器上,动态网页脚本与静态网页一样,极易受到攻击和篡改。随着技术发展,防护网站篡改模块越来越受网站安全管理员的认可,它通常采用文件驱动级技术,可直接从Web服务器上得到动态网页脚本,不受变化的内容影响,能够像静态网页一样保护动态网页脚本。
(2)连续篡改攻击保护
对于大规模连续的篡改,防篡改系统检测到首个非法操作后就会阻断其后连续的篡改操作,系统针对来源和操作行为,提前终止其后续篡改操作请求,系统在底层完成这些措施并不会将这些大规模连续篡改请求发送到上层应用,极大地降低了应用程序的处理负担,有效地提高了应有的工作效率。
(3)服务器安全运行可靠性管理
防篡改模块一般可以监控服务器上当前的运行状态,监视服务器CPU、内存、网络流量、服务等,并能够有效地防护,通过设置的阈值及时向用户提供报警信息,使用户能够及时响应意外事件,并通过设置进程的黑白名单来防止服务器被植入后门木马等程序。
网站后台管理模块可将超级用户当做一般用户看待,即超级用户也无法越过后台管理模块的安全屏障去访问未经授权的文件,这样有效地防止了敏感数据的泄露,也可以防止由于超级用户误操作而带来的损失,即使黑客取得了超级用户管理权限,也无法突破后台管理模块的安全策略、访问敏感数据资源。
(1)软硬件资产管理
通过强化用户的入网注册机制、IP和MAC地址网络地址管理、网卡管理等功能,有效地规范网内终端注册管理机制。通常用户上网行为管理系统能够较好地实现包括外设在内的硬件状态信息(具体包括客户端计算机名,CPU型号及主频、内存大小、硬盘、光驱、键盘、鼠标、主板、操作系统及版本、IE浏览器及版本等)、软件状态信息 (客户端补丁安装情况、应用软件等)、连网情况信息、资产禁用、资产信息的追踪与报警、端口等管理。
(2)终端桌面安全加固
对客户终端安全软件资源进行统一监控,内部网络管理员可根据条件查询指定软件和违规软件的安装情况,对违反规定而致安全防护措施薄弱的客户端进行提示和断网等处理,以此提醒或者切断可能成为传染源的主机,防患于未然,确保网站内部安全。特别是要加强对防病毒软件安装及版本的检查,了解网络中的杀毒软件安装状况,必要时通过部署的上网行为管理系统强制为客户端安装防病毒程序,保护主机免受潜在的威胁侵害。
系统用户密码的脆弱可能导致计算机内重要信息的丢失,而一般用户重视程度不足,设置密码过于简单甚至没有设置密码,因此使他人可以轻易进入到本机系统,进行不安全操作或者窃取重要信息。因此配置符合保密要求的密码策略尤为重要,可以通过对口令长度、屏保密码等有效地保障系统登录口令安全。
(3)升级补丁分发管理
内部网络大多客户端用户对补丁升级认识不够,极易成为攻击的致命环节,网络管理员可以通过安防系统或行为管理系统集中进行补丁安全认证、补丁测试、补丁发放、补丁分发安装等操作,将认证后的补丁通过统一管理平台向用户网络终端进行配送;确保用户最终应用补丁的安全性,逐步形成一个统一、稳定、及时的补丁分发机制,避免由于终端脆弱性而导致的恶意入侵及病毒传播,同时合理控制网络流量,防范拥塞,有效保障专网的正常稳定运行。
(4)用户行为监控审计
在内部网络部署上网行为管理系统的目标在于,将安全防范的重点从设备本身转移到设备的使用者——终端用户行为上,通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄。通过对用户上网访问行为、各种文件操作、网络文件输出等行为进行监控,并对审计结果提供详实的报表,有效地保障了信息安全,规范了人员的安全上网行为,强化了安全意识。
随着网站建设技术的日新月异,面对规模越来越庞大和复杂的网络环境,仅依靠传统的网络安全方式来保证网站系统安全和畅通,显然已经不能满足当前网络的可管、可控的要求,因此以终端准入解决方案为代表的网络管理软件开始逐步融合进网站整体的安全防护解决方案中,以逐步取代单纯意义上的单个安全硬件的作用。网站安全威胁将随着技术不断发展呼唤新的安防措施,只有通过不断提高网站建设人员的技术能力、加强网络安全防护软硬件规划投入和科学地使用管理维护策略,才能将日趋严峻的教育系统网站安全威胁风险降到最低。
[1]高校门户网站如何保障安全的报告[R].中国绿盟信息中心,2010.
[2]梁斌.黑客攻击网站常用的技术及方法[J].中国高新技术企业,2011,(8):78-79.
[3]沈苏彬.网络安全原理与应用[M].北京:人民邮电出版社,2005:51-60.
[4]从2011年司法考试“泄题疑云”看教育信息安全[DB/OL].http://www.asmag.com.cn/article/article_detail.aspx?aid=45924.
[5]孙铁,何财发.高手支招之高校网站如何保安全[DB/OL].http://netsecurity.51cto.com/art/201007/213081.htm.