高校网站安全问题分析及防护对策研究

陈泽坤 李正武 吕伟民 陈波 童亚拉

摘 要 随着高校网站在高校教学、科研、行政办公等方面发挥着越来越重要的作用，所面临的安全问题越来越多，本文跟据高校网站安全现状，提出一些行之有效的解决方案。

关键词 高校网站安全 高校网站防护策略 网络技术

中图分类号：TP 309  文献标识：A

1高校网站安全现状

网络的飞速发展、网民数量的剧增以及日常生活的日益信息化，网站在生活中扮演了重要角色，同时，针对网站的攻击也给网站带来了极大的安全隐患。高校网站作为对外服务窗口，拥有独立IP地址、域名和空间，各网站技术水平差异大，没有网站群支持，更容易受黑客青睐，高校网站安全问题层出不穷。根据360互联网安全中心公布的数据[1]，平均每个高校网站每天被攻击 113 次（包括扫描等尝试攻击行为），被攻击最多的网站最高可达每日上万次。360网站安全检测数据中，全国每天被篡改网站中，约20%是高校网站，解决高校网站安全问题刻不容缓。 目前，网站安全问题渐渐得到重视，各类研究成果发挥了重要作用，然而这些防护措施往往只能解决局部的问题。高校网站通常是由老师带领学生来维护的，各种网站安全问题使学校网站安全工作难度加大不少。本文旨在找出高校网站存在的诸多安全隐患，并探讨高效的解决对策。

2高校网站安全问题及成因全面分析

2.1硬件条件不足

部分高校由于网站投入经费有限，网站服务器的硬件配置，如CPU、芯片组、内存、磁盘系统、网络等硬件条件较差，导致服务器运算能力、运行可靠性、外部数据吞吐能力及服务器的稳定性等不是很好，从而造成网站运行不稳定。

2.2存在多种安全漏洞

（1）操作系统web服务器系统漏洞;操作系统和web服务器系统存在多种漏洞，导致黑客攻击，网站维护人员难以发现漏洞，及时维护。

（2）SQL注入漏洞;若网站对用户输入数据缺乏全面判断或过滤不严格，黑客可以利用SQL语句在服务器上执行恶意程序，黑客可根据服务器会反馈信息盗取网站信息。

（3）脚本执行漏洞;主要原因是开发网站时对URL提交过滤考虑不足，某些恶意代码可能随用户的URL一起提交，引起脚本攻击。

（4）FTP/TCP/IP协议漏洞;由于FTP权限泄露或程序漏洞，网络攻击者在未经授权的情况下更改网站服务器系统内容进而破坏服务器系统。

（5）IIS漏洞;如MDAC执行本地命令漏洞、NT Site Sever Adsamples漏洞、ISMDLL缓冲截断漏洞、IIS中的Unicode解析错误等。

（6）脚本应用程序漏洞;这类漏洞是用户或代理人编写的，由于编写代码者水平参差不齐，从而威胁网站安全。

2.3 网络攻击

2.3.1 蠕虫、病毒和特洛伊木马

网络上的病毒可感染受信任主机，直接感染服务器或，可能渗入防火墙，侵袭高校网络，这会对核心敏感数据造成严重威胁，甚至会导致网站服务中断。

2.3.2 跨网站请求伪造

CSRF（Cross Site Request Forgeries）或XSRF，跨网站请求伪造。攻击者伪造目标用户的HTTP请求，然后发送到存在CSRF漏洞的网站，网站执行后，引发跨站请求伪造攻击。攻击者利用让目标用户单击此链接。由于用户自己点击，且拥有合法权限，所以能执行特定HTTP链接，从而达到目的。

2.3.3 DDoS（Distributed Denial of Service）攻击

DDoS攻击就是利用合理的服务请求来占用过多的服务资源，使服务器、网络链路或网络设备超负荷工作，从而导致系统瘫痪，是一种可造成大规模破坏的黑客武器。

2.3.4 借助系统命令进行攻击

该方法利用早期路由器对包的最大尺寸有限制，而且读取包的标题头后，根据该标题头中信息，为有效载荷生成缓冲区，黑客便可利用内存分配错误的漏洞点，发动攻击。

2.3.5“破解密码”实施攻击

密码破解指的是未经授权登录系统，采用各种方式计算或解出用户口令的过程。攻击者利用XIT、SLURPIE等程序，计算出登录密码，此时用户并未察觉，防火墙无法发挥拦截功能，攻击者能顺利登录计算机，创建管理员帐户，快速植入后门程序等，当用户发现时，程序已植入到系统中。

2.3.6通过系统“应用层”攻击

程序员写代码时没有发现并解决错误，导致应用程序暴露在隐式攻击下。此时攻击者可植入木马程序，获取该计算机上应用程序账户的许可权，创建管理员帐户，破坏应用程序、数据。

2.3.7跨站脚本攻击

攻击者可借助Web网站存在XSS漏洞，攻击浏览网页的用户，窃取用户浏览会话中用户名和密码等敏感信息。用户上网时会点击链接，攻击者在链接中插入恶意代码，盗取用户的信息。攻击者常用十六进制链接编码，避免用户怀疑合法性。网站接收到请求后，产成含有恶意代码的页面，但此页面看上去与合法页面一样。

2.3.8同步（SYN）攻击

是DOS攻击的一种，它利用TCP协议缺陷，通过发送大量半连接请求。服务器接收到连接请求后，将此请求加入未连接队列，并发送给客户。服务器未收到确认包时重发，直到超才将此请求从队列删除。由于源地址不存在，服务器不断重发直至超时，这将长时间占用未连接队列，使正常请求被丢弃，从而系统运行缓慢，引起网络堵塞甚至瘫痪。

2.3.9Web欺骗攻击

就是打断从被攻击者主机到目标服务器间的正常连接，建立从被攻击者主机到攻击者主机再到目标服务器的连接。虽然被攻击者主机的软、硬件不会遭受损坏，但危害不可忽视。通过主机，攻击者将获知被攻击者的一切行为。

2.3.10越权攻击

这是由于应用系统对权限没有严格区别，用户的文件权限过滤不严格而带来的。

2.3.11表单绕过攻击

Web网站用表单收集访问者的用户名和密码，被发送到Web服务器处理，然后，服务器端ASP脚本根据这些信息生成SQL指令语句提交到SQL服务器，最后通过分析SQL服务器的返回结果判断该用户名和密码组合是否有效。表单绕过攻击也就是针对表单存在的安全漏洞，通过构造某些畸形的特殊提交语句，绕过表单安全认证的攻击手段，属于SQL注入。由于网站对用户输入的字符没有做相应的安全检测，导致黑客在登陆表单时，可使用一些特殊字符，绕过认证体系，从而拥有合法用户的权限。

2.4安全意识和管理制度

2.4.1网络安全意识淡薄

目前高校每个部门都配有电脑，但使用者安全防范意识和防范病毒能力较差，部分高校没有把网络安全知识向学生和教职工普及到位，导致网络攻击者以用户为目标入侵或破坏校园网。

2.4.2管理制度不完善

部分高校网站安全威胁来自管理者安全意识欠缺，管理机构不健全，如管理员密码被多人得知等安全隐患。

3高校网站防护策略探讨

3.1高校网站防护策略

网站文件安全防护应该是建站初始就应考虑的问题：

（1）黑客攻击网站，主要需要保护的是admin文件，里面包含后台程序和数据库，为做好防护工作必须做到不要在页面上留下后台入口链接，隐藏后台文件夹;数据库名字尽可能复杂，加大数据库名字匹配难度;设置文件夹访问权限，让外网无法访问后台文件。

（2）网站的密码保护要从四个方面着手：后台密码应采用加密算法;数据库设置密码;空间域名的管理密码要复杂，并常更换;改掉万能密码等。

（3）防注入代码插入，黑客注入攻击时会提示非法字符。

此外，为使网站防护能力得到提升，还须做到：WEB应用防火墙策略，使用网络协议分析技术，结合其它防护技术，对SQL注入、命令注入、目录穿越、跨站点脚本攻击等攻击进行有效防护。应用层检测技术防护策略，对HTTP协议参数进行识别和防护，做到超精细度防护。对动态、静态网页实时检测与防护，对整个站点爬行检测，发现页面被篡改，采用重定向方式实现主动恢复并警报，记录防篡改日志。抗DDoS网关防护策略，针对TCP、HTTP等协议，定义各种防御阈值。通过流量自学习功能帮助管理员配置DoS策略，以适应不同网络环境。双向过滤防护策略，针对源地址、源端口、目的端口、目的地址、协议类型进行访问控制，避免数据中心和服务器敏感信息暴露，降低以服务器作跳板的可能性。稳定性防护策略，使用Bypass功能，在特殊情况下保持网络畅通，消除在线产品的隐患。使用敏感词监控防护策略，针对某些关键字自定义过滤规则，维护高校形象。自定义防护策略，优化http、URL、IP白名单、DNS、HTTP等，自定义设置。

总之，网站出现问题一般是黑客检测到漏洞，从漏洞入侵服务器，做好日常维护，经常更新网站服务器是最重要的保护策略。

3.2高校网站的防护细节

高校网站防护技术包括SQL攻击防护、输入有效性验证、错误信息检测、PL/SQL方法应用、防御DDoS攻击、典型的病毒攻击和防范措施、典型的病毒攻击和防范措施等，本文作者针对目前网站存在的主要问题，重点关注几个防护细节。

3.2.1校园网硬件方面

首先，网络结构要设置合理。校园网一般采用核心、汇聚、接入三个网络结构层次，重要应用系统应设置成中立区。采用VLAN技术在交换局域网的基础上，用网络管理软件划分，如研究区、办公区、教学区、宿舍区及安全区等，根据子网的安全程度合理布局，防止威胁的传播。其次，采用高性能的网络系统设备和安全设备。设置防火墙，发挥其过滤、NAT转换、安全访问控制等功能。第三，设置IPS。当IPS和防火墙相互配合时，防范攻击的效果十分强大。最后，要有充足的网络带宽，以保证网站访问时的响应速度。

3.2.2网络安全策略设置方面

首先，建立严谨的用户身份认证机制，严格验证用户登录;其次，设置访问控制，主要任务是让网络资源不被非法使用和非正常访问。再次，加强系统优化，及时更新系统补丁和过滤软件，关闭不必要的服务。此外限制同时打开的SYN半连接数目、缩短SYN半连接的timeout时间等。

3.2.3网络管理方面

首先，健全安全管理体制，建立校园网络安全管理维护团队，加强相关人员的技术培训，提前准备应急处理方案。其次，定期检查及备份网络，做好日志记录，检测网络服务器访问情况等。再次，加强校园网用户的安全意识，加强病毒防范，经常进行系统升级更新。另外，经常调试网络安全设备并不断改进安全策略，以适应网络应用系统的变化。

4总结与展望

高校网络安全面临的压力依然加大，形势仍旧严峻。本文从高校网站安全现状出发，详细分析高校网站安全问题及其成因，探讨了相应的对策，并给出了网站软、硬件及管理方面的重要防护细节。

基金项目：湖北省教育厅人文社科重点项目（14D022）;湖北工业大学校2014年教研项目

参考文献

[1] 何斌颖.网站安全解决方案[A].2010，08：（174-177）

[2] 曾晓杰，周再红.高校校园网DDoS攻击防范措施研究[A].电脑知识与技术，2014，（20）：4719-4717.