基于云计算模式下高校教学资源共享平台多方位安全防御策略研究

叶良艳　江国粹

摘要：该文研究SQL注入等常见网站攻击原理，并结合基于云计算模式下高校教学资源共享平台特点，从安全管理、安全检查和技术手段研究平台多方位安全防御策略。

关键词：云计算；多方位；防御系统

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）28-0059-02

在《教育信息化十年发展规划 （ 2011- 2020）》第九章对要“建立国家教育云服务模式”：“充分整合现有资源，采用云计算技术，形成资源配置与服务的集约化发展途径，构建稳定可靠、低成本的国家教育云服务模式。”，本文章主要研究基于云计算模式下高校教学资源共享平台建设过程中需要注意哪些安全。

1 常见的WEB网站攻击及原理

1.1 WEB网站攻击现状

2013年OWASP[1]发布前十大攻击，依次为注入、时效的省份认证和会话管理、跨站脚本、不安全的直接对象应用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造、使用还有已知漏洞的组件和未验证的重定向和转发，其中网站注入居高位。

2014年发生全球十一大攻击事件，如Regin恶意软件、索尼攻击事件、iCloud攻击事件、摩根大通（JPMorgan）信用卡入侵、家得宝（Home Depot）、韩国信用卡黑客事件、易趣网（eBay）泄密事件、尼曼（Neiman Marcus）攻击事件、破壳漏洞（Shellshock）、心脏滴血漏洞和12306用户数据泄露含身份证及密码信息，其中12306用户数据泄露含身份证及密码信息为撞库攻击，这种攻击方式将成为未来趋势。

1.2 WEB网站常见攻击——SQL注入攻击

SQL注入一直是WEB中最广泛最危险的攻击，它的攻击原理是黑客借助用户交互时，故意插入一些特殊的SQL语句，该语句一旦插人到实际SQL语句中并执行它，就可以窃取系统机密信息，甚至控制主机或其权限 [2]。下面是php程序的一个简单SQL注入实例：

假设的登录查询SELECT * FROM users WHERE username =admin and password=password‘

假设的php 代码$myquery="Select * from users where username='". $username ."' and password='".$pwd."'"；

输人字符username =or 1=1

实际的查询代码SELECT * FROM users WHERE username=or 1=1 and password='anything‘。在条件语句中，无论用户名称是否正确，由于1=1永远是为真，导致users表中的所有数据都被窃取。

2 研究平台的特点

基于云计算模式下高校教学资源共享平台服务器由第三方云服务器商提供，网站系统是WAMP（Windows+Apache+MySQL+PHP）框架式。平台分为四个部分：用户层、网络层、云层和网站系统层。如下图1平台安全层次图。

用户层：即应用层，用户与服务器交互，该层主要被黑客恶意攻击的地方。网络层：信息篡改常常来自网络层，常用预防措施有：SSL协议和S-HTTP。云层：该层是核心层，一旦被控制后果非常严重。网站系统层：网站系统的安全系数与网站被攻击成正比。

3 平台多方位防御系统设计

一个好的防御系统需要有自我防御、检测、监督、修复等性能，同时配对一套合理的安全管理，且能严格定期执行，具体设计如下。

3.1 平台设计

一个拥有自我防御、检测、监督、修复等性能平台，可网站编码、功能和借助外部软件等方法实现。

1） 编码规范。编码不规范容易给黑客留下后门，如明确指定输出的编码方式：不要允许攻击者为你的用户选择编码方式（如ISO 8859-1或 UTF 8）。网站开发规范可以参照《OWASP安全编码规范快速参考指南》。

2） 全面防御功能设计。用户层常用预防措施有：①对用户身份进行验证，对用户访问权限控制，分级管理用户；②对用户的输入特殊字符屏蔽和过滤；③对重要和敏感的数据进行加密。云端常用措施是建立监督机制，预防被利用的可能。网络层采用防护措施有：①用 SSL 实现安全通信，防止攻击，②过滤所有外部数据、使用现有函数、自己定义函数进行校验、使用白名单。网站系统层常用预防措施提①编写通用的安全模块。如判断是否验证、授权等安全模块代码。②对重要的数据加密，以确保信息的安全性，如用户登录密码，银行帐号。③提供安全存储，对HTML 或 PHP 文件、与脚本相关的数据和 MySQL数据采取不同存储方式，如脚本只能读但不能写。④增强Web服务器安全，利用WebShell检测技术。

3） 借助外部软件。①应用网站安全评估产品。目前防御系统有：360、腾讯和SCANV等，其中SCANV（http：//www.scanv.com/）是一家专注网站安全监测。②Web应用防火墙。

3.2 安全管理设计

定期对网站应用状况的安全检测，并给出Web应用安全性评估等。常用方法是定期对WEB日志判断来检测Web网站是否受到攻击[3]：

1）检查web日志：查看是否有特殊记录，如SQL语句select，drop，insert等关键字参数；或则如“‘；--”等特殊的表达式的请求记录；2）检查web防御系统日志：查看被攻击的IP或源页面等；3）查看防火墙等网络设备日志：如Web端口连接IP分布、服务器对外发起的连接状况；4）查看数据库日志：检查数据库建立新表的记录、新库、存储过程执行记录或者数据导入导出记录等；5）检查Web目录：如上传文件或文件夹及他们修改与最后访问时间等。

4 结束语

综上所述，本文主要介绍WEB常见的网站攻击类型及基原理，另外根据云平台网站的安全特点提出防御系统的设计建议，望能给平台开发者提供参考。

参考文献：

[1] OWASP.Top10-2013.The Ten Most Critical Web Application Security Risks.[EB/OL ].http：//www.owasp.org.

[2] 肖遥.网站入侵与脚本攻防修炼[M].北京：电子工业出版社，2008.

[3] 俞优，顾健，李毅.web应用安全现状分析及防护建议[J].技术研究，2010，7（76）.