杨龙
摘要:随着校园网快速发展,校园Web网站也在高校宣传及信息化建设中发挥着越来越重要的作用,随之而来的Web网站安全问题也日益突出。本文针对Web网站安全问题,对常见的网站攻击进行分析,并提出了相应的防御措施及解决方法。
关键词:校园网;Web网站安全;网页攻击;防御措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)35-0057-02
随着校园网的不断发展,Web网站逐渐成为在校师生的信息服务平台,同时也是宣传高校工作的一种重要方式。Web网站在为师生带来方便服务的同时也带来了一些网络安全问题,这些问题不仅仅影响了网站的使用效果也对校园网的网络安全构成了严重的威胁。Web网站的网络安全问题已经成为校园网网络安全研究领域中的一个重要方向。
1 引言
现如今,大多数高校的Web网站均采用IIS服务与数据库相结合的架构模式。IIS全称为Internet Information Server(网络信息服务),它是Microsoft公司推出的Web服务器。相对于其他Web服务器,IIS具有更高的可靠性与可用性,IIS经过不断的设计与改进,新的容错进程架构和其他功能可以有效地帮助用户减少不必要的停机时间,从而提高了应用程序的可用性。但是基于IIS服务的Web网站也同样存在着一系列的安全问题,其中主要有:①服务器操作系统未进行合理的配置与科学的管理;②如网站挂马、SQL注入攻击和跨站脚本攻击等破坏性网站攻击;③IIS服务器端运行脚本环境本身存在的一些安全隐患。本文主要针对常见的Web网站攻击进行分析与研究,并结合实际提出了行之有效的解决方法。
2 校园网Web网站存在的安全问题
2.1 网站挂马
挂马就是指攻击者通过各种非法手段获取到网站后台管理员账号和密码,并登陆网站后台,利用webshell直接修改网站页面内容或者将网页木马嵌入到被攻击的高校网站中,当用户访问时就会自动下载木马病毒。网站挂马直接影响到高校的网站的信誉度,使网站失去了有力宣传高校的作用,对高校的对外宣传工作造成了很大的影响;同时木马病毒通过用户不断地点击浏览网站在校园网中广泛传播,对全校师生的信息安全构成严重的威胁。
2.2 SQL注入
SQL注入是一种针对数据库的恶意攻击,它将SQL命令直接插入到Web表单中并提交给后台服务器处理,最终达到欺骗服务器,执行恶意SQL语句的目的。SQL注入可以被分为平台层注入和代码层注入,平台层注入主要是由不安全的數据库配置引起的数据库漏洞所致;而代码层注入则是由网页开发人员对输入数据库的数据审核不严,从而导致了非法的数据查询所造成的。SQL注入对Web网站的危害是比较大的,它能够非法的读取、篡改、添加、删除数据库中的用户数据;盗取用户的各类数据信息,并非法获益;通过修改数据库中的数据来改变网页上的内容;私自添加或删除管理员账号。
2.3 跨站脚本攻击
跨站脚本攻击也被称为XSS(Cross Site Scripting)是Web应用程序在将数据输出到网页上存在漏洞,导致攻击者将恶意数据或链接显示在页面上。相比于SQL注入攻击,跨脚本攻击是针对用户的攻击,换言之,它是一种存在于用户浏览器中的恶意代码。跨站脚本攻击可以分为持久性型XSS和和非持久性XSS,前者将恶意代码或数据提交至存储器,Web应用在输出数据时,都会将恶意数据读取出来并在页面上显示;而非持久性XSS则是浏览器在提交恶意数据时才会响应。由于跨站脚本攻击直接运行在用户的浏览器上,它可以很容易的获取到用户的数据信息,对于高校网站这种大用户量的网站来说,用户数据泄露的危害是巨大的。
3 高校Web网站安全问题的分析及解决方法
3.1 形成原因
目前,各高校Web网站均存在着严峻的安全问题,其形成的主要原因主要有以下几点:
3.1.1满足于网站正常应用,忽略网站安全
许多高校的网站是由网站开发公司设计完成的,高校的网站管理员只是负责网站的正常使用。公司人员寻求的是在最短时间的利益最大化,如何在最短时间完成网站的设计与开发是他们关心的问题,从而忽略了网站的安全问题。然而,校方网站管理员由于能力和专业知识的欠缺,在正常使用网站时,遇到安全隐患并不能引起管理员的重视,这样就给了攻击者有机可乘。
3.1.2 Web网站服务器管理用户较多
由于高校院系及行政管理部门较多,因此网站数量也相对较多,并且各个网站都有各部门管理员负责管理,这就给Web网站服务器带了许多安全隐患。不同的网站管理员会在网站服务器上进行上传、下载等操作,且各个网站管理员的专业技术水平存在着差异,这样就增加了Web服务器感染网络病毒、木马的概率。虽然服务器管理员会为不同的网站管理员创建不同的用户,但是有些病毒会造成服务器CPU的使用率过高等问题,这就影响到同一服务器上其他网点的正常使用。
3.1.3 缺少Web网站防御设备
造成Web网站安全问题的另一个原因是,高校投入不够,没有单独的网站防御设备。许多高校的网站管理员认为校园网已经有单独的防火墙设备,不需要再为Web网站架设防御设备,而实际上网站在遭受攻击后对高校造成的形象价值损失是巨大的,这种损失远远超过了为Web建设防御设备的成本。
3.2 解决思路
事实表明,想要在校园网高速发展的背景下解决高校Web网站安全问题,必须要转变工作思路和模式,变被动为主动,更全面地看待网站安全问题。具体解决思路如下:
3.2.1健全机制,规范管理
无规矩不成方圆,针对高校Web网站的安全问题,高校网站管理部门应该建立起一套行之有效的管理机制,其中主要包括Web网站的日常维护重点及方法;明确网站管理员及各站点管理员的管理责任。只有在一个健全的管理机制的基础上,网站管理部门在网站遭受攻击后才能及时发现并解决问题,减少高校的形象损失。
3.2.2提高网站管理员自身专业水平
网站管理员是Web网站的直接使用者,提高管理员的专业水平能够及时发现网站潜在的安全问题。Web网站遭受的攻击大多数都是直接对网站代码的攻击,因此网站管理员应具备一定的木马识别及清除能力,能够对有漏洞的Web网站代码进行审核并修复。
3.2.3提高重视,增加投入
高校领导应重视Web网站的安全问题,增加网站维护及防御设备。网站经常遭受的攻击,例如XSS攻击、SQL注入攻击等,都是可以被网站检测设备检测到的,有针对性的部署Web网站防御及检测设备能够有效地提高网站安全性,为网站创造一个安全的运行环境。如图1所示,某高校的网站防御系统扫描到的潜在攻击。
4 结束语
随着校园网络的逐渐发展,技术的日益进步,校园网Web网站的安全问题所面临的挑战也在逐步增加。学校应重视网站安全问题,增加资金、人员的投入,使Web网站运行在一个安全、稳定、可靠的网络环境中,这样才能更好地为全校师生服务。
参考文献:
[1] 符凤平.Web网站安全技术分析[J].计算机系统应用,2008(12):162-165.
[2] 李悦,孙健,沈宏.校园网网页防篡改技术研究与分析[J].电脑知识与技术,2010(36):10262-10263.
[3] 刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报(社会科学版),2012.
[4] 赵妮.浅谈校园网中Web站点的安全规范[J].科技信息,2009.