探讨4多手段防护WEB安全
WEB安全防护是高校网络安全的一项重点工作,去年,我刊针对高校信息化部门人员做过一项调查,超过 70% 的被调查者认为,WEB 安全防护是高校安全工作中最重要的任务之一,应多手段综合治理。
张丹东中国人民大学现代教育技术中心副主任
国家正式颁布和实施《中华人民共和国网络安全法》,信息安全日益成为高校信息化工作的一个要点,高校纷纷投入人力和物力加强安全方面的工作。为了做好相关安全工作,在基础网络构架的设计和日常管理上,要做一些考虑,为更高层级的安全工作打下一个良好的基础,本文简单介绍一下中国人民大学的实践和一些思考。
近期,一些高校纷纷开展了摸清家底的工作,中国人民大学也开展了类似工作。目的是要明确校内一共有哪些对外服务的网站,用了什么域名、地址,负责单位、负责人是谁,是否备案,并建立了校内备案制度。实施后,起到了一定的效果。
然而,单纯的加强管理工作并不能彻底解决问题,很难依靠各单位主观认知的提高自觉完成相关工作的要求。实践中,为了实现校内备案,中国人民大学采用了一些技术手段,利用域名解析权力与反向代理服务器配合,凡是不进行校内备案的子域名,一律解析成校内地址,不允许对外服务,最终完美实现了学校域名下所有网站的校内备案工作。
完成了这一步工作后发现,仍然有漏洞,校内存在不使用学校域名的网站,甚至某些部门自行申请了域名并在校外布置了服务器,导致前期工作的强制措施失效,仍然存在黑户。在某高校被黑客攻击的案例中,虽然该高校做了大量安全工作,却由于用户使用了独立的域名,而服务器在校内,前期没有掌握相关情况,最终导致没有管理到位而被攻破。
经过讨论,中国人民大学考虑采用运营商的管理措施,在网络上封闭 WEB 服务端口,把 80 和 8080 端口都封闭,这样,即使采用独立的域名,不在学校管理范围之内,只要服务器在校内,就必然要按照校内备案程序进行才能开通对外服务,进一步提高了管理对外服务网站的能力。
待理清这部分家底后,能够采用内网地址的服务器,将回收公网 IP 地址,尽量避免服务器直接使用公网地址暴露在外的现象,统一通过反向代理服务器对外提供服务。采用反向代理服务器统一对外提供服务的好处有:只开放WEB服务端口,从整体上提高了安全性,屏蔽了操作系统层面的漏洞;便于进行管理操作,可以关闭、要求认证、只允许校内访问等,一键操作速度快;集中了服务流量,便于配合WAF进行安全管理(某些商业反向代理服务软件内置了WAF模块);可以统一配置HTTPS证书;便于统计全校对外提供的服务数量;可以配置多个公网的不同地址(包括 IPv6 地址),配合智能 DNS的使用,可以提高对外服务的质量;启用缓存功能,提高对外服务的质量。
目前,对于域名和服务器都不在校内的情况,尚未有良策,只能通过宣传提高认知,发文要求各单位上报,并自行做好相关安全工作。
王玉平上海海事大学信息化办公室副主任
目前上海海事大学数据中心采用虚拟化技术运营,对于需要对外提供WEB服务的网站,采用独立集群独立线路接入的方式。在线路对外链接中,串行了WAF设备。
我们部署了网络虚拟化技术,对于每台网站虚拟机在自动创建时,即启用分布式防火墙,限制只允许 HTTP、HTTPS 协议的默认端口可以访问,在建站初始阶段可以有限度的启用 SSH(Linux)或者RDP(Windows)协议访问。
考虑到网站访问量,每个网站虚拟机网络带宽限制为 50Mbps。如若其中一个网站被入侵,在低带宽的情况下,可以限制木马或病毒传播速度,也降低了病毒对网络出口设备的冲击和对校园出口带宽的占用,从而保障学校网络带宽服务质量。
为了管理方便,减少公网IP 的占用,上海海事大学采用反向代理的方式,我们建立了3个反向代理服务器,根据网站服务等级归属不同的反向代理,避免在出现问题时网络服务提供商直接断网导致使用同一代理服务的不同网站不能访问。
在网站系统安全方面,上海海事大学选用了众多国外名校使用的开源内容管理系统 Drupal,该系统内部的代码有公开的安全审计,并且有着强大的社区支持,对于系统、文件都有相应的安全设计指导手册。对于代码更新采取了类似于Windows操作系统的代码更新机制,方便用户获取、部署更新。
对于个性化部署的第三方网站,校内也采用了站群系统和独立站点相互补充的方式。后续将进一步推广 Drupal的应用,研发网站云技术,确保网站系统自身安全。
张华江南大学信息化建设与管理中心主任
早期,为了鼓励各部门各单位打造各自对外宣传窗口, 江南大学采用“百花齐放”的模式推行各单位的网站建设。但是随着工作的推进,各种网络信息安全问题逐渐显露。一是各单位由于自建网站,基本上都是各显神通,有的找专业公司做,有的找在读学生做,有的老师自写程序,有的用开源系统,采用的开发语言、服务器种类也是五花八门,存在大量的服务器配置不当、程序 BUG、SQL注入漏洞等网络安全隐患。二是网站系统除了信息发布,不少网站还开设留言板、论坛,对用户注册、交互留言等监管不严,常发生言论不当或被发布非法广告等。三是积极发布公开信息但审核审查不严,常在发布各类公示信息时没有将涉及师生个人隐私的信息做脱敏处理,导致敏感信息的泄露。有些网站甚至还内嵌办公事务处理小系统,但又存在SQL注入漏洞,导致很容易被入侵,也会造成内部信息外泄。再加上专业人才、建设经费、系统及服务器运维等问题,自建网站往往成为各单位的负担。
为了彻底解决此问题,江南大学在全校逐步推广“网站群”建设。学校以校办、宣传部、信息化建设与管理中心等名义联合下发通知,规定各学院、部门的网站都要逐步纳入网站群管理,原则上不得自建网站,新建网站必须进入网站群,原有的自建网站逐步原样迁入或改版新建,不得自行开设对外的WEB服务,所有网站不得提供交互功能,不得内嵌管理业务系统。其中“网站群”软硬件系统由信息化中心集中建设,各单位负责网站的菜单栏目的规划、信息内容的组织、后期内容的编辑新增等,UI界面由专业公司设计各单位确认。网站群建设费用从年度信息化建设经费中统筹。信息化中心根据国家要求完成了网站群系统的“三级等级保护”的备案和测评工作,大大提升了系统的安全性。
网站群工作得到了各单位的积极响应,目前学校网站群进展站点已经达到 150 个。网站群的建设,通过提供信息化公共服务回收了系统建设和管理的权限,减轻了各单位建设人财物不足的压力,也统一了信息发布审核的流程和规则,既降低了网络安全风险,又消除了信息泄露隐患。