何佳
摘要:高校网站一直是黑客攻击的重点部位,面对严峻的安全形势,信息安全管理部门应制定相应的安全防护方案,采取一定的措施,提高抵御外部攻击的能力。该文针对当前高校校园网站面临的安全风险和安全防护需求进行分析与思考,提出高校网站安全建设方案,以提高网站的安全性,使网站更好地为师生服务。
关键词:高校网站;WEB防护;信息安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)30-0046-02
1 概述
1.1 概述
随着互联网技术的不断发展,无论是学校还是个人,对于互联网的依赖在不断增强。WEB技术承载着校园网越来越多的核心业务,重要程度不言而喻。WEB技术的发展历史也可以说是攻击与防护技术不断交织提升的过程。根据国内网络安全企业最新的调查,信息安全攻击中超过75%都发生在WEB应用层而非网络层上,因此,WEB安全性已经提升到一个空前的高度。
对WEB系统的安全防护,由于攻防态势的先天性不对等,多数用户防护能力远远落在了新技术和新功能的后面,这个问题在中小规模的WEB应用平台中体现的尤为明显,国内各大众测平台暴露的问题就是很好的证明。
1.2 高校网站安全风险
要防护学校的WEB应用安全,必须对网站如何产生威胁进行深入的研究。从攻击者的角度出发,WEB安全包括链路安全和应用安全两个部分。
1.2.1 链路安全
借助于网络带宽资源的快速发展,攻击者可以调动的流量资源已经从过去的百兆、千兆级别发展为如今的万兆甚至上百万兆,2014年某游戏公司受到的DDoS攻击就达到了每秒453.8Gb,创造了新的记录。这些攻击案例表明,借助于新的攻击工具以及大量的僵尸网络,发动大规模的DDoS攻击变得越来越容易,尤其是受到经济利益和政治影响驱使的黑产,对企业及政府用户危害更大。
流量型攻击通常被称为网络层攻击或带宽型攻击。网络层/带宽型DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的链路带宽、路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。带宽型攻击最通常的形式是Flooding方式,可以实用的协议包括TCP、UDP、ICMP等。
1.2.2 应用安全
支撑WEB系统的业务结构可以简要概况为网络层、系统层、中间件层以应用层四个部分。各层级内均有特定的安全威胁,其根源为软件漏洞。相关研究数据表明,软件开发通常会引入缺陷,普通软件开发公司的缺陷密度为4~40个缺陷/千行代码,因此整体漏洞很难控制,需要更加多样的手段发现隐藏的漏洞,另一方面,现有系统的补丁管理缺乏有效的检测及修补手段,使得漏洞空窗期不断增加,危害系统安全。除此之外,软件漏洞还可能发生在运维和上线阶段,配置不当引起的安全问题同樣需要引起重视。
应用安全包含的漏洞类型主要可以概括为以下5类:
1) 软件漏洞:任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性。这种安全漏洞可分为两种/一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一种是应用软件程序安全漏洞,很常见,更要引起广泛关注;
2) 结构漏洞:网络中忽略了安全问题,没有采取有效的网络安全措施,使网络系统处于不设防的状态。另外,在一些重要网段中,交换机和集线器等网络设备设置不当,造成网络流量被劫持和获取;
3) 配置漏洞:网络中忽略了安全策略的制定,即使采取了网络安全措施,但由于安全配置不合理或不完整,安全没有发挥作用。在网络发生变化后,没有及时更改系统内部安全配置而造成安全漏洞。
4) 管理漏洞:网络管理者不小心和麻痹造成的安全漏洞,如管理员口令太短或长期不更换密码,造成口令攻击:两台服务器共用同一个用户名和口令,如果一个服务器被入侵,则中一个服务器也很危险。
5) 信任漏洞:过分地信任外来合作者的机器,一旦这个机器被入侵,则网络安全受到严重危险。
从这些安全漏洞来看,既有技术因素,也有管理因素,实际上,攻击者正是分析了相关的技术因素和管理因素,寻找其中安全漏洞来入侵系统,因此,堵塞安全漏洞必须从技术手段和管理措施等方面采取有效方案。
2 高校网站安全防护需求
有效的WEB安全防护体系需要在如下的安全策略基础上建立。
2.1 纵深防御
WEB系统包含多个层面,涉及不同的IT设备与软硬件系统,其面临的安全风险也跨越了业务系统、IT基础设施、网路通信协议等多个领域,其风险的多样性和复合性等特点也决定了其将使用多手段威胁检测结合纵深防护来实现高级别的安全,实现针对关键对象的纵深防御体系。
2.2 安全边界防护与检测
WEB系统安全边界清晰,考虑在互联网边界(企业网络-互联网)、业务网络\办公网络边界(一般为DMZ区域边界)、数据交互边界(WEB服务器与数据库服务器边界)部署多层的边界检测和防护设备,相关设备应首先满足业务实时性和可用性的相关要求,并在此基础之上充分考虑其通信和威胁场景特点,如支持万兆或特殊协议等。
2.3 关键对象保护
提供针对关键对象,如基础网络设备、Web服务器等提供安全检测和防护手段,并且围绕防护对象建立脆弱性评估、修补等安全操作流程。
2.4 云端防护与监测
由于互联网应用的特性,网站的可用性异常重要,因此需要具备云端感知的能力对网站的可访问情况进行实时监测,同时在发生链路层DDoS攻击时,单纯依靠网络边界设备很难有效缓解攻击危害,因此需要借助云端海量的流量通道进行攻击流量的清洗,最终保障WEB服务的可用性。endprint
2.5 基于攻击/异常行为的识别
具备对典型攻击过程如扫描、远程溢出的识别能力,能够对入站流量进行深度检测,防止非法/异常的通讯数据结构破坏WEB系统运行;同时建立内部访问会话特征描述,制定运行环境模板,结合云端威胁情报,从而降低APT以及其他未知威胁的潜伏可能。
2.6 访问控制
系统与系统之间应具有清晰的访问控制策略,访问控制策略在满足实时性的基础之上服务器及数据库等资产实现防护,避免未授权访问造成安全风险。
2.7 漏洞管理
充分发掘现有系统中潜在对的漏洞风险,兼顾系统可用性和安全性的同时,采用风险可控的威胁消除或缓解手段,将漏洞对系统带来的影响降到最低。常用的漏洞发现方法包括白盒测试和黑盒测试以及漏洞扫描工具等。
2.8 安全审计
使用多种手段,对包括操作系统、数据库系统、应用系统、网络系统等的行为进行审计,并根据业务特点和威胁环境建立独立于系统的外部审计机制,提供独立的审核记录功能。这对于异常情况的发现和事后溯源具有重要意义。
3 高校网站安全解决方案
3.1 系统部署
Web应用防火墙系统的不断更新发展,从传统的透明代理模式已经转变为透明部署方式。工作在OSI七层模型中的第二层(数据链路层)。在第二层截获数据包,对数据包的进行特征库匹配,匹配上就是攻击行为,直接把數据包丢弃。如果数据是正常的,过滤引擎重新构造Web和SQL事务生产数据包发送给后端的Web服务器。
透明部署方式是串联在Web服务器的前端,在物理层面是Web服务器的前端多了一台硬件设备。在网络层面是Web服务器的前端没有任何硬件设备。透明部署方式不改变校园网的网络拓扑结构。Web服务器看到的都是浏览者的源地址,也不会给审计类安全产品造成无法工作等现象的出现。
Web应用防火墙的旁路阻断模式,大部分的Web应用防火墙都是串联部署在网络中进行流量过滤的,但是有些高校的网络只允许旁路部署产品。应用防火墙使用镜像分析功能与交换机、网站服务器进行联动,实现旁路部署阻断Web攻击行为。
3.2 网站云防护
Web应用防火墙系统实现了重塑网站防护边界,在物理服务器的前端构建了硬件的物理网站防护边界。在互联网利用虚拟化技术构建了虚拟的网络边界网站防护体系。两个网站防护边界实现多层过滤,多层拦截的多边界协同防护体系。
3.3 威胁情报中心
网络安全企业利用终端用户产生海量的安全大数据,通过大数据人工智能挖掘技术对未知的安全威胁统一分析,对分析结果形成可机读的威胁情报数据推送给相关的本地硬件设备,主要解决网络中的未知威胁安全问题,可大大提高WEB防护能力。
Web应用防火墙系统内置有威胁情报中心功能,实际就是Web应用防火墙制作了一个人工智能大脑,与云端实现数据交流。实现Web应用防火墙自主发现攻击行为,并智能化判定对于攻击行为的是阻断或是放行。
3.4 网页防篡改
网页防篡改系统平台采用透明部署方式,同样可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与应用防火墙的网络中断时,网页文件会被自动锁定,所有“写”的权限进行封锁,只有“读”的权限。当网络恢复中,所有相关权限会自动下发,网站正常恢复更新。
4 结束语
通过分析当前高校的安全风险和安全防护需求,提出了针对高校网站的信息安全保护方案。在实际应用过程中,各高校可以根据网站实际情况,并结合信息安全专业分析建议,选择最为合适的网站安全防护方案。
参与文献:
[1] 季益龙,程松泉.“互联网+”背景下的高校网站安全保障体系构建[J].中国教育信息化,2017(6).
[2] 樊强高.校网站安全防范措施研究[J].网络安全技术与应用,2016(7).
[3] 陈媛媛.高校网站安全问题分析及对策探讨[J].电子商务,2016(9).
[4] 刘振昌.高校网站安全管理模式的探索与实践[J].华东师范大学学报:自然科学版,2015(8).
[5] 黄晓华.高校网站安全问题分析[J].软件导刊,2014(8).endprint