隨著高校信息化建設(shè)的逐步深入，各高校教務(wù)工作對(duì)信息系統(tǒng)依賴的程度越來(lái)越高。作為高校窗口的高校網(wǎng)站，所面向的用戶群也越來(lái)越廣泛，所承載的功能也越來(lái)越全面，不單是面向校內(nèi)，同時(shí)面向社會(huì)也提供了諸多服務(wù)功能。高校網(wǎng)站已從一個(gè)簡(jiǎn)單的信息發(fā)布、展示平臺(tái)，逐步轉(zhuǎn)變?yōu)閰R集了招生就業(yè)、遠(yuǎn)程教育、成果共享、招標(biāo)采購(gòu)等功能的綜合性業(yè)務(wù)平臺(tái)。高校網(wǎng)站已積聚了教育信息化建設(shè)中大量的信息資源，成為高校成熟的業(yè)務(wù)展示和應(yīng)用平臺(tái)。

但不得不承認(rèn)，在大力進(jìn)行高校網(wǎng)站業(yè)務(wù)建設(shè)的同時(shí)，各高校在系統(tǒng)安全保障的建設(shè)上出現(xiàn)了嚴(yán)重缺失，網(wǎng)站掛馬、網(wǎng)頁(yè)篡改、DDoS攻擊等攻擊事件呈逐年上升的趨勢(shì)，以即將開始的高招為例，2010年高考前夕，5月14日一天之內(nèi)，全國(guó)128所高校被集體掛馬，其中不乏重點(diǎn)大學(xué)，這一數(shù)字已經(jīng)超過(guò)2009年全年掛馬數(shù)，近幾年修改考試成績(jī)、騙取認(rèn)證證書等事件屢有發(fā)生，高校網(wǎng)站已經(jīng)逐漸成為黑客關(guān)注的重點(diǎn)目標(biāo)，高校網(wǎng)站的安全保障工作已經(jīng)迫在眉睫。

高校網(wǎng)站面臨的典型安全威脅

用卡爾·薩根“魔鬼出沒(méi)的世界”，這句話來(lái)形容高校網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過(guò)了。針對(duì)高校網(wǎng)站所承載的各類應(yīng)用的特點(diǎn)，目前比較典型的攻擊總結(jié)如下：

跨站腳本

跨站腳本漏洞的特點(diǎn)在于對(duì)存在漏洞的網(wǎng)站本身并不構(gòu)成威脅，但會(huì)使網(wǎng)站成為攻擊者攻擊第三方的媒介。

跨站腳本的危害：攻擊者可以利用XSS漏洞借助存在漏洞的Web網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁(yè)的用戶，竊取用戶瀏覽會(huì)話中諸如用戶名和口令(可能包含在Cookie里)的敏感信息、通過(guò)插入掛馬代碼對(duì)用戶執(zhí)行掛馬攻擊。

信息泄漏

信息泄漏是攻擊者通過(guò)應(yīng)用系統(tǒng)部署時(shí)沒(méi)有將注釋去掉、應(yīng)用系統(tǒng)部署時(shí)沒(méi)有正確地配置服務(wù)器程序等方式獲得應(yīng)用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務(wù)器程序的錯(cuò)誤信息。

信息泄露的危害：遠(yuǎn)程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進(jìn)一步的攻擊。

SQL 注入

SQL 注入是攻擊者通過(guò)輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫(kù)服務(wù)器的攻擊技巧。SQL注入是應(yīng)用系統(tǒng)中最常見，同時(shí)也是危害最大的一類弱點(diǎn)。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙](méi)有進(jìn)行安全性檢查，從而使得用戶可以自行輸入SQL查詢語(yǔ)句，對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行瀏覽、查詢、更新?；赟QL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。

SQL注入的危害：利用SQL注入漏洞可以構(gòu)成對(duì)Web服務(wù)器的直接攻擊，還可能用于網(wǎng)頁(yè)掛馬，導(dǎo)致機(jī)密數(shù)據(jù)泄漏如電子商務(wù)網(wǎng)站的客戶信息;服務(wù)器被控制;后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行非授權(quán)的查詢、修改、刪除;泄露認(rèn)證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用;網(wǎng)站數(shù)據(jù)的惡意破壞。

越權(quán)攻擊

越權(quán)攻擊是由于應(yīng)用系統(tǒng)對(duì)權(quán)限沒(méi)有嚴(yán)格識(shí)別，導(dǎo)致用戶文件權(quán)限過(guò)濾不嚴(yán)格，而導(dǎo)致的攻擊。

DDoS攻擊

DDoS(Distributed Denial of Service)攻擊則是一種可以造成大規(guī)模破壞的黑客武器，它通過(guò)制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻、路由器等)負(fù)載過(guò)高，從而最終導(dǎo)致系統(tǒng)崩潰，無(wú)法提供正常的服務(wù)。

隨著各種業(yè)務(wù)對(duì)Internet依賴程度的日益加強(qiáng)，DDoS攻擊所帶來(lái)的損失也愈加嚴(yán)重。包括運(yùn)營(yíng)商、企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了DDoS攻擊的威脅，而未來(lái)更加強(qiáng)大的攻擊工具的出現(xiàn)，為日后發(fā)動(dòng)數(shù)量更多、破壞力更強(qiáng)的DDoS攻擊帶來(lái)可能。

高校網(wǎng)站整體安全保障

圍繞高校網(wǎng)站所承載的業(yè)務(wù)特點(diǎn)以及面臨的典型威脅，綠盟科技憑借自身強(qiáng)大的產(chǎn)品和技術(shù)優(yōu)勢(shì)，在對(duì)最新安全形勢(shì)深入研究的基礎(chǔ)上，推出了高校網(wǎng)站安全保障解決方案。

該方案的特點(diǎn)是：

以高校網(wǎng)站面臨的威脅風(fēng)險(xiǎn)作為設(shè)計(jì)的核心

以高校網(wǎng)站所面臨的風(fēng)險(xiǎn)為核心，從風(fēng)險(xiǎn)預(yù)警、風(fēng)險(xiǎn)防護(hù)、風(fēng)險(xiǎn)處理、應(yīng)急保障、風(fēng)險(xiǎn)管理、積極主動(dòng)等方面實(shí)現(xiàn)高校網(wǎng)站安全風(fēng)險(xiǎn)全流程控制。

全面

綠盟科技高校網(wǎng)站安全保障方案的另一個(gè)特點(diǎn)是全面：著眼點(diǎn)是高校網(wǎng)站全生命周期的安全保障，涵蓋了網(wǎng)站運(yùn)行的各個(gè)階段，而不僅僅單純從檢測(cè)、防護(hù)等角度考慮。

被動(dòng)防御與主動(dòng)溯源相結(jié)合

以往的方案是從被動(dòng)防護(hù)的角度來(lái)設(shè)計(jì)的，而綠盟科技憑借其技術(shù)實(shí)力，在有效檢測(cè)和防護(hù)的同時(shí)，也從主動(dòng)的角度，增強(qiáng)了對(duì)網(wǎng)站安全事件追蹤溯源的能力。

#p#

方案主要由以下幾個(gè)方面組成：

1、檢測(cè)與發(fā)現(xiàn)----風(fēng)險(xiǎn)預(yù)警

目前對(duì)網(wǎng)站新漏洞、網(wǎng)頁(yè)被掛馬等狀況，絕大多數(shù)網(wǎng)站建設(shè)和運(yùn)維者并不能及時(shí)察覺(jué)?？稍谇半A段分析的基礎(chǔ)上，圍繞具體業(yè)務(wù)類采用針對(duì)性比較強(qiáng)的Web安全自動(dòng)化檢測(cè)工具，定期或不定期的對(duì)網(wǎng)站安全狀態(tài)進(jìn)行檢測(cè)和評(píng)估，不但可以提高對(duì)安全隱患及現(xiàn)有安全問(wèn)題準(zhǔn)確、深層次的預(yù)警發(fā)現(xiàn)，而且自動(dòng)檢查工具的使用也可以降低維護(hù)管理和人力成本。

高校網(wǎng)站安全問(wèn)題的檢測(cè)與發(fā)現(xiàn)設(shè)計(jì)可分為從預(yù)警檢測(cè)和事后檢測(cè)兩方面。預(yù)警檢測(cè)目的是利用現(xiàn)有的安全技術(shù)，提供一種準(zhǔn)確、實(shí)用、可行的預(yù)警手段，注重防患于未然，事后檢測(cè)是對(duì)發(fā)生問(wèn)題的網(wǎng)頁(yè)進(jìn)行問(wèn)題定位、影響評(píng)估。

通過(guò)對(duì)Web服務(wù)器的多種項(xiàng)目(包括潛在的危險(xiǎn)文件/CGI，以及多個(gè)服務(wù)器版本上的特定問(wèn)題等)進(jìn)行全面的測(cè)試，還可以對(duì)Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器的配置檢查，確保服務(wù)器的配置正確，對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行安全基線審計(jì)，對(duì)一些常見的Web攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal) 、身份驗(yàn)證頁(yè)上的弱口令長(zhǎng)度等進(jìn)行技術(shù)層面的驗(yàn)證，有效地防止網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件的發(fā)生。

對(duì)于有特殊需求的用戶，還設(shè)計(jì)了靈活的編輯接口，對(duì)Web掃描的策略進(jìn)行增加或者編輯，滿足特定的要求。

2、防護(hù)與阻擊----風(fēng)險(xiǎn)防護(hù)

除了采用信息系統(tǒng)傳統(tǒng)的防護(hù)技術(shù)對(duì)網(wǎng)站的基礎(chǔ)設(shè)施進(jìn)行必要的防護(hù)外，針對(duì)Web應(yīng)用攻擊還應(yīng)采用專門的機(jī)制，對(duì)來(lái)自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，提供細(xì)粒度應(yīng)用層DDoS攻擊防護(hù)功能，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，有效防止HTTP及HTTPS應(yīng)用下各類安全威脅，如SQL注入、XSS、跨站偽造(CSRF)、cookie篡改以及應(yīng)用層DDoS等，有效應(yīng)對(duì)網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題，充分保障高校網(wǎng)站各類Web應(yīng)用的高可用性和可靠性。

對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)，降低攻擊的影響，確保業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性，降低網(wǎng)站安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站公信度。對(duì)其進(jìn)行有效檢測(cè)、防護(hù)。

其主要的功能如下：

網(wǎng)頁(yè)篡改在線防護(hù)

按照網(wǎng)頁(yè)篡改事件發(fā)生的時(shí)序，提供事中防護(hù)以及事后補(bǔ)償?shù)脑诰€防護(hù)解決方案。事中，實(shí)時(shí)過(guò)濾HTTP請(qǐng)求中混雜的網(wǎng)頁(yè)篡改攻擊流量(如SQL注入、XSS等)。事后，自動(dòng)監(jiān)控網(wǎng)站所有需保護(hù)頁(yè)面的完整性，檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行短信告警，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶可正常訪問(wèn)網(wǎng)站。

網(wǎng)頁(yè)掛馬在線防護(hù)

網(wǎng)頁(yè)掛馬是一種相對(duì)比較隱蔽的網(wǎng)頁(yè)篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁(yè)的完整性。網(wǎng)頁(yè)掛馬攻擊目標(biāo)為各類網(wǎng)站的最終用戶，網(wǎng)站作為傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響網(wǎng)站的公信度。

當(dāng)用戶請(qǐng)求訪問(wèn)某一個(gè)頁(yè)面時(shí)，會(huì)對(duì)服務(wù)器側(cè)響應(yīng)的網(wǎng)頁(yè)內(nèi)容進(jìn)行在線檢測(cè)，判斷是否被植入惡意代碼，并對(duì)惡意代碼進(jìn)行自動(dòng)過(guò)濾。

敏感信息泄漏防護(hù)

自定義非法敏感關(guān)鍵字，EB站點(diǎn)可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的URL鏈接，提供細(xì)粒度的URL ACL，防止對(duì)這些鏈接的非授權(quán)訪問(wèn)。對(duì)其進(jìn)行自動(dòng)過(guò)濾，防止非法內(nèi)容發(fā)布為公眾瀏覽，識(shí)別并更正Web應(yīng)用錯(cuò)誤的業(yè)務(wù)流程，識(shí)別并防護(hù)敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計(jì)要求。

智能應(yīng)用層DDoS攻擊防護(hù)

防護(hù)各類帶寬及資源耗盡型拒絕服務(wù)攻擊，如對(duì)SYN Flood這種常見攻擊行為能夠有效識(shí)別，并實(shí)時(shí)對(duì)攻擊流量進(jìn)行阻斷，確保了Web業(yè)務(wù)的可用性及連續(xù)性。

OWASP Top 10

超越傳統(tǒng)IPS設(shè)備基于靜態(tài)規(guī)則的防護(hù)機(jī)制，NSFOCUS WAF有效結(jié)合了靜態(tài)規(guī)則與基于用戶行為識(shí)別的動(dòng)態(tài)防御機(jī)制，應(yīng)對(duì)OWASP Top10中的Web應(yīng)用安全問(wèn)題[1]，對(duì)惡意應(yīng)用流量進(jìn)行雙向清洗，保護(hù)網(wǎng)站免于攻擊。

3、安全恢復(fù)---- 風(fēng)險(xiǎn)處理

如果高校網(wǎng)站出現(xiàn)安全問(wèn)題，必須在最短時(shí)間內(nèi)在不影響正常業(yè)務(wù)應(yīng)用的前提下進(jìn)行網(wǎng)站問(wèn)題的恢復(fù)和解決，國(guó)內(nèi)外發(fā)生的一些重大案例都表明對(duì)網(wǎng)站進(jìn)行監(jiān)控并在必要時(shí)提供恢復(fù)措施是非常必要的。

網(wǎng)站實(shí)時(shí)監(jiān)控與自動(dòng)恢復(fù)技術(shù)解決了WWW服務(wù)器網(wǎng)頁(yè)文件被破壞后的自動(dòng)恢復(fù)問(wèn)題，它的保護(hù)對(duì)象是網(wǎng)站的文件或目錄(也可以擴(kuò)展到其他的文件和目錄)，從而保證它們的內(nèi)容、屬主、時(shí)間等屬性不被非法修改;被保護(hù)對(duì)象不被非法刪除;沒(méi)有文件或目錄被非法添加到被保護(hù)目錄中。這項(xiàng)技術(shù)采用的方法是實(shí)時(shí)對(duì)網(wǎng)頁(yè)文件的內(nèi)容進(jìn)行一致性檢查，一旦發(fā)現(xiàn)有上述的非法情況發(fā)生，就使用備份進(jìn)行自動(dòng)恢復(fù)并及時(shí)報(bào)警和記錄日志。

4、運(yùn)維監(jiān)控---- 風(fēng)險(xiǎn)管理

除了通過(guò)各類技術(shù)設(shè)備實(shí)現(xiàn)高校網(wǎng)站的檢測(cè)、防護(hù)、恢復(fù)等方面的安全保障外，綠盟科技還推出了基于綠盟科技云安全平臺(tái)的托管式服務(wù)模式 “綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)”，該平臺(tái)主要解決網(wǎng)站運(yùn)維階段的安全預(yù)警和監(jiān)控，為客戶站點(diǎn)提供7*24小時(shí)不間斷網(wǎng)站安全實(shí)時(shí)監(jiān)控，幫助客戶隨時(shí)掌控Web應(yīng)用的安全狀況，在網(wǎng)站出現(xiàn)風(fēng)險(xiǎn)情況后在第一時(shí)間通過(guò)郵件、短信方式通知用戶。

用戶無(wú)需購(gòu)買、安裝或維護(hù)任何軟、硬件，可以在幾個(gè)小時(shí)內(nèi)將監(jiān)測(cè)服務(wù)投入運(yùn)行。網(wǎng)站安全監(jiān)測(cè)服務(wù)幾乎不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和IT資源產(chǎn)生任何影響，對(duì)于不希望在自身網(wǎng)絡(luò)環(huán)境中部署安全設(shè)備、預(yù)算有限、安全重點(diǎn)集中在某一段時(shí)間，如高招這樣的用戶群體采用該類服務(wù)可最大限度地保障網(wǎng)站運(yùn)維階段的安全問(wèn)題監(jiān)控。

主要包括以下幾方面的內(nèi)容：

遠(yuǎn)程網(wǎng)站漏洞掃描;

遠(yuǎn)程網(wǎng)頁(yè)木馬監(jiān)測(cè);

網(wǎng)頁(yè)敏感內(nèi)容監(jiān)測(cè);

網(wǎng)站平穩(wěn)度檢測(cè);

網(wǎng)頁(yè)篡改監(jiān)測(cè)。

5、溯源取證---- 積極主動(dòng)

在安全形勢(shì)日益嚴(yán)重的今天，以往對(duì)針對(duì)高校網(wǎng)站的攻擊行為僅采用防護(hù)和阻擊的方法已經(jīng)遠(yuǎn)遠(yuǎn)不夠了，在現(xiàn)有的保障體系上一定要保證有足夠的對(duì)攻擊源、攻擊路徑、攻擊行為的回溯能力，保證對(duì)惡意攻擊行為的威懾和取證，為必要時(shí)通過(guò)法律維護(hù)高校權(quán)益打下良好基礎(chǔ)。綠盟科技網(wǎng)站保障方案提供了對(duì)攻擊行為的深入分析，對(duì)攻擊現(xiàn)場(chǎng)進(jìn)行還原，并對(duì)典型攻擊行為具備路徑回溯能力，實(shí)現(xiàn)對(duì)嚴(yán)重危害高校網(wǎng)站的安全事件的場(chǎng)景還原、攻擊溯源、信息取證。

實(shí)踐表明：通過(guò)對(duì)高校網(wǎng)站進(jìn)行預(yù)警檢測(cè)、安全防護(hù)、安全恢復(fù)、運(yùn)維監(jiān)控、追蹤溯源等環(huán)節(jié)的安全建設(shè)，并在運(yùn)維階段加強(qiáng)信息安全管理，可有效保障高校網(wǎng)站的信息安全，滿足國(guó)家、行業(yè)主管機(jī)構(gòu)的監(jiān)管要求;保證重大事件(高考、招生)期間的網(wǎng)站安全;維護(hù)高校的形象和聲譽(yù);提高高校網(wǎng)站的安全運(yùn)維效率。