隨著高校信息化建設(shè)的逐步深入，各高校教務(wù)工作對信息系統(tǒng)依賴的程度越來越高。作為高校窗口的高校網(wǎng)站，所面向的用戶群也越來越廣泛，所承載的功能也越來越全面，不單是面向校內(nèi)，同時面向社會也提供了諸多服務(wù)功能。高校網(wǎng)站已從一個簡單的信息發(fā)布、展示平臺，逐步轉(zhuǎn)變?yōu)閰R集了招生就業(yè)、遠程教育、成果共享、招標(biāo)采購等功能的綜合性業(yè)務(wù)平臺。高校網(wǎng)站已積聚了教育信息化建設(shè)中大量的信息資源，成為高校成熟的業(yè)務(wù)展示和應(yīng)用平臺。

但不得不承認(rèn)，在大力進行高校網(wǎng)站業(yè)務(wù)建設(shè)的同時，各高校在系統(tǒng)安全保障的建設(shè)上出現(xiàn)了嚴(yán)重缺失，網(wǎng)站掛馬、網(wǎng)頁篡改、DDoS攻擊等攻擊事件呈逐年上升的趨勢，以即將開始的高招為例，2010年高考前夕，5月14日一天之內(nèi)，全國128所高校被集體掛馬，其中不乏重點大學(xué)，這一數(shù)字已經(jīng)超過2009年全年掛馬數(shù)，近幾年修改考試成績、騙取認(rèn)證證書等事件屢有發(fā)生，高校網(wǎng)站已經(jīng)逐漸成為黑客關(guān)注的重點目標(biāo)，高校網(wǎng)站的安全保障工作已經(jīng)迫在眉睫。

高校網(wǎng)站面臨的典型安全威脅

用卡爾·薩根“魔鬼出沒的世界”，這句話來形容高校網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過了。針對高校網(wǎng)站所承載的各類應(yīng)用的特點，目前比較典型的攻擊總結(jié)如下：

跨站腳本

跨站腳本漏洞的特點在于對存在漏洞的網(wǎng)站本身并不構(gòu)成威脅，但會使網(wǎng)站成為攻擊者攻擊第三方的媒介。

跨站腳本的危害：攻擊者可以利用XSS漏洞借助存在漏洞的Web網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁的用戶，竊取用戶瀏覽會話中諸如用戶名和口令(可能包含在Cookie里)的敏感信息、通過插入掛馬代碼對用戶執(zhí)行掛馬攻擊。

信息泄漏

信息泄漏是攻擊者通過應(yīng)用系統(tǒng)部署時沒有將注釋去掉、應(yīng)用系統(tǒng)部署時沒有正確地配置服務(wù)器程序等方式獲得應(yīng)用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務(wù)器程序的錯誤信息。

信息泄露的危害：遠程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進一步的攻擊。

SQL 注入

SQL 注入是攻擊者通過輸入惡意的請求直接操作數(shù)據(jù)庫服務(wù)器的攻擊技巧。SQL注入是應(yīng)用系統(tǒng)中最常見，同時也是危害最大的一類弱點。導(dǎo)致SQL注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙]有進行安全性檢查，從而使得用戶可以自行輸入SQL查詢語句，對數(shù)據(jù)庫中的信息進行瀏覽、查詢、更新。基于SQL注入的攻擊方法多種多樣，而且有很多變形，這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。

SQL注入的危害：利用SQL注入漏洞可以構(gòu)成對Web服務(wù)器的直接攻擊，還可能用于網(wǎng)頁掛馬，導(dǎo)致機密數(shù)據(jù)泄漏如電子商務(wù)網(wǎng)站的客戶信息;服務(wù)器被控制;后臺數(shù)據(jù)庫執(zhí)行非授權(quán)的查詢、修改、刪除;泄露認(rèn)證相關(guān)的敏感信息，導(dǎo)致攻擊者控制Web應(yīng)用;網(wǎng)站數(shù)據(jù)的惡意破壞。

越權(quán)攻擊

越權(quán)攻擊是由于應(yīng)用系統(tǒng)對權(quán)限沒有嚴(yán)格識別，導(dǎo)致用戶文件權(quán)限過濾不嚴(yán)格，而導(dǎo)致的攻擊。

DDoS攻擊

DDoS(Distributed Denial of Service)攻擊則是一種可以造成大規(guī)模破壞的黑客武器，它通過制造偽造的流量，使得被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻、路由器等)負(fù)載過高，從而最終導(dǎo)致系統(tǒng)崩潰，無法提供正常的服務(wù)。

隨著各種業(yè)務(wù)對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴(yán)重。包括運營商、企業(yè)及政府機構(gòu)的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破壞力更強的DDoS攻擊帶來可能。

高校網(wǎng)站整體安全保障

圍繞高校網(wǎng)站所承載的業(yè)務(wù)特點以及面臨的典型威脅，綠盟科技憑借自身強大的產(chǎn)品和技術(shù)優(yōu)勢，在對最新安全形勢深入研究的基礎(chǔ)上，推出了高校網(wǎng)站安全保障解決方案。

該方案的特點是：

以高校網(wǎng)站面臨的威脅風(fēng)險作為設(shè)計的核心

以高校網(wǎng)站所面臨的風(fēng)險為核心，從風(fēng)險預(yù)警、風(fēng)險防護、風(fēng)險處理、應(yīng)急保障、風(fēng)險管理、積極主動等方面實現(xiàn)高校網(wǎng)站安全風(fēng)險全流程控制。

全面

綠盟科技高校網(wǎng)站安全保障方案的另一個特點是全面：著眼點是高校網(wǎng)站全生命周期的安全保障，涵蓋了網(wǎng)站運行的各個階段，而不僅僅單純從檢測、防護等角度考慮。

被動防御與主動溯源相結(jié)合

以往的方案是從被動防護的角度來設(shè)計的，而綠盟科技憑借其技術(shù)實力，在有效檢測和防護的同時，也從主動的角度，增強了對網(wǎng)站安全事件追蹤溯源的能力。

#p#

方案主要由以下幾個方面組成：

1、檢測與發(fā)現(xiàn)----風(fēng)險預(yù)警

目前對網(wǎng)站新漏洞、網(wǎng)頁被掛馬等狀況，絕大多數(shù)網(wǎng)站建設(shè)和運維者并不能及時察覺。可在前階段分析的基礎(chǔ)上，圍繞具體業(yè)務(wù)類采用針對性比較強的Web安全自動化檢測工具，定期或不定期的對網(wǎng)站安全狀態(tài)進行檢測和評估，不但可以提高對安全隱患及現(xiàn)有安全問題準(zhǔn)確、深層次的預(yù)警發(fā)現(xiàn)，而且自動檢查工具的使用也可以降低維護管理和人力成本。

高校網(wǎng)站安全問題的檢測與發(fā)現(xiàn)設(shè)計可分為從預(yù)警檢測和事后檢測兩方面。預(yù)警檢測目的是利用現(xiàn)有的安全技術(shù)，提供一種準(zhǔn)確、實用、可行的預(yù)警手段，注重防患于未然，事后檢測是對發(fā)生問題的網(wǎng)頁進行問題定位、影響評估。

通過對Web服務(wù)器的多種項目(包括潛在的危險文件/CGI，以及多個服務(wù)器版本上的特定問題等)進行全面的測試，還可以對Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器的配置檢查，確保服務(wù)器的配置正確，對后臺數(shù)據(jù)庫進行安全基線審計，對一些常見的Web攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal) 、身份驗證頁上的弱口令長度等進行技術(shù)層面的驗證，有效地防止網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件的發(fā)生。

對于有特殊需求的用戶，還設(shè)計了靈活的編輯接口，對Web掃描的策略進行增加或者編輯，滿足特定的要求。

2、防護與阻擊----風(fēng)險防護

除了采用信息系統(tǒng)傳統(tǒng)的防護技術(shù)對網(wǎng)站的基礎(chǔ)設(shè)施進行必要的防護外，針對Web應(yīng)用攻擊還應(yīng)采用專門的機制，對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，提供細(xì)粒度應(yīng)用層DDoS攻擊防護功能，確保其安全性與合法性，對非法的請求予以實時阻斷，有效防止HTTP及HTTPS應(yīng)用下各類安全威脅，如SQL注入、XSS、跨站偽造(CSRF)、cookie篡改以及應(yīng)用層DDoS等，有效應(yīng)對網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障高校網(wǎng)站各類Web應(yīng)用的高可用性和可靠性。

對各類網(wǎng)站站點進行有效防護，降低攻擊的影響，確保業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性，降低網(wǎng)站安全風(fēng)險，維護網(wǎng)站公信度。對其進行有效檢測、防護。

其主要的功能如下：

網(wǎng)頁篡改在線防護

按照網(wǎng)頁篡改事件發(fā)生的時序，提供事中防護以及事后補償?shù)脑诰€防護解決方案。事中，實時過濾HTTP請求中混雜的網(wǎng)頁篡改攻擊流量(如SQL注入、XSS等)。事后，自動監(jiān)控網(wǎng)站所有需保護頁面的完整性，檢測到網(wǎng)頁被篡改，第一時間對管理員進行短信告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網(wǎng)站。

網(wǎng)頁掛馬在線防護

網(wǎng)頁掛馬是一種相對比較隱蔽的網(wǎng)頁篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁的完整性。網(wǎng)頁掛馬攻擊目標(biāo)為各類網(wǎng)站的最終用戶，網(wǎng)站作為傳播網(wǎng)頁木馬的“傀儡幫兇”，嚴(yán)重影響網(wǎng)站的公信度。

當(dāng)用戶請求訪問某一個頁面時，會對服務(wù)器側(cè)響應(yīng)的網(wǎng)頁內(nèi)容進行在線檢測，判斷是否被植入惡意代碼，并對惡意代碼進行自動過濾。

敏感信息泄漏防護

自定義非法敏感關(guān)鍵字，EB站點可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的URL鏈接，提供細(xì)粒度的URL ACL，防止對這些鏈接的非授權(quán)訪問。對其進行自動過濾，防止非法內(nèi)容發(fā)布為公眾瀏覽，識別并更正Web應(yīng)用錯誤的業(yè)務(wù)流程，識別并防護敏感數(shù)據(jù)泄漏，滿足合規(guī)與審計要求。

智能應(yīng)用層DDoS攻擊防護

防護各類帶寬及資源耗盡型拒絕服務(wù)攻擊，如對SYN Flood這種常見攻擊行為能夠有效識別，并實時對攻擊流量進行阻斷，確保了Web業(yè)務(wù)的可用性及連續(xù)性。

OWASP Top 10

超越傳統(tǒng)IPS設(shè)備基于靜態(tài)規(guī)則的防護機制，NSFOCUS WAF有效結(jié)合了靜態(tài)規(guī)則與基于用戶行為識別的動態(tài)防御機制，應(yīng)對OWASP Top10中的Web應(yīng)用安全問題[1]，對惡意應(yīng)用流量進行雙向清洗，保護網(wǎng)站免于攻擊。

3、安全恢復(fù)---- 風(fēng)險處理

如果高校網(wǎng)站出現(xiàn)安全問題，必須在最短時間內(nèi)在不影響正常業(yè)務(wù)應(yīng)用的前提下進行網(wǎng)站問題的恢復(fù)和解決，國內(nèi)外發(fā)生的一些重大案例都表明對網(wǎng)站進行監(jiān)控并在必要時提供恢復(fù)措施是非常必要的。

網(wǎng)站實時監(jiān)控與自動恢復(fù)技術(shù)解決了WWW服務(wù)器網(wǎng)頁文件被破壞后的自動恢復(fù)問題，它的保護對象是網(wǎng)站的文件或目錄(也可以擴展到其他的文件和目錄)，從而保證它們的內(nèi)容、屬主、時間等屬性不被非法修改;被保護對象不被非法刪除;沒有文件或目錄被非法添加到被保護目錄中。這項技術(shù)采用的方法是實時對網(wǎng)頁文件的內(nèi)容進行一致性檢查，一旦發(fā)現(xiàn)有上述的非法情況發(fā)生，就使用備份進行自動恢復(fù)并及時報警和記錄日志。

4、運維監(jiān)控---- 風(fēng)險管理

除了通過各類技術(shù)設(shè)備實現(xiàn)高校網(wǎng)站的檢測、防護、恢復(fù)等方面的安全保障外，綠盟科技還推出了基于綠盟科技云安全平臺的托管式服務(wù)模式 “綠盟網(wǎng)站安全監(jiān)測服務(wù)”，該平臺主要解決網(wǎng)站運維階段的安全預(yù)警和監(jiān)控，為客戶站點提供7*24小時不間斷網(wǎng)站安全實時監(jiān)控，幫助客戶隨時掌控Web應(yīng)用的安全狀況，在網(wǎng)站出現(xiàn)風(fēng)險情況后在第一時間通過郵件、短信方式通知用戶。

用戶無需購買、安裝或維護任何軟、硬件，可以在幾個小時內(nèi)將監(jiān)測服務(wù)投入運行。網(wǎng)站安全監(jiān)測服務(wù)幾乎不會對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和IT資源產(chǎn)生任何影響，對于不希望在自身網(wǎng)絡(luò)環(huán)境中部署安全設(shè)備、預(yù)算有限、安全重點集中在某一段時間，如高招這樣的用戶群體采用該類服務(wù)可最大限度地保障網(wǎng)站運維階段的安全問題監(jiān)控。

主要包括以下幾方面的內(nèi)容：

遠程網(wǎng)站漏洞掃描;

遠程網(wǎng)頁木馬監(jiān)測;

網(wǎng)頁敏感內(nèi)容監(jiān)測;

網(wǎng)站平穩(wěn)度檢測;

網(wǎng)頁篡改監(jiān)測。

5、溯源取證---- 積極主動

在安全形勢日益嚴(yán)重的今天，以往對針對高校網(wǎng)站的攻擊行為僅采用防護和阻擊的方法已經(jīng)遠遠不夠了，在現(xiàn)有的保障體系上一定要保證有足夠的對攻擊源、攻擊路徑、攻擊行為的回溯能力，保證對惡意攻擊行為的威懾和取證，為必要時通過法律維護高校權(quán)益打下良好基礎(chǔ)。綠盟科技網(wǎng)站保障方案提供了對攻擊行為的深入分析，對攻擊現(xiàn)場進行還原，并對典型攻擊行為具備路徑回溯能力，實現(xiàn)對嚴(yán)重危害高校網(wǎng)站的安全事件的場景還原、攻擊溯源、信息取證。

實踐表明：通過對高校網(wǎng)站進行預(yù)警檢測、安全防護、安全恢復(fù)、運維監(jiān)控、追蹤溯源等環(huán)節(jié)的安全建設(shè)，并在運維階段加強信息安全管理，可有效保障高校網(wǎng)站的信息安全，滿足國家、行業(yè)主管機構(gòu)的監(jiān)管要求;保證重大事件(高考、招生)期間的網(wǎng)站安全;維護高校的形象和聲譽;提高高校網(wǎng)站的安全運維效率。