中国人民大学:高校Web网站安全防护策略

2015 年 4 月 1 日3760

  随着互联网技术的飞速发展,基于Web和数据库结合的B/S架构应用已经广泛使用于学校内部和外部的业务系统中,Web系统发挥着越来越重要的作用。与此同时,越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击,导致Web系统敏感数据、页面被篡改甚至成为传播木马的傀儡,最终会给更多访问者造成伤害,带来严重损失。

  虽然针对Web系统前端,防火墙、入侵防御等网络安全设备已被广泛部署,网络访问控制策略设置也颇为严格,一般只开放HTTP等必要的服务端口,黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站;然而,Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越快,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。

  学校及其各院系部处中心的Web网站是各部门对外的窗口和形象,尤其如招生就业、政策数据决策研究等具有社会影响的网站,应该采取必要的信息安全保护措施。因此有必要探讨学校Web网站的防护问题。

  高校网站问题特点

  根据笔者工作中遇到的实际情况,我国高校网站当前呈现以下特性。

  网站众多

  在这个个性化彰显的时代,一般来说,学校所有网站(包括个人网站)基本上有近千个,如果刨除个人网站,各个部门、学术机构的网站随意建立,至少有几百个,如此多的网站数量在学校中存在有别于其他行业。

  运行分散

  各个部门、学术机构的运行环境不同,有统一托管的,有采用云服务的,还有自建机房,甚至有的直接放置于自己的办公室。分散的环境不利于管理,但是短期内却无法统一。

  维护能力弱

  网站的制作人不同,有请外面专业人员的,有自己建立的,甚至有学生制作的,其毕业后无法维护。采用的系统也不是很专业,有的系统本身就带有漏洞。

  内容随意

  论坛随意建立,无人管理,内容混乱。

安全防护原则

  木桶原则

  木桶原则是指要对信息安全进行均衡、全面的保护。如果要提升整个系统的整体安全水平,那么就势必要从系统当中最为薄弱的环节入手加以保护。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。在其设计中的首要目的是为防止网络威胁最常用的攻击手段,根本目的为提高整个系统的“安全最低点”的安全性能。

  合规性原则

  安全设计要符合国家有关标准、法规要求,符合金融行业对信息安全系统的等级保护技术规范与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足业务系统的实际不同层次的各种实际安全需求。

  技管结合原则

  信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

  防护措施

  以下从四个方面探讨安全的措施建设:安全风险识别、Web防护、网页内容安全和管理制度。其中安全风险识别是先发现可能引起攻击的薄弱环节,防患于未然;Web防护是事中防范,即在遭受攻击时的设备防护;网页内容安全是对内容的监控。

  安全风险识别

  根据实践经验,学校管理网站总数超过50个时,应在校园网络部署Web远程安全扫描系统;如果校内服务器数超过50台,则应部署服务器扫描系统。

  服务器扫描系统针对服务器漏洞进行探测扫描,Web远程安全扫描系统主要针对Web页面(挂马、暗链等)进行扫描。扫描结果可以提前展示信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。全面满足重大时期紧急安全检查工作的需求和有效应对等级保护测评。

  Web防护

  学校如果有三级(含)以上网站系统,或者集中网站的总数超过30个,应在信息系统前端部署Web应用防火墙(也称为WAF),WAF这一防御系统能够保护各网站Web服务器免受应用级入侵,它弥补了网络防火墙、IPS这类安全设备对Web应用攻击防护能力不足的问题,可及时发现网站可能发生的页面篡改等安全事件,保证Web 服务器的安全运营。WAF系统应具有的功能:

  1. 满足处理性能要求。

  2. 具有Web非授权访问的防护功能。这类攻击会在客户端毫不知情的情况下,窃取客户端或者网站上含有敏感信息的文件,譬如Cookie文件。

  3. 具备针对跨站请求伪造(Crosssiterequestforgery,CSRF)攻击的防护功能。

  4. 具备对Web攻击的防护功能。这类攻击主要包含了SQL注入和XSS跨站。一般来说SQL注入攻击利用Web应用程序不对输入数据进行检查过滤的缺陷,将恶意的SQL语句注入到后台数据库,达到窃取(篡改)数据,控制服务器的目的;XSS攻击指恶意攻击者往Web页面里插入恶意代码,当受害者浏览该Web页面时,嵌入其中的代码会被受害者的Web客户端执行,达到恶意攻击的目的。

  5. 具备对应用层DoS攻击的防护能力,譬如目前最常见就是HTTPFlood攻击(如:CC攻击)。

  6. 具备Web恶意代码的防护功能。譬如WebShell就是一个盗取用户的敏感信息(如账号、密码)的ASP或PHP木马后门。

  7. 具备多服务器负载均衡功能,满足基本的应用交付能力。

  网页内容安全

  当今学校都有自己的主页,而篡改网页内容是当今最新的攻击结果,网页内容的改变包括:文字、图片或者正常字母组成的标语,变换范围可能是小局部,这些很难靠机器全部识别,但极大地破坏了网站所有者形象,在公众中易造成不良影响,所以应具有保证网页内容安全的措施:安装网页防篡改系统或者购买远程实时监控的服务。

  安装在校内的学校主页应安装网页防篡改系统或者购买远程实时监控的服务;采用校外云服务的主页系统应在协议中明确内容监控责任和具体监控内容(包括页面监控层次、周期和最长报警时间)。

  管理制度管理制度应包括网站的建设、维护、备案、应急等方面,制度由学校发布并由信息安全部门监督执行。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具体有可操作性,且必须得到有效推行和实施的制度。制定严格的制定与发布流程、方式和范围等。定期对安全管理制度进行评审和修订,修订不足及进行改进。

  1. 安全管理人员

  明确岗位职责,设立系统管理员岗位,建立授权与审批制度;建立内外部沟通合作渠道;定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。制定相关人员录用、离岗、考核、培训几个方面的规定;规定外部人员访问流程,并严格执行。

  2. 系统建设管理

  制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、外包软件开发、工程实施、测试验收、系统交付等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。

  3. 系统运维管理

  利用管理制度以及学校安全管理中心进行系统统一、高效的运维管理。包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理,安全事件处置、应急预案管理等,使系统始终处于相应的安全状态中。

  “没有信息安全就没有国家安全”,网站安全同样是个长期的任务,会不断地出现新的问题,这就需要我们不断地研究和探讨,总之没有信息安全就没有网站的正常运行环境,甚至网站无法运行。因此在这方面的探讨具有重大意义,相信随着实践的深入,我们会探讨出更加行之有效的网站安全解决方案。

0 0