莊生虎 吉軍義 雷永鵬

陜西廣電網(wǎng)絡(luò)傳媒股份有限公司延安分公司，陜西延安 716000

Web時(shí)代高校網(wǎng)絡(luò)應(yīng)用安全問(wèn)題研究

莊生虎 吉軍義 雷永鵬

陜西廣電網(wǎng)絡(luò)傳媒股份有限公司延安分公司，陜西延安 716000

隨著高校信息化校園建設(shè)的逐步發(fā)展，大學(xué)校園網(wǎng)在教學(xué)、科研、管理等方面，web應(yīng)用越來(lái)越普及，以及學(xué)生區(qū)上網(wǎng)用戶的逐漸增加，校園網(wǎng)運(yùn)行和管理所面臨的安全問(wèn)題也就越來(lái)越突出，這將嚴(yán)重阻礙大學(xué)信息化建設(shè)的步伐。本文通過(guò)分析校園網(wǎng)安全問(wèn)題的主要特點(diǎn)及產(chǎn)生的根本原因，提出了基于Web環(huán)境下，布置Web應(yīng)用防火墻或IPS加強(qiáng)校園網(wǎng)安全防范的幾項(xiàng)建議和策略。

校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻；安全技術(shù)

隨著高校信息化進(jìn)程的推進(jìn)，基于Web環(huán)境下的應(yīng)用越來(lái)越普遍，高校在信息化進(jìn)程中將多種應(yīng)用架設(shè)在Web平臺(tái)上。如網(wǎng)絡(luò)管理、計(jì)費(fèi)認(rèn)證、學(xué)院的網(wǎng)站、入侵防御檢測(cè)系、OA系統(tǒng)等。這些應(yīng)用的功能和性能都不斷完善和提高，然而對(duì)安全卻沒(méi)有足夠重視。黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web 應(yīng)用的攻擊上，接踵而至的卻是Web安全威脅的凸顯。為此建立并完善以安全策略為核心，以安全技術(shù)為支撐，以安全管理和安全培訓(xùn)為重點(diǎn)的校園網(wǎng)安全防范體系，是確保校園網(wǎng)安全、穩(wěn)定運(yùn)行的重要舉措之一。

1 校園網(wǎng)安全的定義和存在的問(wèn)題

1.1 校園網(wǎng)網(wǎng)絡(luò)安全的定義

校園網(wǎng)網(wǎng)絡(luò)安全是指校園網(wǎng)信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。廣義的校園網(wǎng)網(wǎng)絡(luò)安全包括實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全、軟件安全和通信安全等。其中，實(shí)體安全主要是指校園網(wǎng)硬件設(shè)備和通信線路的安全，自然和人為危害等因素，信息安全包括數(shù)據(jù)安全和軟件安全,其威脅主要來(lái)自信息破壞和信息泄漏。狹義的校園網(wǎng)網(wǎng)絡(luò)安全是指校園網(wǎng)網(wǎng)絡(luò)的信息安全，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性、可控性的相關(guān)技術(shù)和理論[1]。

1.2 校園網(wǎng)安全存在的安全問(wèn)題

隨著各個(gè)高校的擴(kuò)招和學(xué)校信息化學(xué)校園建設(shè)的發(fā)展，學(xué)校規(guī)模不斷擴(kuò)大，高校的網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜化，下面就以我校為例，分析校園網(wǎng)絡(luò)Web應(yīng)用網(wǎng)絡(luò)所臨的安全隱患。

目前校園網(wǎng)對(duì)Web應(yīng)用逐漸地增多，對(duì)網(wǎng)絡(luò)的安全的要求也是越來(lái)越高，從目前的應(yīng)用來(lái)看，網(wǎng)絡(luò)安全主要源于面臨的三個(gè)問(wèn)題。

第一種，拒絕服務(wù)攻擊。

這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN（同步報(bào)文）標(biāo)志的TCP報(bào)文，結(jié)果往往是堆棧溢出崩潰—— 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正常客戶的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況也叫服務(wù)器端受到了SYN Flood攻擊或SYN洪水攻擊。這給服務(wù)器的安全帶來(lái)了極大的威脅。

第二種，針對(duì)校園網(wǎng)的Web應(yīng)用后臺(tái)數(shù)據(jù)庫(kù)的更改，泄密和破壞。

攻擊者試圖通過(guò)注入SQL代碼來(lái)尋找網(wǎng)站等應(yīng)用的數(shù)據(jù)庫(kù)的漏洞,并獲得相應(yīng)的權(quán)限。如果攻擊成功,他就能夠登錄到后臺(tái)數(shù)據(jù)庫(kù)并在其中植入惡意代碼。攻擊者并沒(méi)有針對(duì)某個(gè)特定的漏洞,而是主要通過(guò)SQL注入引擎自動(dòng)搜索使用SQL數(shù)據(jù)庫(kù)的網(wǎng)站并進(jìn)行攻擊。他首先在目標(biāo)網(wǎng)站上植入惡意代碼,然后再通過(guò)瀏覽器感染瀏覽該網(wǎng)站的用戶。導(dǎo)致企業(yè)內(nèi)部的數(shù)據(jù)損失或者是被更改。攻擊仍在繼續(xù),即使它無(wú)法在目標(biāo)站點(diǎn)內(nèi)植入惡意程序,但是仍可以讓許多網(wǎng)站癱瘓。由于采用了非常強(qiáng)的SQL注入攻擊手段,因此將會(huì)給很多目標(biāo)網(wǎng)站帶來(lái)不可逆轉(zhuǎn)的破壞[2]。SQL注入已經(jīng)成為學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全的一大隱患。

第三種，跨站掛馬或者叫做跨站腳本攻擊。

所謂的跨站掛馬，就是一種往數(shù)據(jù)庫(kù)里插入特定惡意代碼的一種攻擊技術(shù)，它被稱為“XSS”或“CSS”，跨站攻擊的英文是Cross-Site Scripting，簡(jiǎn)稱為CSS。為了與層疊式樣式表區(qū)分，現(xiàn)在普遍叫做XSS。通過(guò)別人的網(wǎng)站腳本漏洞達(dá)到攻擊的效果，就是說(shuō)可以隱藏攻擊者的身份，因此叫做跨站攻擊?？缯竟艨梢院?jiǎn)單的就使你的頁(yè)面布局混亂不堪，而更嚴(yán)重的是，可以寫入html代碼，當(dāng)有人訪問(wèn)這個(gè)WEB程序下的某個(gè)頁(yè)面時(shí)，惡意代碼就會(huì)混雜在正常的代碼中發(fā)送給瀏覽者，從而導(dǎo)致瀏覽器執(zhí)行相應(yīng)代碼，因此達(dá)到攻擊網(wǎng)站的目的。

Web應(yīng)用面臨的主要攻擊和威脅，后兩種居多。

2 校園網(wǎng)應(yīng)用服務(wù)的安全防范措施

2.1 安全防范策略

總體思路制定合理、符合數(shù)字化校園建設(shè)規(guī)模的校園網(wǎng)安全與防范整體規(guī)劃；按照總體規(guī)劃，逐步實(shí)施并完善,穩(wěn)步推進(jìn)網(wǎng)絡(luò)安全與防范工作的實(shí)施，設(shè)計(jì)原則面對(duì)復(fù)合式的攻擊和病毒的侵?jǐn)_，利用單一技術(shù)去防范復(fù)雜構(gòu)架的校園網(wǎng)的安全威脅，或者通過(guò)利用昂貴的整體防護(hù)產(chǎn)品去架構(gòu)校園網(wǎng)的安全平臺(tái)，對(duì)于校園網(wǎng)都是不現(xiàn)實(shí)的[3]。為此，校園網(wǎng)安全策略的制定必須從兩個(gè)方面、三個(gè)層面上展開(kāi),即在內(nèi)、外網(wǎng)結(jié)合和內(nèi)網(wǎng)方面采取不同的對(duì)策；在內(nèi)網(wǎng)上必須從用戶類別和管理角度出發(fā),按照中心管理進(jìn)行分布式安全防護(hù)。

2.2 管理員對(duì)校園網(wǎng)應(yīng)用安全的防范和管理

校園網(wǎng)只是一個(gè)平臺(tái)，在校園網(wǎng)的基礎(chǔ)上，要運(yùn)行多個(gè)服務(wù)，那么這些服務(wù)怎樣才能保證是安全的，首先要考慮的就是設(shè)計(jì)和管理的安全問(wèn)題。針對(duì)以上三種常用的對(duì)服務(wù)器的攻擊，從用戶和管理角度來(lái)講，可以采用以下三種防范策略。

2.2.1 拒絕服務(wù)攻擊的防范

應(yīng)用服務(wù)器的管理員作為服務(wù)器的管理者，可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。主機(jī)上的設(shè)置基本的有幾種：關(guān)閉不必要的服務(wù)；限制同時(shí)打開(kāi)的Syn半鏈接數(shù)目；縮短SYN半連接的time out 時(shí)間；及時(shí)更新系統(tǒng)補(bǔ)丁； 網(wǎng)絡(luò)設(shè)備上的設(shè)置 校園網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個(gè)設(shè)備是到外界的接口設(shè)備，在進(jìn)行防DDoS設(shè)置的同時(shí)，要注意一下這是以多大的效率犧牲為代價(jià)的，對(duì)這個(gè)校園網(wǎng)來(lái)說(shuō)是否值得。

2.2.2 SQL注入攻擊的防范

校園網(wǎng)的服務(wù)器的應(yīng)用比較多，在部署的時(shí)候，要做到預(yù)防為主，主要有以下幾個(gè)方面。不要讓數(shù)據(jù)庫(kù)和Web服務(wù)器放在同一臺(tái)計(jì)算機(jī)上；配置可信任的IP接入和訪問(wèn)；從數(shù)據(jù)庫(kù)服務(wù)器上移除所有的示例腳本和應(yīng)用程序；為每一個(gè)應(yīng)用程序的數(shù)據(jù)庫(kù)連接賬戶使用一個(gè)專用的低特權(quán)賬戶。不要使用sa、dba、admin；不要準(zhǔn)許用戶或應(yīng)用程序直接訪問(wèn)數(shù)據(jù)庫(kù)表；從生產(chǎn)數(shù)據(jù)庫(kù)中移除未用的存儲(chǔ)過(guò)程；將對(duì)應(yīng)用程序的訪問(wèn)僅授權(quán)給用戶創(chuàng)建的存儲(chǔ)過(guò)程。

而且要和服務(wù)器上的軟降的開(kāi)發(fā)人員探討，開(kāi)發(fā)質(zhì)量和安全性較高的軟件產(chǎn)品。因?yàn)槌绦虻脑O(shè)計(jì)和開(kāi)發(fā)人員肩負(fù)著保障Web應(yīng)用程序安全的重要責(zé)任。

2.2.3 跨站掛馬的防范措施

跨站掛馬是攻擊者利用服務(wù)器主機(jī)上的跨站漏洞，向服務(wù)器的數(shù)據(jù)庫(kù)里插入特定惡意代碼的一種攻擊技術(shù)。所以應(yīng)該做：在WEB瀏覽器上禁用JavaScript腳本；開(kāi)發(fā)者要仔細(xì)審核代碼，對(duì)提交輸入數(shù)據(jù)進(jìn)行有效檢查，如"＜"和"＞"，可以把"＜"，"＞"轉(zhuǎn)換為＜，＞。

2.3 利用防火墻和IPS硬件防護(hù)

在校園網(wǎng)的路由器和服務(wù)器之間。加入硬件防火墻和入侵防御系統(tǒng)（IPS），加強(qiáng)對(duì)校園網(wǎng)內(nèi)部的防護(hù)能力。防火墻會(huì)在Web服務(wù)器前的應(yīng)用層對(duì)HTTP流量進(jìn)行檢查。這些設(shè)備可以檢測(cè)一個(gè)鏈接，分析用戶對(duì)應(yīng)用程序發(fā)出的命令。然后就可以分析出哪些是已知攻擊，哪些是標(biāo)準(zhǔn)應(yīng)用的演變。

Web應(yīng)用防火墻(Web Application Firewall，WAF)與IPS、安全設(shè)備最是不同的，從技術(shù)層面講，IPS是深度的包檢測(cè)的產(chǎn)品，屬于高級(jí)的網(wǎng)絡(luò)防火墻。IPS所保護(hù)的不僅僅是Web應(yīng)用，IPS的檢測(cè)是非常嚴(yán)格和標(biāo)準(zhǔn)化的，就導(dǎo)致一個(gè)問(wèn)題，它對(duì)整個(gè)單純的Web應(yīng)用，包括SQL 注入的檢查不是很專業(yè)，所以Web應(yīng)用防火墻和IPS相比，它是更專業(yè)的基于Web防護(hù)的系統(tǒng)。

Web應(yīng)用防火墻主要有這三方面的功能，網(wǎng)站隱身。安全檢查。應(yīng)用加速。也就是說(shuō)Web應(yīng)用防火墻在整個(gè)用戶眼里是透明的，但是它做了兩個(gè)工作，又檢查又加速。能真正起到保護(hù)校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器的目的。

3 總結(jié)

本本主要針對(duì)校園網(wǎng)應(yīng)用服務(wù)器，先分析了面臨的諸多問(wèn)題，然后提出了從用戶角度來(lái)講幾種防范和處理的辦法，以及用硬件防火墻構(gòu)造更加安全的防護(hù)。解決方案已經(jīng)我院的校園網(wǎng)使用3年，運(yùn)行效果良好，工作量和以前相比大幅降低。當(dāng)然網(wǎng)絡(luò)安全是動(dòng)態(tài)的、整體的,并不是簡(jiǎn)單的安全產(chǎn)品集成就可以解決問(wèn)題。隨著時(shí)間推移，新的安全風(fēng)險(xiǎn)又將隨著產(chǎn)生。因此，一個(gè)完整的安全解決方案還必須包括長(zhǎng)期的、與系統(tǒng)相關(guān)的信息安全服務(wù)。

[1]王繼成.大學(xué)校園網(wǎng)的網(wǎng)絡(luò)安全與防范策略[J].沈陽(yáng):農(nóng)業(yè)大學(xué)學(xué)報(bào).2007,9(5):727-729

[2]華馳.SQL注入給網(wǎng)絡(luò)安全帶來(lái)的隱患及解決方法[J].教育信息化. 2006, (07)

[3]王棟.大學(xué)校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的分析與對(duì)策[J].蘭州.甘肅聯(lián)合大學(xué)（自然科學(xué)版）. 2010年7月第四期.第64頁(yè)

10.3969/j.issn.1001-8972.2011.12.047