亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        高校網(wǎng)站安全的“矛”與“盾”(一)

        2011-11-09 06:41:28諸葛建偉
        中國教育網(wǎng)絡(luò) 2011年5期
        關(guān)鍵詞:網(wǎng)絡(luò)服務(wù)威脅服務(wù)器

        文/諸葛建偉

        高校網(wǎng)站安全的“矛”與“盾”(一)

        文/諸葛建偉

        COST論壇由CCERT、《中國教育網(wǎng)絡(luò)》雜志于2008年共同發(fā)起,采取會(huì)員制,面向個(gè)人,完全免費(fèi),以開放、平等、自由的互聯(lián)網(wǎng)精神運(yùn)作。如需獲取COST技術(shù)論壇視頻、錄音等資料,請登錄:http://www.cost.edu.cn/。

        Web應(yīng)用從互聯(lián)網(wǎng)誕生以來一直是最為主流的網(wǎng)絡(luò)應(yīng)用類型,而作為Web應(yīng)用的承載體——網(wǎng)站也構(gòu)成了互聯(lián)網(wǎng)中最為核心的資源。在高校中,大量的網(wǎng)絡(luò)應(yīng)用同樣以Web應(yīng)用程序的方式進(jìn)行構(gòu)建,并在高校網(wǎng)站群上進(jìn)行部署,包括學(xué)校院系門戶、教學(xué)管理系統(tǒng)、網(wǎng)上課程、數(shù)字圖書館、網(wǎng)上辦公等,為高校師生們提供各式各樣的網(wǎng)絡(luò)服務(wù)。為了便于用戶檢索和訪問各種網(wǎng)站服務(wù)資源,近幾年國內(nèi)高校紛紛進(jìn)行“數(shù)字化校園”項(xiàng)目建設(shè),打造集中的校園信息門戶,并通過“校園一卡通”來統(tǒng)一各類校園服務(wù)的身份帳號(hào)標(biāo)識(shí)和認(rèn)證與支付途徑,使得高校師生們能夠享受到更加便捷的校園服務(wù)。

        然而在以“數(shù)字化校園”和“校園一卡通”為代表的高校信息化建設(shè)過程中,網(wǎng)絡(luò)和信息系統(tǒng)的安全問題卻沒有得到應(yīng)有的重視。特別是作為承載校園網(wǎng)絡(luò)應(yīng)用服務(wù)的網(wǎng)站群,在設(shè)計(jì)開發(fā)、部署實(shí)施和運(yùn)營維護(hù)等關(guān)鍵階段中都存在著明顯的安全問題,因此在面對互聯(lián)網(wǎng)上各種形態(tài)的安全威脅時(shí),國內(nèi)高校網(wǎng)站的安全形勢并不容樂觀。

        網(wǎng)站的脆弱性與安全威脅

        網(wǎng)站是由服務(wù)器操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)軟件、Web應(yīng)用程序、數(shù)據(jù)庫所構(gòu)成的復(fù)雜信息系統(tǒng),作為Web應(yīng)用的服務(wù)提供端,通過傳輸網(wǎng)絡(luò)向Web瀏覽器提供信息數(shù)據(jù)和在線服務(wù)。圖1給出了網(wǎng)站系統(tǒng)的安全威脅層次模型,構(gòu)成網(wǎng)站系統(tǒng)的各個(gè)組件層次上所面臨的典型安全威脅和攻擊類型。其包括:

        傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議安全威脅:如針對HTTP明文傳輸協(xié)議的敏感信息監(jiān)聽,在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都存在的假冒身份攻擊,以及拒絕服務(wù)攻擊等;

        操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)軟件的安全威脅:網(wǎng)站的宿主操作系統(tǒng),如Windows Server、Linux等,存在著遠(yuǎn)程滲透攻擊和本地滲透攻擊威脅;網(wǎng)站系統(tǒng)上所依賴的I I S、Apache等Web服務(wù)器服務(wù)軟件、數(shù)據(jù)庫服務(wù)、SSH等遠(yuǎn)程管理服務(wù),也不可避免地存在著安全漏洞與弱點(diǎn),攻擊者可以利用這些漏洞對網(wǎng)站服務(wù)器實(shí)施滲透攻擊,或者獲取敏感信息。

        Web應(yīng)用程序安全威脅:程序員在使用ASP、PHP等腳本編程語言實(shí)現(xiàn)網(wǎng)站上的Web應(yīng)用程序時(shí),由于缺乏安全意識(shí)或有著不良的編程習(xí)慣,最終導(dǎo)致Web應(yīng)用程序出現(xiàn)安全漏洞,從而被攻擊者滲透利用,包括SQL注入攻擊、XSS跨站腳本攻擊等。

        Web數(shù)據(jù)安全威脅:網(wǎng)站上在Web應(yīng)用程序后臺(tái)存儲(chǔ)的關(guān)鍵數(shù)據(jù)內(nèi)容,以及網(wǎng)站客戶輸入的數(shù)據(jù)內(nèi)容,存在著被竊取、篡改及輸入不良信息等威脅。

        正因?yàn)榫W(wǎng)站系統(tǒng)在各個(gè)構(gòu)成軟件組件層次上都存在著安全威脅,而其中只要一個(gè)層次上出現(xiàn)問題,就會(huì)對網(wǎng)站的安全性造成損害,因此對于高校網(wǎng)站的運(yùn)營方和網(wǎng)絡(luò)管理部門而言,在搭建和運(yùn)營高校網(wǎng)站時(shí),需要關(guān)注到網(wǎng)站系統(tǒng)所面臨的多樣化安全威脅,并采用適當(dāng)?shù)陌踩胧﹣硪?guī)避這些威脅對網(wǎng)站所帶來的風(fēng)險(xiǎn)。

        圖1 網(wǎng)站系統(tǒng)安全威脅層次模型

        傳輸網(wǎng)絡(luò)安全威脅和設(shè)防措施

        網(wǎng)站服務(wù)器和Web瀏覽器之間的網(wǎng)絡(luò)傳輸通常是基于HTTP協(xié)議,而HTTP協(xié)議是明文傳輸?shù)?,一旦網(wǎng)站服務(wù)器的用戶登錄認(rèn)證過程仍使用HTTP協(xié)議,而沒有使用加密傳輸?shù)腍TTPS協(xié)議,那么就很容易被網(wǎng)絡(luò)監(jiān)聽從而獲取登錄用戶的用戶名和密碼等敏感信息。比如某高校校園門戶網(wǎng)站仍采用HTTP明文協(xié)議來傳輸校園一卡通用戶名和口令,可以使用Wireshark等網(wǎng)絡(luò)嗅探工具監(jiān)聽登錄交互網(wǎng)絡(luò)通訊過程,并從中很容易地提取到用戶敏感信息。可以設(shè)想在圖書館無線網(wǎng)絡(luò)等共享上網(wǎng)環(huán)境中,一些喜歡惡作劇的好事者或另有所圖的攻擊者可以輕易地監(jiān)聽獲取到其他用戶的校園一卡通帳號(hào)信息,并可能利用這些信息進(jìn)行一些無法預(yù)期的惡意攻擊。仍是同一所高校,在網(wǎng)絡(luò)管理部門的聯(lián)網(wǎng)登錄網(wǎng)站上就使用了HTTPS加密協(xié)議進(jìn)行保護(hù),這種差異反映出不同網(wǎng)站運(yùn)營者對安全威脅的認(rèn)知程度,及對安全防護(hù)措施水平也是高下立判。

        在此種情況下,在高校網(wǎng)絡(luò)服務(wù)群提供了一卡通統(tǒng)一用戶標(biāo)識(shí)之外,還應(yīng)提供具備高度安全性的單點(diǎn)登錄(SSO)認(rèn)證機(jī)制,從而充分利用統(tǒng)一用戶標(biāo)識(shí)的優(yōu)勢,并將涉及用戶敏感信息的登錄過程均集中在單點(diǎn)上處理,由具有較高安全技術(shù)水平和保障能力的網(wǎng)絡(luò)管理團(tuán)隊(duì)來實(shí)施所有校園網(wǎng)絡(luò)服務(wù)的認(rèn)證過程,這種機(jī)制能夠在投入資源條件限制的情況下,最大化地提升數(shù)字校園對用戶身份敏感信息的安全保障能力。

        本文作者所在單位在CNGI試商用項(xiàng)目中已經(jīng)完成了基于Web的網(wǎng)絡(luò)接入認(rèn)證和單點(diǎn)登錄系統(tǒng)的研發(fā),正在尋求在高校數(shù)字校園建設(shè)中的推廣部署,感興趣的讀者可以從項(xiàng)目網(wǎng)站http://netsec.ccert.edu.cn/cngi101/上了解更多信息。

        操作系統(tǒng)、服務(wù)威脅和設(shè)防措施

        目前高校網(wǎng)站服務(wù)器所采用的主流操作系統(tǒng)與Web服務(wù)平臺(tái)主要有Windows Server + IIS + MSSQL + ASP/ASP.NET和LAMP(Linux + Apache + MySQL + PHP)架構(gòu)兩大類,而操作系統(tǒng)平臺(tái)、用于遠(yuǎn)程管理的SSH等網(wǎng)絡(luò)服務(wù)、以及網(wǎng)站所依賴的Web、數(shù)據(jù)庫等網(wǎng)絡(luò)服務(wù)軟件都可能存在著一些安全漏洞和不安全配置,從而能夠被遠(yuǎn)程攻擊者滲透攻擊,獲得網(wǎng)站服務(wù)器的訪問權(quán)。這種威脅在管理員疏于管理服務(wù)器,無法保證及時(shí)升級(jí)安全補(bǔ)丁的情況下尤其嚴(yán)重,然而在高校中,大量的網(wǎng)站服務(wù)器并沒有專職的管理員,而依賴于兼職人員進(jìn)行維護(hù),甚至處于無人看管的狀態(tài),因此高校網(wǎng)站服務(wù)器是最容易被“網(wǎng)絡(luò)駭客”們所攻擊和利用的。

        為了改變高校網(wǎng)站服務(wù)器的糟糕安全狀態(tài),一方面從機(jī)制上,需要建立起對校園核心網(wǎng)站服務(wù)的安全責(zé)任制度,需要讓這些服務(wù)器至少有人看管和負(fù)責(zé);另一方面從技術(shù)上,應(yīng)充分利用計(jì)算機(jī)自動(dòng)化能力來提升服務(wù)器安全性,包括:

        1.設(shè)置操作系統(tǒng)及Web服務(wù)的自動(dòng)化補(bǔ)丁更新和軟件升級(jí)機(jī)制

        如Windows提供了補(bǔ)丁自動(dòng)更新機(jī)制,高校應(yīng)盡量促進(jìn)軟件的正版化,并可通過教育折扣降低軟件正版化的成本,從而能夠合法地利用軟件廠商所提供地自動(dòng)更新服務(wù),來對包括Windows、IIS服務(wù)、MSSQL服務(wù)等軟件進(jìn)行自動(dòng)化的安全補(bǔ)丁更新。對于具有較高技術(shù)水平的高校,推薦采用Linux等開源軟件來架設(shè)網(wǎng)站服務(wù)器,并可以通過APT/YUM等自動(dòng)軟件更新工具,結(jié)合Crond計(jì)劃任務(wù)管理工具來及時(shí)更新系統(tǒng)和相關(guān)服務(wù)軟件。應(yīng)在每月補(bǔ)丁更新日設(shè)置定期的服務(wù)器人工維護(hù)計(jì)劃,來確保網(wǎng)站服務(wù)器的安全。

        2.使用漏洞遠(yuǎn)程掃描軟件和服務(wù)來評(píng)估網(wǎng)站服務(wù)器系統(tǒng)安全性

        國內(nèi)的商業(yè)漏洞掃描軟件,如綠盟“極光”等,提供了非常優(yōu)秀的系統(tǒng)安全評(píng)估功能,但售價(jià)較為昂貴,具有技術(shù)能力的安全團(tuán)隊(duì)可以自己使用開源的Nessus和OpenVAS等漏洞掃描器來定期評(píng)估高校網(wǎng)站群的服務(wù)器安全,此外,也可以采用目前比較流行的遠(yuǎn)程安全評(píng)估服務(wù)。

        3.采用SCAP安全內(nèi)容自動(dòng)化協(xié)議來對服務(wù)器安全配置進(jìn)行核查

        安全內(nèi)容自動(dòng)化協(xié)議(SCAP: Security Content Automation Protocol)是由美國標(biāo)準(zhǔn)化技術(shù)研究院(NIST)在安全自動(dòng)化技術(shù)發(fā)展潮流中推出的標(biāo)準(zhǔn)協(xié)議,目前正在尋求通過IETF成為國際標(biāo)準(zhǔn)。SCAP協(xié)議提供了一種自動(dòng)、標(biāo)準(zhǔn)化的方法來維護(hù)信息系統(tǒng)的安全,如實(shí)現(xiàn)安全配置基線,驗(yàn)證當(dāng)前的補(bǔ)丁程序,進(jìn)行系統(tǒng)安全配置設(shè)置的持續(xù)性監(jiān)測,檢查系統(tǒng)的入侵標(biāo)志,以及能在任意設(shè)定時(shí)刻給出系統(tǒng)的安全狀態(tài)?;赟CAP協(xié)議的FDCC聯(lián)邦桌面核心配置計(jì)劃在美國大獲成功,有效地提升了美國聯(lián)邦政府計(jì)算機(jī)系統(tǒng)的安全性,但SCAP協(xié)議在國內(nèi)的采納、本地化和應(yīng)用仍處于初期階段,本文作者目前正在開展相關(guān)的研究,也希望能夠和相關(guān)的政府部門、業(yè)界公司、應(yīng)用單位合作進(jìn)行研發(fā)、應(yīng)用推廣與標(biāo)準(zhǔn)化工作,促進(jìn)安全自動(dòng)化技術(shù)在中國的發(fā)展。

        (作者單位為清華大學(xué)網(wǎng)絡(luò)工程研究中心)

        猜你喜歡
        網(wǎng)絡(luò)服務(wù)威脅服務(wù)器
        《壓縮機(jī)技術(shù)》網(wǎng)絡(luò)服務(wù)
        《壓縮機(jī)技術(shù)》網(wǎng)絡(luò)服務(wù)
        網(wǎng)絡(luò)服務(wù)合同的法律問題研究
        法制博覽(2021年18期)2021-11-24 20:45:30
        人類的威脅
        通信控制服務(wù)器(CCS)維護(hù)終端的設(shè)計(jì)與實(shí)現(xiàn)
        受到威脅的生命
        面對孩子的“威脅”,我們要會(huì)說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        得形忘意的服務(wù)器標(biāo)準(zhǔn)
        計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器入侵與防御
        Why Does Sleeping in Just Make Us More Tired?
        在线播放中文字幕一区二区三区| 特黄做受又粗又长又大又硬 | 国产va免费精品高清在线| 国产精品区一区二区三在线播放| 在线亚洲免费精品视频| 免费一区二区高清不卡av| 中文字幕欧美人妻精品一区| 丁香综合网| 日本久久一区二区三区高清| 日本人视频国产一区二区三区| 少妇仑乱a毛片| 成人爽a毛片一区二区免费| 免费毛片一区二区三区女同| 中文字幕亚洲熟女av| 久久精品国产亚洲av四虎| 亚洲人成精品久久久久| 成年女人18毛片观看| 精品国产精品三级精品av网址| 久久99精品国产99久久6尤物| 亚洲av成人在线网站| 国产亚洲中文字幕久久网| 人成午夜免费视频无码| 国产精品熟妇视频国产偷人| 人妻中文字幕av有码在线| 亚洲一区二区三区偷拍厕所| 成人欧美一区二区三区| 日韩我不卡| 日本一区二区三区在线观看视频| 色欲av永久无码精品无码蜜桃| 少妇人妻200篇白洁| 亚洲色欲色欲大片WWW无码| 国产黄色一区二区在线看| 久久久久久久波多野结衣高潮| 国产啪精品视频网给免丝袜| 色妞一区二区三区免费视频 | 日本特黄特色特爽大片| 99视频在线国产| 精品国产一区二区av麻豆不卡| 亚洲av综合一区二区在线观看| 亚洲欧美日韩国产综合一区二区| 蜜桃成人永久免费av大|