文/吳海燕 戈金鐘

高校網(wǎng)站安全現(xiàn)狀分析

伴隨著高校信息化建設(shè)的進(jìn)程，高校網(wǎng)站建設(shè)經(jīng)歷了從放到收的發(fā)展歷程，長期的重建設(shè)發(fā)展，輕運(yùn)維安全，使得高校在網(wǎng)站安全管理方面基礎(chǔ)薄弱。根據(jù)中國高等教育行業(yè)網(wǎng)絡(luò)信息基礎(chǔ)數(shù)據(jù)庫(IPDB)的數(shù)據(jù)，部分理工科高校各類網(wǎng)站的數(shù)量已經(jīng)突破了1000，大量網(wǎng)站應(yīng)用上線后就疏于日常管理，各類安全漏洞頻發(fā)。各高校在網(wǎng)站安全管理方面面臨著數(shù)量大、網(wǎng)站建設(shè)和管理不統(tǒng)一，安全管理責(zé)任邊界不清等問題。網(wǎng)站建設(shè)方和管理方往往不一致，網(wǎng)站日常安全維護(hù)缺失，高校網(wǎng)站重功能實(shí)現(xiàn)、輕日常安全維護(hù)，一些已公布的安全漏洞長期得不到修復(fù)。

與此同時高校網(wǎng)站還必須面對日益嚴(yán)峻的安全形勢，面對來自國家相關(guān)部門越來越高的安全工作要求，往往感到挑戰(zhàn)與壓力巨大。令人欣慰的是，經(jīng)過短暫的迷茫后，很多高校已經(jīng)逐步理順了信息安全管理的相關(guān)工作，信息安全管理不再是一項“不出事時看不見”的工作，變得具體而實(shí)在，有著扎扎實(shí)實(shí)的工作內(nèi)容、實(shí)實(shí)在在的人員隊伍、有條不紊的工作節(jié)奏。越來越多的高校意識到，對網(wǎng)站應(yīng)實(shí)行全生命周期的安全管理，大致應(yīng)包括網(wǎng)站登記備案、網(wǎng)站安全準(zhǔn)入檢查、網(wǎng)站運(yùn)行安全監(jiān)控等環(huán)節(jié)。

網(wǎng)站全生命周期安全管理流程

如果待網(wǎng)站開發(fā)完成后才著手考慮安全問題，那么消耗的代價是巨大的，只能取得事倍功半的效果，業(yè)界一直認(rèn)可的做法是將安全考慮嵌入到整個軟件開發(fā)生命周期，也就是secure Software Development Life Cycle（S SDLC）的方法。EDUCAUSE的SECURITY INITIAL的應(yīng)用安全建議提出了Web應(yīng)用安全開發(fā)的8個步驟，包括規(guī)范建設(shè)、人員培訓(xùn)、安全需求分析、確定組織安全角色、將安全作為開發(fā)或者購買軟件的必需環(huán)節(jié)、應(yīng)用實(shí)施、運(yùn)行維護(hù)、應(yīng)用終止。美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technoligy ，NIST）的標(biāo)準(zhǔn)規(guī)范文件從應(yīng)用的啟動、需求、開發(fā)、部署、運(yùn)行幾個階段提出了相應(yīng)的安全建議。微軟提出了安全軟件開發(fā)生命周期的方法。

這些標(biāo)準(zhǔn)和建議是很有借鑒意義的，但過于復(fù)雜，在信息化過程中完全實(shí)現(xiàn)是不現(xiàn)實(shí)的。為此，美國的GaryMcGraw教授提出了基于安全接觸點(diǎn)的軟件安全的工程化方法，Gary McGraw博士總結(jié)出了七個接觸點(diǎn)，即代碼審核、體系結(jié)構(gòu)風(fēng)險分析、滲透測試、基于風(fēng)險的安全測試、濫用案例、安全需求和安全操作。無論采用什么樣的軟件開發(fā)方法學(xué)，都可以將這些接觸點(diǎn)應(yīng)用到你的開發(fā)生命周期中，而不需要完全改變軟件開發(fā)生命周期。這些接觸點(diǎn)從“黑帽子”（攻擊和破解）和“白帽子”（防御和保護(hù)）兩個方面綜合地考察軟件開發(fā)中可能出現(xiàn)的問題，結(jié)合了它們的開發(fā)生命周期就成為“安全的”開發(fā)生命周期。“安全的”開發(fā)生命周期能夠在每一個開發(fā)階段上盡可能地避免和消除漏洞，同時又保留了熟悉的工作方式。

基于軟件的安全控制點(diǎn)和軟件安全開發(fā)生命周期的方法，我們設(shè)計了網(wǎng)站全生命周期安全管理流程如圖1所示。

圖1 網(wǎng)站全生命周期安全管理流程

整個流程包括網(wǎng)站登記備案、網(wǎng)站安全準(zhǔn)入檢查、網(wǎng)站安全漏洞跟蹤處理、網(wǎng)站定期安全檢測、網(wǎng)站安全事件監(jiān)控等環(huán)節(jié)。

網(wǎng)站全生命周期安全管理的主要環(huán)節(jié)

網(wǎng)站登記備案

網(wǎng)站登記備案是網(wǎng)站安全管理的起點(diǎn)和基礎(chǔ)，登記備案有助于幫助高校掌握網(wǎng)站數(shù)量，確定網(wǎng)站的安全責(zé)任主體單位，梳理網(wǎng)站的業(yè)務(wù)和管理信息等。高校網(wǎng)站存在數(shù)量大、建設(shè)和運(yùn)行模式多樣的特點(diǎn)，我們可將其安全責(zé)任細(xì)分為主管安全責(zé)任、開發(fā)安全責(zé)任、運(yùn)行安全責(zé)任和使用安全責(zé)任，在網(wǎng)站的建設(shè)和運(yùn)行中承擔(dān)的角色不同，安全責(zé)任也不一樣。網(wǎng)站建設(shè)的發(fā)起單位是網(wǎng)站的主管部門，一般是業(yè)務(wù)部門，承擔(dān)主管安全責(zé)任；網(wǎng)站的開發(fā)單位對網(wǎng)站的代碼安全負(fù)責(zé)，承擔(dān)開發(fā)安全責(zé)任；網(wǎng)站的運(yùn)行部門對網(wǎng)站的運(yùn)行環(huán)境的安全負(fù)責(zé)，承擔(dān)運(yùn)行安全責(zé)任；網(wǎng)站的使用單位對網(wǎng)站發(fā)布的內(nèi)容安全負(fù)責(zé)，承擔(dān)使用安全責(zé)任。在網(wǎng)站登記備案實(shí)際工作中，能夠確定主管單位的網(wǎng)站，建議將主管單位定位網(wǎng)站登記備案的責(zé)任主體單位，否則可選擇網(wǎng)站的運(yùn)行單位作為網(wǎng)站登記備案的責(zé)任主體單位。在高校，網(wǎng)站的主管單位往往是學(xué)校的二級單位，在實(shí)際工作中，一些高校在二級單位設(shè)置了信息安全聯(lián)系人和信息安全主管，使得網(wǎng)站的備案主體單位能夠切實(shí)擔(dān)負(fù)起網(wǎng)站的主管安全責(zé)任，取得了良好的效果。

網(wǎng)站安全準(zhǔn)入檢查

網(wǎng)站安全準(zhǔn)入檢查的目的是查找并消除軟件中存在的安全缺陷，通過對OWASP提出的Web應(yīng)用程序的十大安全漏洞的分析，我們發(fā)現(xiàn)，網(wǎng)站安全漏洞可以分為兩類，第一類為應(yīng)用架構(gòu)、邏輯方面的缺陷導(dǎo)致的安全漏洞，如失效的訪問控制、失效的session管理等，對于這類安全缺陷的發(fā)現(xiàn)必須通過人工測試判斷才能實(shí)現(xiàn)。第二類為應(yīng)用編碼不嚴(yán)謹(jǐn)導(dǎo)致的安全缺陷，如緩沖區(qū)溢出、非法輸入等，這類缺陷既可以通過人工檢查的方法實(shí)現(xiàn)，也可以通過自動化的測試工具，如黑盒掃描和白盒掃描的方法來實(shí)現(xiàn)。高校應(yīng)綜合采用自動化檢查與人工檢查相結(jié)合的策略，綜合采用審查網(wǎng)站的整體設(shè)計架構(gòu)、代碼分析、黑盒掃描、滲透測試等多種方法對網(wǎng)站進(jìn)行上線前的安全檢測。

網(wǎng)站安全漏洞跟蹤處理

自上世紀(jì)90年代起自被關(guān)注以來，信息安全漏洞數(shù)量、種類一直在不斷發(fā)展，安全漏洞報告平臺的類型也在不斷豐富，特別是進(jìn)入“互聯(lián)網(wǎng)+”后，除了傳統(tǒng)的如CNVD這樣的以通報成熟軟硬件系統(tǒng)漏洞為主的平臺外，還出現(xiàn)了像補(bǔ)天這樣的以通報企事業(yè)單位信息系統(tǒng)安全漏洞為主的、所謂銜接“白帽子”與企業(yè)的安全漏洞平臺。高校應(yīng)有專門的安全管理員負(fù)責(zé)漏洞的跟蹤工作，跟蹤的安全漏洞平臺既應(yīng)包括國家信息安全漏洞平臺這樣的官方平臺，也應(yīng)包括像360補(bǔ)天、教育行業(yè)安全漏洞信息平臺這樣的民間平臺。管理員通過定期查看或者獲得推送的方式獲取漏洞的最新信息，從中篩選出與學(xué)校信息系統(tǒng)相關(guān)的漏洞信息，并對漏洞信息進(jìn)行驗證，排除誤報。來自教育部、公安部門的安全通告、風(fēng)險提示單等也應(yīng)納入此體系，漏洞信息應(yīng)經(jīng)過驗證后進(jìn)行后續(xù)流程。安全管理員對漏洞的危險等級進(jìn)行評估，確定漏洞的危險等級，對不同等級的漏洞采取不同的處置措施。

網(wǎng)站定期安全檢測

在系統(tǒng)運(yùn)行階段，安全管理員應(yīng)進(jìn)行網(wǎng)站安全掃描，及時發(fā)現(xiàn)網(wǎng)站的安全漏洞，并及時將漏洞信息通告給網(wǎng)站的安全責(zé)任單位，由安全責(zé)任單位負(fù)責(zé)組織安全漏洞的修復(fù)工作。需要說明的是，從檢測技術(shù)上來說，網(wǎng)站定期安全檢測和網(wǎng)站上線安全檢測使用的技術(shù)是類似的，只是在網(wǎng)站安全生命周期中的位置有差異。

網(wǎng)站安全事件監(jiān)控

沒有絕對的安全，也沒有辦法杜絕安全事件的發(fā)生，根據(jù)縱深防御的原則，高校還應(yīng)建立網(wǎng)站安全事件監(jiān)控機(jī)制，作為網(wǎng)站安全生命周期中的最后一道防線，定期對網(wǎng)站進(jìn)行掛馬、暗鏈、篡改等安全事件的監(jiān)控，并及時處理安全事件。

網(wǎng)站安全是高校信息安全面臨的新問題，也是急待解決的問題，也是需要在網(wǎng)站的全生命周期都需要考慮的問題。本文提出了高校網(wǎng)站全生命周期安全模型，此模型已經(jīng)在清華大學(xué)運(yùn)行了一段時間，取得了良好的運(yùn)行效果。希望能夠拋磚引玉，促使高校的信息化工作者共同努力，確保高校的信息安全。