趙江

摘要：目前高校圖書館信息化發(fā)展過程中面臨的嚴(yán)重的Web應(yīng)用安全問題，分析了常見網(wǎng)絡(luò)安全問題的表現(xiàn)形式和產(chǎn)生原因，立足高校圖書館網(wǎng)絡(luò)安全防護(hù)實(shí)踐，總結(jié)傳統(tǒng)的安全防護(hù)策略，最后介紹應(yīng)用WEB應(yīng)用防火墻來提高安全性。

關(guān)鍵詞：圖書館網(wǎng)絡(luò)安全； 網(wǎng)絡(luò)攻擊；Web應(yīng)用防火墻

中圖分類號(hào)：G25 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）33-0051-02

1 引言

隨著最近幾年信息技術(shù)的飛速發(fā)展和計(jì)算機(jī)互聯(lián)網(wǎng)的迅速普及，高校圖書館的信息化建設(shè)也在跨越式向前發(fā)展。各館實(shí)現(xiàn)了書刊采購(gòu)、編目、典藏、流通、檢索等網(wǎng)絡(luò)化服務(wù)和管理。大量的Web應(yīng)用系統(tǒng)上線并投入使用，如數(shù)字（移動(dòng)）圖書館系統(tǒng)、畢業(yè)生論文提交系統(tǒng)、特色資源數(shù)據(jù)庫(kù)平臺(tái)、數(shù)字資源訪問統(tǒng)計(jì)系統(tǒng)等，以及統(tǒng)一的數(shù)字中心的建立。隨之而來的網(wǎng)絡(luò)安全事件也在不斷增加，如服務(wù)器被黑、主頁(yè)被篡改、訪問被拒絕和網(wǎng)頁(yè)被掛馬等。此類頻頻發(fā)生的Web應(yīng)用安全事件給高校圖書館的正常運(yùn)作造成了很大影響，同時(shí)也給系統(tǒng)維護(hù)和安全監(jiān)管提出了新的挑戰(zhàn)。

2 針對(duì)Web應(yīng)用漏洞的攻擊形式

目前在實(shí)際工作中遇到的Web應(yīng)用受到攻擊的形式主要有：SQL注入攻擊、網(wǎng)站越權(quán)訪問和權(quán)限提升、敏感信息獲?。ㄎ募欠ㄏ螺d和上傳）、網(wǎng)頁(yè)（圖片）盜鏈、爬蟲攻擊、CSRF攻擊、XSS攻擊、Cookie漏洞攻擊、篡改網(wǎng)頁(yè)、網(wǎng)頁(yè)掛馬、DDoS攻擊等。

3 Web應(yīng)用攻擊產(chǎn)生的根源

WEB應(yīng)用出現(xiàn)安全問題根本上來源于軟件的漏洞，這些漏洞被黑客或者攻擊者發(fā)現(xiàn)并且利用。漏洞分別產(chǎn)生于四個(gè)層面：（1）WEB應(yīng)用程序在開發(fā)的過程中存在一些質(zhì)量問題，如Bug或者邏輯錯(cuò)誤。在測(cè)試環(huán)境沒有發(fā)現(xiàn)和修改。（2）發(fā)布應(yīng)用程序的平臺(tái)或者中間件存在安全漏洞，如Nginx、Tomcat和IIS等， 程序框架Struts、Mybatis等有些低版本程序存在安全隱患。（3）服務(wù)器上運(yùn)行的操作系統(tǒng)如Windows Server系統(tǒng)、Linux系統(tǒng)的各個(gè)發(fā)行版等經(jīng)常被爆出安全漏洞，官網(wǎng)上也定期發(fā)布針對(duì)特定漏洞的補(bǔ)丁。（4）網(wǎng)絡(luò)協(xié)議本身的設(shè)計(jì)缺陷和漏洞，如TCP/IP三次握手協(xié)議。

4 Web應(yīng)用安全問題的傳統(tǒng)防護(hù)方案

發(fā)布平臺(tái)和中間件的漏洞我們難以控制，只有通過及時(shí)打補(bǔ)丁來避免安全隱患。WEB應(yīng)用在開發(fā)過程中出現(xiàn)的問題相對(duì)容易控制，我們?cè)诓少?gòu)或定制相關(guān)軟件時(shí)考察開發(fā)公司的資質(zhì)和開發(fā)人員的素質(zhì)，尋找資質(zhì)高、實(shí)力強(qiáng)、專業(yè)化的開發(fā)單位；在軟件實(shí)施過程中加強(qiáng)溝通，要求開發(fā)方將系統(tǒng)的安全性單獨(dú)做在需求方案里；在應(yīng)用程序上線前做好充足的測(cè)試工作；在上線運(yùn)行過程中與開發(fā)方保持聯(lián)系，做好升級(jí)、軟件版本更新和打補(bǔ)丁工作，發(fā)現(xiàn)問題及時(shí)溝通和修復(fù)程序，避免出現(xiàn)更大的安全事件；在網(wǎng)絡(luò)入口處增加和啟用防火墻、入侵檢測(cè)設(shè)備，有針對(duì)性地做好安全防護(hù)策略和配置。

5 基于Web應(yīng)用防火墻的防護(hù)

為了增強(qiáng)Web應(yīng)用的安全性，傳統(tǒng)的安全防護(hù)措施是必不可少的，但是其被動(dòng)性和滯后性的特點(diǎn)也十分明顯。硬件方面防火墻、IPS等傳統(tǒng)的安全設(shè)備，是高校校園網(wǎng)和圖書館網(wǎng)絡(luò)安全策略中不可缺少的重要環(huán)節(jié)，由于其設(shè)計(jì)定位為通用防護(hù)，防護(hù)粒度太粗，不能有效地防御各種針對(duì)WEB應(yīng)用的攻擊，。因此安全領(lǐng)域提出一種新的方案，就是采用專業(yè)的WEB安全防護(hù)工具， Web應(yīng)用防火墻。

Web應(yīng)用防火墻（WAF）是為保護(hù)Web應(yīng)用和Web服務(wù)而設(shè)計(jì)，一般采用獨(dú)立的硬件設(shè)備，軟件使用B/S結(jié)構(gòu)設(shè)計(jì)，部署方式一般分為串聯(lián)部署、旁路模式和反向代理模式，分別接入網(wǎng)絡(luò)的方式如下圖所示。串聯(lián)模式下，WAF在內(nèi)核模塊實(shí)現(xiàn)從TCP/IP協(xié)議棧的透明代理，提高了網(wǎng)絡(luò)適應(yīng)能力、確保設(shè)備在網(wǎng)絡(luò)中即插即用而無須修改網(wǎng)絡(luò)及服務(wù)器配置，降低了部署、維護(hù)開銷。反向代理模式，需要改動(dòng)服務(wù)器IP地址以及DNS解析，此模式相對(duì)透明代理模式安全性更高。旁路方式提供一種邏輯在線防護(hù)機(jī)制。該種部署靈活性較好，可以實(shí)現(xiàn)業(yè)務(wù)分流，對(duì)核心系統(tǒng)影響較小，因此在實(shí)際工作中采用較多。旁路方式部署的技術(shù)原理和實(shí)現(xiàn)過程如下：

6 Web應(yīng)用防火墻在高校圖書館中的應(yīng)用實(shí)踐

為了應(yīng)對(duì)Web應(yīng)用面臨的上述各種網(wǎng)絡(luò)攻擊和威脅，我館引入綠盟開發(fā)的Web應(yīng)用防火墻（NSFOCUS WAF），設(shè)置了監(jiān)控界面、郵件、短信等方式實(shí)時(shí)對(duì)Web安全事件進(jìn)行告警。主要從下面幾個(gè)方面增強(qiáng)館里的網(wǎng)絡(luò)防護(hù)措施，提升安全等級(jí)。

（1） 網(wǎng)站訪問控制。高校圖書館有些資源需要考慮保護(hù)版權(quán)等原因，Web應(yīng)用和相關(guān)網(wǎng)頁(yè)有的頁(yè)面只允許授權(quán)的IP范圍訪問，有的內(nèi)容是開放權(quán)限的，所有IP都可訪問，WAF提供了基于HTTP協(xié)議的訪問控制功能。（2） 防止網(wǎng)頁(yè)被篡改。WAF按照網(wǎng)頁(yè)篡改事件發(fā)生的先后順序，提供事中防護(hù)以及事后補(bǔ)償?shù)脑诰€防護(hù)解決方案。事中就是實(shí)時(shí)過濾HTTP請(qǐng)求中混雜的網(wǎng)頁(yè)篡改攻擊流量，如SQL注入、XSS等。事后就是自動(dòng)監(jiān)控網(wǎng)站所有需保護(hù)頁(yè)面的完整性，檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行短信告警，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶可正常訪問網(wǎng)站。（3） 防止網(wǎng)頁(yè)掛馬。網(wǎng)頁(yè)掛馬為一種相對(duì)比較隱蔽的網(wǎng)頁(yè)篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁(yè)的完整性。當(dāng)用戶請(qǐng)求訪問某一個(gè)頁(yè)面時(shí)，WAF會(huì)對(duì)服務(wù)器側(cè)響應(yīng)的網(wǎng)頁(yè)內(nèi)容進(jìn)行在線檢測(cè)，判斷是否被植入惡意代碼，并對(duì)惡意代碼進(jìn)行自動(dòng)過濾。（4） 阻止敏感信息泄漏。Web站點(diǎn)可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的URL鏈接，比如一些網(wǎng)站擁有者不想被公開訪問的目錄、網(wǎng)站的WEB管理界面入口及以前曾經(jīng)公開過但后來被隱藏的鏈接。WAF提供細(xì)粒度的HTTP訪問控制，防止對(duì)這些鏈接的非授權(quán)訪問。（5）防止攻擊者控制服務(wù)器。Web承載的交互式應(yīng)用是數(shù)據(jù)庫(kù)的門戶，攻擊者經(jīng)常通過SQL注入等方法入侵?jǐn)?shù)據(jù)庫(kù)，造成數(shù)據(jù)泄露。WAF能檢查HTTP請(qǐng)求的各個(gè)字段，用精煉的規(guī)則對(duì)攻擊實(shí)施過濾，加上HTTP協(xié)議合規(guī)檢查、狀態(tài)碼過濾等機(jī)制，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。另外攻擊者使用自動(dòng)化攻擊工具能構(gòu)造大規(guī)模的惡意訪問，給Web應(yīng)用穩(wěn)定性造成很大危害。WAF支持多種Web訪問控制，可以滿足不同用戶的需求，包括URL訪問控制、自動(dòng)化攻擊工具識(shí)別、控制非法文件上傳和下載、阻止盜鏈和爬蟲等。（6）保護(hù)Web客戶端。用戶訪問站點(diǎn)時(shí)，如果遭受CSRF攻擊，就會(huì)對(duì)該站點(diǎn)失去信任，造成不良的用戶體驗(yàn)，所以保護(hù)Web客戶端也是Web服務(wù)提供者的責(zé)任。WAF提供CSRF防護(hù)、XSS防護(hù)、Cookie簽名和加密等安全策略，保護(hù)Web客戶端。

參考文獻(xiàn)：

[1] 馮貴蘭，李正楠.Web應(yīng)用防火墻在高校網(wǎng)站系統(tǒng)的應(yīng)用研究[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2017（5）.

[2] 趙磊，孫海星.WAF在企業(yè)網(wǎng)站系統(tǒng)中的應(yīng)用研究[J].工業(yè)技術(shù)創(chuàng)新，2015（3）.

[3] 鄧靜，龔劍.基于高校私有云的WAF研究[J].宿州學(xué)院學(xué)報(bào)，2014（1）.

[4] 綠盟WEB應(yīng)用防火墻產(chǎn)品白皮書.http：//www.nsfocus.com.cn/upload/contents/2015/04/2015_04021427560.pdf.

【通聯(lián)編輯：王力】