上海立信會計金融學(xué)院信息化辦公室 高秋燕

隨著信息化技術(shù)的不斷升級創(chuàng)新，高校信息化水平也得以不斷發(fā)展，但與此同時網(wǎng)絡(luò)安全威脅也層出不窮，加強高校各信息系統(tǒng)及網(wǎng)絡(luò)的安全防御，是目前急需解決的問題。本文主要分析研究當(dāng)前高校如何檢測各系統(tǒng)的安全與漏洞風(fēng)險并進行安全防護工作，為高校信息化建設(shè)提供參考。

隨著政府事業(yè)單位信息化的快速發(fā)展，各單位對信息系統(tǒng)的依賴程度日益增高，信息安全的問題也越來越突出。同時，由于利益的驅(qū)使，針對政府部門的安全威脅越來越多，尤其是涉及民生與教育相關(guān)的單位，受到攻擊的次數(shù)日漸頻繁，相關(guān)單位必須加強自身的信息安全保障工作，建立完善的安全機制來抵御外來和內(nèi)在的信息安全威脅。

1 做好高校網(wǎng)絡(luò)安全檢測

圖1 Nmap掃描結(jié)果示例圖

圖2 BurpSuit掃描結(jié)果示例圖

目前，高校面臨的網(wǎng)絡(luò)安全形勢嚴峻，使用有效漏洞掃描工具對高校各信息化系統(tǒng)進行端口與漏洞檢測，消除系統(tǒng)潛在威脅，是網(wǎng)絡(luò)安全防范工作的第一步。當(dāng)前可以使用的免費漏洞的掃描工具有多種，包括Burp Suit、Security APPscan、Nmap、Nessus、nikto、AWVS等，這里將選出比較好用的幾款進行說明。

1.1 使用Nmap進行系統(tǒng)端口檢測

Nmap（Network Mapper）是一款開源網(wǎng)絡(luò)安全掃描工具，支持Linux、Windows等多個系統(tǒng)，是黑客常用的端口掃描工具之一，我們也可以用來檢測系統(tǒng)開放的端口，做到預(yù)判與預(yù)防范。

Nmap的安裝較為簡單，這里用nmap對門戶網(wǎng)站進行全面檢測，如圖1所示，網(wǎng)站開放了111/443/80/22/6666/1102/873這7個端口，對于不常用端口，可以進行關(guān)閉，來防范黑客通過這些端口進行攻擊。

1.2 使用Burp Suit檢測web應(yīng)用程序安全漏洞

Burp Suit是web應(yīng)用程序檢測的最佳工具之一，功能強大，并可以檢測到當(dāng)前大部分漏洞。普通版可以直接在BurpSuit官網(wǎng)進行下載，這里主要介紹它的抓取與掃描功能。

Burp Suit的“Spider”蜘蛛功能主要用來抓取web應(yīng)用程序的鏈接和內(nèi)容，是進行掃描的前提。Burp Suit在爬行掃描出網(wǎng)站上所有鏈接后，再點擊“Scanner”自動掃描其漏洞。掃描結(jié)果較為全面，但自動掃描也可能會出現(xiàn)誤報，不能100%準(zhǔn)確。

圖2所示為對特定網(wǎng)站的漏洞掃描結(jié)果示例，可以發(fā)下其存在網(wǎng)站密碼明文未加密的高危漏洞。

1.3 使用IBM Security APPscan Standard檢測Web應(yīng)用程序和Web服務(wù)安全漏洞

APPscan也是應(yīng)用較為廣泛的一款掃描工具，它和BurpSuit一樣主要應(yīng)用于單個web應(yīng)用程序的檢測，且操作簡單。相對于BurpSuit，它的中文版更易于學(xué)習(xí)了解，但由于各個掃描器均不能保障掃描結(jié)果的100%準(zhǔn)確率，所以建議多用幾個不同掃描器進行掃描對比。

圖3所示是使用APPscan對特定網(wǎng)站的漏洞掃描結(jié)果示例，可以看出，通過掃描可以發(fā)現(xiàn)如SQL注入等多個高危漏洞，并可以查看這些高危漏洞的詳細解說與程序代碼，使漏洞修復(fù)更為簡單方便。

圖3 APPscan掃描結(jié)果示例圖

圖4 AWVS掃描結(jié)果示例圖

圖5 高校網(wǎng)絡(luò)安全防范體系示例圖

1.4 使用AWVS進行web漏洞掃描

AWVS與APPscan功能較為接近，且只適用于windows系統(tǒng)，操作簡單，但相比APPscan和Burp Suit，它對于CSRF跨站請求偽造等攻擊的敏感性較高，而APPScan與Burp Suit對于SQL漏洞攻擊、XSS攻擊等漏洞敏感性跟高。AWVS掃描結(jié)果如圖4所示。

以上四種掃描器使用較為簡單且功能齊全，通過對網(wǎng)絡(luò)、主機、數(shù)據(jù)庫等漏洞掃描，可以最早發(fā)現(xiàn)系統(tǒng)的薄弱之處并予以修復(fù)，從根本處不給攻擊者可乘之機。

2 做好高校網(wǎng)絡(luò)安全防護

合理使用網(wǎng)絡(luò)安全設(shè)備是高校網(wǎng)絡(luò)安全防護的基礎(chǔ)。根據(jù)國家GB/T 22239-2008《信息技術(shù)信息系統(tǒng)安全等級保護基本要求》，高校應(yīng)增強系統(tǒng)的安全防護能力，有效抵御內(nèi)部和外部威脅，為學(xué)校及內(nèi)部各部門提供安全、穩(wěn)定的業(yè)務(wù)服務(wù)。

圖5所示為高校網(wǎng)絡(luò)安全防范中可以建設(shè)的體系示例，除在外網(wǎng)出口位置部署出口防火墻抵制外部web威脅外，還應(yīng)注重內(nèi)網(wǎng)主機、數(shù)據(jù)庫的風(fēng)險防范。針對安全運維管理、應(yīng)用層安全防護、數(shù)據(jù)安全防護等方面，通過部署相關(guān)安全防護設(shè)備，結(jié)合安全管理制度，提高網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全以及數(shù)據(jù)安全。

結(jié)語：面對日益嚴峻的安全形勢，高校需要一套有效的網(wǎng)絡(luò)安全防護模式來抵抗風(fēng)險，保障信息化的正常運行。本文從漏洞檢測與安全防護體系兩個方面，為高校網(wǎng)絡(luò)安全提供了一些參考。