随着高校信息化建设的逐步深入,各高校教务工作对信息系统依赖的程度越来越高。作为高校窗口的高校网站,所面向的用户群也越来越广泛,所承载的功能也越来越全面,不单是面向校内,同时面向社会也提供了诸多服务功能。高校网站已从一个简单的信息发布、展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源,成为高校成熟的业务展示和应用平台。
但不得不承认,在大力进行高校网站业务建设的同时,各高校在系统安全保障的建设上出现了严重缺失,网站挂马、网页篡改、DDoS攻击等攻击事件呈逐年上升的趋势,以即将开始的高招为例,2010年高考前夕,5月14日一天之内,全国128所高校被集体挂马,其中不乏重点大学,这一数字已经超过2009年全年挂马数,近几年修改考试成绩、骗取认证证书等事件屡有发生,高校网站已经逐渐成为黑客关注的重点目标,高校网站的安全保障工作已经迫在眉睫。
高校网站面临的典型安全威胁
用卡尔•萨根“魔鬼出没的世界”,这句话来形容高校网站目前所处的恶劣安全环境是再合适不过了。针对高校网站所承载的各类应用的特点,目前比较典型的攻击总结如下:
·跨站脚本
跨站脚本漏洞的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介。
跨站脚本的危害:攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。
·信息泄漏
信息泄漏是攻击者通过应用系统部署时没有将注释去掉、应用系统部署时没有正确地配置服务器程序等方式获得应用系统某些敏感信息的攻击技巧,通常是利用程序员遗留在代码中的注释或者服务器程序的错误信息。
信息泄露的危害:远程攻击者可以利用漏洞获得敏感信息,有利于攻击者进一步的攻击。
·SQL 注入
SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见,同时也是危害最大的一类弱点。导致SQL注入的基本原因是由于应用程序对用户的输入没有进行安全性检查,从而使得用户可以自行输入SQL查询语句,对数据库中的信息进行浏览、查询、更新。基于SQL注入的攻击方法多种多样,而且有很多变形,这也是传统工具难以发现和定位的。
SQL注入的危害:利用SQL注入漏洞可以构成对Web服务器的直接攻击,还可能用于网页挂马,导致机密数据泄漏如电子商务网站的客户信息;服务器被控制;后台数据库执行非授权的查询、修改、删除;泄露认证相关的敏感信息,导致攻击者控制Web应用;网站数据的恶意破坏。
·越权攻击
越权攻击是由于应用系统对权限没有严格识别,导致用户文件权限过滤不严格,而导致的攻击。
·DDoS攻击
DDoS(Distributed Denial of Service)攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。
高校网站整体安全保障
围绕高校网站所承载的业务特点以及面临的典型威胁,绿盟科技凭借自身强大的产品和技术优势,在对最新安全形势深入研究的基础上,推出了高校网站安全保障解决方案。
该方案的特点是:
·以高校网站面临的威胁风险作为设计的核心
以高校网站所面临的风险为核心,从风险预警、风险防护、风险处理、应急保障、风险管理、积极主动等方面实现高校网站安全风险全流程控制。
·全面
绿盟科技高校网站安全保障方案的另一个特点是全面:着眼点是高校网站全生命周期的安全保障,涵盖了网站运行的各个阶段,而不仅仅单纯从检测、防护等角度考虑。
·被动防御与主动溯源相结合
以往的方案是从被动防护的角度来设计的,而绿盟科技凭借其技术实力,在有效检测和防护的同时,也从主动的角度,增强了对网站安全事件追踪溯源的能力。
方案主要由以下几个方面组成:
1、检测与发现----风险预警
目前对网站新漏洞、网页被挂马等状况,绝大多数网站建设和运维者并不能及时察觉。可在前阶段分析的基础上,围绕具体业务类采用针对性比较强的Web安全自动化检测工具,定期或不定期的对网站安全状态进行检测和评估,不但可以提高对安全隐患及现有安全问题准确、深层次的预警发现,而且自动检查工具的使用也可以降低维护管理和人力成本。
高校网站安全问题的检测与发现设计可分为从预警检测和事后检测两方面。预警检测目的是利用现有的安全技术,提供一种准确、实用、可行的预警手段,注重防患于未然,事后检测是对发生问题的网页进行问题定位、影响评估。
通过对Web服务器的多种项目(包括潜在的危险文件/CGI,以及多个服务器版本上的特定问题等)进行全面的测试,还可以对Web服务器、应用服务器、数据库服务器的配置检查,确保服务器的配置正确,对后台数据库进行安全基线审计,对一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal) 、身份验证页上的弱口令长度等进行技术层面的验证,有效地防止网页篡改、网页挂马等安全事件的发生。
对于有特殊需求的用户,还设计了灵活的编辑接口,对Web扫描的策略进行增加或者编辑,满足特定的要求。
2、防护与阻击----风险防护
除了采用信息系统传统的防护技术对网站的基础设施进行必要的防护外,针对Web应用攻击还应采用专门的机制,对来自Web应用程序客户端的各类请求进行内容检测和验证,提供细粒度应用层DDoS攻击防护功能,确保其安全性与合法性,对非法的请求予以实时阻断,有效防止HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障高校网站各类Web应用的高可用性和可靠性。
对各类网站站点进行有效防护,降低攻击的影响,确保业务系统的连续性和可用性,降低网站安全风险,维护网站公信度。对其进行有效检测、防护。
其主要的功能如下:
·网页篡改在线防护
按照网页篡改事件发生的时序,提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
·网页挂马在线防护
网页挂马是一种相对比较隐蔽的网页篡改方式,本质上这种方式也破坏了网页的完整性。网页挂马攻击目标为各类网站的最终用户,网站作为传播网页木马的“傀儡帮凶”,严重影响网站的公信度。
当用户请求访问某一个页面时,会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。
·敏感信息泄漏防护
自定义非法敏感关键字,EB站点可能包含一些不在正常网站数据目录树内的URL链接,提供细粒度的URL ACL,防止对这些链接的非授权访问。对其进行自动过滤,防止非法内容发布为公众浏览,识别并更正Web应用错误的业务流程,识别并防护敏感数据泄漏,满足合规与审计要求。
智能应用层DDoS攻击防护
防护各类带宽及资源耗尽型拒绝服务攻击,如对SYN Flood这种常见攻击行为能够有效识别,并实时对攻击流量进行阻断,确保了Web业务的可用性及连续性。
·OWASP Top 10
超越传统IPS设备基于静态规则的防护机制,NSFOCUS WAF有效结合了静态规则与基于用户行为识别的动态防御机制,应对OWASP Top10中的Web应用安全问题 ,对恶意应用流量进行双向清洗,保护网站免于攻击。
3、安全恢复---- 风险处理
如果高校网站出现安全问题,必须在最短时间内在不影响正常业务应用的前提下进行网站问题的恢复和解决,国内外发生的一些重大案例都表明对网站进行监控并在必要时提供恢复措施是非常必要的。
网站实时监控与自动恢复技术解决了WWW服务器网页文件被破坏后的自动恢复问题,它的保护对象是网站的文件或目录(也可以扩展到其他的文件和目录),从而保证它们的内容、属主、时间等属性不被非法修改;被保护对象不被非法删除;没有文件或目录被非法添加到被保护目录中。这项技术采用的方法是实时对网页文件的内容进行一致性检查,一旦发现有上述的非法情况发生,就使用备份进行自动恢复并及时报警和记录日志。
4、运维监控---- 风险管理
除了通过各类技术设备实现高校网站的检测、防护、恢复等方面的安全保障外,绿盟科技还推出了基于绿盟科技云安全平台的托管式服务模式 “绿盟网站安全监测服务”,该平台主要解决网站运维阶段的安全预警和监控,为客户站点提供7*24小时不间断网站安全实时监控,帮助客户随时掌控Web应用的安全状况,在网站出现风险情况后在第一时间通过邮件、短信方式通知用户。
用户无需购买、安装或维护任何软、硬件,可以在几个小时内将监测服务投入运行。网站安全监测服务几乎不会对现有网络结构和IT资源产生任何影响,对于不希望在自身网络环境中部署安全设备、预算有限、安全重点集中在某一段时间,如高招这样的用户群体采用该类服务可最大限度地保障网站运维阶段的安全问题监控。
主要包括以下几方面的内容:
·远程网站漏洞扫描;
·远程网页木马监测;
·网页敏感内容监测;
·网站平稳度检测;
·网页篡改监测。
5、溯源取证---- 积极主动
在安全形势日益严重的今天,以往对针对高校网站的攻击行为仅采用防护和阻击的方法已经远远不够了,在现有的保障体系上一定要保证有足够的对攻击源、攻击路径、攻击行为的回溯能力,保证对恶意攻击行为的威慑和取证,为必要时通过法律维护高校权益打下良好基础。绿盟科技网站保障方案提供了对攻击行为的深入分析,对攻击现场进行还原,并对典型攻击行为具备路径回溯能力,实现对严重危害高校网站的安全事件的场景还原、攻击溯源、信息取证。
实践表明:通过对高校网站进行预警检测、安全防护、安全恢复、运维监控、追踪溯源等环节的安全建设,并在运维阶段加强信息安全管理,可有效保障高校网站的信息安全,满足国家、行业主管机构的监管要求;保证重大事件(高考、招生)期间的网站安全;维护高校的形象和声誉;提高高校网站的安全运维效率。