朱朝陽 王厚奎

［摘要］校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要的作用。同時(shí)，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，高校門戶網(wǎng)站安全問題日益突出。目前高校門戶網(wǎng)站安全存在許多問題，要解決這些問題，必須建立主動(dòng)的安全檢測(cè)機(jī)制，進(jìn)行有效的入侵防護(hù)，建立及時(shí)響應(yīng)機(jī)制。

［關(guān)鍵詞］高校門戶網(wǎng)站 WEB安全網(wǎng)頁篡改網(wǎng)站掛馬

［中圖分類號(hào)］G473.8［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］2095-3437（2012）01-0027-02

一、背景情況

校園網(wǎng)在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要的作用。同時(shí)，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，高校門戶網(wǎng)站所面臨的安全形勢(shì)越來越嚴(yán)峻，越來越多的高校重要門戶網(wǎng)站或WEB辦公系統(tǒng)被滲透。據(jù)統(tǒng)計(jì)，現(xiàn)在對(duì)網(wǎng)站成功的攻擊中，超過7成都是基于Web應(yīng)用層，而非網(wǎng)絡(luò)層。前不久OWASP （Open Web Application Security Project）機(jī)構(gòu)發(fā)布了“2011年十大Web安全漏洞”，XSS和SQL注入漏洞排名前兩位，是目前存在最為普遍，利用最為廣泛，造成危害最為嚴(yán)重的兩類Web漏洞。然而，識(shí)別并阻止基于Web漏洞的攻擊，僅靠漏洞掃描、網(wǎng)絡(luò)訪問控制、病毒檢測(cè)防護(hù)等傳統(tǒng)安全措施是難以做到的。針對(duì)新的網(wǎng)站安全威脅，我們應(yīng)該保持足夠的緊迫性，并采取有效措施積極應(yīng)對(duì)。

二、高校門戶網(wǎng)站W(wǎng)EB安全現(xiàn)狀分析

隨著Web應(yīng)用技術(shù)的深入普及，基于Web漏洞的攻擊更容易被利用。高校門戶網(wǎng)站最常見的安全問題包括被搜索引擎定義為惡意高校門戶網(wǎng)站、高校門戶網(wǎng)站掛馬、SQL注入攻擊、跨站點(diǎn)腳本攻擊等。

（一）被搜索引擎定義為惡意高校門戶網(wǎng)站

搜索引擎是用戶廣泛使用的搜索工具。高校門戶網(wǎng)站一旦被搜索引擎定義為惡意網(wǎng)站，必然使高校門戶網(wǎng)站的聲譽(yù)受到影響。主要表現(xiàn)在高校門戶網(wǎng)站排名權(quán)重降低；點(diǎn)擊高校門戶網(wǎng)站時(shí)被警告“訪問該高校門戶網(wǎng)站可能會(huì)損害您的計(jì)算機(jī)”；更有甚者，用戶在打開該高校門戶網(wǎng)站時(shí)，會(huì)引起死機(jī)、信息被盜等風(fēng)險(xiǎn)。

（二）網(wǎng)頁掛馬

掛馬是指黑客入侵了一些高校門戶網(wǎng)站后，將自己編寫的網(wǎng)頁木馬嵌入被黑高校門戶網(wǎng)站的主頁中，利用被黑高校門戶網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達(dá)到不可告人的目的。網(wǎng)頁被掛馬，在一定程度上可以說是網(wǎng)頁被篡改，但是比較隱蔽，危害卻更大，嚴(yán)重影響到高校門戶網(wǎng)站的公眾信譽(yù)度，從而使廣大用戶對(duì)高校門戶網(wǎng)站的信心受挫。

（三）SQL注入攻擊

SQL 注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。由于從事高校門戶網(wǎng)站開發(fā)的程序員水平和經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，僅僅關(guān)注功能的完成，沒有對(duì)用戶輸入數(shù)據(jù)的有效性進(jìn)行校驗(yàn)。惡意攻擊者可以在高校門戶網(wǎng)站上提交一段數(shù)據(jù)庫查詢代碼，獲得某些他想得知的數(shù)據(jù)，甚至整個(gè)數(shù)據(jù)庫表。SQL注入是從正常的WW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻很難對(duì)SQL 注入發(fā)出警報(bào)，如果管理員沒查看日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。如果被注入，會(huì)被竊取數(shù)據(jù)、修改數(shù)據(jù)，對(duì)高校門戶網(wǎng)站來說，會(huì)發(fā)生敏感信息泄露、正常的頁面被篡改等情況。

（四）跨站點(diǎn)腳本攻擊

跨站點(diǎn)腳本漏洞是指惡意攻擊者往Web頁面里插入惡意腳本代碼。當(dāng)用戶瀏覽網(wǎng)頁時(shí)，嵌入頁面中的腳本代碼會(huì)被執(zhí)行，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。對(duì)于存在跨站點(diǎn)腳本漏洞的高校門戶網(wǎng)站，惡意攻擊者往往利用高校門戶網(wǎng)站的公信度，通過及時(shí)通訊工具、電子郵件發(fā)送通知等手段引導(dǎo)用戶訪問鏈接，從而達(dá)到竊取用戶資料的目的。

三、高校門戶網(wǎng)站W(wǎng)EB安全問題總結(jié)及防護(hù)解決思路

通過對(duì)高校門戶網(wǎng)站安全現(xiàn)狀的分析，我們了解到，就客觀環(huán)境而言，高校門戶網(wǎng)站所處的威脅環(huán)境已經(jīng)日益惡化，就主觀方面來講，造成目前攻擊事件不斷發(fā)生的深層次原因到底是什么？針對(duì)這些問題，我們要怎么應(yīng)對(duì)呢？

（一）高校門戶網(wǎng)站安全問題總結(jié)

高校門戶網(wǎng)站安全形勢(shì)堪憂，究其原因，主要是因?yàn)榇嬖谝韵聨讉€(gè)方面的問題：

1.大多數(shù)高校門戶網(wǎng)站設(shè)計(jì)，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全

一個(gè)高校門戶網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)，很少考慮高校門戶網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞。這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見，大多數(shù)高校門戶網(wǎng)站設(shè)計(jì)開發(fā)者、高校門戶網(wǎng)站維護(hù)人員對(duì)高校門戶網(wǎng)站攻防技術(shù)的了解甚少。在正常使用過程中，即便存在安全漏洞，正常的使用者并不會(huì)察覺。但在黑客對(duì)漏洞敏銳的發(fā)覺和充分利用的動(dòng)力下，高校門戶網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機(jī)會(huì)。對(duì)于Web應(yīng)用程序的SQL注入漏洞，有試驗(yàn)表明，通過搜尋1000個(gè)高校門戶網(wǎng)站取樣測(cè)試，檢測(cè)到有11.3%存在SQL注入漏洞。

圖1 是針對(duì)某高校門戶網(wǎng)站漏洞掃描結(jié)果，結(jié)果表明該高校門戶網(wǎng)站存在SQL注入等漏洞。

2.黑客入侵后，未及時(shí)發(fā)現(xiàn)

有些黑客通過篡改網(wǎng)頁來傳播一些非法信息或炫耀自己的水平。但篡改網(wǎng)頁之前，黑客肯定基于對(duì)漏洞的利用，獲得了高校門戶網(wǎng)站的控制權(quán)限?？膳碌氖牵ǔ：诳驮讷@取高校門戶網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是持續(xù)利用所控制高校門戶網(wǎng)站產(chǎn)生直接利益。如網(wǎng)頁掛馬就是一種利用高校門戶網(wǎng)站，給訪問者種植木馬的一種非常隱蔽且直接獲取利益的主要方式之一。被種植木馬的網(wǎng)站通常是在不知情的情況下，被黑客竊取了自身的機(jī)密信息。這樣，高校門戶網(wǎng)站成了黑客散布木馬的一個(gè)渠道：高校門戶網(wǎng)站本身雖然能夠提供正常服務(wù)，但高校門戶網(wǎng)站的訪問者卻遭受著持續(xù)的危害。圖2 是某網(wǎng)頁木馬監(jiān)測(cè)信息。

3.高校門戶網(wǎng)站防御措施滯后，甚至沒有真正的防御

高校門戶網(wǎng)站防御不佳的另一個(gè)原因是，有很多高校門戶網(wǎng)站管理員對(duì)高校門戶網(wǎng)站的價(jià)值認(rèn)識(shí)僅僅是一臺(tái)服務(wù)器或者是高校門戶網(wǎng)站的建設(shè)成本，認(rèn)為為了這個(gè)服務(wù)器而增加超出其成本的安全防護(hù)措施是得不償失的。而實(shí)際高校門戶網(wǎng)站遭受攻擊之后，帶來的間接損失往往不能用一個(gè)服務(wù)器或者是高校門戶網(wǎng)站的建設(shè)成本來衡量，很多信息資產(chǎn)在遭受攻擊之后造成無形價(jià)值的流失。不幸的是，很多擁有高校門戶網(wǎng)站的組織和個(gè)人，只有在高校門戶網(wǎng)站遭受攻擊，造成的損失遠(yuǎn)超過高校門戶網(wǎng)站本身造價(jià)之后才意識(shí)高校門戶網(wǎng)站安全問題的嚴(yán)重性。

4.發(fā)現(xiàn)安全問題不能徹底解決

高校門戶網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出，但由于關(guān)注重點(diǎn)不同，絕大多數(shù)的高校門戶網(wǎng)站開發(fā)與設(shè)計(jì)公司對(duì)高校門戶網(wǎng)站安全代碼設(shè)計(jì)方面了解甚少。發(fā)現(xiàn)高校門戶網(wǎng)站安全存在問題和漏洞，其修補(bǔ)方式只能停留在頁面修復(fù)上，很難針對(duì)高校門戶網(wǎng)站具體的漏洞原理對(duì)源代碼進(jìn)行改造。這也是為什么有些高校門戶網(wǎng)站安裝網(wǎng)頁防篡改、高校門戶網(wǎng)站恢復(fù)軟件后仍然遭受攻擊的原因。

（二）高校門戶網(wǎng)站安全問題解決思路

事實(shí)表明，若要解決新形勢(shì)下高校門戶網(wǎng)站的安全問題，需變被動(dòng)應(yīng)對(duì)為主動(dòng)關(guān)注，實(shí)施積極防御。這就需要以一個(gè)全面的視角看待高校門戶網(wǎng)站的安全問題，并依靠各個(gè)方面的相互配合，對(duì)高校門戶網(wǎng)站安全做到心中有數(shù)，防護(hù)有方。具體的思路如下：

1.建立主動(dòng)的安全檢測(cè)機(jī)制

面對(duì)Web應(yīng)用的威脅，我們?nèi)狈τ行У臋z查機(jī)制，因此，首先要建立一個(gè)主動(dòng)的高校門戶網(wǎng)站安全檢查機(jī)制，確保對(duì)高校門戶網(wǎng)站安全情況的及時(shí)獲知——是否已經(jīng)遭到攻擊，是否還存在被攻擊的風(fēng)險(xiǎn)。

2.進(jìn)行有效的入侵防護(hù)

面對(duì)Web應(yīng)用的攻擊，我們?nèi)狈τ行У臋z測(cè)防護(hù)機(jī)制，因此，需要部署針對(duì)高校門戶網(wǎng)站的入侵防護(hù)產(chǎn)品，加強(qiáng)高校門戶網(wǎng)站防入侵能力，能夠?qū)Ω咝ｉT戶網(wǎng)站主流的應(yīng)用層攻擊（如SQL注入和XSS攻擊）進(jìn)行防護(hù)。

3.針對(duì)高校門戶網(wǎng)站安全問題，建立及時(shí)響應(yīng)機(jī)制

面對(duì)Web應(yīng)用程序漏洞和已經(jīng)造成的危害，我們?nèi)狈謴?fù)的機(jī)制和足夠的技術(shù)儲(chǔ)備。因此，需要確立專業(yè)支持團(tuán)隊(duì)的外援保障，解決及時(shí)響應(yīng)問題，在高校門戶網(wǎng)站安全問題被驗(yàn)證后，能確保對(duì)高校門戶網(wǎng)站進(jìn)行木馬清除以及針對(duì)web漏洞的安全代碼審核修補(bǔ)等工作。

通過以上3個(gè)環(huán)節(jié)的有機(jī)結(jié)合，方可建立一套有檢測(cè)、有防護(hù)、有響應(yīng)的高校門戶網(wǎng)站安全保障方案，確保高校門戶網(wǎng)站在新威脅環(huán)境下安全運(yùn)營(yíng)。

隨著校園網(wǎng)絡(luò)的發(fā)展, 技術(shù)的進(jìn)步, 校園網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也在增大。校園網(wǎng)的WEB應(yīng)用越來越廣泛, 網(wǎng)絡(luò)安全問題也日益嚴(yán)重，安全問題也變成了校園網(wǎng)的熱點(diǎn)和難點(diǎn)問題。學(xué)校應(yīng)當(dāng)給予足夠的重視，在資金、人員配備、設(shè)備更新等方面給予大力支持, 使高校門戶網(wǎng)站運(yùn)行更加安全、可靠、穩(wěn)定。

［參考文獻(xiàn)］

［1］Lee D C.談利群，張文海等.網(wǎng)絡(luò)安全實(shí)踐［M］.北京:人民郵電出版社，2004.

［2］張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù)［M］.北京:人民郵電出版社, 2003.

［3］崔曉雯.校園網(wǎng)的安全技術(shù)［J］.丹東紡專學(xué)報(bào)，2004，11（4）: 33～34.

［4］齊蕾.淺談校園網(wǎng)安全控制策略［J］.大眾科技, 2005,（4）: 45～46.

［5］段海新.校園網(wǎng)安全問題分析與對(duì)策［J］.中國(guó)教育網(wǎng)絡(luò)，2005，（3）: 22～25.

［6］王衛(wèi)亞.計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)與研究［D］.西安:長(zhǎng)安大學(xué)， 2005.

［7］www.owasp.org.cn.