随着高校信息化建设的逐步深入,各高校教务工作对信息系统依赖的程度越来越高。作为高校窗口的高校网站,所面向的用户群也越来越广泛,所承载的功能也越来越全面,不单是面向校内,同时面向社会也提供了诸多服务功能。高校网站已从一个简单的信息发布、展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源,成为高校成熟的业务展示和应用平台。
但不得不承认,在大力进行高校网站业务建设的同时,各高校在系统安全保障的建设上出现了严重缺失,网站挂马、网页篡改、DDoS攻击等攻击事件呈逐年上升的趋势,以即将开始的高招为例,2010年高考前夕,5月14日一天之内,全国128所高校被集体挂马,其中不乏重点大学,这一数字已经超过2009年全年挂马数,近几年修改考试成绩、骗取认证证书等事件屡有发生,高校网站已经逐渐成为黑客关注的重点目标,高校网站的安全保障工作已经迫在眉睫。
用卡尔·萨根“魔鬼出没的世界”,这句话来形容高校网站目前所处的恶劣安全环境是再合适不过了。针对高校网站所承载的各类应用的特点,目前比较典型的攻击总结如下:
跨站脚本漏洞的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介。
跨站脚本的危害:攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。
信息泄漏是攻击者通过应用系统部署时没有将注释去掉、应用系统部署时没有正确地配置服务器程序等方式获得应用系统某些敏感信息的攻击技巧,通常是利用程序员遗留在代码中的注释或者服务器程序的错误信息。
信息泄露的危害:远程攻击者可以利用漏洞获得敏感信息,有利于攻击者进一步的攻击。
SQ 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQ注入是应用系统中最常见,同时也是危害最大的一类弱点。导致SQ注入的基本原因是由于应用程序对用户的输入没有进行安全性检查,从而使得用户可以自行输入SQ查询语句,对数据库中的信息进行浏览、查询、更新。基于SQ注入的攻击方法多种多样,而且有很多变形,这也是传统工具难以发现和定位的。
SQ注入的危害:利用SQ注入漏洞可以构成对Web服务器的直接攻击,还可能用于网页挂马,导致机密数据泄漏如电子商务网站的客户信息;服务器被控制;后台数据库执行非授权的查询、修改、删除;泄露认证相关的敏感信息,导致攻击者控制Web应用;网站数据的恶意破坏。
越权攻击是由于应用系统对权限没有严格识别,导致用户文件权限过滤不严格,而导致的攻击。
DDoS(Distributed Denia of Service)攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。
围绕高校网站所承载的业务特点以及面临的典型威胁,绿盟科技凭借自身强大的产品和技术优势,在对最新安全形势深入研究的基础上,推出了高校网站安全保障解决方案。
以高校网站所面临的风险为核心,从风险预警、风险防护、风险处理、应急保障、风险管理、积极主动等方面实现高校网站安全风险全流程控制。
绿盟科技高校网站安全保障方案的另一个特点是全面:着眼点是高校网站全生命周期的安全保障,涵盖了网站运行的各个阶段,而不仅仅单纯从检测、防护等角度考虑。
以往的方案是从被动防护的角度来设计的,而绿盟科技凭借其技术实力,在有效检测和防护的同时,也从主动的角度,增强了对网站安全事件追踪溯源的能力。
目前对网站新漏洞、网页被挂马等状况,绝大多数网站建设和运维者并不能及时察觉。可在前阶段分析的基础上,围绕具体业务类采用针对性比较强的Web安全自动化检测工具,定期或不定期的对网站安全状态进行检测和评估,不但可以提高对安全隐患及现有安全问题准确、深层次的预警发现,而且自动检查工具的使用也可以降低维护管理和人力成本。
高校网站安全问题的检测与发现设计可分为从预警检测和事后检测两方面。预警检测目的是利用现有的安全技术,提供一种准确、实用、可行的预警手段,注重防患于未然,事后检测是对发生问题的网页进行问题定位、影响评估。
通过对Web服务器的多种项目(包括潜在的危险文件/CGI,以及多个服务器版本上的特定问题等)进行全面的测试,还可以对Web服务器、应用服务器、数据库服务器的配置检查,确保服务器的配置正确,对后台数据库进行安全基线审计,对一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversa) 、身份验证页上的弱口令长度等进行技术层面的验证,有效地防止网页篡改、网页挂马等安全事件的发生。
对于有特殊需求的用户,还设计了灵活的编辑接口,对Web扫描的策略进行增加或者编辑,满足特定的要求。
除了采用信息系统传统的防护技术对网站的基础设施进行必要的防护外,针对Web应用攻击还应采用专门的机制,对来自Web应用程序客户端的各类请求进行内容检测和验证,提供细粒度应用层DDoS攻击防护功能,确保其安全性与合法性,对非法的请求予以实时阻断,有效防止HTTP及HTTPS应用下各类安全威胁,如SQ注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障高校网站各类Web应用的高可用性和可靠性。
对各类网站站点进行有效防护,降低攻击的影响,确保业务系统的连续性和可用性,降低网站安全风险,维护网站公信度。对其进行有效检测、防护。
按照网页篡改事件发生的时序,提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQ注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
网页挂马是一种相对比较隐蔽的网页篡改方式,本质上这种方式也破坏了网页的完整性。网页挂马攻击目标为各类网站的最终用户,网站作为传播网页木马的“傀儡帮凶”,严重影响网站的公信度。
当用户请求访问某一个页面时,会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。
自定义非法敏感关键字,EB站点可能包含一些不在正常网站数据目录树内的UR链接,提供细粒度的UR AC,防止对这些链接的非授权访问。对其进行自动过滤,防止非法内容发布为公众浏览,识别并更正Web应用错误的业务流程,识别并防护敏感数据泄漏,满足合规与审计要求。
防护各类带宽及资源耗尽型拒绝服务攻击,如对SYN Food这种常见攻击行为能够有效识别,并实时对攻击流量进行阻断,确保了Web业务的可用性及连续性。
超越传统IPS设备基于静态规则的防护机制,NSFOCUS WAF有效结合了静态规则与基于用户行为识别的动态防御机制,应对OWASP Top10中的Web应用安全问题[1],对恶意应用流量进行双向清洗,保护网站免于攻击。
如果高校网站出现安全问题,必须在最短时间内在不影响正常业务应用的前提下进行网站问题的恢复和解决,国内外发生的一些重大案例都表明对网站进行监控并在必要时提供恢复措施是非常必要的。
网站实时监控与自动恢复技术解决了务器网页文件被破坏后的自动恢复问题,它的保护对象是网站的文件或目录(也可以扩展到其他的文件和目录),从而保证它们的内容、属主、时间等属性不被非法修改;被保护对象不被非法删除;没有文件或目录被非法添加到被保护目录中。这项技术采用的方法是实时对网页文件的内容进行一致性检查,一旦发现有上述的非法情况发生,就使用备份进行自动恢复并及时报警和记录日志。
除了通过各类技术设备实现高校网站的检测、防护、恢复等方面的安全保障外,绿盟科技还推出了基于绿盟科技云安全平台的托管式服务模式 “绿盟网站安全监测服务”,该平台主要解决网站运维阶段的安全预警和监控,为客户站点提供7*24小时不间断网站安全实时监控,帮助客户随时掌控Web应用的安全状况,在网站出现风险情况后在第一时间通过邮件、短信方式通知用户。
用户无需购买、安装或维护任何软、硬件,可以在几个小时内将监测服务投入运行。网站安全监测服务几乎不会对现有网络结构和IT资源产生任何影响,对于不希望在自身网络环境中部署安全设备、预算有限、安全重点集中在某一段时间,如高招这样的用户群体采用该类服务可最大限度地保障网站运维阶段的安全问题监控。
在安全形势日益严重的今天,以往对针对高校网站的攻击行为仅采用防护和阻击的方法已经远远不够了,在现有的保障体系上一定要保证有足够的对攻击源、攻击路径、攻击行为的回溯能力,保证对恶意攻击行为的威慑和取证,为必要时通过法律维护高校权益打下良好基础。绿盟科技网站保障方案提供了对攻击行为的深入分析,对攻击现场进行还原,并对典型攻击行为具备路径回溯能力,实现对严重危害高校网站的安全事件的场景还原、攻击溯源、信息取证。
实践表明:通过对高校网站进行预警检测、安全防护、安全恢复、运维监控、追踪溯源等环节的安全建设,并在运维阶段加强信息安全管理,可有效保障高校网站的信息安全,满足国家、行业主管机构的监管要求;保证重大事件(高考、招生)期间的网站安全;维护高校的形象和声誉;提高高校网站的安全运维效率。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。