高校网站安全及防护策略浅析
开篇:润墨网以专业的文秘视角,为您筛选了一篇高校网站安全及防护策略浅析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:文章针对高校网站被挂马、被篡改的问题,分析了这些问题产生的原因,提出了从应用程序上进行技术预防、从硬件上进行安全加固以及对网站服务器行进IIS加固和对Windows操作系统进行加固的安全防护策略。
关键词:网站安全 安全预防 安全加固 IIS加固
高校网站作为对外服务的窗口,是高校最主要的宣传互动平台之一,同时也是了解高校权威信息的主渠道。高校网站一般由学校门户网站及二级部门网站构成。由于网站建设的时间、技术、资金投入以及开发网站时使用的操作系统、开发语言以及规范性都参差不齐,致使高校网站类型迥异,管理维护难度大。随着高校招生网络宣传开放性的增强,高校网站已逐渐成为黑客关注的重点目标。根据网站安全监测报告显示,在高校招生期间,高校网站被挂马、被篡改现象严重,达到全年峰值。高校网站挂马已成为黑客地下产业链的重要一环,高校网站的安全保障工作已迫在眉睫。高校网站的安全保障需要从网络接口层、编程系统以及操作系统底层等各层次进行主动防御,及时有效地发现网站运行过程中可能存在的安全隐患,并能够对安全故障进行快速有效的恢复。本文分析了高校网站安全问题的存在原因,并针对各种原因提出了可行的解决方案。
一、网站安全问题成因分析
1.网站代码缺乏安全设计。大部分高校网站的设计只考虑功能的实现和界面美观,以达到正常为用户提供WEB访问的目标,几乎很少对网站的代码安全进行重点考虑。也正因为对网站的安全性考虑甚少,许多高校网站的开发者大都采用已经普遍存在的网站模板,以期快速地实现系统功能。至于这些模板否存在安全漏洞,开发人员往往不去深究。这些模板存在着大量的代码漏洞,极易被黑客利用,而对网站实施攻击,造成网站数据库被注入和被挂马现象。越是老的网站模板,存在的漏洞可能越多,网站越可能被注入、被挂马。
常见的恶意攻击方式表现为SQL注入攻击、跨站脚本攻击、上传Web shell、Dos(Denial of Service,拒绝服务)以及DDos(Distributed Denial of Service,分布式拒绝服务)攻击。其中,SQL注入攻击是将恶意的操作数据库表的SQL命令注入到后台数据库引擎中,从而使得数据库启动运行时,恶意代码同时被执行。变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不可枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。此外,由于这种攻击过程简单,目前互联网上遍布着大量的SQL注入攻击工具,攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。跨站脚本攻击是指利用网站漏洞,盗取用户信息。许多流行的留言本程序以及论坛程序都允许用户发表包含HTML和javascript的帖子。这些方便用户使用的功能成为了安全漏洞,攻击者可能发表了一篇包含恶意脚本,如窃取用户的隐私数据的帖子,其他用户在打开包含这个恶意脚本的帖子时,恶意脚本就会执行,攻击者很可能盗取这些用户的私人信息。webshell是web入侵的脚本攻击工具。黑客在入侵了一个网站后,会将该工具文件放置在网站服务器的web目录,然后黑客就可以用正常访问Web的方式,通过该后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。DoS即拒绝服务,造成DoS的攻击行为被称为DoS攻击,Dos攻击会使计算机或网络无法提供正常的服务。分布式拒绝服务(Distributed Denial of Service)攻击指借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。造成这类攻击的一个原因通常是软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时出现运行异常,甚至导致系统崩溃。
由此看来,高校网站Web应用程序本身存在大量漏洞,这种脆弱性是造成被恶意频繁攻击的一个主要原因。
2.网站安全产品保障缺失。高校网站恶意攻击主要分为主动攻击和被动攻击两类。主动攻击主要是对网站的删除、添加、伪造、修改、传送病毒等;被动攻击主要是对网站进行窃取、截获、侦听等。此外,高校部分学生对网络技术充满强烈的好奇心和实践知识的欲望,他们会选择最为熟悉的校园网站进行实验攻击。
大部分高校网站都配置了防火墙产品进行保护。防火墙作为维护网络安全的关键设备,在目前采用的网络安全的防范体系中占据着举足轻重的位置。然而,伴随计算机技术的发展和网络应用的普及,不同程度的安全难题层出不穷。因此,在技术上,这些防火墙难以防止网站敏感信息泄露、脚本木马、注入和跨站攻击等常见的安全问题,无法有效保护网站。
3.网站服务器安全加固问题。W服务器提供搭建网页服务、邮件服务、数据库服务等各项功能。所有这些服务面向的都不是一个人,而是众多的人,同时处理的是众多的数据。服务器是网站的心脏,也是攻击者特别感兴趣的目标所在。一旦服务器的安全防线被突破,服务器上部署的网站系统将面临攻击破坏。虽然服务器的安全加固问题日益受到网站管理者的重视,但高校迫于网站投入经费紧张、服务器数量众多、加固费用不菲等问题,很难请专业服务器安全加固公司从事加固工作。高校自身缺乏服务器安全加固技术人才,因此,大多高校服务器基本没有进行专业的安全加固,在无意识的情况下很可能沦为僵尸网络的“肉鸡”。
二、网站安全解决方案
1.技术预防。一方面,需要保障Web程序代码的健壮性。要避免代码存在的漏洞,需要从网站制作开始就从严要求,避免使用互联网络上随处可循的网站模板;同时,尽可能找精通编程的特别是熟练网站安全(攻击与防护)技能的专业编程人员;或者购买专业的网站群系统,这样可以方便管理,能够获得正常的维护、升级服务,网站的安全性自然就有较大的提升。另一方面,在网站投入使用之前,除了对功能进行测试外,需要安全工程师们模拟各种可能的攻击,评估网站的安全性,这样,能够尽可能及早发现网站存在的隐患,并使其在投入运行后对可能遇到的同类攻击进行迅速的反应,进行抵御或者快速恢复,尽可能挽回损失。
2.硬件保护。网络安全不光是软件层面的设置,也需要有相关的硬件设备支持,投入资金购买对Web应用层攻击进行保护的产品,如Web防火墙、入侵检测系统、上网行为管理等。我们应该在Web服务器之前设置Web防火墙。Web应用防火墙是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备,保障用户核心应用与业务持续稳定的运行。
Web应用防火墙功能包括:事前主动防御、事中智能响应、事后行为审计。同时,它能够提供面向客户的应用加速、面向过程的应用控制以及面向服务的负载均衡等功能。Web应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击,因此,Web应用防火墙可以阻止恶意目的的浏览器和HTTP攻击。一些强大的应用防火墙甚至能够模拟成为网站服务器接受应用交付,形象地来说相当于给原网站加上了一个安全的绝缘外壳。
Web应用防火墙在近十年来逐渐进入IT安全领域,最早提供这类产品的供应商是几家新兴公司。早期产品存在诸多缺点,比如误报率高,给受保护应用的性能带来负面影响,又很难有效地管理。后来,包括思科、思杰等在内的大牌网络供应商或收购或开发了Web层监控技术,Web应用防火墙随之成为一道公认的边界安全防线。因此,高校网站需要根据自身网站的特点,选择购买Web应用防火墙,并进行合理的集成配置。
3.IIS加固和操作系统加固。网站服务器的加固主要分成两个方面:一方面对网站的IIS安全进行加固,另一方面对Windows操作系统进行加固。
IIS加固本身就可以成为一项独立安全项目。IIS是Windows的网站组件,但是IIS存在诸多漏洞,导致使用IIS的网站存在许多安全隐患。IIS日志可以帮助网站管理员对Web访问记录日志,从日志中找到网站被入侵的尝试性攻击过程和步骤,成功地保护IIS日志对防止黑客进一步攻击和查找入侵证据的重要保证。可以从调整IIS日志信息的记录如客户IP地址、用户名、方法、URI资源、HTTP状态、win32状态、用户、服务器IP地址、服务器端口方面开启日志保护。IIS网站存在信息泄露的风险,当黑客在访问网站时通过恶意构造提交数据等方法,使得IIS服务器出错,发送自定义错误消息。而错误信息中可能包含服务器中的一些敏感信息,黑客利用获取的错误信息可以对服务器进行暴库或注入式攻击。为了防止IIS信息泄露,可以设置IIS调试选项,将向客户端发送文本错误消息,修改为不包含敏感信息的一段出错信息提示,可以有效保护IIS网站服务器敏感信息。数据库是动态网站的核心,一旦数据库文件被篡改,网站将无法正常提供访问,因此,可以采用重定向到主页的方法防止数据库被恶意下载,并通过设置目录安全,限制登录网站后台维护数据库的IP地址,有效保护数据库文件安全。
Windows漏洞使得黑客极易通过提权方式控制服务器,因此,Windows可设置遵循最小权限和最小服务来保证相对安全。Windows系统下的网站权限主要通过正确设置NTFS安全权限实现,尽量保证能写的权限不能具有执行权限,能执行的不能具有写的安全权限。
三、结束语
高校网站安全是一个综合性的问题,任何一个简单的漏洞和疏忽都可能导致整个网站受到攻击,造成巨大损失。随着互联网技术的发展和更新,攻击手段也不断发展,针对这些安全威胁,我们需要及时调整网络安全防护策略,提高网络安全意识,采用有效的制度和资金的保障,才能保证网站的安全运行。本文对高校网站安全问题产生的原因进行分析,并提出了对应的安全策略。未来我们将对本文提出的安全策略在实施中遇到的问题进行深入剖析,以进一步提高高校网站的安全性。
参考文献
[1]陆万青 高校网站安全问题探讨[J].科技信息,2013,(9)。
[2]宋斗超 高校网站的安全问题及应对策略探究[J].福建电脑,2013,(6)。
[3]王丽莎 高校网站安全问题分析及防护对策研究[J].上海海关学院学报,2012,(3)。