庄生虎 吉军义 雷永鹏

陕西广电网络传媒股份有限公司延安分公司，陕西延安 716000

Web时代高校网络应用安全问题研究

庄生虎 吉军义 雷永鹏

陕西广电网络传媒股份有限公司延安分公司，陕西延安 716000

随着高校信息化校园建设的逐步发展，大学校园网在教学、科研、管理等方面，web应用越来越普及，以及学生区上网用户的逐渐增加，校园网运行和管理所面临的安全问题也就越来越突出，这将严重阻碍大学信息化建设的步伐。本文通过分析校园网安全问题的主要特点及产生的根本原因，提出了基于Web环境下，布置Web应用防火墙或IPS加强校园网安全防范的几项建议和策略。

校园网；网络安全；防火墙；安全技术

随着高校信息化进程的推进，基于Web环境下的应用越来越普遍，高校在信息化进程中将多种应用架设在Web平台上。如网络管理、计费认证、学院的网站、入侵防御检测系、OA系统等。这些应用的功能和性能都不断完善和提高，然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，接踵而至的却是Web安全威胁的凸显。为此建立并完善以安全策略为核心，以安全技术为支撑，以安全管理和安全培训为重点的校园网安全防范体系，是确保校园网安全、稳定运行的重要举措之一。

1 校园网安全的定义和存在的问题

1.1 校园网网络安全的定义

校园网网络安全是指校园网信息系统和信息资源不受自然和人为有害因素的威胁和危害。广义的校园网网络安全包括实体安全、运行安全、数据安全、软件安全和通信安全等。其中，实体安全主要是指校园网硬件设备和通信线路的安全，自然和人为危害等因素，信息安全包括数据安全和软件安全,其威胁主要来自信息破坏和信息泄漏。狭义的校园网网络安全是指校园网网络的信息安全，凡是涉及网络上信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论[1]。

1.2 校园网安全存在的安全问题

随着各个高校的扩招和学校信息化学校园建设的发展，学校规模不断扩大，高校的网络结构也日趋复杂化，下面就以我校为例，分析校园网络Web应用网络所临的安全隐患。

目前校园网对Web应用逐渐地增多，对网络的安全的要求也是越来越高，从目前的应用来看，网络安全主要源于面临的三个问题。

第一种，拒绝服务攻击。

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。攻击者向被攻击服务器发送一个包含SYN（同步报文）标志的TCP报文，结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况也叫服务器端受到了SYN Flood攻击或SYN洪水攻击。这给服务器的安全带来了极大的威胁。

第二种，针对校园网的Web应用后台数据库的更改，泄密和破坏。

攻击者试图通过注入SQL代码来寻找网站等应用的数据库的漏洞,并获得相应的权限。如果攻击成功,他就能够登录到后台数据库并在其中植入恶意代码。攻击者并没有针对某个特定的漏洞,而是主要通过SQL注入引擎自动搜索使用SQL数据库的网站并进行攻击。他首先在目标网站上植入恶意代码,然后再通过浏览器感染浏览该网站的用户。导致企业内部的数据损失或者是被更改。攻击仍在继续,即使它无法在目标站点内植入恶意程序,但是仍可以让许多网站瘫痪。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏[2]。SQL注入已经成为学校校园网网络安全的一大隐患。

第三种，跨站挂马或者叫做跨站脚本攻击。

所谓的跨站挂马，就是一种往数据库里插入特定恶意代码的一种攻击技术，它被称为“XSS”或“CSS”，跨站攻击的英文是Cross-Site Scripting，简称为CSS。为了与层叠式样式表区分，现在普遍叫做XSS。通过别人的网站脚本漏洞达到攻击的效果，就是说可以隐藏攻击者的身份，因此叫做跨站攻击。跨站攻击可以简单的就使你的页面布局混乱不堪，而更严重的是，可以写入html代码，当有人访问这个WEB程序下的某个页面时，恶意代码就会混杂在正常的代码中发送给浏览者，从而导致浏览器执行相应代码，因此达到攻击网站的目的。

Web应用面临的主要攻击和威胁，后两种居多。

2 校园网应用服务的安全防范措施

2.1 安全防范策略

总体思路制定合理、符合数字化校园建设规模的校园网安全与防范整体规划；按照总体规划，逐步实施并完善,稳步推进网络安全与防范工作的实施，设计原则面对复合式的攻击和病毒的侵扰，利用单一技术去防范复杂构架的校园网的安全威胁，或者通过利用昂贵的整体防护产品去架构校园网的安全平台，对于校园网都是不现实的[3]。为此，校园网安全策略的制定必须从两个方面、三个层面上展开,即在内、外网结合和内网方面采取不同的对策；在内网上必须从用户类别和管理角度出发,按照中心管理进行分布式安全防护。

2.2 管理员对校园网应用安全的防范和管理

校园网只是一个平台，在校园网的基础上，要运行多个服务，那么这些服务怎样才能保证是安全的，首先要考虑的就是设计和管理的安全问题。针对以上三种常用的对服务器的攻击，从用户和管理角度来讲，可以采用以下三种防范策略。

2.2.1 拒绝服务攻击的防范

应用服务器的管理员作为服务器的管理者，可以从主机与网络设备两个角度去考虑。主机上的设置基本的有几种：关闭不必要的服务；限制同时打开的Syn半链接数目；缩短SYN半连接的time out 时间；及时更新系统补丁； 网络设备上的设置 校园网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对这个校园网来说是否值得。

2.2.2 SQL注入攻击的防范

校园网的服务器的应用比较多，在部署的时候，要做到预防为主，主要有以下几个方面。不要让数据库和Web服务器放在同一台计算机上；配置可信任的IP接入和访问；从数据库服务器上移除所有的示例脚本和应用程序；为每一个应用程序的数据库连接账户使用一个专用的低特权账户。不要使用sa、dba、admin；不要准许用户或应用程序直接访问数据库表；从生产数据库中移除未用的存储过程；将对应用程序的访问仅授权给用户创建的存储过程。

而且要和服务器上的软降的开发人员探讨，开发质量和安全性较高的软件产品。因为程序的设计和开发人员肩负着保障Web应用程序安全的重要责任。

2.2.3 跨站挂马的防范措施

跨站挂马是攻击者利用服务器主机上的跨站漏洞，向服务器的数据库里插入特定恶意代码的一种攻击技术。所以应该做：在WEB浏览器上禁用JavaScript脚本；开发者要仔细审核代码，对提交输入数据进行有效检查，如"＜"和"＞"，可以把"＜"，"＞"转换为＜，＞。

2.3 利用防火墙和IPS硬件防护

在校园网的路由器和服务器之间。加入硬件防火墙和入侵防御系统（IPS），加强对校园网内部的防护能力。防火墙会在Web服务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接，分析用户对应用程序发出的命令。然后就可以分析出哪些是已知攻击，哪些是标准应用的演变。

Web应用防火墙(Web Application Firewall，WAF)与IPS、安全设备最是不同的，从技术层面讲，IPS是深度的包检测的产品，属于高级的网络防火墙。IPS所保护的不仅仅是Web应用，IPS的检测是非常严格和标准化的，就导致一个问题，它对整个单纯的Web应用，包括SQL 注入的检查不是很专业，所以Web应用防火墙和IPS相比，它是更专业的基于Web防护的系统。

Web应用防火墙主要有这三方面的功能，网站隐身。安全检查。应用加速。也就是说Web应用防火墙在整个用户眼里是透明的，但是它做了两个工作，又检查又加速。能真正起到保护校园网内部应用服务器的目的。

3 总结

本本主要针对校园网应用服务器，先分析了面临的诸多问题，然后提出了从用户角度来讲几种防范和处理的办法，以及用硬件防火墙构造更加安全的防护。解决方案已经我院的校园网使用3年，运行效果良好，工作量和以前相比大幅降低。当然网络安全是动态的、整体的,并不是简单的安全产品集成就可以解决问题。随着时间推移，新的安全风险又将随着产生。因此，一个完整的安全解决方案还必须包括长期的、与系统相关的信息安全服务。

[1]王继成.大学校园网的网络安全与防范策略[J].沈阳:农业大学学报.2007,9(5):727-729

[2]华驰.SQL注入给网络安全带来的隐患及解决方法[J].教育信息化. 2006, (07)

[3]王栋.大学校园网网络安全问题的分析与对策[J].兰州.甘肃联合大学（自然科学版）. 2010年7月第四期.第64页

10.3969/j.issn.1001-8972.2011.12.047