高校门户网站WEB安全问题分析及解决思路

2012-04-29朱朝阳王厚奎

大学教育 2012年1期

朱朝阳王厚奎

［摘要］校园网在高校数字化、信息化过程中发挥着越来越重要的作用。同时，随着校园网规模的不断扩大，高校门户网站安全问题日益突出。目前高校门户网站安全存在许多问题，要解决这些问题，必须建立主动的安全检测机制，进行有效的入侵防护，建立及时响应机制。

［关键词］高校门户网站 WEB安全网页篡改网站挂马

［中图分类号］G473.8［文献标识码］A［文章编号］2095-3437（2012）01-0027-02

一、背景情况

校园网在高校数字化、信息化过程中发挥着越来越重要的作用。同时，随着校园网规模的不断扩大，高校门户网站所面临的安全形势越来越严峻，越来越多的高校重要门户网站或WEB办公系统被渗透。据统计，现在对网站成功的攻击中，超过7成都是基于Web应用层，而非网络层。前不久OWASP （Open Web Application Security Project）机构发布了“2011年十大Web安全漏洞”，XSS和SQL注入漏洞排名前两位，是目前存在最为普遍，利用最为广泛，造成危害最为严重的两类Web漏洞。然而，识别并阻止基于Web漏洞的攻击，仅靠漏洞扫描、网络访问控制、病毒检测防护等传统安全措施是难以做到的。针对新的网站安全威胁，我们应该保持足够的紧迫性，并采取有效措施积极应对。

二、高校门户网站WEB安全现状分析

随着Web应用技术的深入普及，基于Web漏洞的攻击更容易被利用。高校门户网站最常见的安全问题包括被搜索引擎定义为恶意高校门户网站、高校门户网站挂马、SQL注入攻击、跨站点脚本攻击等。

（一）被搜索引擎定义为恶意高校门户网站

搜索引擎是用户广泛使用的搜索工具。高校门户网站一旦被搜索引擎定义为恶意网站，必然使高校门户网站的声誉受到影响。主要表现在高校门户网站排名权重降低；点击高校门户网站时被警告“访问该高校门户网站可能会损害您的计算机”；更有甚者，用户在打开该高校门户网站时，会引起死机、信息被盗等风险。

（二）网页挂马

挂马是指黑客入侵了一些高校门户网站后，将自己编写的网页木马嵌入被黑高校门户网站的主页中，利用被黑高校门户网站的流量将自己的网页木马传播开去，以达到不可告人的目的。网页被挂马，在一定程度上可以说是网页被篡改，但是比较隐蔽，危害却更大，严重影响到高校门户网站的公众信誉度，从而使广大用户对高校门户网站的信心受挫。

（三）SQL注入攻击

SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。由于从事高校门户网站开发的程序员水平和经验参差不齐，相当大一部分程序员在编写代码的时候，仅仅关注功能的完成，没有对用户输入数据的有效性进行校验。恶意攻击者可以在高校门户网站上提交一段数据库查询代码，获得某些他想得知的数据，甚至整个数据库表。SQL注入是从正常的WW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙很难对SQL 注入发出警报，如果管理员没查看日志的习惯，可能被入侵很长时间都不会发觉。如果被注入，会被窃取数据、修改数据，对高校门户网站来说，会发生敏感信息泄露、正常的页面被篡改等情况。

（四）跨站点脚本攻击

跨站点脚本漏洞是指恶意攻击者往Web页面里插入恶意脚本代码。当用户浏览网页时，嵌入页面中的脚本代码会被执行，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。对于存在跨站点脚本漏洞的高校门户网站，恶意攻击者往往利用高校门户网站的公信度，通过及时通讯工具、电子邮件发送通知等手段引导用户访问链接，从而达到窃取用户资料的目的。

三、高校门户网站WEB安全问题总结及防护解决思路

通过对高校门户网站安全现状的分析，我们了解到，就客观环境而言，高校门户网站所处的威胁环境已经日益恶化，就主观方面来讲，造成目前攻击事件不断发生的深层次原因到底是什么？针对这些问题，我们要怎么应对呢？

（一）高校门户网站安全问题总结

高校门户网站安全形势堪忧，究其原因，主要是因为存在以下几个方面的问题：

1.大多数高校门户网站设计，只关注正常应用，未关注代码安全

一个高校门户网站设计者更多地考虑满足用户应用，如何实现业务，很少考虑高校门户网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数高校门户网站设计开发者、高校门户网站维护人员对高校门户网站攻防技术的了解甚少。在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下，高校门户网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个高校门户网站取样测试，检测到有11.3%存在SQL注入漏洞。

图1 是针对某高校门户网站漏洞扫描结果，结果表明该高校门户网站存在SQL注入等漏洞。

2.黑客入侵后，未及时发现

有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平。但篡改网页之前，黑客肯定基于对漏洞的利用，获得了高校门户网站的控制權限。可怕的是，通常黑客在获取高校门户网站的控制权限之后，并不暴露自己，而是持续利用所控制高校门户网站产生直接利益。如网页挂马就是一种利用高校门户网站，给访问者种植木马的一种非常隐蔽且直接获取利益的主要方式之一。被种植木马的网站通常是在不知情的情况下，被黑客窃取了自身的机密信息。这样，高校门户网站成了黑客散布木马的一个渠道：高校门户网站本身虽然能够提供正常服务，但高校门户网站的访问者却遭受着持续的危害。图2 是某网页木马监测信息。

3.高校门户网站防御措施滞后，甚至没有真正的防御

高校门户网站防御不佳的另一个原因是，有很多高校门户网站管理员对高校门户网站的价值认识仅仅是一台服务器或者是高校门户网站的建设成本，认为为了这个服务器而增加超出其成本的安全防护措施是得不偿失的。而实际高校门户网站遭受攻击之后，带来的间接损失往往不能用一个服务器或者是高校门户网站的建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多拥有高校门户网站的组织和个人，只有在高校门户网站遭受攻击，造成的损失远超过高校门户网站本身造价之后才意识高校门户网站安全问题的严重性。

4.发现安全问题不能彻底解决

高校门户网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的高校门户网站开发与设计公司对高校门户网站安全代码设计方面了解甚少。发现高校门户网站安全存在问题和漏洞，其修补方式只能停留在页面修复上，很难针对高校门户网站具体的漏洞原理对源代码进行改造。这也是为什么有些高校门户网站安装网页防篡改、高校门户网站恢复软件后仍然遭受攻击的原因。

（二）高校门户网站安全问题解决思路

事实表明，若要解决新形势下高校门户网站的安全问题，需变被动应对为主动关注，实施积极防御。这就需要以一个全面的视角看待高校门户网站的安全问题，并依靠各个方面的相互配合，对高校门户网站安全做到心中有数，防护有方。具体的思路如下：

1.建立主动的安全检测机制

面对Web应用的威胁，我们缺乏有效的检查机制，因此，首先要建立一个主动的高校门户网站安全检查机制，确保对高校门户网站安全情况的及时获知——是否已经遭到攻击，是否还存在被攻击的风险。

2.进行有效的入侵防护

面对Web应用的攻击，我们缺乏有效的检测防护机制，因此，需要部署针对高校门户网站的入侵防护产品，加强高校门户网站防入侵能力，能够对高校门户网站主流的应用层攻击（如SQL注入和XSS攻击）进行防护。

3.针对高校门户网站安全问题，建立及时响应机制

面对Web应用程序漏洞和已经造成的危害，我们缺乏恢复的机制和足够的技术储备。因此，需要确立专业支持团队的外援保障，解决及时响应问题，在高校门户网站安全问题被验证后，能确保对高校门户网站进行木马清除以及针对web漏洞的安全代码审核修补等工作。

通过以上3个环节的有机结合，方可建立一套有检测、有防护、有响应的高校门户网站安全保障方案，确保高校门户网站在新威胁环境下安全运营。

随着校园网络的发展, 技术的进步, 校园网络安全面临的挑战也在增大。校园网的WEB应用越来越广泛, 网络安全问题也日益严重，安全问题也变成了校园网的热点和难点问题。学校应当给予足够的重视，在资金、人员配备、设备更新等方面给予大力支持, 使高校门户网站运行更加安全、可靠、稳定。

［参考文献］

［1］Lee D C.谈利群，张文海等.网络安全实践［M］.北京:人民邮电出版社，2004.