政府网站安全与防护初探

2015-04-04刘子涵赵倩倩吕朋举侯琳琳

河南水利与南水北调 2015年23期

□刘子涵 □赵倩倩 □吕朋举 □侯琳琳

（河南省水利信息中心）

0 引言

依托于互联网、Web技术等的飞速发展，政府网站已经成为政府信息公开不可或缺的一部分。政府网站基于“政务公开、交流互动、公共服务”三大功能建设，面向社会提供了快速便捷地接入政府政务信息和对外业务应用的平台。随着政府网站重要性的不断提升，网站安全性也成为信息化建设中不得不关注的热点问题。面对日益严峻的形势，政府网站维护人员需要针对不同的攻击方式，制定出行之有效的防护措施。

1 网站安全风险分析

目前，网站安全问题突出，集中表现为黑客攻击手段日益翻新，计算机病毒大量传播，网站安全基础设施建设薄弱，网站安全管理体系缺乏。这些问题导致对于预测、防范、应急处理、修复等方面缺乏行之有效的应对方式，对网站安全构成巨大的威胁。由于政府网站处在政府应用系统的互联网区域，其面临的安全风险更加复杂。

网站被攻击的现象时有发生：“1.12全国DNS大劫难”因国内通用顶级域的根服务器出现DNS解析故障，致使超过2/3的国内网站受到影响，持续数小时访问页面速度变慢，甚至打不开页面；2014年4月份发现的OpenSSL“心脏流血”漏洞利用OpenSSL的BUG，攻击者构造的心跳包中没有足够多的数据，memcpy便将SSLv3记录之后的64KB数据输出，危及用户敏感信息；携程也曾因部分服务器遭受不明攻击，导致网站及手机应用程序陷入瘫痪状态。除此之外，还有多种攻击手段易造成网站不稳定、卡顿、植入木马现象，影响政府网站的服务性和权威性。

攻击的方式多种多样，攻击方式主要分为两大类：针对Web服务器漏洞的攻击和针对网页安全漏洞攻击。其中，注入式攻击、跨站脚本攻是最常见的攻击手段。

1.1 Web服务器漏洞攻击

攻击者利用操作系统、软件和配置的漏洞对Web服务器进行攻击。这些漏洞包括：缓存溢出、目录遍历、信息泄露、脚本权限等。

在缓存溢出漏洞攻击中，存在安全漏洞的服务器内存中存储程序代码的堆栈被超出常规长度的请求填满，超出部分的字符覆盖相邻变量的空间并代替原始代码的一部分，以致系统服务瘫痪、宕机。

目录遍历是一种网站设计漏洞，Web设计人员若未对Web内容进行适当的访问控制，通过在访问地址中加入“../”等字符访问未授权的目录，并且可以执行系统命令。

信息泄露会暴露服务器的一些敏感信息，如用户名、密码、服务器信息、中间件信息、数据库信息等，攻击者利用泄露的信息能够造成进一步的危害。发生信息泄露的原因主要有三种：服务器自身漏洞、服务器配置不当和程序编写未进行适当过滤。

1.2 网页安全漏洞攻击

SQL（StructuredQueryLanguage）注入攻击的实现，是通过在与数据库产生交互的网页中提交Web表单，内容含有恶意SQL查询语句，在被数据库执行后，暴露网站用户信息等。

跨站脚本攻击（XSS，CrossSiteScripting）的目标是动态页面，攻击者发布包含恶意脚本的Web页面，当用户浏览此页面时，此恶意脚本就会在客户机上执行，借助XSS攻击截获账户信息、修改用户数据。

Cookie为辨别用户身份相关数据被存储在客户端上，一旦泄露，服务端无法区分用户的真实身份。Cookie假冒与XSS攻击相配合，盗窃Cookie标识，借助用户身份，达成破坏目的。现在多数浏览器支持HttpOnly标签，很大程度上增强了Cookie的安全性。

DNS（DomainNameSystem）简化IP数串，能够将方便记忆的域名和IP地址相互映射。DNS攻击是利用系统漏洞，进行DDOS（DistributedDenialofService）攻击、域名劫持、DNS欺骗、缓存投毒等，导致域名解析故障。

在这些攻击方式中，网络钓鱼最为用户所熟知。攻击者利用电子邮件、即时通信软件等方式传播欺骗性链接，用户个人数据和金融账号在填写相关内容时被窃取。随着网络钓鱼技术的发展，攻击形式已经从传统的编写相似仿冒网站到新型的真实网页嵌入恶意代码。

除上述攻击方式之外，跨站请求伪造、网站挂马、验证认证绕过、文件上传攻击等也是较常见的导致网站无法正常提供服务的原因。

2 网站安全防护设计

政府网站安全防护的原则是保障网站的保密性、完整性和可用性，以应对网站攻击方式的变化，降低网站安全风险的威胁，减少网站遭受破坏的损失。保密性指限制特定信息的访问方式和访问人员，不泄露服务器、中间件以及用户的敏感信息等。完整性是指信息传输过程中未经授权不被修改、破坏、伪造和丢失等。网站可用性是总体衡量使用过程中所有影响用户体验的因素总和。提高可用性，能够不间断地提供服务，不因系统故障或造成访问速度慢甚至无法访问。

网站安全防护包括四个层面：一是网站安全设计，二是网站安全基础设施，三是网站安全运维服务，四是信息安全管理体系，具体见图1。

图1 政府网站安全防护图

3 安全防护措施建设

安全防护实施贯穿于网站设计、建设、管理、运维、优化阶段。具体安全防护措施建设情况，在下列章节中说明。

3.1 网站安全设计

网站安全在设计阶段就是不能被忽视的重要因素，数据库、程序、权限控制等的设计直接影响网站安全性。

在数据库设计上，网站尽量采用数据库相对安全的参数来杜绝恶意的SQL注入式攻击。加强对用户输入内容的检查，利用工具检测字符串变量内容，拒绝输入内容中包含二进制数据、转义序列和注释字符的请求。

网站系统管理员根据已经初始化的模块、栏目及权限组信息，动态地将用户和权限组进行绑定。通过权限组的设定，用户可以对已授权的功能模块和栏目信息进行读、采、审核、复审及删除操作。权限组设定完成后，可以赋予多个用户角色，节省了操作步骤，提高了工作效率。在源代码保护上，网站一方面绑定后台程序和服务器的硬件，防止源代被拷贝和移植。另一方面将class源代码混淆打包，防止源码被查看。口令认证要比基于密钥的认证更容易被攻破，网站采用基于密钥和口令并存的认证方式。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。基于密钥的认证，保证系统强健性。同时修改配置文件，在一定时间内连续登陆失败一定次数后，将在一段时间内禁止登陆，有效地阻止了密码试探和暴力破解。

3.2 网站安全基础设施

安全基础设施建设为网站安全提供保障基础。政务信息网中的审计系统包括：运维审计系统、数据库审计系统和日志审计系统。综合三类审计对运维人员的行为进行集中管控审计，实现规范运维行为、阻断违规操作、分析可疑事件、降低安全风险。利用防火墙防护网站安全，依照设定规则，检查并拦截可疑数据包。网站借助链路层防火墙和应用层防火墙（WebApplication-Firewall）免受攻击者的入侵，如缓存溢出、信息泄露、SQL注入、SHELL文件上传、跨站脚本攻击等。值得指出的是，WAF的时域控制功能能够对IP段或指定IP地址进行设置来限制信息的阅览及后台的登录，这也减少了用户信息被盗用带来的风险。增加网页防篡改系统，分离发布服务器和WEB服务器。使用数字水印技术，为每一网页计算出唯一标识，若对比出现WEB服务器和发布服务器中静态网页水印不一致情况，发布服务器中相应信息立即推送并覆盖被篡改网页。运用冗余性保护网站，服务器集群结合应用负载均衡设备，建立备份容灾系统。当安全事件发生时，不必重新构建服务器，降低网站恢复时间，减少数据丢失量。

3.3 网站安全运维服务

网站安全运维服务的首要任务是维护工作站的安全，攻击者可使用键盘记录器、钓鱼网站等途径获取管理员用户信息，以管理员身份进行破坏。这种攻击往往突破了绝大部分的安全防护，带来毁灭性的影响，因此这就要求网站管理员或拥有登录凭证的人员强化安全意识、妥善保管好系统、服务器等密码，非工作原因不得转借计算机，禁止浏览不明非法网站和信息，拒绝可疑电子邮件。

在网站安全运维过程中，应及时更新软件、安装系统补丁，定期更换密码、提高密码强度，关闭多余端口或服务，仅赋予系统所需要的最小权限。定期进行安全检测，如针对安全漏洞扫描、木马的检测、环境的检测、远程连接检测、以及其它检测，及时监视并报告网站的安全事件。

3.4 信息安全管理体系

以整合网站安全设计、网站安全基础设施、网站安全运维服务为目的的信息安全管理体系（InformationSecurityManagement System，简称ISMS）由四部分组成：总体方针，安全管理组织体系，统一安全策略，和安全规章制度、操作规范、流程。信息系统安全工作总体方针参考国内外信息系统安全管理标准、国家信息系统安全保护条例、信息系统安全等级保护基本要求，指导网站安全管理全面工作。安全管理组织体系旨在健全信息系统的安全管理责任制度，清晰定义了内部的安全管理组织体系，推动了信息安全管理工作在整个组织体系内发挥作用。统一的安全策略从机房安全、网络安全、系统安全、应用安全、数据安全、应急管理、安全审计、安全检测等方面详细制定了基于身份、规则、角色的行动策略。分别编写《网站安全管理办法》、《计算机网络安全管理规定》、《互联网信息发布保密制度》、《机房安全管理制度》等，确保制度层面规范计算机操作行为，防范网站安全隐患。