文/李先毅

看新模式如何破解Web安全老大难

文/李先毅

编者按：

高校网站的首要特点是五花八门，百花齐放。为应对这个问题，各个学校出了不少招。主流的方式就是反向代理服务器和网站群的应用。如中国人民大学采用域名解析与反向代理服务器配合，凡是不进行校内备案的子域名，一律解析成校内地址，不允许对外服务。江南大学的做法是采取网站群的管理方式，各学院、部门网站纳入网站群管理，原则上不自建网站，新建网站必须进入网站群。

在一些非主流方式上，上海海事大学采用了虚拟机的保障，这种方式对本校技术力量的要求比较高。同时，该校也在积极研究如何通过对内容的管理保障网站安全。大连理工大学则采用SAAS云平台思路，完全放弃了传统的开发建设模式。

在网站安全中，漏洞发现与管理是一个核心问题也是技术难点。我们也将分享如何进行漏洞管理以及对漏洞进行等级划分。

期待这些探讨能给高校网站安全工作带来新的思路。

网站安全问题日益突出

由于高校自身特点，高校中各类组织、人员存在大量网站建设需求，而学校在相当长的一段时间内基本没有统一的校内网站管理措施，规范校内各类网站建设，造成高校网站建设长期处于“小、散、乱”的状态。其中网站安全问题是比较突出的问题之一，传统的网站安全技术并不高深，这些“小”网站的安全问题通常被看做网络安全技术领域的“小”问题。但就是这些“小”问题，往往会产生大影响，直接威胁学校网络信息安全整体。

大连理工大学网站安全建设也经历了一个曲折复杂的过程的，在2002年前，由于网络资源少，学校鼓励各类网站的建设，当时的校园网给普通用户提供了开放的互联网实IP地址，在管理上仅开展了域名登记管理。之后校内网站建设进入“大跃进”阶段，校内各部门、院系、科研机构甚至项目组、个人都纷纷建立各自需要的网站，网络中心也适时地推出数据中心服务，并在2007年进行了虚拟化升级，解决了数据中心的技术和资源瓶颈，同时在网站建设技术上对校内进行了一定引导、建立了相应的技术规范。但随着网站数量越来越多，近千个Web网站和Web应用其使用的开发语言及软件环境五花八门、开发人员素质参差不齐、运维人员严重不足，而学校又缺少信息安全相应的资金、设备，网络中心管理职能不足，校内网站的安全建设和管理基本处于濒临失控的状态。从2010年起，校内网站安全问题日益突出，网站安全事件数量占网络信息事件总数量比例居高不下（具体数据见图1），成为学校网络信息安全工作研究解决的主要问题之一。

图1 大连理工大学近年校内网站安全事件与网络信息安全事件总数量情况

为解决此问题，学校从2011年开始通过多方调研及技术分析，并根据信息化建设趋势提出了保障安全、统一管理、数据共享、信息公开的网站建设基本原则，并明确了通过建设通用“大”平台来解决这类零散“小”网站的问题。2013年首先建设了网站群平台，启动了校内各类网站的迁移工作，并开始制定相应的管理规则，从技术和管理两方面来规范校内网站建设，建立校内网站的安全防护体系，保障网站安全，提升校内信息化整体安全水平。

图2 网站群服务器构架及运维体系

Web建设新模式完全放弃传统模式

新的网站建设模式采用了SaaS云平台思路，完全放弃了传统的开发建设模式。从应用角度对校内的Web网站进行了分类，针对不同类型的网站建设通用云平台。网络与信息化中心负责通用平台的统一建设、运维及安全保障，明确了安全职责。同时通用平台大大减少了系统数量，网信中心也可以集中精力将平台的安全防护做深做实，只需保障平台的安全无需对各网站投入更多精力。基于平台的网站建设还基本消除了技术门槛，功能的模块化、操作的可视化，使得网站开发人员无需太多编程能力就可以快速完成网站建设，也无需考虑开发中的安全问题。按照该思路，大连理工大学陆续建设了网站群、会议网、教师个人主页三套通用平台，分别解决信息发布、会议管理和个人主页三类网站建设需求。下面以应用最广泛的网站群平台为例，说明学校在网站平台安全建设方案。

技术上，首先是网站群平台自身的安全，在网站群平台产品选择上对安全有一定要求，目前学校使用的网站群产品自身已经通过信息安全等级保护三级检测，达到一定安全水平。网站群平台采用了目前主流的静态网页发布技术，从根本上解决了传统网站建设中动态页面存在的各种漏洞。同时启用了网站群平台的网页防篡改、Web应用防护等技术安全手段，对网站进行实时监控和防护。学校网站群的网页防篡改模块将数字水印技术和请求攻击检测技术直接内嵌到Web发布服务器内部，并辅助以增强型事件触发检测技术，彻底解决网页防篡改问题。Web应用防护模块同样是内置于Web发布服务器中，通过全面分析应用层的用户HTTP请求数据（包括URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问和攻击者的恶意攻击行为，对攻击行为的源IP地址进行实时阻断和报警。另外，网站群平台还提供针对单个网站的地址访问控制功能，可以对网站的敏感信息手工配置IP访问范围。

在服务器安全上，建立了开发、管理、发布三套独立的服务器，分别负责网站开发建设、网站的日常管理维护、网站页面的发布，对于三类服务器分别制定了不同的访问控制策略和安全防护策略，从而划分出不同的安全域，对权限、网络通信等均进行限制或隔离，详细的网站群服务器构架及运维体系结构见图2。访问控制上，通过校园网路由器中ACL设置，将开发和管理服务器严格限制在校内访问，仅开放平台访问端口；发布服务器除开放Web访问端口，仅开放与管理服务器的通信；其他的数据库（DB）、存储（Store）等相关设备严格按照最小通信原则限制访问。开发服务器仅用于网站的建设开发，不与其他两类服务器直接通信，网站开发人员在开发服务器完成网站建设后，由网站群平台管理员将网站包导入到管理服务器中并发布，网站进行重大调整时也要在开发服务器进行，避免了网站开发、调整对现有网站的影响，更重要的是可以避免开发人员对网站的任意修改或误操作，从技术上降低了人员安全风险。管理服务器采用负载均衡集群构架，保证管理平台的高可用性和可扩展性，在集群中进行了区域划分，将学校主页、新闻网等重要网站单独划分区域，避免其他网站对重要网站的影响。发布服务器采用多服务器群方式，按照网站重要性、访问量等进行综合分类，分别发布到不同服务器中，对重要网站进行重点保障，也基本保证了负载的均衡分布。

通过堡垒机、统一身份认证等技术对人员访问权限进行严格区分。运维审计系统-堡垒机不仅仅可以对设备、服务器的远程操作（如远程桌面、SSH、Telnet等）提供统一登录工具，还可以对Web应用、数据库远程管理工具（如PLSQL等）等服务通过应用发布形式进行统一访问。更重要的是，堡垒机具有完善的审计功能，记录所有的运维操作，可通过视频、文本等多种方式重现，还可以预先定义非法的恶意操作，通过审计系统实施监控告警并阻断，从而规范和监督运维操作。目前大连理工大学网站群平台服务器的远程运维必须提供堡垒机，由网信中心专人及厂商共同完成，具有服务器运维权限。网站群平台管理员由网信中心专人担当，具有平台的超级管理权限，负责平台其他人员权限的分配，负责将开发完的网站从开发服务器导出到管理服务器并配置发布。网站管理员仅有管理服务器中相关网站的管理权限，必须是校内在职教工，必须通过学校统一身份认证登录。网站开发人员，仅有开发服务器权限，可以是第三方技术人员，开发人员账号都是临时账号，网站开发完成后，将清理此类账号。平台管理员、网站管理员、网站开发人员的角色权限区分通过学校统一身份认证系统完成，未来计划其远程操作也通过堡垒机统一实现，并由堡垒机统一审计。

备份策略是安全建设中的重要一环，大连理工大学网站群建设中施行了两级备份，在虚拟化平台中使用专门的虚拟化备份软件定期对服务器进行备份，当服务器出现故障时，可快速恢复服务器主机。同时建立备份服务器，可通过网站群平台将平台中各网站备份到备份服务器中，当单独网站出现故障时可通过备份服务器快速恢复单个网站。

同时在校园网、数据中心也启用了相应的安全措施，来辅助保证网站群平台安全。比如校园网出口路由器从2015年起对普通用户IP地址进行了限制，不得对外提供服务；数据中心虚拟化平台启用了高可用机制；数据中心部署统一的虚拟化安全防护系统，集中处理杀毒、防火墙、日志审查等安全问题；部署WAF做进一步的Web应用层防护等。

必须有强有力的网站管理制度

以上就是大连理工大学网站群技术安全建设基本情况，下面介绍管理安全方面的措施。根据多年的建设经验 ，网站安全建设仅仅依靠技术手段无法达到理想效果，必须有强有力的管理手段配合，才能充分发挥技术优势。

首先是组织机构与人员保障，学校除了建立了网络安全与信息化建设管理委员会及网络与信息安全工作组等校内网信息安全领导、管理机构；还明确了网络与信息化中心作为执行机构，负责校内网站安全建设的组织工作；而各单位的信息化负责人为单位主管网站的主要负责人，负责本单位各网站安全工作的组织与监督；各网站登记的负责人、管理员则为网站安全的直接责任人。通过明确的机构和人员配备，将网站安全责任落实到地、具体到人，保障网站安全工作的顺利推进。

其次是制度建设，从2013年新的网站建设模式开始实行起，结合信息化建设，学校制定了一系列制度，以校规的方式确保网站安全工作的开展。

对于以上技术措施和管理制度还要辅以有力的宣传推广，才能在校内真正开展起来，一方面做好服务、宣传与培训，让校内网站的管理方、使用方真正意识到安全的重要性以及新平台的技术优势和使用的便捷性，愿意使用新平台；另一方面要坚持原则、令行禁止，对于不按照管理制度建设的网站坚决关停。经过几年的大平台的建设，校内网站安全取得了一定效果，到2017年4月，校内对外服务的网站已经全部迁移到网站群等大平台中。同时网站安全事件数量明显下降，产生负面影响的入侵事件大幅减少，详见图3，虽然网络信息安全事件数量依然处于高位，但更多的是通过各类渠道检测到的安全漏洞等预警信息。

对于未来大连理工大学网站安全建设的设想主要在两个方面：一个是移动端的建设，移动应用已经成为信息化发展的趋势，各类网站的移动版已经开始建设，但对于移动端的安全目前还是建设的短板，需要尽快加强跟进。另一个是要继续完善相关制度，进一步加强管理，比如网站的年审退出制度、管理人员更新机制等等都需要建立并推进。高校网站作为高校信息化建设的重要组成部分和最直接的成果展示，与信息化建设一样都是长期的任务，只有不断地更新技术、建立适应形势的管理制度才能保证网站的安全，推动高校网站建设的健康发展。

图3 大连理工大学网络信息安全事件数量统计

（责编：王左利）

(作者单位为大连理工大学网络与信息化中心 )