高校Web應用系統的安全「新藥方」

近幾年來，各大高校為了增強資訊化系統的社會服務功能和訪問的便捷性，都在向web應用模式轉型。為了保證這些web應用系統的安全，大多高校網也都部署了ssl安全**、防火牆、ids/ips ，以及軟體防火牆、防病毒這類安全裝置。但是，高校網遭遇的惡性攻擊事件不僅沒有因此減少，反而還出現了大幅飆公升的趨勢。

「老三樣」安全防護失效

「湖北多所高校**遭攻擊考生錄取記錄被篡改」；「北大**遭黑客篡改假冒校長抨擊大學教育」；「黑客攻擊清華大學新聞網捏造顧秉林粗俗講話假新聞」；「知名高校掛馬現象嚴重考生面臨安全風險」。如今，類似的高校網「中招」事件比比皆是，這些網路攻擊不僅能輕易穿透高校網的安全屏障，還能在後台隨便篡改資料。據杭州安恆資訊科技****技術總監範淵介紹，這些幕後**正是通過web應用系統的漏洞，越過了高校網的安全防護體系。

「事實上，當前以web應用系統為跳板，入侵伺服器甚至控制整個內網系統的攻擊行為已成為黑色產業鏈最普遍的攻擊手段。據一些搜尋**的統計，目前70%以上的攻擊行為都是基於web應用系統的。」

在範淵看來，校園網之所以在遭遇攻擊後損失重大，主要是因為大部分學校的對外服務**都與其內網系統相關聯，攻擊者更容易以應用伺服器為跳板實現對校園內部系統的入侵。所以，對高校使用者來說，因此導致資訊洩露、資訊被篡改及重要資料被破壞等損失的機率就更高。所以，高校網資訊保安的第一道防線，其實應該是基於web應用系統的安全防護。

「很多使用者認為，在網路中部署多層的防火牆，入侵檢測系統（ids），入侵防禦系統（ips）等裝置，就可以保障網路的安全性了，就能全面立體的防護web應用了。但是，為什麼攻擊事件依舊不斷發生，並不斷造成損失呢？其根本的原因在於，傳統的網路安全裝置對於應用層的攻擊防範，作用十分有限，如今的這些攻擊正是基於web應用的攻擊。」

範淵告訴記者, 目前的大多防火牆都是工作在網路層，通過狀態防火牆保證內部網路不會被外部網路非法接入。由於所有的處理都是在網路層，所以應用層攻擊的特徵在網路層次上是無法檢測出來的。而ids、ips這類裝置，雖然可以通過使用深包檢測的技術檢查到網路資料中的應用層流量，並識別出已知的網路攻擊，達到一定的對應用層攻擊的防護，但是對於未知攻擊，和將來才會出現的攻擊，以及通過靈活編碼和報文分割來實現的應用層攻擊，ids和ips同樣無法提供有效的防護。而軟體防病毒、防火牆產品，一般採用被動的檢測機制，只能檢測已知病毒或木馬，並且無法識別外部的正常訪問請求。

可見，基於「老三樣」安全產品的web應用系統安全解決方案，對應用層的安全問題並不適用。高校使用者就算採購更多這樣的安全裝置，也無法有針對性的解決他們現在的安全問題。這也是當前一些方案商在提出解決方案後，遭遇出局命運的原因。

「面對日新月異的安全攻擊，傳統解決方案自身的侷限性就暴露了出來，特別是對目前主流的基於web應用的安全攻擊手段。」範淵表示，不管是什麼樣的安全解決方案，高校使用者要看的都是實際上線後的防護效果。如果要解決使用者目前的問題，方案商必須要有能力對症下藥。

多層防護鑄就銅牆鐵壁

範淵表示，應用層的安全問題更為複雜，和傳統的解決方案相比，「新藥方」需要具備綜合**的效應，單一的產品很難徹底幫使用者解決問題。

他認為，**系統的基本組成為****和後台資料，在系統結構方面由web伺服器和資料庫伺服器構成，這就要求安全的關注點必須既涵蓋web伺服器的安全，又要涵蓋資料庫伺服器的安全。而從整體的應用安全防護角度出發，通過**的整體安全檢測、主動防禦、監控審計三部分的全面部署，才能讓**系統的應用安全配置達到乙個相對較高的水平，促使**系統執行在比較安全的應用環境中。

「所以，我們的解決方案是由7大子系統構成的，目標是構建乙個整體多層防護系統。它包含**web應用弱點掃瞄子系統、**防攻擊子系統、**防篡改子系統、**應用安全審計子系統、**資料庫弱點掃瞄子系統、**資料庫安全審計子系統總共7大部分，從各個層面和各個角度為**系統建立起乙個立體的防禦體系。」

範淵解釋道，**的整體安全檢測主要依靠**web應用弱點掃瞄子系統和資料庫弱點掃瞄子系統來完成。通過web應用弱點掃瞄子系統，可以快速檢測**可能存在的sql注入、跨站指令碼、表單繞過等應用弱點，並根據檢測結果有針對性的採取安全加固措施。而通過資料庫弱點掃瞄子系統，就能快速識別資料庫系統存在的補丁狀況、弱配置狀況等安全隱患，再通過有效應對去盡可能防範對後台資料的入侵。

而主動防禦則由**防攻擊子系統、**防篡改子系統共同擔綱。防攻擊子系統負責實時檢測和分析所有的訪問請求，識別各類惡意訪問和攻擊，實行阻斷和快速報警，並形成日誌。而防篡改子系統則是保護**相關頁面不被篡改的「衛兵」，不僅杜絕非法內容的外流，更防止了由於網頁篡改給高校帶來的形象及經濟損失。

監控審計也是防禦web攻擊的關鍵。通過**應用安全審計子系統和**資料庫安全審計子系統的協作。安恆的解決方案可以深度檢測所有http訪問資料，並實現對**訪問的7x24小時實時監控，對檢測到的異常訪問和攻擊行為，系統都會報警、通知使用者，協助網管人員第一時間採取安全應急措施。而且，系統的日誌功能，也為安全審計提供了基礎。**資料庫安全審計子系統同時在幫助使用者檢視所有的針對資料庫伺服器的訪問，除了日常的sql，還包括通過ftp、telnet等其他的訪問方式，實現了對後台資料庫日常操作的監控、危險操作控制以及安全事件的追溯。

「新藥方」幫使用者挽回損失

範淵指出，安恆的解決方案，已經在實戰中幫很多大學擺脫了網路威脅的困擾。

他回憶道，我們的乙個使用者是浙江的一所著名大學，由於其校園網中的web應用系統存在嚴重可利用的安全漏洞，結果被黑客輕鬆獲取了**後台的管理許可權，不僅網頁被篡改，**還遭遇了被掛馬、提權等操作，最終被黑客獲取了web伺服器的控制許可權。更大的問題是，由於這所大學內部網路之間的各個業務系統之間（如web應用系統與教務系統），並未進行嚴格的邏輯隔離，導致惡意人員在內部區域網內又進行了深度入侵，並篡改教務系統資料庫資料，造成了很大的損失。

「後來，我們為這個使用者建立了**系統的安全檢測系統，在黑客紅客們進行安全攻擊前，就能幫他們發現可能存在的各類安全隱患，並及時進行安全加固，徹底防止安全漏洞為惡意攻擊者所利用。另外，在提供web應用服務的伺服器前端，我們為使用者直連部署了主動防禦系統，對**進行防攻擊、防篡改的雙重保護，明御web防火牆還提供了針對web應用層攻擊防禦和流量監控，借助快取技術和負載均衡技術還不會影響**的訪問速度。而明御**衛士的web入侵檢測技術、伺服器核心內嵌技術、核心驅動級檔案保護技術、基於事件觸發式監測機制，高效實現網頁監測、即時內容恢復、動態web攻擊防護功能，也杜絕了**被非法篡改、非法入侵的可能。此外，在學校內部教務資訊、財務資訊以及學術**庫等資料庫伺服器的前端，我們還部署了明御資料庫審計及深度防禦系統，保護了這所高校資料庫的資料安全，並為事後追溯提供了依據。上線後，使用者馬上就看到了我們所提供的方案的價值。」

高校Web應用系統的安全「新藥方」

Linux系統Web應用安全加固

Windows系統Web應用安全加固

Linux系統Web應用安全加固

高校Web應用系統的安全「新藥方」

Linux系統Web應用安全加固

Windows系統Web應用安全加固

Linux系統Web應用安全加固

相關推薦