導(dǎo)語：高校網(wǎng)站安全分析及對(duì)策一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:本文通過對(duì)高校網(wǎng)站安全風(fēng)險(xiǎn)的分析和探討，以高校非站群網(wǎng)站建設(shè)為背景，提出了安全防護(hù)對(duì)策，以保障高校網(wǎng)站信息的安全，從而更好地服務(wù)于廣大師生。

關(guān)鍵詞:網(wǎng)站安全，安全威脅，安全防護(hù)對(duì)策

1高校網(wǎng)站安全風(fēng)險(xiǎn)概述及分析

2016年3月18日的《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016年)》指出:2015年，針對(duì)中國(guó)網(wǎng)站的仿冒頁(yè)面(URL鏈接)191699個(gè)，較2014年增長(zhǎng)85．7%，涉及IP地址20488個(gè)，較2014年增長(zhǎng)199．4%。網(wǎng)頁(yè)篡改、網(wǎng)站后門等攻擊事件層出不窮，黨政機(jī)關(guān)、科研機(jī)構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點(diǎn)目標(biāo)。2015年被植入后門的中國(guó)網(wǎng)站數(shù)量為75028個(gè)，較2014年增長(zhǎng)86．7%［1］。一旦網(wǎng)站被掛馬或被植入廣告鏈接、釣魚詐騙，可能會(huì)造成隱私數(shù)據(jù)被竊取、業(yè)務(wù)中斷等不良影響，不僅會(huì)侵害社會(huì)公眾的利益，而且可能會(huì)使單位形象受到損失。可見，高校網(wǎng)站的安全形勢(shì)相當(dāng)嚴(yán)峻。高校網(wǎng)站安全性差，主要?dú)w納為以下幾點(diǎn)。1．1網(wǎng)站設(shè)計(jì)風(fēng)格各異，開發(fā)環(huán)境、語言不統(tǒng)一，管理困難，程序存在漏洞。最常見的網(wǎng)站被攻擊方式有以下幾種:(1)SQL注入。高校網(wǎng)站被攻擊方式中SQL注入［3］是最主要的風(fēng)險(xiǎn)，占黑客攻擊數(shù)量的63%。據(jù)介紹，SQL注入攻擊主要是利用網(wǎng)站系統(tǒng)漏洞，黑客通過向網(wǎng)站提交的SQL查詢語句，非法獲取網(wǎng)站數(shù)據(jù)庫(kù)中的敏感信息(如用戶名、密碼等)，從而直接上傳后門文件，篡改網(wǎng)頁(yè)內(nèi)容，修改數(shù)據(jù)庫(kù)數(shù)據(jù)等一系列嚴(yán)重后果。(2)跨站腳本。攻擊者通過偽造請(qǐng)求，模仿用戶提交表單的行為，將看上去來源可靠的鏈接中惡意嵌入代碼，從而達(dá)到修改用戶的數(shù)據(jù)，執(zhí)行特定任務(wù)的目的。(3)上傳文件。攻擊者利用應(yīng)用程序(如FTP等)上傳惡意代碼，當(dāng)客戶端執(zhí)行時(shí)從而對(duì)網(wǎng)站造成破壞。(4)HttpHeads攻擊。WEB網(wǎng)站無論采用何種技術(shù)和框架，都會(huì)用到HTTP協(xié)議，攻擊者通過HT-TP協(xié)議在Responseheader和content之間注入任意字符，從而攻擊網(wǎng)站，如執(zhí)行腳本語句、篡改cookies等。除網(wǎng)站程序開發(fā)上的漏洞外，高校網(wǎng)站還常存在網(wǎng)站管理上的問題。很多高校網(wǎng)站基于windowsserver系統(tǒng)，借助IIS為網(wǎng)站服務(wù)器，將幾十個(gè)甚至上百個(gè)網(wǎng)站放置在相同目錄下，然而，不同的網(wǎng)站文件夾權(quán)限設(shè)置［4］卻相同。網(wǎng)站文件夾權(quán)限設(shè)置不合理很可能也會(huì)引起網(wǎng)站數(shù)據(jù)被篡改，從而導(dǎo)致網(wǎng)站被掛馬或被植入廣告鏈接等。1．2服務(wù)器系統(tǒng)、軟件存在漏洞。無論是WindowsServer還是Linux、Unix操作系統(tǒng)，都有可能存在漏洞，如不及時(shí)修復(fù)、更新、安裝補(bǔ)丁程序，系統(tǒng)隨時(shí)會(huì)受到威脅。同時(shí)，服務(wù)器配置上的不完善也會(huì)成為被攻擊的對(duì)象，如權(quán)限設(shè)置不嚴(yán)謹(jǐn)，管理員賬號(hào)用戶名、密碼為空等;沒有關(guān)閉不必要的服務(wù);共享文件夾不設(shè)置相應(yīng)的權(quán)限;所有主機(jī)都可以Telnet到服務(wù)器等。運(yùn)行在服務(wù)器上的軟件也可能存在版本過低，非正版軟件等一系列問題，也會(huì)產(chǎn)生漏洞［5－7］。1．3網(wǎng)絡(luò)安全設(shè)備缺失。有的高校存在對(duì)網(wǎng)絡(luò)安全不夠重視，如網(wǎng)絡(luò)設(shè)備陳舊，數(shù)量和性能上不能滿足要求，更沒有網(wǎng)絡(luò)安全檢測(cè)和防護(hù)設(shè)備。即使大多高校網(wǎng)絡(luò)出口都配備了防火墻，仍不能保證網(wǎng)絡(luò)安全萬無一失，因?yàn)槿杂泻芏喙粜袨榭梢岳@過防火墻，如數(shù)據(jù)驅(qū)動(dòng)攻擊等。1．4日常維護(hù)不到位，安全意識(shí)薄弱。網(wǎng)站管理部門安全制度的缺失，管理人員安全意識(shí)不高或技術(shù)水平有限，對(duì)網(wǎng)站安全防范技術(shù)不了解，使日常維護(hù)不到位。此外，網(wǎng)站管理部門對(duì)眾多二級(jí)網(wǎng)站的管理無法做到無死角防護(hù)，導(dǎo)致網(wǎng)站發(fā)生問題時(shí)，網(wǎng)站管理部門工作被動(dòng)，與網(wǎng)站歸屬部門發(fā)生安全責(zé)任推諉［8］。

2高校網(wǎng)站安全防護(hù)對(duì)策

面臨高校網(wǎng)站如此嚴(yán)峻的安全威脅，做好安全防護(hù)應(yīng)主要從以下幾個(gè)方面進(jìn)行。2．1統(tǒng)一建設(shè)、規(guī)范管理，嚴(yán)防程序漏洞。就作者所在院校二級(jí)網(wǎng)站建設(shè)來說分為:統(tǒng)一建設(shè)和各部門自建。無論哪種方式建設(shè)都規(guī)定了相應(yīng)的規(guī)范，采用統(tǒng)一的開發(fā)語言和數(shù)據(jù)庫(kù)，避免開發(fā)語言和程序混亂的情況的發(fā)生，對(duì)二級(jí)網(wǎng)站采取統(tǒng)一的管理的方式。從而規(guī)范了程序開發(fā)時(shí)對(duì)用戶輸入數(shù)據(jù)的驗(yàn)證以及數(shù)據(jù)的大小、類型，并限制應(yīng)用程序編程接口函數(shù)對(duì)系統(tǒng)資源、服務(wù)器資源的使用，從而防止系統(tǒng)和服務(wù)器遭受攻擊。針對(duì)開發(fā)上最常見的網(wǎng)站被攻擊方式采取以下措施:(1)防SQL注入。參數(shù)化SQL語句，通過設(shè)計(jì)與數(shù)據(jù)庫(kù)鏈接和訪問數(shù)據(jù)時(shí)，使用參數(shù)給值，用@表示參數(shù);字符串過濾和使用正則表達(dá)式過濾參數(shù)等方法;屏蔽服務(wù)器異常信息。(2)防止跨站腳本攻擊(XSS)。常見解決方法:輸入過濾，對(duì)用戶的輸入或者請(qǐng)求的頭部進(jìn)行過濾。編程者要有良好的安全意識(shí)，對(duì)所有的輸入源進(jìn)行覆蓋，但不可以阻止其他問題，如錯(cuò)誤提示等。輸出過濾或者安裝第三方應(yīng)用防火墻，攔截css攻擊以可以做到有效的防止跨站腳本攻擊。(3)當(dāng)上傳文件［9］時(shí)，過濾文件擴(kuò)展名，將不在允許訪問的擴(kuò)展名列表之內(nèi)的文件，拒絕其訪問。對(duì)于文件內(nèi)容的攻擊則無法用文件名過濾來排除，只能通過掃描其文件內(nèi)容來識(shí)別。(4)防止HttpHeads攻擊。過濾所有的re-sponseheaders，除去header中出現(xiàn)的非法字符，尤其是CRLF。規(guī)范管理主要體現(xiàn)在:通過IIS設(shè)置，刪除默認(rèn)站點(diǎn)及默認(rèn)目錄，創(chuàng)建自己的網(wǎng)站目錄，并為各二級(jí)網(wǎng)站分配各自的FTP賬號(hào)和密碼、IIS瀏覽賬號(hào)和密碼及獨(dú)立的應(yīng)用程序池，同時(shí)對(duì)文件訪問設(shè)置權(quán)限，如靜態(tài)網(wǎng)站只可讀取，不可寫入;為動(dòng)態(tài)網(wǎng)站含有數(shù)據(jù)庫(kù)的文件夾，設(shè)置讀寫權(quán)限。這樣即使某個(gè)網(wǎng)站受到攻擊時(shí)其他網(wǎng)站不會(huì)受到牽連。此外，信息技術(shù)中心應(yīng)定期對(duì)各網(wǎng)站管理人員進(jìn)行培訓(xùn)，宣講信息安全知識(shí)，提高各二級(jí)單位網(wǎng)站管理人員的網(wǎng)絡(luò)安全意識(shí)，科學(xué)、合理地設(shè)置網(wǎng)站管理員的用戶名和密碼，規(guī)范網(wǎng)站日常信息添加、上傳文件等操作。2．2網(wǎng)站服務(wù)器系統(tǒng)安全配置。通過Windows自動(dòng)更新或者輔助軟件，定時(shí)升級(jí)操作系統(tǒng)安全補(bǔ)丁，同時(shí)為確保系統(tǒng)地安全穩(wěn)定性，及時(shí)升級(jí)操作系統(tǒng)的版本。關(guān)閉或刪除網(wǎng)站服務(wù)器系統(tǒng)中不必要的服務(wù)端口，盡可能地少使用Telnet、磁盤服務(wù)等功能，從而減少被攻擊的可能性。修改管理員用戶名及設(shè)置復(fù)雜的登錄密碼，定期更換密碼，關(guān)閉Guest用戶。安裝殺毒軟件，及時(shí)更新補(bǔ)丁程序，定時(shí)查殺病毒和木馬。及時(shí)更新Web服務(wù)器上的相關(guān)軟件的版本［10］。2．3配備網(wǎng)絡(luò)安全設(shè)備。在網(wǎng)絡(luò)安全防護(hù)上，配備硬件防火墻、虛擬專用網(wǎng)、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備也是很有力的安全防護(hù)手段。硬件防火墻將內(nèi)網(wǎng)與外網(wǎng)之間建立了一個(gè)安全網(wǎng)關(guān)，有效地保障了內(nèi)網(wǎng)免受非法用戶的入侵，同時(shí)，防火墻還可以記錄Internet上的活動(dòng)，通過日志記錄信息，管理員可以有效地監(jiān)測(cè)和跟蹤服務(wù)器的通信量及試圖闖入者的任何企圖。對(duì)發(fā)生可疑動(dòng)作時(shí)，防火墻還可以進(jìn)行適當(dāng)?shù)膱?bào)警。虛擬專用網(wǎng)(VPN)是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，通過通訊加密，從而保障網(wǎng)絡(luò)訪問的安全性。學(xué)校通過VPN接入方式為校園網(wǎng)用戶提供了公網(wǎng)訪問校內(nèi)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的途徑。當(dāng)校園網(wǎng)用戶出差在外、或不在學(xué)校辦公和教學(xué)區(qū)時(shí)，用戶只要在能上公網(wǎng)的地方，使用相應(yīng)的VPN軟件和申請(qǐng)的賬號(hào)，就可以接入到校園網(wǎng)中，訪問校園網(wǎng)中的網(wǎng)絡(luò)資源或進(jìn)行網(wǎng)絡(luò)辦公。方便用戶的同時(shí)也有利地保障了網(wǎng)絡(luò)安全。入侵檢測(cè)系統(tǒng)(IDS)具有網(wǎng)絡(luò)監(jiān)視功能，通過分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來判斷破壞系統(tǒng)和入侵事件的類型，檢測(cè)非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。通過入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)管理人員能夠更好地掌握系統(tǒng)的情況，追蹤攻擊者的攻擊線路抓住肇事者，從而使現(xiàn)有的安全防護(hù)體系更完善。2．4加強(qiáng)網(wǎng)站日常維護(hù)。安排和配置專業(yè)技術(shù)人員從事網(wǎng)站的日常管理維護(hù)工作，加強(qiáng)對(duì)網(wǎng)絡(luò)、網(wǎng)站服務(wù)器、網(wǎng)絡(luò)安全設(shè)備、殺毒軟件、防火墻等的維護(hù)和升級(jí)。同時(shí)，制定嚴(yán)格的規(guī)章制度，責(zé)任要落實(shí)到人，管理要到位，建立建全安全應(yīng)急響應(yīng)和處理預(yù)案。此外，采取多種備份方式并定期備份系統(tǒng)和網(wǎng)站數(shù)據(jù)，以便出現(xiàn)問題時(shí)能及時(shí)恢復(fù)。定期檢查服務(wù)器日志，檢查服務(wù)器及網(wǎng)站運(yùn)行狀態(tài)，發(fā)現(xiàn)網(wǎng)站異常或有入侵現(xiàn)象，進(jìn)行即時(shí)的安全處理，防止問題進(jìn)一步擴(kuò)大。

3結(jié)語

隨著信息安全技術(shù)不斷發(fā)展，高校網(wǎng)站面臨的安全威脅也在不斷變化中，為保障正常的教學(xué)、管理，應(yīng)不斷地提高網(wǎng)站建設(shè)水平，加強(qiáng)網(wǎng)站安全防護(hù)，增強(qiáng)網(wǎng)絡(luò)專業(yè)技術(shù)人員的技術(shù)水平和安全防護(hù)意識(shí)，從而才能將網(wǎng)站安全威脅降至最低，保障其正常平穩(wěn)地運(yùn)行。

作者:耿娟平 單位:北華航天工業(yè)學(xué)院