Web時代高校網絡應用安全問題研究

莊生虎 吉軍義 雷永鵬

陜西廣電網絡傳媒股份有限公司延安分公司，陜西延安 716000

Web時代高校網絡應用安全問題研究

莊生虎 吉軍義 雷永鵬

陜西廣電網絡傳媒股份有限公司延安分公司，陜西延安 716000

隨著高校信息化校園建設的逐步發展，大學校園網在教學、科研、管理等方面，web應用越來越普及，以及學生區上網用戶的逐漸增加，校園網運行和管理所面臨的安全問題也就越來越突出，這將嚴重阻礙大學信息化建設的步伐。本文通過分析校園網安全問題的主要特點及產生的根本原因，提出了基于Web環境下，布置Web應用防火墻或IPS加強校園網安全防范的幾項建議和策略。

校園網；網絡安全；防火墻；安全技術

隨著高校信息化進程的推進，基于Web環境下的應用越來越普遍，高校在信息化進程中將多種應用架設在Web平臺上。如網絡管理、計費認證、學院的網站、入侵防御檢測系、OA系統等。這些應用的功能和性能都不斷完善和提高，然而對安全卻沒有足夠重視。黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對 Web 應用的攻擊上，接踵而至的卻是Web安全威脅的凸顯。為此建立并完善以安全策略為核心，以安全技術為支撐，以安全管理和安全培訓為重點的校園網安全防范體系，是確保校園網安全、穩定運行的重要舉措之一。

1 校園網安全的定義和存在的問題

1.1 校園網網絡安全的定義

校園網網絡安全是指校園網信息系統和信息資源不受自然和人為有害因素的威脅和危害。廣義的校園網網絡安全包括實體安全、運行安全、數據安全、軟件安全和通信安全等。其中，實體安全主要是指校園網硬件設備和通信線路的安全，自然和人為危害等因素，信息安全包括數據安全和軟件安全,其威脅主要來自信息破壞和信息泄漏。狹義的校園網網絡安全是指校園網網絡的信息安全，凡是涉及網絡上信息的保密性、完整性、可用性、真實性、可控性的相關技術和理論[1]。

1.2 校園網安全存在的安全問題

隨著各個高校的擴招和學校信息化學校園建設的發展，學校規模不斷擴大，高校的網絡結構也日趨復雜化，下面就以我校為例，分析校園網絡Web應用網絡所臨的安全隱患。

目前校園網對Web應用逐漸地增多，對網絡的安全的要求也是越來越高，從目前的應用來看，網絡安全主要源于面臨的三個問題。

第一種，拒絕服務攻擊。

這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。攻擊者向被攻擊服務器發送一個包含SYN（同步報文）標志的TCP報文，結果往往是堆棧溢出崩潰—— 即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小)，此時從正?？蛻舻慕嵌瓤磥恚掌魇ロ憫?，這種情況也叫服務器端受到了SYN Flood攻擊或SYN洪水攻擊。這給服務器的安全帶來了極大的威脅。

第二種，針對校園網的Web應用后臺數據庫的更改，泄密和破壞。

攻擊者試圖通過注入SQL代碼來尋找網站等應用的數據庫的漏洞,并獲得相應的權限。如果攻擊成功,他就能夠登錄到后臺數據庫并在其中植入惡意代碼。攻擊者并沒有針對某個特定的漏洞,而是主要通過SQL注入引擎自動搜索使用SQL數據庫的網站并進行攻擊。他首先在目標網站上植入惡意代碼,然后再通過瀏覽器感染瀏覽該網站的用戶。導致企業內部的數據損失或者是被更改。攻擊仍在繼續,即使它無法在目標站點內植入惡意程序,但是仍可以讓許多網站癱瘓。由于采用了非常強的SQL注入攻擊手段,因此將會給很多目標網站帶來不可逆轉的破壞[2]。SQL注入已經成為學校校園網網絡安全的一大隱患。

第三種，跨站掛馬或者叫做跨站腳本攻擊。

所謂的跨站掛馬，就是一種往數據庫里插入特定惡意代碼的一種攻擊技術，它被稱為“XSS”或“CSS”，跨站攻擊的英文是Cross-Site Scripting，簡稱為CSS。為了與層疊式樣式表區分，現在普遍叫做XSS。通過別人的網站腳本漏洞達到攻擊的效果，就是說可以隱藏攻擊者的身份，因此叫做跨站攻擊?？缯竟艨梢院唵蔚木褪鼓愕捻撁娌季只靵y不堪，而更嚴重的是，可以寫入html代碼，當有人訪問這個WEB程序下的某個頁面時，惡意代碼就會混雜在正常的代碼中發送給瀏覽者，從而導致瀏覽器執行相應代碼，因此達到攻擊網站的目的。

Web應用面臨的主要攻擊和威脅，后兩種居多。

2 校園網應用服務的安全防范措施

2.1 安全防范策略

總體思路制定合理、符合數字化校園建設規模的校園網安全與防范整體規劃；按照總體規劃，逐步實施并完善,穩步推進網絡安全與防范工作的實施，設計原則面對復合式的攻擊和病毒的侵擾，利用單一技術去防范復雜構架的校園網的安全威脅，或者通過利用昂貴的整體防護產品去架構校園網的安全平臺，對于校園網都是不現實的[3]。為此，校園網安全策略的制定必須從兩個方面、三個層面上展開,即在內、外網結合和內網方面采取不同的對策；在內網上必須從用戶類別和管理角度出發,按照中心管理進行分布式安全防護。

2.2 管理員對校園網應用安全的防范和管理

校園網只是一個平臺，在校園網的基礎上，要運行多個服務，那么這些服務怎樣才能保證是安全的，首先要考慮的就是設計和管理的安全問題。針對以上三種常用的對服務器的攻擊，從用戶和管理角度來講，可以采用以下三種防范策略。

2.2.1 拒絕服務攻擊的防范

應用服務器的管理員作為服務器的管理者，可以從主機與網絡設備兩個角度去考慮。主機上的設置基本的有幾種：關閉不必要的服務；限制同時打開的Syn半鏈接數目；縮短SYN半連接的time out 時間；及時更新系統補丁； 網絡設備上的設置 校園網的網絡設備可以從防火墻與路由器上考慮。這兩個設備是到外界的接口設備，在進行防DDoS設置的同時，要注意一下這是以多大的效率犧牲為代價的，對這個校園網來說是否值得。

2.2.2 SQL注入攻擊的防范

校園網的服務器的應用比較多，在部署的時候，要做到預防為主，主要有以下幾個方面。不要讓數據庫和Web服務器放在同一臺計算機上；配置可信任的IP接入和訪問；從數據庫服務器上移除所有的示例腳本和應用程序；為每一個應用程序的數據庫連接賬戶使用一個專用的低特權賬戶。不要使用sa、dba、admin；不要準許用戶或應用程序直接訪問數據庫表；從生產數據庫中移除未用的存儲過程；將對應用程序的訪問僅授權給用戶創建的存儲過程。

而且要和服務器上的軟降的開發人員探討，開發質量和安全性較高的軟件產品。因為程序的設計和開發人員肩負著保障Web應用程序安全的重要責任。

2.2.3 跨站掛馬的防范措施

跨站掛馬是攻擊者利用服務器主機上的跨站漏洞，向服務器的數據庫里插入特定惡意代碼的一種攻擊技術。所以應該做：在WEB瀏覽器上禁用JavaScript腳本；開發者要仔細審核代碼，對提交輸入數據進行有效檢查，如"＜"和"＞"，可以把"＜"，"＞"轉換為＜，＞。

2.3 利用防火墻和IPS硬件防護

在校園網的路由器和服務器之間。加入硬件防火墻和入侵防御系統（IPS），加強對校園網內部的防護能力。防火墻會在Web服務器前的應用層對HTTP流量進行檢查。這些設備可以檢測一個鏈接，分析用戶對應用程序發出的命令。然后就可以分析出哪些是已知攻擊，哪些是標準應用的演變。

Web應用防火墻(Web Application Firewall，WAF)與IPS、安全設備最是不同的，從技術層面講，IPS是深度的包檢測的產品，屬于高級的網絡防火墻。IPS所保護的不僅僅是Web應用，IPS的檢測是非常嚴格和標準化的，就導致一個問題，它對整個單純的Web應用，包括SQL 注入的檢查不是很專業，所以Web應用防火墻和IPS相比，它是更專業的基于Web防護的系統。

Web應用防火墻主要有這三方面的功能，網站隱身。安全檢查。應用加速。也就是說Web應用防火墻在整個用戶眼里是透明的，但是它做了兩個工作，又檢查又加速。能真正起到保護校園網內部應用服務器的目的。

3 總結

本本主要針對校園網應用服務器，先分析了面臨的諸多問題，然后提出了從用戶角度來講幾種防范和處理的辦法，以及用硬件防火墻構造更加安全的防護。解決方案已經我院的校園網使用3年，運行效果良好，工作量和以前相比大幅降低。當然網絡安全是動態的、整體的,并不是簡單的安全產品集成就可以解決問題。隨著時間推移，新的安全風險又將隨著產生。因此，一個完整的安全解決方案還必須包括長期的、與系統相關的信息安全服務。

[1]王繼成.大學校園網的網絡安全與防范策略[J].沈陽:農業大學學報.2007,9(5):727-729

[2]華馳.SQL注入給網絡安全帶來的隱患及解決方法[J].教育信息化. 2006, (07)

[3]王棟.大學校園網網絡安全問題的分析與對策[J].蘭州.甘肅聯合大學（自然科學版）. 2010年7月第四期.第64頁

10.3969/j.issn.1001-8972.2011.12.047