高校門戶網站WEB安全問題分析及解決思路

朱朝陽 王厚奎

［摘要］校園網在高校數字化、信息化過程中發揮著越來越重要的作用。同時，隨著校園網規模的不斷擴大，高校門戶網站安全問題日益突出。目前高校門戶網站安全存在許多問題，要解決這些問題，必須建立主動的安全檢測機制，進行有效的入侵防護，建立及時響應機制。

［關鍵詞］高校門戶網站 WEB安全網頁篡改網站掛馬

［中圖分類號］G473.8［文獻標識碼］A［文章編號］2095-3437（2012）01-0027-02

一、背景情況

校園網在高校數字化、信息化過程中發揮著越來越重要的作用。同時，隨著校園網規模的不斷擴大，高校門戶網站所面臨的安全形勢越來越嚴峻，越來越多的高校重要門戶網站或WEB辦公系統被滲透。據統計，現在對網站成功的攻擊中，超過7成都是基于Web應用層，而非網絡層。前不久OWASP （Open Web Application Security Project）機構發布了“2011年十大Web安全漏洞”，XSS和SQL注入漏洞排名前兩位，是目前存在最為普遍，利用最為廣泛，造成危害最為嚴重的兩類Web漏洞。然而，識別并阻止基于Web漏洞的攻擊，僅靠漏洞掃描、網絡訪問控制、病毒檢測防護等傳統安全措施是難以做到的。針對新的網站安全威脅，我們應該保持足夠的緊迫性，并采取有效措施積極應對。

二、高校門戶網站WEB安全現狀分析

隨著Web應用技術的深入普及，基于Web漏洞的攻擊更容易被利用。高校門戶網站最常見的安全問題包括被搜索引擎定義為惡意高校門戶網站、高校門戶網站掛馬、SQL注入攻擊、跨站點腳本攻擊等。

（一）被搜索引擎定義為惡意高校門戶網站

搜索引擎是用戶廣泛使用的搜索工具。高校門戶網站一旦被搜索引擎定義為惡意網站，必然使高校門戶網站的聲譽受到影響。主要表現在高校門戶網站排名權重降低；點擊高校門戶網站時被警告“訪問該高校門戶網站可能會損害您的計算機”；更有甚者，用戶在打開該高校門戶網站時，會引起死機、信息被盜等風險。

（二）網頁掛馬

掛馬是指黑客入侵了一些高校門戶網站后，將自己編寫的網頁木馬嵌入被黑高校門戶網站的主頁中，利用被黑高校門戶網站的流量將自己的網頁木馬傳播開去，以達到不可告人的目的。網頁被掛馬，在一定程度上可以說是網頁被篡改，但是比較隱蔽，危害卻更大，嚴重影響到高校門戶網站的公眾信譽度，從而使廣大用戶對高校門戶網站的信心受挫。

（三）SQL注入攻擊

SQL 注入攻擊是黑客對數據庫進行攻擊的常用手段之一。由于從事高校門戶網站開發的程序員水平和經驗參差不齊，相當大一部分程序員在編寫代碼的時候，僅僅關注功能的完成，沒有對用戶輸入數據的有效性進行校驗。惡意攻擊者可以在高校門戶網站上提交一段數據庫查詢代碼，獲得某些他想得知的數據，甚至整個數據庫表。SQL注入是從正常的WW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區別，所以目前市面的防火墻很難對SQL 注入發出警報，如果管理員沒查看日志的習慣，可能被入侵很長時間都不會發覺。如果被注入，會被竊取數據、修改數據，對高校門戶網站來說，會發生敏感信息泄露、正常的頁面被篡改等情況。

（四）跨站點腳本攻擊

跨站點腳本漏洞是指惡意攻擊者往Web頁面里插入惡意腳本代碼。當用戶瀏覽網頁時，嵌入頁面中的腳本代碼會被執行，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。對于存在跨站點腳本漏洞的高校門戶網站，惡意攻擊者往往利用高校門戶網站的公信度，通過及時通訊工具、電子郵件發送通知等手段引導用戶訪問鏈接，從而達到竊取用戶資料的目的。

三、高校門戶網站WEB安全問題總結及防護解決思路

通過對高校門戶網站安全現狀的分析，我們了解到，就客觀環境而言，高校門戶網站所處的威脅環境已經日益惡化，就主觀方面來講，造成目前攻擊事件不斷發生的深層次原因到底是什么？針對這些問題，我們要怎么應對呢？

（一）高校門戶網站安全問題總結

高校門戶網站安全形勢堪憂，究其原因，主要是因為存在以下幾個方面的問題：

1.大多數高校門戶網站設計，只關注正常應用，未關注代碼安全

一個高校門戶網站設計者更多地考慮滿足用戶應用，如何實現業務，很少考慮高校門戶網站應用開發過程中所存在的漏洞。這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見，大多數高校門戶網站設計開發者、高校門戶網站維護人員對高校門戶網站攻防技術的了解甚少。在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發覺和充分利用的動力下，高校門戶網站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機會。對于Web應用程序的SQL注入漏洞，有試驗表明，通過搜尋1000個高校門戶網站取樣測試，檢測到有11.3%存在SQL注入漏洞。

圖1 是針對某高校門戶網站漏洞掃描結果，結果表明該高校門戶網站存在SQL注入等漏洞。

2.黑客入侵后，未及時發現

有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平。但篡改網頁之前，黑客肯定基于對漏洞的利用，獲得了高校門戶網站的控制權限。可怕的是，通常黑客在獲取高校門戶網站的控制權限之后，并不暴露自己，而是持續利用所控制高校門戶網站產生直接利益。如網頁掛馬就是一種利用高校門戶網站，給訪問者種植木馬的一種非常隱蔽且直接獲取利益的主要方式之一。被種植木馬的網站通常是在不知情的情況下，被黑客竊取了自身的機密信息。這樣，高校門戶網站成了黑客散布木馬的一個渠道：高校門戶網站本身雖然能夠提供正常服務，但高校門戶網站的訪問者卻遭受著持續的危害。圖2 是某網頁木馬監測信息。

3.高校門戶網站防御措施滯后，甚至沒有真正的防御

高校門戶網站防御不佳的另一個原因是，有很多高校門戶網站管理員對高校門戶網站的價值認識僅僅是一臺服務器或者是高校門戶網站的建設成本，認為為了這個服務器而增加超出其成本的安全防護措施是得不償失的。而實際高校門戶網站遭受攻擊之后，帶來的間接損失往往不能用一個服務器或者是高校門戶網站的建設成本來衡量，很多信息資產在遭受攻擊之后造成無形價值的流失。不幸的是，很多擁有高校門戶網站的組織和個人，只有在高校門戶網站遭受攻擊，造成的損失遠超過高校門戶網站本身造價之后才意識高校門戶網站安全問題的嚴重性。

4.發現安全問題不能徹底解決

高校門戶網站技術發展較快、安全問題日益突出，但由于關注重點不同，絕大多數的高校門戶網站開發與設計公司對高校門戶網站安全代碼設計方面了解甚少。發現高校門戶網站安全存在問題和漏洞，其修補方式只能停留在頁面修復上，很難針對高校門戶網站具體的漏洞原理對源代碼進行改造。這也是為什么有些高校門戶網站安裝網頁防篡改、高校門戶網站恢復軟件后仍然遭受攻擊的原因。

（二）高校門戶網站安全問題解決思路

事實表明，若要解決新形勢下高校門戶網站的安全問題，需變被動應對為主動關注，實施積極防御。這就需要以一個全面的視角看待高校門戶網站的安全問題，并依靠各個方面的相互配合，對高校門戶網站安全做到心中有數，防護有方。具體的思路如下：

1.建立主動的安全檢測機制

面對Web應用的威脅，我們缺乏有效的檢查機制，因此，首先要建立一個主動的高校門戶網站安全檢查機制，確保對高校門戶網站安全情況的及時獲知——是否已經遭到攻擊，是否還存在被攻擊的風險。

2.進行有效的入侵防護

面對Web應用的攻擊，我們缺乏有效的檢測防護機制，因此，需要部署針對高校門戶網站的入侵防護產品，加強高校門戶網站防入侵能力，能夠對高校門戶網站主流的應用層攻擊（如SQL注入和XSS攻擊）進行防護。

3.針對高校門戶網站安全問題，建立及時響應機制

面對Web應用程序漏洞和已經造成的危害，我們缺乏恢復的機制和足夠的技術儲備。因此，需要確立專業支持團隊的外援保障，解決及時響應問題，在高校門戶網站安全問題被驗證后，能確保對高校門戶網站進行木馬清除以及針對web漏洞的安全代碼審核修補等工作。

通過以上3個環節的有機結合，方可建立一套有檢測、有防護、有響應的高校門戶網站安全保障方案，確保高校門戶網站在新威脅環境下安全運營。

隨著校園網絡的發展, 技術的進步, 校園網絡安全面臨的挑戰也在增大。校園網的WEB應用越來越廣泛, 網絡安全問題也日益嚴重，安全問題也變成了校園網的熱點和難點問題。學校應當給予足夠的重視，在資金、人員配備、設備更新等方面給予大力支持, 使高校門戶網站運行更加安全、可靠、穩定。

［參考文獻］

［1］Lee D C.談利群，張文海等.網絡安全實踐［M］.北京:人民郵電出版社，2004.

［2］張千里，陳光英.網絡安全新技術［M］.北京:人民郵電出版社, 2003.

［3］崔曉雯.校園網的安全技術［J］.丹東紡專學報，2004，11（4）: 33～34.

［4］齊蕾.淺談校園網安全控制策略［J］.大眾科技, 2005,（4）: 45～46.

［5］段海新.校園網安全問題分析與對策［J］.中國教育網絡，2005，（3）: 22～25.

［6］王衛亞.計算機網絡安全設計與研究［D］.西安:長安大學， 2005.

［7］www.owasp.org.cn.