淺析教育系統網站安全威脅與應對策略

鄭州

（重慶市教育信息技術與裝備中心，重慶 400020）

隨著計算機網絡的快速普及，與我們息息相關的眾多信息都通過網站這一載體進行存儲和傳遞，各行各業都對網站系統依賴程度越來越高，特別是近年教育信息化建設的逐步深入，“數字校園”建設蓬勃開展，各教育機構的教務工作對信息系統的投入越來越大，教育系統網站已從一個簡單的信息發布、形象展示，逐步轉變為匯集招生就業、遠程教育、資源共享、教學研究、繼續教育、招標采購等功能的綜合性業務應用平臺。都在大力進行教育網站業務建設的同時，各教育系統在安全保障的建設上出現了嚴重缺失，網站掛馬、網頁篡改、DDOS攻擊等威脅網絡安全的事件呈逐年上升的趨勢，以2010年高招為例，2010年5月14日一天內，全國128所高校被集體掛馬，其中不乏名牌重點高校，這一數字已超過2009年全年掛馬數，近幾年全國各級各類教育行政部門的網站應用系統也成為黑客爭先攻擊的重點，修改考試成績、騙取認證證書、篡改報名信息等事件屢有發生，攻擊者有利可圖，在巨大經濟利益的驅使下，教育系統網站已經逐漸成為黑客關注的新目標，因此教育系統網站安全保障工作已經迫在眉睫。

一、教育網站典型安全威脅來源

教育網站的建設主要包括各級教育行政部門、各類學校以及其他教育機構，用卡爾薩根“魔鬼出沒的世界”這句話來形容教育網站目前所處的惡劣安全環境是再合適不過了。針對當前信息化技術的發展，當前比較典型的網站安全威脅主要分為外部攻擊和內部威脅，據統計，外部攻擊幾乎占整個網站安全事件的70%左右，內部威脅占到整個網絡安全事件的30%左右，其攻擊方式主要有以下幾種：

1.外部攻擊

（1）跨站腳本攻擊

跨站攻擊，即Cross Site Script Execution(通常簡寫為 XSS)，是指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，通過插入掛馬代碼盜取用戶瀏覽會話中諸如用戶名和口令（可能包含在Cookie里）的敏感信息，再利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。

（2）信息泄露

信息泄漏是攻擊者通過應用系統部署時沒有將注釋去掉、應用系統部署時沒有正確地配置服務器程序等方式獲得應用系統某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務器程序的錯誤信息進行攻擊。信息泄露的危害：遠程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進一步的攻擊。

（3）SQL 注入攻擊

SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經驗參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。值得注意的是SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區別，所以目前市面的防火墻都不會對SQL注入發出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發覺。SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況，需要構造巧妙的SQL語句，從而成功獲取想要的數據。

（4）越權攻擊

越權攻擊是由于程序員對頁面的訪問權的檢測不完善而造成的，使入侵者不需得到用戶或管理員的密碼即可訪問只有特定用戶或管理員才能訪問的頁面的一種漏洞。越權攻擊最早出現在2000年左右，最初以流行的“聊天室踢人大法”出現，就是利用訪問某些對用戶權限檢測不完善的聊天室程序的負責踢人的頁面來達到任意踢人的目的，不過這種越管理員權限的漏洞通常比較隱蔽，尤其是對非開源的程序，大多只能憑經驗來猜。 再一種越權，我們可以稱之為“越步越權”，這類漏洞針對的是某些需要N個步驟完成的過程，第X步沒有檢測是否完成了X-1步而使攻擊者可以跳過第X-1步。這種漏洞常出現在找回密碼的程序中，最后驗證完畢修改密碼的頁面只是把要修改的用戶名以隱藏域的方式放在了網頁中，但是下一步沒有進行相關檢測導致攻擊者可以修改任意用戶的密碼。

（5）DDOS 攻擊

DDOS全名是Distributed Denialof service (分布式拒絕服務攻擊)，很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊，DDOS最早可追溯到1996年初，在中國2002年開始頻繁出現，2003年已經初具規模。DDOS攻擊通過制造偽造的流量數據，使被攻擊的服務器、網絡鏈路或是網絡設備（如防火墻、路由器等）負載過高，從而最終導致系統崩潰，無法提供正常的服務。

2.內部安全威脅

（1）人為管理失誤

人為的無意失誤是造成網絡不安全的重要原因。網絡管理員在這方面不但肩負重任，還面臨越來越大的壓力，稍有考慮不周，安全配置不當，就會造成安全漏洞。黑客往往會通過人們安全意識低、不及時更新修復系統漏洞、對信任的網站和文件不謹慎對待等特點，對網站進行入侵，沒有健全的安全機制、對危機處理反應速度慢等都給黑客留下入侵的時機，對郵件、聊天信息等信息的傳遞沒有提高警惕，也給黑客入侵提供了傳播途徑。

（2）安全意識低

雖然信息技術在飛速地發展，但是網絡的安全問題卻一直都存在，其中很重要的一點就是我們對黑客入侵的安全防范認識還不夠，用戶安全意識還不強，不按照安全規定操作，如口令選擇不慎，將自己的網站用戶賬戶隨意轉借他人或與別人共享，都會對網絡安全帶來威脅。這是一種非代碼的入侵方式，不通過計算機網絡、黑客技術等進行入侵，這種入侵實際上是一種利用攻擊用戶心理弱點來騙取目標重要信息的方式，這種入侵方式簡單，應用廣泛，應當引起網絡安全管理員和網站用戶的重視。

二、教育網站安全問題應對措施

圍繞教育網站所承載的業務特點以及面臨的典型威脅，結合現在 《國家信息安全等級保護制度》的有關要求，通過對網站進行外部的過濾防護、內部的Web服務保護、操作系統內核加固等環節的安全建設，并在運維階段加強信息安全管理，方可有效保障教育網站的信息安全，滿足國家、行業主管機構的監管要求；保證重大事件（如在線錄取、在線考試、證書頒發）期間的網站安全，維護網站運營主管單位的形象和聲譽，提高網站的安全運維效率。

結合網站安全威脅的主要問題，我們應對的主要思路應該是：以教育網站面臨的威脅風險為設計核心，從威脅產生的來源進行全方位的立體防御，有效地解決教育網站安全內外威脅，不留短板，不留軟肋，從而提高教育網站的整體安全性。其主要防護手段包括外部過濾防御、Web服務安全、操作系統安全和管理使用安全等幾個方面，如圖1所示。

1.外部過濾防御

外部的過濾防御主要通過風險事前預警、風險事中防護、風險事后處理等積極主動方式來實現教育系統網站安全風險全流程控制。

（1）風險事前預警

圖1 網站安全防護架構拓撲圖

目前對網站新漏洞、網頁被掛馬等狀況，絕大多數網站建設和運維者并不能及時察覺。增設Web應用防火墻后，可圍繞具體業務類采用針對性比較強的Web安全自動化檢測，定期或不定期地對網站安全問題進行檢測，可分為預警檢測和事后檢測兩方面。

我們以重慶市教委為例，2011年11月，重慶市教委機關網絡機房已根據自身實際情況成功地部署了“Web應用防火墻”，通過硬件加固的方式，對Web服務器的多種項目（包括潛在的危險文件/CGI以及多個服務器版本上的特定問題等）進行了全面的檢測，還可以對Web服務器、應用服務器、數據庫服務器的配置進行定期檢查，確保服務器的配置正確，對后臺數據庫進行安全基線審計，對一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊（Directory traversal）、身份驗證頁上的弱口令長度等進行技術層面的驗證，有效地防止網頁篡改、網頁掛馬等安全事件的發生。

（2）風險事中防護

一是網頁篡改在線防護。

按照網頁篡改事件發生的時序，提供事件中防護以及事后補償的在線防護保護機制。通過防篡改發布系統，事中，實際過濾HTTP請求中混雜的網頁篡改攻擊流量（如 SQL注入、XSS等）； 事后，自動監控網站所有保護頁面的完整性，檢測到網頁被篡改，第一時間對管理員進行短信告警提示，對外仍顯示篡改前的正常頁面，用戶還能繼續正常訪問網站。

二是網頁掛馬在線防護。

網頁掛馬是一種相對比較隱蔽的網頁篡改方式，本質上這種方式也破壞了網頁的完整性，網頁掛馬攻擊目標為各類網站的最終用戶，網站作為傳播網頁木馬的“傀儡幫兇”，嚴重影響網站的公信力。加裝防篡改發布系統后，可有效地進行掛馬在線防護，當用戶請求訪問某一個頁面時，會對服務器側響應的網頁內容進行在線檢測，判斷是否被植入惡意代碼，并對惡意代碼進行自動過濾。

三是敏感信息泄露防護。

Web應用防火墻通常會提供自定義非法敏感關鍵字過濾功能，站點在信息發布時可能包含一些不在正常網站數據目錄樹內的URL鏈接，提供細粒度的URLACL，防止這些鏈接非授權訪問。對其進行自動過濾，防止非法內容發布給公眾瀏覽，識別并更正Web應用錯誤的業務流程，識別并防護敏感數據泄露，滿足內容合規與審計要求。

四是智能應用層DDOS攻擊防護。

面對各類寬帶及資源耗盡拒絕服務攻擊，如對SYNFLOOD這種常見攻擊行為，Web應用防火墻能夠有效地進行識別，并實時對攻擊流量進行阻斷，確保Web業務的可用性及連續性。

（3）風險事后安全恢復

當前防篡改系統與Web應用防火墻的并用，對于網站發生的攻擊行為能夠做到有效的并網審計，具有豐富的日志報表，借助圖形化的方式來做數據的統計分析。對于攻擊能夠做到發起的地區，使用什么樣的系統、訪問了哪些資源、做了哪些破壞行為，可實時分析，進行自定義事件查詢。

2.Web應用服務保護

（1）動態網頁腳本保護

當前教育網站越來越多地使用動態技術來輸出網頁。動態網頁由網頁腳本和內容組成，網頁腳本以文件形式存在于Web服務器上，動態網頁腳本與靜態網頁一樣，極易受到攻擊和篡改。隨著技術發展，防護網站篡改模塊越來越受網站安全管理員的認可，它通常采用文件驅動級技術，可直接從Web服務器上得到動態網頁腳本，不受變化的內容影響，能夠像靜態網頁一樣保護動態網頁腳本。

（2）連續篡改攻擊保護

對于大規模連續的篡改，防篡改系統檢測到首個非法操作后就會阻斷其后連續的篡改操作，系統針對來源和操作行為，提前終止其后續篡改操作請求，系統在底層完成這些措施并不會將這些大規模連續篡改請求發送到上層應用，極大地降低了應用程序的處理負擔，有效地提高了應有的工作效率。

（3）服務器安全運行可靠性管理

防篡改模塊一般可以監控服務器上當前的運行狀態，監視服務器CPU、內存、網絡流量、服務等，并能夠有效地防護，通過設置的閾值及時向用戶提供報警信息，使用戶能夠及時響應意外事件，并通過設置進程的黑白名單來防止服務器被植入后門木馬等程序。

3.操作系統內核安全加固

網站后臺管理模塊可將超級用戶當做一般用戶看待，即超級用戶也無法越過后臺管理模塊的安全屏障去訪問未經授權的文件，這樣有效地防止了敏感數據的泄露，也可以防止由于超級用戶誤操作而帶來的損失，即使黑客取得了超級用戶管理權限，也無法突破后臺管理模塊的安全策略、訪問敏感數據資源。

4.內部用戶管理使用安全

（1）軟硬件資產管理

通過強化用戶的入網注冊機制、IP和MAC地址網絡地址管理、網卡管理等功能，有效地規范網內終端注冊管理機制。通常用戶上網行為管理系統能夠較好地實現包括外設在內的硬件狀態信息（具體包括客戶端計算機名，CPU型號及主頻、內存大小、硬盤、光驅、鍵盤、鼠標、主板、操作系統及版本、IE瀏覽器及版本等）、軟件狀態信息 （客戶端補丁安裝情況、應用軟件等）、連網情況信息、資產禁用、資產信息的追蹤與報警、端口等管理。

（2）終端桌面安全加固

對客戶終端安全軟件資源進行統一監控，內部網絡管理員可根據條件查詢指定軟件和違規軟件的安裝情況，對違反規定而致安全防護措施薄弱的客戶端進行提示和斷網等處理，以此提醒或者切斷可能成為傳染源的主機，防患于未然，確保網站內部安全。特別是要加強對防病毒軟件安裝及版本的檢查，了解網絡中的殺毒軟件安裝狀況，必要時通過部署的上網行為管理系統強制為客戶端安裝防病毒程序，保護主機免受潛在的威脅侵害。

系統用戶密碼的脆弱可能導致計算機內重要信息的丟失，而一般用戶重視程度不足，設置密碼過于簡單甚至沒有設置密碼，因此使他人可以輕易進入到本機系統，進行不安全操作或者竊取重要信息。因此配置符合保密要求的密碼策略尤為重要，可以通過對口令長度、屏保密碼等有效地保障系統登錄口令安全。

（3）升級補丁分發管理

內部網絡大多客戶端用戶對補丁升級認識不夠，極易成為攻擊的致命環節，網絡管理員可以通過安防系統或行為管理系統集中進行補丁安全認證、補丁測試、補丁發放、補丁分發安裝等操作，將認證后的補丁通過統一管理平臺向用戶網絡終端進行配送；確保用戶最終應用補丁的安全性，逐步形成一個統一、穩定、及時的補丁分發機制，避免由于終端脆弱性而導致的惡意入侵及病毒傳播，同時合理控制網絡流量，防范擁塞，有效保障專網的正常穩定運行。

（4）用戶行為監控審計

在內部網絡部署上網行為管理系統的目標在于，將安全防范的重點從設備本身轉移到設備的使用者——終端用戶行為上，通過技術手段使各種管理條例落實，增強用戶的安全和保密意識，保護內部的信息不外泄。通過對用戶上網訪問行為、各種文件操作、網絡文件輸出等行為進行監控，并對審計結果提供詳實的報表，有效地保障了信息安全，規范了人員的安全上網行為，強化了安全意識。

隨著網站建設技術的日新月異，面對規模越來越龐大和復雜的網絡環境，僅依靠傳統的網絡安全方式來保證網站系統安全和暢通，顯然已經不能滿足當前網絡的可管、可控的要求，因此以終端準入解決方案為代表的網絡管理軟件開始逐步融合進網站整體的安全防護解決方案中，以逐步取代單純意義上的單個安全硬件的作用。網站安全威脅將隨著技術不斷發展呼喚新的安防措施，只有通過不斷提高網站建設人員的技術能力、加強網絡安全防護軟硬件規劃投入和科學地使用管理維護策略，才能將日趨嚴峻的教育系統網站安全威脅風險降到最低。

[1]高校門戶網站如何保障安全的報告[R].中國綠盟信息中心，2010.

[2]梁斌.黑客攻擊網站常用的技術及方法[J].中國高新技術企業，2011，（8）：78-79.

[3]沈蘇彬.網絡安全原理與應用[M].北京：人民郵電出版社，2005：51-60.

[4]從2011年司法考試“泄題疑云”看教育信息安全[DB/OL].http://www.asmag.com.cn/article/article_detail.aspx?aid=45924.

[5]孫鐵，何財發.高手支招之高校網站如何保安全[DB/OL].http://netsecurity.51cto.com/art/201007/213081.htm.