高校網站安全問題分析及防護對策研究

陳澤坤 李正武 呂偉民 陳波 童亞拉

摘 要 隨著高校網站在高校教學、科研、行政辦公等方面發揮著越來越重要的作用，所面臨的安全問題越來越多，本文跟據高校網站安全現狀，提出一些行之有效的解決方案。

關鍵詞 高校網站安全 高校網站防護策略 網絡技術

中圖分類號：TP 309 ?文獻標識：A

1高校網站安全現狀

網絡的飛速發展、網民數量的劇增以及日常生活的日益信息化，網站在生活中扮演了重要角色，同時，針對網站的攻擊也給網站帶來了極大的安全隱患。高校網站作為對外服務窗口，擁有獨立IP地址、域名和空間，各網站技術水平差異大，沒有網站群支持，更容易受黑客青睞，高校網站安全問題層出不窮。根據360互聯網安全中心公布的數據[1]，平均每個高校網站每天被攻擊 113 次（包括掃描等嘗試攻擊行為），被攻擊最多的網站最高可達每日上萬次。360網站安全檢測數據中，全國每天被篡改網站中，約20%是高校網站，解決高校網站安全問題刻不容緩。 目前，網站安全問題漸漸得到重視，各類研究成果發揮了重要作用，然而這些防護措施往往只能解決局部的問題。高校網站通常是由老師帶領學生來維護的，各種網站安全問題使學校網站安全工作難度加大不少。本文旨在找出高校網站存在的諸多安全隱患，并探討高效的解決對策。

2高校網站安全問題及成因全面分析

2.1硬件條件不足

部分高校由于網站投入經費有限，網站服務器的硬件配置，如CPU、芯片組、內存、磁盤系統、網絡等硬件條件較差，導致服務器運算能力、運行可靠性、外部數據吞吐能力及服務器的穩定性等不是很好，從而造成網站運行不穩定。

2.2存在多種安全漏洞

（1）操作系統web服務器系統漏洞;操作系統和web服務器系統存在多種漏洞，導致黑客攻擊，網站維護人員難以發現漏洞，及時維護。

（2）SQL注入漏洞;若網站對用戶輸入數據缺乏全面判斷或過濾不嚴格，黑客可以利用SQL語句在服務器上執行惡意程序，黑客可根據服務器會反饋信息盜取網站信息。

（3）腳本執行漏洞;主要原因是開發網站時對URL提交過濾考慮不足，某些惡意代碼可能隨用戶的URL一起提交，引起腳本攻擊。

（4）FTP/TCP/IP協議漏洞;由于FTP權限泄露或程序漏洞，網絡攻擊者在未經授權的情況下更改網站服務器系統內容進而破壞服務器系統。

（5）IIS漏洞;如MDAC執行本地命令漏洞、NT Site Sever Adsamples漏洞、ISMDLL緩沖截斷漏洞、IIS中的Unicode解析錯誤等。

（6）腳本應用程序漏洞;這類漏洞是用戶或代理人編寫的，由于編寫代碼者水平參差不齊，從而威脅網站安全。

2.3 網絡攻擊

2.3.1 蠕蟲、病毒和特洛伊木馬

網絡上的病毒可感染受信任主機，直接感染服務器或，可能滲入防火墻，侵襲高校網絡，這會對核心敏感數據造成嚴重威脅，甚至會導致網站服務中斷。

2.3.2 跨網站請求偽造

CSRF（Cross Site Request Forgeries）或XSRF，跨網站請求偽造。攻擊者偽造目標用戶的HTTP請求，然后發送到存在CSRF漏洞的網站，網站執行后，引發跨站請求偽造攻擊。攻擊者利用讓目標用戶單擊此鏈接。由于用戶自己點擊，且擁有合法權限，所以能執行特定HTTP鏈接，從而達到目的。

2.3.3 DDoS（Distributed Denial of Service）攻擊

DDoS攻擊就是利用合理的服務請求來占用過多的服務資源，使服務器、網絡鏈路或網絡設備超負荷工作，從而導致系統癱瘓，是一種可造成大規模破壞的黑客武器。

2.3.4 借助系統命令進行攻擊

該方法利用早期路由器對包的最大尺寸有限制，而且讀取包的標題頭后，根據該標題頭中信息，為有效載荷生成緩沖區，黑客便可利用內存分配錯誤的漏洞點，發動攻擊。

2.3.5“破解密碼”實施攻擊

密碼破解指的是未經授權登錄系統，采用各種方式計算或解出用戶口令的過程。攻擊者利用XIT、SLURPIE等程序，計算出登錄密碼，此時用戶并未察覺，防火墻無法發揮攔截功能，攻擊者能順利登錄計算機，創建管理員帳戶，快速植入后門程序等，當用戶發現時，程序已植入到系統中。

2.3.6通過系統“應用層”攻擊

程序員寫代碼時沒有發現并解決錯誤，導致應用程序暴露在隱式攻擊下。此時攻擊者可植入木馬程序，獲取該計算機上應用程序賬戶的許可權，創建管理員帳戶，破壞應用程序、數據。

2.3.7跨站腳本攻擊

攻擊者可借助Web網站存在XSS漏洞，攻擊瀏覽網頁的用戶，竊取用戶瀏覽會話中用戶名和密碼等敏感信息。用戶上網時會點擊鏈接，攻擊者在鏈接中插入惡意代碼，盜取用戶的信息。攻擊者常用十六進制鏈接編碼，避免用戶懷疑合法性。網站接收到請求后，產成含有惡意代碼的頁面，但此頁面看上去與合法頁面一樣。

2.3.8同步（SYN）攻擊

是DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量半連接請求。服務器接收到連接請求后，將此請求加入未連接隊列，并發送給客戶。服務器未收到確認包時重發，直到超才將此請求從隊列刪除。由于源地址不存在，服務器不斷重發直至超時，這將長時間占用未連接隊列，使正常請求被丟棄，從而系統運行緩慢，引起網絡堵塞甚至癱瘓。

2.3.9Web欺騙攻擊

就是打斷從被攻擊者主機到目標服務器間的正常連接，建立從被攻擊者主機到攻擊者主機再到目標服務器的連接。雖然被攻擊者主機的軟、硬件不會遭受損壞，但危害不可忽視。通過主機，攻擊者將獲知被攻擊者的一切行為。

2.3.10越權攻擊

這是由于應用系統對權限沒有嚴格區別，用戶的文件權限過濾不嚴格而帶來的。

2.3.11表單繞過攻擊

Web網站用表單收集訪問者的用戶名和密碼，被發送到Web服務器處理，然后，服務器端ASP腳本根據這些信息生成SQL指令語句提交到SQL服務器，最后通過分析SQL服務器的返回結果判斷該用戶名和密碼組合是否有效。表單繞過攻擊也就是針對表單存在的安全漏洞，通過構造某些畸形的特殊提交語句，繞過表單安全認證的攻擊手段，屬于SQL注入。由于網站對用戶輸入的字符沒有做相應的安全檢測，導致黑客在登陸表單時，可使用一些特殊字符，繞過認證體系，從而擁有合法用戶的權限。

2.4安全意識和管理制度

2.4.1網絡安全意識淡薄

目前高校每個部門都配有電腦，但使用者安全防范意識和防范病毒能力較差，部分高校沒有把網絡安全知識向學生和教職工普及到位，導致網絡攻擊者以用戶為目標入侵或破壞校園網。

2.4.2管理制度不完善

部分高校網站安全威脅來自管理者安全意識欠缺，管理機構不健全，如管理員密碼被多人得知等安全隱患。

3高校網站防護策略探討

3.1高校網站防護策略

網站文件安全防護應該是建站初始就應考慮的問題：

（1）黑客攻擊網站，主要需要保護的是admin文件，里面包含后臺程序和數據庫，為做好防護工作必須做到不要在頁面上留下后臺入口鏈接，隱藏后臺文件夾;數據庫名字盡可能復雜，加大數據庫名字匹配難度;設置文件夾訪問權限，讓外網無法訪問后臺文件。

（2）網站的密碼保護要從四個方面著手：后臺密碼應采用加密算法;數據庫設置密碼;空間域名的管理密碼要復雜，并常更換;改掉萬能密碼等。

（3）防注入代碼插入，黑客注入攻擊時會提示非法字符。

此外，為使網站防護能力得到提升，還須做到：WEB應用防火墻策略，使用網絡協議分析技術，結合其它防護技術，對SQL注入、命令注入、目錄穿越、跨站點腳本攻擊等攻擊進行有效防護。應用層檢測技術防護策略，對HTTP協議參數進行識別和防護，做到超精細度防護。對動態、靜態網頁實時檢測與防護，對整個站點爬行檢測，發現頁面被篡改，采用重定向方式實現主動恢復并警報，記錄防篡改日志?？笵DoS網關防護策略，針對TCP、HTTP等協議，定義各種防御閾值。通過流量自學習功能幫助管理員配置DoS策略，以適應不同網絡環境。雙向過濾防護策略，針對源地址、源端口、目的端口、目的地址、協議類型進行訪問控制，避免數據中心和服務器敏感信息暴露，降低以服務器作跳板的可能性。穩定性防護策略，使用Bypass功能，在特殊情況下保持網絡暢通，消除在線產品的隱患。使用敏感詞監控防護策略，針對某些關鍵字自定義過濾規則，維護高校形象。自定義防護策略，優化http、URL、IP白名單、DNS、HTTP等，自定義設置。

總之，網站出現問題一般是黑客檢測到漏洞，從漏洞入侵服務器，做好日常維護，經常更新網站服務器是最重要的保護策略。

3.2高校網站的防護細節

高校網站防護技術包括SQL攻擊防護、輸入有效性驗證、錯誤信息檢測、PL/SQL方法應用、防御DDoS攻擊、典型的病毒攻擊和防范措施、典型的病毒攻擊和防范措施等，本文作者針對目前網站存在的主要問題，重點關注幾個防護細節。

3.2.1校園網硬件方面

首先，網絡結構要設置合理。校園網一般采用核心、匯聚、接入三個網絡結構層次，重要應用系統應設置成中立區。采用VLAN技術在交換局域網的基礎上，用網絡管理軟件劃分，如研究區、辦公區、教學區、宿舍區及安全區等，根據子網的安全程度合理布局，防止威脅的傳播。其次，采用高性能的網絡系統設備和安全設備。設置防火墻，發揮其過濾、NAT轉換、安全訪問控制等功能。第三，設置IPS。當IPS和防火墻相互配合時，防范攻擊的效果十分強大。最后，要有充足的網絡帶寬，以保證網站訪問時的響應速度。

3.2.2網絡安全策略設置方面

首先，建立嚴謹的用戶身份認證機制，嚴格驗證用戶登錄;其次，設置訪問控制，主要任務是讓網絡資源不被非法使用和非正常訪問。再次，加強系統優化，及時更新系統補丁和過濾軟件，關閉不必要的服務。此外限制同時打開的SYN半連接數目、縮短SYN半連接的timeout時間等。

3.2.3網絡管理方面

首先，健全安全管理體制，建立校園網絡安全管理維護團隊，加強相關人員的技術培訓，提前準備應急處理方案。其次，定期檢查及備份網絡，做好日志記錄，檢測網絡服務器訪問情況等。再次，加強校園網用戶的安全意識，加強病毒防范，經常進行系統升級更新。另外，經常調試網絡安全設備并不斷改進安全策略，以適應網絡應用系統的變化。

4總結與展望

高校網絡安全面臨的壓力依然加大，形勢仍舊嚴峻。本文從高校網站安全現狀出發，詳細分析高校網站安全問題及其成因，探討了相應的對策，并給出了網站軟、硬件及管理方面的重要防護細節。

基金項目：湖北省教育廳人文社科重點項目（14D022）;湖北工業大學校2014年教研項目

參考文獻

[1] 何斌穎.網站安全解決方案[A].2010，08：（174-177）

[2] 曾曉杰，周再紅.高校校園網DDoS攻擊防范措施研究[A].電腦知識與技術，2014，（20）：4719-4717.