探討4多手段防護WEB安全

探討4多手段防護WEB安全

WEB安全防護是高校網絡安全的一項重點工作，去年，我刊針對高校信息化部門人員做過一項調查，超過 70% 的被調查者認為，WEB 安全防護是高校安全工作中最重要的任務之一，應多手段綜合治理。

中國人民大學：利用反向代理加強校園二級網站管理

張丹東中國人民大學現代教育技術中心副主任

國家正式頒布和實施《中華人民共和國網絡安全法》，信息安全日益成為高校信息化工作的一個要點，高校紛紛投入人力和物力加強安全方面的工作。為了做好相關安全工作，在基礎網絡構架的設計和日常管理上，要做一些考慮，為更高層級的安全工作打下一個良好的基礎，本文簡單介紹一下中國人民大學的實踐和一些思考。

近期，一些高校紛紛開展了摸清家底的工作，中國人民大學也開展了類似工作。目的是要明確校內一共有哪些對外服務的網站，用了什么域名、地址，負責單位、負責人是誰，是否備案，并建立了校內備案制度。實施后，起到了一定的效果。

然而，單純的加強管理工作并不能徹底解決問題，很難依靠各單位主觀認知的提高自覺完成相關工作的要求。實踐中，為了實現校內備案，中國人民大學采用了一些技術手段，利用域名解析權力與反向代理服務器配合，凡是不進行校內備案的子域名，一律解析成校內地址，不允許對外服務，最終完美實現了學校域名下所有網站的校內備案工作。

完成了這一步工作后發現，仍然有漏洞，校內存在不使用學校域名的網站，甚至某些部門自行申請了域名并在校外布置了服務器，導致前期工作的強制措施失效，仍然存在黑戶。在某高校被黑客攻擊的案例中，雖然該高校做了大量安全工作，卻由于用戶使用了獨立的域名，而服務器在校內，前期沒有掌握相關情況，最終導致沒有管理到位而被攻破。

經過討論，中國人民大學考慮采用運營商的管理措施，在網絡上封閉 WEB 服務端口，把 80 和 8080 端口都封閉，這樣，即使采用獨立的域名，不在學校管理范圍之內，只要服務器在校內，就必然要按照校內備案程序進行才能開通對外服務，進一步提高了管理對外服務網站的能力。

待理清這部分家底后，能夠采用內網地址的服務器，將回收公網 IP 地址，盡量避免服務器直接使用公網地址暴露在外的現象，統一通過反向代理服務器對外提供服務。采用反向代理服務器統一對外提供服務的好處有：只開放WEB服務端口，從整體上提高了安全性，屏蔽了操作系統層面的漏洞；便于進行管理操作，可以關閉、要求認證、只允許校內訪問等，一鍵操作速度快；集中了服務流量，便于配合WAF進行安全管理（某些商業反向代理服務軟件內置了WAF模塊）；可以統一配置HTTPS證書；便于統計全校對外提供的服務數量；可以配置多個公網的不同地址（包括 IPv6 地址），配合智能 DNS的使用，可以提高對外服務的質量；啟用緩存功能，提高對外服務的質量。

目前，對于域名和服務器都不在校內的情況，尚未有良策，只能通過宣傳提高認知，發文要求各單位上報，并自行做好相關安全工作。

上海海事大學：虛擬化保障WEB安全

王玉平上海海事大學信息化辦公室副主任

目前上海海事大學數據中心采用虛擬化技術運營，對于需要對外提供WEB服務的網站，采用獨立集群獨立線路接入的方式。在線路對外鏈接中，串行了WAF設備。

我們部署了網絡虛擬化技術，對于每臺網站虛擬機在自動創建時，即啟用分布式防火墻，限制只允許 HTTP、HTTPS 協議的默認端口可以訪問，在建站初始階段可以有限度的啟用 SSH（Linux）或者RDP（Windows）協議訪問。

考慮到網站訪問量，每個網站虛擬機網絡帶寬限制為 50Mbps。如若其中一個網站被入侵，在低帶寬的情況下，可以限制木馬或病毒傳播速度，也降低了病毒對網絡出口設備的沖擊和對校園出口帶寬的占用，從而保障學校網絡帶寬服務質量。

為了管理方便，減少公網IP 的占用，上海海事大學采用反向代理的方式，我們建立了3個反向代理服務器，根據網站服務等級歸屬不同的反向代理，避免在出現問題時網絡服務提供商直接斷網導致使用同一代理服務的不同網站不能訪問。

在網站系統安全方面，上海海事大學選用了眾多國外名校使用的開源內容管理系統 Drupal，該系統內部的代碼有公開的安全審計，并且有著強大的社區支持，對于系統、文件都有相應的安全設計指導手冊。對于代碼更新采取了類似于Windows操作系統的代碼更新機制，方便用戶獲取、部署更新。

對于個性化部署的第三方網站，校內也采用了站群系統和獨立站點相互補充的方式。后續將進一步推廣 Drupal的應用，研發網站云技術，確保網站系統自身安全。

江南大學：“網站群”治理網站亂象

張華江南大學信息化建設與管理中心主任

早期，為了鼓勵各部門各單位打造各自對外宣傳窗口， 江南大學采用“百花齊放”的模式推行各單位的網站建設。但是隨著工作的推進，各種網絡信息安全問題逐漸顯露。一是各單位由于自建網站，基本上都是各顯神通，有的找專業公司做，有的找在讀學生做，有的老師自寫程序，有的用開源系統，采用的開發語言、服務器種類也是五花八門，存在大量的服務器配置不當、程序 BUG、SQL注入漏洞等網絡安全隱患。二是網站系統除了信息發布，不少網站還開設留言板、論壇，對用戶注冊、交互留言等監管不嚴，常發生言論不當或被發布非法廣告等。三是積極發布公開信息但審核審查不嚴，常在發布各類公示信息時沒有將涉及師生個人隱私的信息做脫敏處理，導致敏感信息的泄露。有些網站甚至還內嵌辦公事務處理小系統，但又存在SQL注入漏洞，導致很容易被入侵，也會造成內部信息外泄。再加上專業人才、建設經費、系統及服務器運維等問題，自建網站往往成為各單位的負擔。

為了徹底解決此問題，江南大學在全校逐步推廣“網站群”建設。學校以校辦、宣傳部、信息化建設與管理中心等名義聯合下發通知，規定各學院、部門的網站都要逐步納入網站群管理，原則上不得自建網站，新建網站必須進入網站群，原有的自建網站逐步原樣遷入或改版新建，不得自行開設對外的WEB服務，所有網站不得提供交互功能，不得內嵌管理業務系統。其中“網站群”軟硬件系統由信息化中心集中建設，各單位負責網站的菜單欄目的規劃、信息內容的組織、后期內容的編輯新增等，UI界面由專業公司設計各單位確認。網站群建設費用從年度信息化建設經費中統籌。信息化中心根據國家要求完成了網站群系統的“三級等級保護”的備案和測評工作，大大提升了系統的安全性。

網站群工作得到了各單位的積極響應，目前學校網站群進展站點已經達到 150 個。網站群的建設，通過提供信息化公共服務回收了系統建設和管理的權限，減輕了各單位建設人財物不足的壓力，也統一了信息發布審核的流程和規則，既降低了網絡安全風險，又消除了信息泄露隱患。