论文部分内容阅读
摘要:通过对数字化校园Web应用的安全威胁进行分析,发现跨站脚本、网页挂马、SQL注入、不良信息是主要存在的安全威胁。该文结合具体的实例分析了各种威胁的攻击方式、原理及危害,从Web管理、Web服务、技术手段提出了安全防护方案。通过实践证明,该方案可以有效提高校园Web应用的安全防护水平。
关键词:校园Web;Web应用;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-1012-02
近几年来,各大高校为了增强信息化系统的社会服务功能和访问的便捷性,都在向Web应用模式转型。为了保证这些Web应用系统的安全,大多高校网也都部署了SSL安全代理、防火墙、IDS/IPS ,以及软件防火墙、防病毒这类安全设备。但是,网页挂马、网页篡改、Ddos攻击的恶性攻击事件不仅没有因此减少,反而还出现了大幅飙升的趋势,数字化校园 Web应用的安全防护迫在眉睫。
1 Web 应用典型安全威胁及实例分析
我院的Web 应用网站主要有:教学资源、系及各部门二级网站、邮件系统等公共服务网站,共有50多个。各二级部门网站有各个二级部门自己建设、管理,教学资源、公共服务网站有学院信息中心负责建设,管理与维护。这种模式虽然可以方便各个系、部门及时更新发布信息,但是网站的建设质量和安全防护参差不齐,给学院网络安全带来了很多隐患。下面结合数字化校园Web 应用的实际情况,分别对四类典型的Web应用安全威胁—SQL 注入、跨站脚本( XSS) 、网页挂马、不良信息进行分析,深入剖析数字化校园Web 应用安全风险的原理,为有针对性地进行Web 安全防护提供依据和参考,进一步提高数字化校园的安全水平,为网络教育教学的顺利开展提供坚实的安全保障。
1.1 SQL 注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以一般防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
1.2 跨站脚本(XSS)攻击
跨站脚本攻击XSS又叫CSS (Cross Site Script),它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。CSS 大体上分为存储型和反射型两种。一种存储型XSS 指的是跨站脚本在Web 服务器上,当浏览该页面时自动运行,这种攻击方式危害性很大。另外一种的反射型XSS 是存在于URL 中,诱骗用户点击实现攻击。CSS 能够实现的破坏性攻击方式有: 篡改网页、劫持用户会话、窃取用户会话中的敏感信息( 例如通过cookie 窃取用户名密码等信息) 、跳转至恶意网站、网页挂马等。
1.3 网页挂马
网页挂马其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。网页挂马是数字化校园Web 应用的重要安全威胁之一,高校网站特别是院系部门的二级网站是网页挂马的重灾区。用户一旦访问带有木马程序的网页就很可能被感染木马病毒。另外,感染这些木马后通常很难彻底清除,影响了用户正常的网络应用。
1.4 不良信息
校园网已经成为高校师生获取信息、丰富知识和交流学习的重要渠道之一,在高校教学、科研和管理中发挥着越来越重要的作用。然而,互联网上纷繁复杂的不良信息也在充斥着校园网,其可能对师生造成的各种负面作用不容忽视。
2 数字化校园Web 应用安全防护
针对日益严峻的数字化校园Web 应用安全问题,分别从技术、管理和服务三个维度,提出了相应的安全防护方案。
2.1 技术综合防护
由于校园网Web 应用的安全威胁,特别是二级网站的安全威胁大部分来源于两个方面: ①操作系统级的安全漏洞,②网站开发程序级的安全漏洞,因此重点从服务器操作系统和应用程序开发两个层面进行安全防护。
1) 服务器操作系统安全防护。在服务器操作系统安全防护层面,分别从系统级别和服务级别进行防护。在系统级别,主要从以下几方面进行安全防护。① 定期对服务器磁盘阵列数据进行备份,提高数据的可靠性和容错性。②给服务器操作系统安装杀毒软件、开启防火墙、及时修复系统漏洞等。③ 做好操作系统的用户和口令管理。例如,禁用guest、远程协助用户等,定期更换操作系统口令,设置高强度的口令等。④ 备份服务器的日志信息,定期查看日志,对各种安全事件进行审计和追踪。在服务级别,主要采取的措施包括: 关闭一切不必要的服务和端口,合理设置服务器目录和文件的访问权限等。
2) 基于应用层的安全防护。为了保证WEB应用安全,应该从应用层重点考虑以下几个核心因素。①检测用户访问WEB应用的权限,防止用户获得未授权的访问。②检测用户对WEB应用的输入数据,防止恶意输入以及不良行为。③识别及拦截攻击行为,确保WEB应用程序在受到攻击时能够正常运转。④及时检测WEB应用平台的异常行为,并及时发出警告。
2.2 完善管理体制
网站的规范管理是校园网Web 应用安全的重要保障,可以从以下几方面加强对网站的管理。①对网站的管理分工明确、责任到人。严格落实二级网站管理的责任制,各部门指派专人负责维护本部门网站,并对本部门网站所发布信息的准确性、真实性、安全性和完整性负责,及时更新信息。②建立健全规章制度,加强安全防护。建立和完善校园网Web 程序开发规范、服务器安全管理、校内二级网站更新管理等各种规章制度,规范网站的管理制度,保障学校门户网站和二级网站安全稳定运行。③积极防范。面临日益严峻的网络安全威胁,有必要建立一套网站信息安全管理的应急处置预案,有效防范网站突发事件,减轻网站突发事件造成的损失和影响。④对二级网站开展定期检查。建立二级网站评估的指标体系,定期开展对全校二级网站的检查和评比活动,通过建立相应的奖惩机制,不断提高二级网站的质量和水平。
3 结束语
随着高等教育信息化的不断发展,数字化校园Web 应用面临的安全威胁日益增多。该文分别从攻击方式、原理及危害性三方面,结合实例对数字化校园Web 应用的4 种典型安全威胁——SQL 注入、跨站脚本、网页挂马和不良信息进行了分析,在此基础上分别从技术、管理和服务三个维度提出了数字化校园Web应用安全防护的方案。该方案在数字化校园的应用结果表明,能明显提高数字化校园Web 应用的安全防护水平,有力保障了教育信息化应用的顺利开展,这对于提高数字化校园的信息安全水平,推动教育信息化的健康发展具有重要的实践意义。
参考文献:
[1] 祝智庭.中国教育信息化十年[J].中国电化教育,2011(1):20-25.
[2] 何克抗. 我国教育信息化理论研究新进展[J]. 中国电化教育, 2011(1):1-19.
[3] 姜伟,方滨兴,田志宏,等. 基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009(4): 817-827.
[4] 张鸿军,张新刚. 数字化校园中典型安全问题分析及防御对策[J].中国电化教育, 2009(6): 113-116.
关键词:校园Web;Web应用;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-1012-02
近几年来,各大高校为了增强信息化系统的社会服务功能和访问的便捷性,都在向Web应用模式转型。为了保证这些Web应用系统的安全,大多高校网也都部署了SSL安全代理、防火墙、IDS/IPS ,以及软件防火墙、防病毒这类安全设备。但是,网页挂马、网页篡改、Ddos攻击的恶性攻击事件不仅没有因此减少,反而还出现了大幅飙升的趋势,数字化校园 Web应用的安全防护迫在眉睫。
1 Web 应用典型安全威胁及实例分析
我院的Web 应用网站主要有:教学资源、系及各部门二级网站、邮件系统等公共服务网站,共有50多个。各二级部门网站有各个二级部门自己建设、管理,教学资源、公共服务网站有学院信息中心负责建设,管理与维护。这种模式虽然可以方便各个系、部门及时更新发布信息,但是网站的建设质量和安全防护参差不齐,给学院网络安全带来了很多隐患。下面结合数字化校园Web 应用的实际情况,分别对四类典型的Web应用安全威胁—SQL 注入、跨站脚本( XSS) 、网页挂马、不良信息进行分析,深入剖析数字化校园Web 应用安全风险的原理,为有针对性地进行Web 安全防护提供依据和参考,进一步提高数字化校园的安全水平,为网络教育教学的顺利开展提供坚实的安全保障。
1.1 SQL 注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以一般防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
1.2 跨站脚本(XSS)攻击
跨站脚本攻击XSS又叫CSS (Cross Site Script),它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。CSS 大体上分为存储型和反射型两种。一种存储型XSS 指的是跨站脚本在Web 服务器上,当浏览该页面时自动运行,这种攻击方式危害性很大。另外一种的反射型XSS 是存在于URL 中,诱骗用户点击实现攻击。CSS 能够实现的破坏性攻击方式有: 篡改网页、劫持用户会话、窃取用户会话中的敏感信息( 例如通过cookie 窃取用户名密码等信息) 、跳转至恶意网站、网页挂马等。
1.3 网页挂马
网页挂马其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。网页挂马是数字化校园Web 应用的重要安全威胁之一,高校网站特别是院系部门的二级网站是网页挂马的重灾区。用户一旦访问带有木马程序的网页就很可能被感染木马病毒。另外,感染这些木马后通常很难彻底清除,影响了用户正常的网络应用。
1.4 不良信息
校园网已经成为高校师生获取信息、丰富知识和交流学习的重要渠道之一,在高校教学、科研和管理中发挥着越来越重要的作用。然而,互联网上纷繁复杂的不良信息也在充斥着校园网,其可能对师生造成的各种负面作用不容忽视。
2 数字化校园Web 应用安全防护
针对日益严峻的数字化校园Web 应用安全问题,分别从技术、管理和服务三个维度,提出了相应的安全防护方案。
2.1 技术综合防护
由于校园网Web 应用的安全威胁,特别是二级网站的安全威胁大部分来源于两个方面: ①操作系统级的安全漏洞,②网站开发程序级的安全漏洞,因此重点从服务器操作系统和应用程序开发两个层面进行安全防护。
1) 服务器操作系统安全防护。在服务器操作系统安全防护层面,分别从系统级别和服务级别进行防护。在系统级别,主要从以下几方面进行安全防护。① 定期对服务器磁盘阵列数据进行备份,提高数据的可靠性和容错性。②给服务器操作系统安装杀毒软件、开启防火墙、及时修复系统漏洞等。③ 做好操作系统的用户和口令管理。例如,禁用guest、远程协助用户等,定期更换操作系统口令,设置高强度的口令等。④ 备份服务器的日志信息,定期查看日志,对各种安全事件进行审计和追踪。在服务级别,主要采取的措施包括: 关闭一切不必要的服务和端口,合理设置服务器目录和文件的访问权限等。
2) 基于应用层的安全防护。为了保证WEB应用安全,应该从应用层重点考虑以下几个核心因素。①检测用户访问WEB应用的权限,防止用户获得未授权的访问。②检测用户对WEB应用的输入数据,防止恶意输入以及不良行为。③识别及拦截攻击行为,确保WEB应用程序在受到攻击时能够正常运转。④及时检测WEB应用平台的异常行为,并及时发出警告。
2.2 完善管理体制
网站的规范管理是校园网Web 应用安全的重要保障,可以从以下几方面加强对网站的管理。①对网站的管理分工明确、责任到人。严格落实二级网站管理的责任制,各部门指派专人负责维护本部门网站,并对本部门网站所发布信息的准确性、真实性、安全性和完整性负责,及时更新信息。②建立健全规章制度,加强安全防护。建立和完善校园网Web 程序开发规范、服务器安全管理、校内二级网站更新管理等各种规章制度,规范网站的管理制度,保障学校门户网站和二级网站安全稳定运行。③积极防范。面临日益严峻的网络安全威胁,有必要建立一套网站信息安全管理的应急处置预案,有效防范网站突发事件,减轻网站突发事件造成的损失和影响。④对二级网站开展定期检查。建立二级网站评估的指标体系,定期开展对全校二级网站的检查和评比活动,通过建立相应的奖惩机制,不断提高二级网站的质量和水平。
3 结束语
随着高等教育信息化的不断发展,数字化校园Web 应用面临的安全威胁日益增多。该文分别从攻击方式、原理及危害性三方面,结合实例对数字化校园Web 应用的4 种典型安全威胁——SQL 注入、跨站脚本、网页挂马和不良信息进行了分析,在此基础上分别从技术、管理和服务三个维度提出了数字化校园Web应用安全防护的方案。该方案在数字化校园的应用结果表明,能明显提高数字化校园Web 应用的安全防护水平,有力保障了教育信息化应用的顺利开展,这对于提高数字化校园的信息安全水平,推动教育信息化的健康发展具有重要的实践意义。
参考文献:
[1] 祝智庭.中国教育信息化十年[J].中国电化教育,2011(1):20-25.
[2] 何克抗. 我国教育信息化理论研究新进展[J]. 中国电化教育, 2011(1):1-19.
[3] 姜伟,方滨兴,田志宏,等. 基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009(4): 817-827.
[4] 张鸿军,张新刚. 数字化校园中典型安全问题分析及防御对策[J].中国电化教育, 2009(6): 113-116.