hth华体会体育全站app:学校Web应用系统安全解决方案

发布日期:2022-09-06 | 来源:华体会登陆入口 作者:华体会官方登录

  【51CTO.com 综合消息】随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。然而,不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。

  本文结合学校应用系统自身的典型架构,分析当前学校应用系统存在的安全风险以及当前主流安全解决方案的局限性,针对学校应用系统存在的安全风险,制定出完善实用的安全解决机制。

  随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。

  然而,人们在享受互联网带来的便捷的同时,也承受着层出不穷的网络安全威胁。不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。

  学校应用系统一般至少包括以下多个系统:对外服务网站、教务管理系统、图书管理系统、财务管理系统以及教职员工信息管理系统等。

  近一段时间,针对学校WEB应用系统进行的黑客攻击行为以及挂马事件层出不穷,带了巨大损失。

  目前应用系统典型安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙/防病毒四层防护。

  很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。

  目前由于学校WEB应用系统安全解决方案自身的局限性,导致学校WEB应用系统无法应对日新月异的安全攻击,特别是目前主流基于WEB应用的安全攻击手段。

  WEB应用系统直接面向Internet,以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据某搜索网站统计,目前70%以上的攻击行为都基于WEB应用系统。WEB应用系统安全关系到整个网络站点甚至内部敏感信息安全。

  目前,大多数WEB站点与学校内部数据管理应用结合在一起,特别是大部分学校对外服务网站都与其内网系统相关联,通过入侵WEB应用系统,以应用服务器为跳板实现对银行内部系统进一步入侵,由此引发的信息泄露,信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线,基于WEB应用系统的防护方法研究迫在眉睫。

  2008年,国际信息安全权威组织OWASP提出,目前最具危害性,利用率最高的十大安全漏洞如下:

  安恒根据长期针对网上银行业务系统的安全评估结果,就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上银行应用系统主要存在问题进行详细介绍。

  SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

  SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQL Injection攻击就发生了。

  实际上,SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。

  跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

  跨站脚本漏洞攻击不是对服务器的实际攻击,而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的,如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。

  XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞,面向客户端的攻击手段。

  WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息,然后该表单被发送到 Web 服务器进行处理。接下来,服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器,并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞,通过构造一些畸形的特殊提交语句,绕过表单安全认证的一种攻击手段。

  例1:某大学分析测试中心后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。

  例2:某大学教务处后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。

  网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。

  从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。

  所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。

  网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。

  主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。

  监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过FTP、TELNET等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

  系统融合有权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令及数据库潜藏木马的功能。

  数据库弱点扫描子系统由系统管理、项目管理、安全扫描、报表管理几大模块组成。

  ◆方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置

  防攻击子系统是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。

  防攻击子系统基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):

  系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。

  系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。

  支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。

  独有WEB入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击,为防御的准确性和高效性提供了基础。

  业界首创支持全透明部署,无需更改原有的DNS或IP配置,对原有应用不会造成任何影响。

  国内首创全面支持HTTPS,实现各类高安全要求WEB应用系统的深度实时防护(如网银、证券交易等)。

  用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤

  网站防篡改子系统是业界首创的新一代网站防篡改系统,采用目前最新服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制,高效实现网页监测、即时内容恢复、杜绝了网站被非法篡改、用户浏览非法内容的可能。

  ◆保护各种类型文件:如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。

  数据库安全审计子系统安恒自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计系统。

  该大学WEB应用系统存在严重可利用安全漏洞,如SQL注入、跨站脚本以及表单绕过。恶意人员可轻松获取该网站后台管理权限,进行网页篡改甚至进行网页挂马、提权等操作,最终获取WEB服务器控制权限。同时,由于其内部网络之间各个业务系统,如WEB应用系统与教务系统并未进行严格的逻辑隔离,导致恶意人员可在内部局域网内进行深度入侵,篡改教务系统数据库数据。

  建立网站系统的安全检测系统,对WEB应用系统网站以及各个子网站进行定期的安全检测扫描,在恶意人员进行安全攻击前,提早发现可能存在的各类安全隐患,及时进行安全加固,防止存在可利用安全漏洞为恶意攻击者利用。

  在提供WEB应用服务的服务器前端直连部署主动防御系统,包括明御WEB防火墙与明御网站卫士,采用国内首创全透明部署的WEB应用防火墙硬件设备以及网站卫士放篡改系统相结合的方式,对网站进行防攻击、防篡改双重保护,构建安全的学校WEB应用系统内部环境。

  明御WEB防火墙可以提供针对WEB应用层攻击防御和流量监控,完全支持HTTPS加密协议的攻击防御。例如:SQL注入攻击、跨站脚本攻击、应用层DDOS攻击、表单绕过、缓冲区溢出、恶意报文攻击、网页盗链、钓鱼攻击、Cookie注入等攻击防御,并通过强大的缓存技术和负载均衡技术提高网站及网上银行的访问速度。

  明御网站卫士采用目前最先进的WEB入侵检测技术、服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制,高效实现网页监测、即时内容恢复、动态WEB攻击防护功能,杜绝了网站被非法篡改、非法入侵的可能。

  对学校内部教务信息、财务信息以及学术论文库等数据库服务器前端部署数据库安全审计系统——明御数据库审计及深度防御系统,对数据库的操作进行细粒度、动态实时的安全审计,保护数据库数据安全,并未事后追溯提供依据。

  每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

  中芯国际:计划授出27.75万个限制性股票单位授予独立非执行董事吴汉明 价值约420万港元

  乘联会:预估8月新能源乘用车厂商批发销量62.5万辆 同比增长约100%

  2022英雄联盟全球总决赛即将开赛 JDG、TES、EDG、RNG代表LPL出战

  苹果9月8日凌晨还有望推出Apple Watch Pro 售价不低于900美元

  中芯国际:计划授出27.75万个限制性股票单位授予独立非执行董事吴汉明 价值约420万港元

  2022英雄联盟全球总决赛即将开赛 JDG、TES、EDG、RNG代表LPL出战

  京东生活服务联合CCFA发布《中国生活服务业消费趋势报告(2022)》

  苹果9月8日凌晨还有望推出Apple Watch Pro 售价不低于900美元

  青云QingCloud EHPC 打造即买即用的全流程SaaS化超算服务

  蚂蚁链发布BTN:可将区块链网络吞吐量提升186% 带宽成本降低80%

  蚂蚁自研数据库OceanBase宣布开源 300万行核心代码向社区开放