学校Web应用系统安全解决方案

2019-04-20  未知  人阅读

随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。然而,不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。

本文结合学校应用系统自身的典型架构,分析当前学校应用系统存在的安全风险以及当前主流安全解决方案的局限性,针对学校应用系统存在的安全风险,制定出完善实用的安全解决机制。

1 系统概述

1.1 学校应用系统安全概述

随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。

然而,人们在享受互联网带来的便捷的同时,也承受着层出不穷的网络安全威胁。不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言,风险极大。

1.2 典型应用架构

学校应用系统一般至少包括以下多个系统:对外服务网站、教务管理系统、图书管理系统、财务管理系统以及教职员工信息管理系统等。

1.3 安全分析

1.3.1 安全现状分析

近一段时间,针对学校WEB应用系统进行的黑客攻击行为以及挂马事件层出不穷,带了巨大损失。

1.3.2 典型安全措施

目前应用系统典型安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙/防病毒四层防护。

1、防火墙

(1)只能检测网络层的攻击

(2)无法阻拦来自网络内部的非法操作

(3)无法动态识别或自适应地调整规则

(4)对WEB应用,端口80或443必须开放

2、IDS/IPS

(1)只检测已知特征

(2)对数据层的信息缺乏深度分析,误报/漏报率很高

(3)没有对session/user的跟踪,不能保护SSL流量

3、软件防病毒/防火墙

(1)被动检测机制,只检测已知病毒或木马

(2)无法识别外部正常访问请求

很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。

目前由于学校WEB应用系统安全解决方案自身的局限性,导致学校WEB应用系统无法应对日新月异的安全攻击,特别是目前主流基于WEB应用的安全攻击手段。

2 WEB应用威胁

2.1 WEB应用安全概述

WEB应用系统直接面向Internet,以WEB应用系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据某搜索网站统计,目前70%以上的攻击行为都基于WEB应用系统。WEB应用系统安全关系到整个网络站点甚至内部敏感信息安全。

目前,大多数WEB站点与学校内部数据管理应用结合在一起,特别是大部分学校对外服务网站都与其内网系统相关联,通过入侵WEB应用系统,以应用服务器为跳板实现对银行内部系统进一步入侵,由此引发的信息泄露,信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线,基于WEB应用系统的防护方法研究迫在眉睫。

2.2 WEB应用威胁

2.1.1 WEB应用威胁简介

2008年,国际信息安全权威组织OWASP提出,目前最具危害性,利用率最高的十大安全漏洞如下:

安恒根据长期针对网上银行业务系统的安全评估结果,就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上银行应用系统主要存在问题进行详细介绍。

2.1.2 SQL注入攻击

SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQL Injection攻击就发生了。

实际上,SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。

2.1.3 XSS跨站攻击

跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

跨站脚本漏洞攻击不是对服务器的实际攻击,而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的,如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。

XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞,面向客户端的攻击手段。

2.1.4 表单绕过攻击

WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息,然后该表单被发送到 Web 服务器进行处理。接下来,服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器,并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞,通过构造一些畸形的特殊提交语句,绕过表单安全认证的一种攻击手段。

例1:某大学分析测试中心后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。

例2:某大学教务处后台管理系统存在表单绕过漏洞,可直接获取后台管理权限。

3 多层防护系统建设

网站系统基本的组成为网站代码和后台数据,在系统结构方面由WEB服务器和数据库服务器构成,所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。

从整体的应用安全防护角度出发,通过网站的整体安全检测、主动防御、监控审计三部分的全面部署,是网站系统的应用安全配置达到比较高的水平,促使网站系统运行在比较安全的应用环境。

所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成,从各个层面和各个角度为网站系统建立立体防御体系。

网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描,快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点,根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统,快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,通过有效应对,尽可能防范通过各种途径对后台数据的入侵。

主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求,识别各类恶意访问和攻击,实行阻断且快速报警,并形成日志。通过防篡改子系统的防护,可以保护网站相关页面不被篡改,杜绝非法内容的外流,防止由于网页篡改给单位带来的形象上及经济上的损失。

监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据,实现对网站访问进行7x24小时实时监控,通过系统可以一目了了的了解网站被访问的情况,一旦检测到异常访问和攻击行为,系统会及时报警,并且以各种方式通知网站维护员,从而可以在第一时间采取相关安全应急措施。系统的日志功能,为安全审计提供了基础,日志信息包括详细的访问信息及访问内容,为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过FTP、TELNET等其他的访问方式,可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

3.1 网站系统的安全检测

3.1.1 网站WEB应用弱点扫描子系统

主要功能:

·深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及WEB应用列表

·WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等)进行深度检测

·网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位

·渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据