校园Web安全背景
近几年来,各大高校为了增强信息化系统的社会服务功能和访问的便捷性,都在向Web应用模式转型。为了保证这些Web应用系统的安全,大多高校网也都部署了SSL安全代理、防火墙、IDS/IPS ,以及软件防火墙、防病毒这类安全设备。但是,高校网遭遇的恶性攻击事件不仅没有因此减少,反而还出现了大幅飙升的趋势。
“老三样”安全防护失效
“湖北多所高校网站遭攻击 考生录取记录被篡改”;“北大网站遭黑客篡改 假冒校长抨击大学教育”;“黑客攻击清华大学新闻网 捏造顾秉林粗俗讲话假新闻”;“知名高校挂马现象严重 考生面临安全风险”。如今,类似的高校网“中招”事件比比皆是,这些网络攻击不仅能轻易穿透高校网的安全屏障,还能在后台随便篡改数据。据安恒信息技术总监范渊介绍,这些幕后黑手正是通过Web应用系统的漏洞,越过了高校网的安全防护体系。
“事实上,当前以Web应用系统为跳板,入侵服务器甚至控制整个内网系统的攻击行为已成为黑色产业链最普遍的攻击手段。据一些搜索网站的统计,目前70%以上的攻击行为都是基于WEB应用系统的。”
在范渊看来,校园网之所以在遭遇攻击后损失重大,主要是因为大部分学校的对外服务网站都与其内网系统相关联,攻击者更容易以应用服务器为跳板实现对校园内部系统的入侵。所以,对高校用户来说,因此导致信息泄露、信息被篡改及重要数据被破坏等损失的几率就更高。所以,高校网信息安全的第一道防线,其实应该是基于WEB应用系统的安全防护。
“很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性了,就能全面立体的防护WEB应用了。但是,为什么攻击事件依旧不断发生,并不断造成损失呢?其根本的原因在于,传统的网络安全设备对于应用层的攻击防范,作用十分有限,如今的这些攻击正是基于WEB应用的攻击。”
范渊告诉记者, 目前的大多防火墙都是工作在网络层,通过状态防火墙保证内部网络不会被外部网络非法接入。由于所有的处理都是在网络层,所以应用层攻击的特征在网络层次上是无法检测出来的。而IDS、IPS这类设备对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样无法提供有效的防护。而软件防病毒、防火墙产品,一般采用被动的检测机制,只能检测已知病毒或木马,并且无法识别外部的正常访问请求。
可见,基于“老三样”安全产品的WEB应用系统安全解决方案,对应用层的安全问题并不适用。高校用户就算采购更多这样的安全设备,也无法有针对性的解决他们现在的安全问题。这也是当前一些方案商在提出解决方案后,遭遇出局命运的原因。
多层防护铸就铜墙铁壁
应用层的安全问题更为复杂,和传统的解决方案相比,“新药方”需要具备综合治疗的效应,单一的产品很难彻底帮用户解决问题。
WEB应用系统安全解决方案是由7大子系统构成的,目标是构建一个整体多层防护系统。它包含网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大部分,从各个层面和各个角度为网站系统建立起一个立体的防御体系。
网站的整体安全检测主要依靠网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。通过WEB应用弱点扫描子系统,可以快速检测网站可能存在的SQL注入、跨站脚本、表单绕过等应用弱点,并根据检测结果有针对性的采取安全加固措施。而通过数据库弱点扫描子系统,就能快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,再通过有效应对去尽可能防范对后台数据的入侵。
Web安全在校园中的情况就为大家介绍完了,希望大家已经掌握。
【编辑推荐】