解讀校園Web安全“新藥方”
校園Web安全背景
近幾年來,各大高校為了增強信息化系統(tǒng)的社會服務(wù)功能和訪問的便捷性,都在向Web應(yīng)用模式轉(zhuǎn)型。為了保證這些Web應(yīng)用系統(tǒng)的安全,大多高校網(wǎng)也都部署了SSL安全代理、防火墻、IDS/IPS ,以及軟件防火墻、防病毒這類安全設(shè)備。但是,高校網(wǎng)遭遇的惡性攻擊事件不僅沒有因此減少,反而還出現(xiàn)了大幅飆升的趨勢。
“老三樣”安全防護失效
“湖北多所高校網(wǎng)站遭攻擊 考生錄取記錄被篡改”;“北大網(wǎng)站遭黑客篡改 假冒校長抨擊大學(xué)教育”;“黑客攻擊清華大學(xué)新聞網(wǎng) 捏造顧秉林粗俗講話假新聞”;“知名高校掛馬現(xiàn)象嚴重 考生面臨安全風(fēng)險”。如今,類似的高校網(wǎng)“中招”事件比比皆是,這些網(wǎng)絡(luò)攻擊不僅能輕易穿透高校網(wǎng)的安全屏障,還能在后臺隨便篡改數(shù)據(jù)。據(jù)安恒信息技術(shù)總監(jiān)范淵介紹,這些幕后黑手正是通過Web應(yīng)用系統(tǒng)的漏洞,越過了高校網(wǎng)的安全防護體系。
“事實上,當前以Web應(yīng)用系統(tǒng)為跳板,入侵服務(wù)器甚至控制整個內(nèi)網(wǎng)系統(tǒng)的攻擊行為已成為黑色產(chǎn)業(yè)鏈最普遍的攻擊手段。據(jù)一些搜索網(wǎng)站的統(tǒng)計,目前70%以上的攻擊行為都是基于WEB應(yīng)用系統(tǒng)的。”
在范淵看來,校園網(wǎng)之所以在遭遇攻擊后損失重大,主要是因為大部分學(xué)校的對外服務(wù)網(wǎng)站都與其內(nèi)網(wǎng)系統(tǒng)相關(guān)聯(lián),攻擊者更容易以應(yīng)用服務(wù)器為跳板實現(xiàn)對校園內(nèi)部系統(tǒng)的入侵。所以,對高校用戶來說,因此導(dǎo)致信息泄露、信息被篡改及重要數(shù)據(jù)被破壞等損失的幾率就更高。所以,高校網(wǎng)信息安全的第一道防線,其實應(yīng)該是基于WEB應(yīng)用系統(tǒng)的安全防護。
“很多用戶認為,在網(wǎng)絡(luò)中部署多層的防火墻,入侵檢測系統(tǒng)(IDS),入侵防御系統(tǒng)(IPS)等設(shè)備,就可以保障網(wǎng)絡(luò)的安全性了,就能全面立體的防護WEB應(yīng)用了。但是,為什么攻擊事件依舊不斷發(fā)生,并不斷造成損失呢?其根本的原因在于,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范,作用十分有限,如今的這些攻擊正是基于WEB應(yīng)用的攻擊。”
范淵告訴記者, 目前的大多防火墻都是工作在網(wǎng)絡(luò)層,通過狀態(tài)防火墻保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入。由于所有的處理都是在網(wǎng)絡(luò)層,所以應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。而IDS、IPS這類設(shè)備對于未知攻擊,和將來才會出現(xiàn)的攻擊,以及通過靈活編碼和報文分割來實現(xiàn)的應(yīng)用層攻擊,IDS和IPS同樣無法提供有效的防護。而軟件防病毒、防火墻產(chǎn)品,一般采用被動的檢測機制,只能檢測已知病毒或木馬,并且無法識別外部的正常訪問請求。
可見,基于“老三樣”安全產(chǎn)品的WEB應(yīng)用系統(tǒng)安全解決方案,對應(yīng)用層的安全問題并不適用。高校用戶就算采購更多這樣的安全設(shè)備,也無法有針對性的解決他們現(xiàn)在的安全問題。這也是當前一些方案商在提出解決方案后,遭遇出局命運的原因。
多層防護鑄就銅墻鐵壁
應(yīng)用層的安全問題更為復(fù)雜,和傳統(tǒng)的解決方案相比,“新藥方”需要具備綜合治療的效應(yīng),單一的產(chǎn)品很難徹底幫用戶解決問題。
WEB應(yīng)用系統(tǒng)安全解決方案是由7大子系統(tǒng)構(gòu)成的,目標是構(gòu)建一個整體多層防護系統(tǒng)。它包含網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)、網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)、網(wǎng)站應(yīng)用安全審計子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫弱點掃描子系統(tǒng)、網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)總共7大部分,從各個層面和各個角度為網(wǎng)站系統(tǒng)建立起一個立體的防御體系。
網(wǎng)站的整體安全檢測主要依靠網(wǎng)站W(wǎng)EB應(yīng)用弱點掃描子系統(tǒng)和數(shù)據(jù)庫弱點掃描子系統(tǒng)來完成。通過WEB應(yīng)用弱點掃描子系統(tǒng),可以快速檢測網(wǎng)站可能存在的SQL注入、跨站腳本、表單繞過等應(yīng)用弱點,并根據(jù)檢測結(jié)果有針對性的采取安全加固措施。而通過數(shù)據(jù)庫弱點掃描子系統(tǒng),就能快速識別數(shù)據(jù)庫系統(tǒng)存在的補丁狀況、弱配置狀況等安全隱患,再通過有效應(yīng)對去盡可能防范對后臺數(shù)據(jù)的入侵。
Web安全在校園中的情況就為大家介紹完了,希望大家已經(jīng)掌握。
【編輯推薦】
