校園網(wǎng)站安全管理策略
2022年07月21日
2021年國家互聯(lián)網(wǎng)應急中心發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》提到:2020年���,我國境內被篡改的網(wǎng)站約10萬個����,特別是全球抗擊疫情的同時�,境外黑客組織有組織、有目的的網(wǎng)絡攻擊形勢愈加明顯 [1]���。
得益于近三十年的信息化建設����,高校內網(wǎng)積累了大量的信息化資產����,其中各類網(wǎng)站是信息化服務的重要基礎。相對于其他企事業(yè)單位�����,高校網(wǎng)站數(shù)量眾多,構成復雜�����,應用功能種類豐富��,大體分為以下四類:
1�、互聯(lián)網(wǎng)訪問量較大的WWW學校主頁和招生網(wǎng)等宣傳咨詢類網(wǎng)站,這類網(wǎng)站具有一定社會影響力和權威性�����,且作為edu.cn類型的域名搜索權重較高[2]�,是黑客關注的重點���。
2���、為全校師生提供信息化服務的一站式、統(tǒng)一建設網(wǎng)站群��、OA���、選課教務系統(tǒng)�、學生管理系統(tǒng)、檔案系統(tǒng)等網(wǎng)站���,這類網(wǎng)站是師生學習工作的重要平臺����,且保存有大量重要數(shù)據(jù)和敏感信息�����,是各個高校網(wǎng)站防護的重點�����。
3����、各個學院、中心�����、實驗室�����、科研會議注冊等自建網(wǎng)站,甚至掛靠在學校的各種協(xié)會主頁����,這部分校內網(wǎng)站規(guī)模小且分散,有個別網(wǎng)站管理方為了節(jié)約開發(fā)成本����,從建設立項、開發(fā)�����、測試到上線都沒有嚴格的安全管控����,導致網(wǎng)站安全管理和防護能力差����,有時還會出現(xiàn)長時間無人管理運維的“僵尸網(wǎng)站”。部分校內機構為“省事”���,還會在未備案的情況下��,在校外上線“雙非網(wǎng)站”[3]��。這部分是校園網(wǎng)安全管理的“痛點”�����。
4����、校內用于師生教學科研的私有云、超算等算力資源平臺上運行著大量虛擬化主機���,常見的校內虛擬機和云桌面申報—審批管理機制并不能很好地約束使用者�,運維中經常發(fā)現(xiàn)將虛擬服務器另作“他用”的行為��。由于個別用戶信息安全防護意識淡薄�,主機存在黑客入侵、感染病毒的風險���。這部分網(wǎng)站和主機為高校信息化部門網(wǎng)站安全管理工作帶來挑戰(zhàn)�,是網(wǎng)絡安全管理的難點���。
網(wǎng)站安全問題
網(wǎng)站服務由客戶端瀏覽器和服務器端程序組成���,客戶端通過HTTP/HTTPS協(xié)議來完成與服務器端的信息交互��。因此����,網(wǎng)站安全問題可以大體分為以下三種:
1����、客戶端安全問題:包括瀏覽器漏洞、跨站腳本攻擊(XSS)���、跨站點請求偽造(CSRF)���、點擊劫持(ClickJacking)等[4]。主流瀏覽器都有一些防止XSS攻擊的方法和技術��,輸入檢查和輸出控制��、字符轉義等也是網(wǎng)站安全設計的常見手段����。
2��、傳輸安全問題:包括在客戶端和服務器端之間傳輸時,很容易遭到竊聽和篡改�����,破壞信息的私密性和完整性�����。通過TLS(SSL)加密傳輸是解決這一問題的常見手段��。
3��、服務器端安全問題:針對Web服務器的攻擊方法數(shù)量眾多����,常見的有DDOS、注入和文件上傳漏洞��、Webshell網(wǎng)站后門漏洞等�����。具有一定權威性的全球性安全組織OWASP(Open Web Application Security Project)開放式Web應用程序安全項目在2017年提出的權威的“10項最嚴重的Web應用程序安全風險列表”�,總結了Web應用程序最可能、最常見�����、最危險的十大漏洞[5],見表1�。
表1 OWASP十大漏洞(2017)
2017年版《OWASP Top 10》 |
A1∶2017-注入 |
A2∶2017-失效的身份認證 |
A3∶2017-敏感信息泄漏 |
A4∶2017-XML外部實體(XXE)【新】 |
A5∶2017-失效的訪問控制【合并】 |
A6∶2017-安全配置錯誤 |
A7∶2017-跨站腳本(XSS) |
A8∶2017-不安全的反序列化【新,來自于社區(qū)】 |
A9∶2017-使用含有已知漏洞的組件 |
A10∶2017-不足的日志記錄和監(jiān)控【新��,來自于社區(qū)】 |
World Wide Web萬維網(wǎng)已經誕生三十年����,網(wǎng)站安全問題伴隨著Web技術的發(fā)展,也在演進和變化���。信息安全的“木桶原理”指出系統(tǒng)的安全水平由安全性最低的部分決定�,任何安全缺陷都會對系統(tǒng)構成威脅[6]���。校園網(wǎng)作為一個整體���,任何單項或者局部的安全隱患都會給整體網(wǎng)絡帶來安全威脅。高校網(wǎng)站安全建設作為系統(tǒng)工程�,需要對校園網(wǎng)整體安全環(huán)境進行統(tǒng)一規(guī)劃建設,并要根據(jù)內外情況變化做好調整和應對����。
為了應對層出不窮的安全漏洞和攻擊,信息化部門從管理體制和技術保障兩方面著手�,通過開辦審核、上線前安全檢測���、建立網(wǎng)站安全保護工作機制���、落實網(wǎng)絡安全責任制、加強網(wǎng)站安全監(jiān)測和應急處置等一系列安全管理和技術手段�,構建網(wǎng)絡安全防護體系[7]。
網(wǎng)絡安全防護體系從軟硬件構成上來說�,一般包括邊界防火墻(阻斷外界用戶對校內設備的掃描和探測)、漏洞掃描防護或遠程安全評估(網(wǎng)站上線前的安全檢查)�、態(tài)勢感知、日志審計�����、暴力破解防護(防護口令暴力破解)�、入侵防御系統(tǒng)IPS和Web應用防護系統(tǒng)WAF等。
可以說�����,傳統(tǒng)網(wǎng)站安全管理手段較多關注上線前網(wǎng)站的漏洞發(fā)現(xiàn)和整改����,以及上線后發(fā)生安全事件時的處置[8]���。做的大部分是事前預防和事后補救恢復的工作,缺乏主動發(fā)現(xiàn)和整理內網(wǎng)運行的網(wǎng)站類信息資產�����,在緊急事件發(fā)生時缺少敏捷的響應手段��,應急處置能力不足�����。
信息資產安全治理平臺的構建
為了提高網(wǎng)站安全管理能力�����,在高校內網(wǎng)搭建部署信息資產安全治理平臺����,對校內信息資產做到主動發(fā)現(xiàn)識別、形成完備的網(wǎng)站及業(yè)務系統(tǒng)備案制度����,做好網(wǎng)站及業(yè)務系統(tǒng)的全生命周期管理����,更好地監(jiān)控校內網(wǎng)站運行狀態(tài)���,包含安全性、合規(guī)性�、可用性等。
業(yè)務邏輯
具體業(yè)務邏輯如圖1所示����。分析整理清楚內網(wǎng)信息系統(tǒng)數(shù)量是網(wǎng)站安全管理的基礎。通過在網(wǎng)絡出口旁路部署自學習引擎����,在IPv4和IPv6網(wǎng)絡環(huán)境下對鏡像流量內各類協(xié)議,特別是HTTP和HTTPS協(xié)議訪問進行分析��,自動發(fā)現(xiàn)提供Web服務的網(wǎng)站以及提供其他端口服務的信息系統(tǒng)��。
圖1 信息資產治理平臺業(yè)務邏輯
將信息系統(tǒng)納入治理平臺后�����,通過對網(wǎng)站監(jiān)測和分析,一旦發(fā)現(xiàn)Webshell���、網(wǎng)頁篡改���、網(wǎng)頁敏感詞、網(wǎng)頁暗鏈����、Web漏洞和系統(tǒng)漏洞多種安全威脅,就要及時發(fā)出郵件通知并關停網(wǎng)站域名解析和對外網(wǎng)服務����。同時制定防護策略,對SQL注入����、跨站腳本攻擊(XSS)、跨站點請求偽造(CSRF)��、頁面盜鏈��、爬蟲�����、流量攻擊等常見攻擊行為進行防護,并支持WAF防火墻聯(lián)動處置�����。發(fā)現(xiàn)內網(wǎng)面臨網(wǎng)絡安全威脅時����,協(xié)同防護設備進行自動阻斷���,或人工驗證后的手工阻斷���,進行以下處置:
1.根據(jù)不同的安全事件,進行應用訪問阻斷功能�����;
2.設置策略��,進行自動阻斷或人工驗證后阻斷���;
3.通過設置策略���,阻斷整個 Web 應用或只阻斷發(fā)生問題的頁面。
部署和阻斷原理
利用部署在校園骨干網(wǎng)的治理平臺,對校內網(wǎng)站的運行狀態(tài)實時監(jiān)控����,根據(jù)風險等級及時控制WAF設備聯(lián)動阻斷危險訪問。
聯(lián)動阻斷分為兩類:
第一類為串聯(lián)部署��,通過治理平臺下發(fā)指令給WAF��,經過WAF的資產相關的通訊數(shù)據(jù)就會被阻斷��。串聯(lián)部署中的WAF主要依靠匹配IP或URL���,進行包攔截�。此種方式更加簡單高效����。
第二類旁路部署對網(wǎng)絡影響最小,對服務端及客戶端會話進行雙向重置阻止服務器和客戶端數(shù)據(jù)的傳輸�����。根據(jù)TCP通訊原理��,服務方和客戶端消息傳遞有嚴格的時序限制����,如果要達到阻斷效果��,必須在下一包確認包到達之前對TCP連接進行重置操作����,否則等數(shù)據(jù)傳輸完成后再收到阻斷包就無法達到重置TCP連接目的���。
1. TCP三次握手時阻斷(如圖2)�����。
圖2 TCP建立連接時阻斷
2. 數(shù)據(jù)傳輸中的阻斷(如圖3)。
圖3 TCP建立連接后阻斷
實踐效果
通過部署信息資產治理平臺和WAF聯(lián)動配置后��,近3個月內����,內網(wǎng)共發(fā)現(xiàn)信息資產200余個,共檢測到30%的資產有攻擊記錄�����,主要是面向互聯(lián)網(wǎng)開放的網(wǎng)站和信息系統(tǒng)�����。其中站群系統(tǒng)遭到69萬余次攻擊,嚴重級別攻擊約占20%��。從嚴重級別攻擊類型上看��,SQL注入類攻擊占到整體攻擊數(shù)量的90%��,XSS跨站腳本和Webshell網(wǎng)站后門漏洞利用等占到5%左右���。WAF設備對各類攻擊進行了有效的阻斷����。
根據(jù)平臺提供的情報�����,管理員對業(yè)務系統(tǒng)采取了一系列措施�����,對Web業(yè)務系統(tǒng)進行了安全加固�,其中包括:使用參數(shù)化語句,加強對用戶輸入的SQL相關語句及敏感字符進行驗證�����;加強對用戶輸入?yún)?shù)的校驗,避免直接使用前端傳輸?shù)膮?shù)拼接語句���;加強對業(yè)務系統(tǒng)的文件上傳管理以及排查當前系統(tǒng)是否已經被植入Webshell����;加強對用戶輸入的參數(shù)進行校驗����,過濾掉可被執(zhí)行的系統(tǒng)命令相關語句,防止命令執(zhí)行造成危害����;并對服務器進行定期升級,更新安全補丁等��。
信息資產治理可有效解決校內網(wǎng)站眾多不易整體管控的問題����,將學校的信息資產安全動態(tài)實時掌控���,及時發(fā)現(xiàn)安全漏洞��,實現(xiàn)精細化的問題資產處置���,增強了應急響應的能力���,可以有效應對層出不窮的網(wǎng)絡攻擊,全面加強高校網(wǎng)站安全保護能力����。
