解讀校園Web安全“新藥方”
校園Web安全背景
近幾年來,各大高校為了增強信息化系統的社會服務功能和訪問的便捷性,都在向Web應用模式轉型。為了保證這些Web應用系統的安全,大多高校網也都部署了SSL安全代理、防火墻、IDS/IPS ,以及軟件防火墻、防病毒這類安全設備。但是,高校網遭遇的惡性攻擊事件不僅沒有因此減少,反而還出現了大幅飆升的趨勢。
“老三樣”安全防護失效
“湖北多所高校網站遭攻擊 考生錄取記錄被篡改”;“北大網站遭黑客篡改 假冒校長抨擊大學教育”;“黑客攻擊清華大學新聞網 捏造顧秉林粗俗講話假新聞”;“知名高校掛馬現象嚴重 考生面臨安全風險”。如今,類似的高校網“中招”事件比比皆是,這些網絡攻擊不僅能輕易穿透高校網的安全屏障,還能在后臺隨便篡改數據。據安恒信息技術總監范淵介紹,這些幕后黑手正是通過Web應用系統的漏洞,越過了高校網的安全防護體系。
“事實上,當前以Web應用系統為跳板,入侵服務器甚至控制整個內網系統的攻擊行為已成為黑色產業鏈最普遍的攻擊手段。據一些搜索網站的統計,目前70%以上的攻擊行為都是基于WEB應用系統的。”
在范淵看來,校園網之所以在遭遇攻擊后損失重大,主要是因為大部分學校的對外服務網站都與其內網系統相關聯,攻擊者更容易以應用服務器為跳板實現對校園內部系統的入侵。所以,對高校用戶來說,因此導致信息泄露、信息被篡改及重要數據被破壞等損失的幾率就更高。所以,高校網信息安全的第一道防線,其實應該是基于WEB應用系統的安全防護。
“很多用戶認為,在網絡中部署多層的防火墻,入侵檢測系統(IDS),入侵防御系統(IPS)等設備,就可以保障網絡的安全性了,就能全面立體的防護WEB應用了。但是,為什么攻擊事件依舊不斷發生,并不斷造成損失呢?其根本的原因在于,傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限,如今的這些攻擊正是基于WEB應用的攻擊。”
范淵告訴記者, 目前的大多防火墻都是工作在網絡層,通過狀態防火墻保證內部網絡不會被外部網絡非法接入。由于所有的處理都是在網絡層,所以應用層攻擊的特征在網絡層次上是無法檢測出來的。而IDS、IPS這類設備對于未知攻擊,和將來才會出現的攻擊,以及通過靈活編碼和報文分割來實現的應用層攻擊,IDS和IPS同樣無法提供有效的防護。而軟件防病毒、防火墻產品,一般采用被動的檢測機制,只能檢測已知病毒或木馬,并且無法識別外部的正常訪問請求。
可見,基于“老三樣”安全產品的WEB應用系統安全解決方案,對應用層的安全問題并不適用。高校用戶就算采購更多這樣的安全設備,也無法有針對性的解決他們現在的安全問題。這也是當前一些方案商在提出解決方案后,遭遇出局命運的原因。
多層防護鑄就銅墻鐵壁
應用層的安全問題更為復雜,和傳統的解決方案相比,“新藥方”需要具備綜合治療的效應,單一的產品很難徹底幫用戶解決問題。
WEB應用系統安全解決方案是由7大子系統構成的,目標是構建一個整體多層防護系統。它包含網站WEB應用弱點掃描子系統、網站防攻擊子系統、網站防篡改子系統、網站應用安全審計子系統、網站數據庫弱點掃描子系統、網站數據庫安全審計子系統總共7大部分,從各個層面和各個角度為網站系統建立起一個立體的防御體系。
網站的整體安全檢測主要依靠網站WEB應用弱點掃描子系統和數據庫弱點掃描子系統來完成。通過WEB應用弱點掃描子系統,可以快速檢測網站可能存在的SQL注入、跨站腳本、表單繞過等應用弱點,并根據檢測結果有針對性的采取安全加固措施。而通過數據庫弱點掃描子系統,就能快速識別數據庫系統存在的補丁狀況、弱配置狀況等安全隱患,再通過有效應對去盡可能防范對后臺數據的入侵。
Web安全在校園中的情況就為大家介紹完了,希望大家已經掌握。
【編輯推薦】
