校園網(wǎng)Web網(wǎng)站網(wǎng)絡(luò)安全問題分析與解決方法

楊龍

摘要：隨著校園網(wǎng)快速發(fā)展，校園Web網(wǎng)站也在高校宣傳及信息化建設(shè)中發(fā)揮著越來越重要的作用，隨之而來的Web網(wǎng)站安全問題也日益突出。本文針對Web網(wǎng)站安全問題，對常見的網(wǎng)站攻擊進(jìn)行分析，并提出了相應(yīng)的防御措施及解決方法。

關(guān)鍵詞：校園網(wǎng)；Web網(wǎng)站安全；網(wǎng)頁攻擊；防御措施

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）35-0057-02

隨著校園網(wǎng)的不斷發(fā)展，Web網(wǎng)站逐漸成為在校師生的信息服務(wù)平臺，同時也是宣傳高校工作的一種重要方式。Web網(wǎng)站在為師生帶來方便服務(wù)的同時也帶來了一些網(wǎng)絡(luò)安全問題，這些問題不僅僅影響了網(wǎng)站的使用效果也對校園網(wǎng)的網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重的威脅。Web網(wǎng)站的網(wǎng)絡(luò)安全問題已經(jīng)成為校園網(wǎng)網(wǎng)絡(luò)安全研究領(lǐng)域中的一個重要方向。

1 引言

現(xiàn)如今，大多數(shù)高校的Web網(wǎng)站均采用IIS服務(wù)與數(shù)據(jù)庫相結(jié)合的架構(gòu)模式。IIS全稱為Internet Information Server（網(wǎng)絡(luò)信息服務(wù)），它是Microsoft公司推出的Web服務(wù)器。相對于其他Web服務(wù)器，IIS具有更高的可靠性與可用性，IIS經(jīng)過不斷的設(shè)計與改進(jìn)，新的容錯進(jìn)程架構(gòu)和其他功能可以有效地幫助用戶減少不必要的停機(jī)時間，從而提高了應(yīng)用程序的可用性。但是基于IIS服務(wù)的Web網(wǎng)站也同樣存在著一系列的安全問題，其中主要有：①服務(wù)器操作系統(tǒng)未進(jìn)行合理的配置與科學(xué)的管理；②如網(wǎng)站掛馬、SQL注入攻擊和跨站腳本攻擊等破壞性網(wǎng)站攻擊；③IIS服務(wù)器端運(yùn)行腳本環(huán)境本身存在的一些安全隱患。本文主要針對常見的Web網(wǎng)站攻擊進(jìn)行分析與研究，并結(jié)合實際提出了行之有效的解決方法。

2 校園網(wǎng)Web網(wǎng)站存在的安全問題

2.1 網(wǎng)站掛馬

掛馬就是指攻擊者通過各種非法手段獲取到網(wǎng)站后臺管理員賬號和密碼，并登陸網(wǎng)站后臺，利用webshell直接修改網(wǎng)站頁面內(nèi)容或者將網(wǎng)頁木馬嵌入到被攻擊的高校網(wǎng)站中，當(dāng)用戶訪問時就會自動下載木馬病毒。網(wǎng)站掛馬直接影響到高校的網(wǎng)站的信譽(yù)度，使網(wǎng)站失去了有力宣傳高校的作用，對高校的對外宣傳工作造成了很大的影響；同時木馬病毒通過用戶不斷地點擊瀏覽網(wǎng)站在校園網(wǎng)中廣泛傳播，對全校師生的信息安全構(gòu)成嚴(yán)重的威脅。

2.2 SQL注入

SQL注入是一種針對數(shù)據(jù)庫的惡意攻擊，它將SQL命令直接插入到Web表單中并提交給后臺服務(wù)器處理，最終達(dá)到欺騙服務(wù)器，執(zhí)行惡意SQL語句的目的。SQL注入可以被分為平臺層注入和代碼層注入，平臺層注入主要是由不安全的數(shù)據(jù)庫配置引起的數(shù)據(jù)庫漏洞所致；而代碼層注入則是由網(wǎng)頁開發(fā)人員對輸入數(shù)據(jù)庫的數(shù)據(jù)審核不嚴(yán)，從而導(dǎo)致了非法的數(shù)據(jù)查詢所造成的。SQL注入對Web網(wǎng)站的危害是比較大的，它能夠非法的讀取、篡改、添加、刪除數(shù)據(jù)庫中的用戶數(shù)據(jù)；盜取用戶的各類數(shù)據(jù)信息，并非法獲益；通過修改數(shù)據(jù)庫中的數(shù)據(jù)來改變網(wǎng)頁上的內(nèi)容；私自添加或刪除管理員賬號。

2.3 跨站腳本攻擊

跨站腳本攻擊也被稱為XSS（Cross Site Scripting）是Web應(yīng)用程序在將數(shù)據(jù)輸出到網(wǎng)頁上存在漏洞，導(dǎo)致攻擊者將惡意數(shù)據(jù)或鏈接顯示在頁面上。相比于SQL注入攻擊，跨腳本攻擊是針對用戶的攻擊，換言之，它是一種存在于用戶瀏覽器中的惡意代碼?？缯灸_本攻擊可以分為持久性型XSS和和非持久性XSS，前者將惡意代碼或數(shù)據(jù)提交至存儲器，Web應(yīng)用在輸出數(shù)據(jù)時，都會將惡意數(shù)據(jù)讀取出來并在頁面上顯示；而非持久性XSS則是瀏覽器在提交惡意數(shù)據(jù)時才會響應(yīng)。由于跨站腳本攻擊直接運(yùn)行在用戶的瀏覽器上，它可以很容易的獲取到用戶的數(shù)據(jù)信息，對于高校網(wǎng)站這種大用戶量的網(wǎng)站來說，用戶數(shù)據(jù)泄露的危害是巨大的。

3 高校Web網(wǎng)站安全問題的分析及解決方法

3.1 形成原因

目前，各高校Web網(wǎng)站均存在著嚴(yán)峻的安全問題，其形成的主要原因主要有以下幾點：

3.1.1滿足于網(wǎng)站正常應(yīng)用，忽略網(wǎng)站安全

許多高校的網(wǎng)站是由網(wǎng)站開發(fā)公司設(shè)計完成的，高校的網(wǎng)站管理員只是負(fù)責(zé)網(wǎng)站的正常使用。公司人員尋求的是在最短時間的利益最大化，如何在最短時間完成網(wǎng)站的設(shè)計與開發(fā)是他們關(guān)心的問題，從而忽略了網(wǎng)站的安全問題。然而，校方網(wǎng)站管理員由于能力和專業(yè)知識的欠缺，在正常使用網(wǎng)站時，遇到安全隱患并不能引起管理員的重視，這樣就給了攻擊者有機(jī)可乘。

3.1.2 Web網(wǎng)站服務(wù)器管理用戶較多

由于高校院系及行政管理部門較多，因此網(wǎng)站數(shù)量也相對較多，并且各個網(wǎng)站都有各部門管理員負(fù)責(zé)管理，這就給Web網(wǎng)站服務(wù)器帶了許多安全隱患。不同的網(wǎng)站管理員會在網(wǎng)站服務(wù)器上進(jìn)行上傳、下載等操作，且各個網(wǎng)站管理員的專業(yè)技術(shù)水平存在著差異，這樣就增加了Web服務(wù)器感染網(wǎng)絡(luò)病毒、木馬的概率。雖然服務(wù)器管理員會為不同的網(wǎng)站管理員創(chuàng)建不同的用戶，但是有些病毒會造成服務(wù)器CPU的使用率過高等問題，這就影響到同一服務(wù)器上其他網(wǎng)點的正常使用。

3.1.3 缺少Web網(wǎng)站防御設(shè)備

造成Web網(wǎng)站安全問題的另一個原因是，高校投入不夠，沒有單獨的網(wǎng)站防御設(shè)備。許多高校的網(wǎng)站管理員認(rèn)為校園網(wǎng)已經(jīng)有單獨的防火墻設(shè)備，不需要再為Web網(wǎng)站架設(shè)防御設(shè)備，而實際上網(wǎng)站在遭受攻擊后對高校造成的形象價值損失是巨大的，這種損失遠(yuǎn)遠(yuǎn)超過了為Web建設(shè)防御設(shè)備的成本。

3.2 解決思路

事實表明，想要在校園網(wǎng)高速發(fā)展的背景下解決高校Web網(wǎng)站安全問題，必須要轉(zhuǎn)變工作思路和模式，變被動為主動，更全面地看待網(wǎng)站安全問題。具體解決思路如下：

3.2.1健全機(jī)制，規(guī)范管理

無規(guī)矩不成方圓，針對高校Web網(wǎng)站的安全問題，高校網(wǎng)站管理部門應(yīng)該建立起一套行之有效的管理機(jī)制，其中主要包括Web網(wǎng)站的日常維護(hù)重點及方法；明確網(wǎng)站管理員及各站點管理員的管理責(zé)任。只有在一個健全的管理機(jī)制的基礎(chǔ)上，網(wǎng)站管理部門在網(wǎng)站遭受攻擊后才能及時發(fā)現(xiàn)并解決問題，減少高校的形象損失。

3.2.2提高網(wǎng)站管理員自身專業(yè)水平

網(wǎng)站管理員是Web網(wǎng)站的直接使用者，提高管理員的專業(yè)水平能夠及時發(fā)現(xiàn)網(wǎng)站潛在的安全問題。Web網(wǎng)站遭受的攻擊大多數(shù)都是直接對網(wǎng)站代碼的攻擊，因此網(wǎng)站管理員應(yīng)具備一定的木馬識別及清除能力，能夠?qū)τ新┒吹腤eb網(wǎng)站代碼進(jìn)行審核并修復(fù)。

3.2.3提高重視，增加投入

高校領(lǐng)導(dǎo)應(yīng)重視Web網(wǎng)站的安全問題，增加網(wǎng)站維護(hù)及防御設(shè)備。網(wǎng)站經(jīng)常遭受的攻擊，例如XSS攻擊、SQL注入攻擊等，都是可以被網(wǎng)站檢測設(shè)備檢測到的，有針對性的部署Web網(wǎng)站防御及檢測設(shè)備能夠有效地提高網(wǎng)站安全性，為網(wǎng)站創(chuàng)造一個安全的運(yùn)行環(huán)境。如圖1所示，某高校的網(wǎng)站防御系統(tǒng)掃描到的潛在攻擊。

4 結(jié)束語

隨著校園網(wǎng)絡(luò)的逐漸發(fā)展，技術(shù)的日益進(jìn)步，校園網(wǎng)Web網(wǎng)站的安全問題所面臨的挑戰(zhàn)也在逐步增加。學(xué)校應(yīng)重視網(wǎng)站安全問題，增加資金、人員的投入，使Web網(wǎng)站運(yùn)行在一個安全、穩(wěn)定、可靠的網(wǎng)絡(luò)環(huán)境中，這樣才能更好地為全校師生服務(wù)。

參考文獻(xiàn)：

[1] 符鳳平.Web網(wǎng)站安全技術(shù)分析[J].計算機(jī)系統(tǒng)應(yīng)用，2008（12）：162-165.

[2] 李悅，孫健，沈宏.校園網(wǎng)網(wǎng)頁防篡改技術(shù)研究與分析[J].電腦知識與技術(shù)，2010（36）：10262-10263.

[3] 劉巨濤.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究[J].內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報（社會科學(xué)版），2012.

[4] 趙妮.淺談校園網(wǎng)中Web站點的安全規(guī)范[J].科技信息，2009.