基于高校的網(wǎng)絡(luò)安全檢測與防護(hù)

上海立信會(huì)計(jì)金融學(xué)院信息化辦公室 高秋燕

隨著信息化技術(shù)的不斷升級(jí)創(chuàng)新，高校信息化水平也得以不斷發(fā)展，但與此同時(shí)網(wǎng)絡(luò)安全威脅也層出不窮，加強(qiáng)高校各信息系統(tǒng)及網(wǎng)絡(luò)的安全防御，是目前急需解決的問題。本文主要分析研究當(dāng)前高校如何檢測各系統(tǒng)的安全與漏洞風(fēng)險(xiǎn)并進(jìn)行安全防護(hù)工作，為高校信息化建設(shè)提供參考。

隨著政府事業(yè)單位信息化的快速發(fā)展，各單位對(duì)信息系統(tǒng)的依賴程度日益增高，信息安全的問題也越來越突出。同時(shí)，由于利益的驅(qū)使，針對(duì)政府部門的安全威脅越來越多，尤其是涉及民生與教育相關(guān)的單位，受到攻擊的次數(shù)日漸頻繁，相關(guān)單位必須加強(qiáng)自身的信息安全保障工作，建立完善的安全機(jī)制來抵御外來和內(nèi)在的信息安全威脅。

1 做好高校網(wǎng)絡(luò)安全檢測

圖1 Nmap掃描結(jié)果示例圖

圖2 BurpSuit掃描結(jié)果示例圖

目前，高校面臨的網(wǎng)絡(luò)安全形勢嚴(yán)峻，使用有效漏洞掃描工具對(duì)高校各信息化系統(tǒng)進(jìn)行端口與漏洞檢測，消除系統(tǒng)潛在威脅，是網(wǎng)絡(luò)安全防范工作的第一步。當(dāng)前可以使用的免費(fèi)漏洞的掃描工具有多種，包括Burp Suit、Security APPscan、Nmap、Nessus、nikto、AWVS等，這里將選出比較好用的幾款進(jìn)行說明。

1.1 使用Nmap進(jìn)行系統(tǒng)端口檢測

Nmap（Network Mapper）是一款開源網(wǎng)絡(luò)安全掃描工具，支持Linux、Windows等多個(gè)系統(tǒng)，是黑客常用的端口掃描工具之一，我們也可以用來檢測系統(tǒng)開放的端口，做到預(yù)判與預(yù)防范。

Nmap的安裝較為簡單，這里用nmap對(duì)門戶網(wǎng)站進(jìn)行全面檢測，如圖1所示，網(wǎng)站開放了111/443/80/22/6666/1102/873這7個(gè)端口，對(duì)于不常用端口，可以進(jìn)行關(guān)閉，來防范黑客通過這些端口進(jìn)行攻擊。

1.2 使用Burp Suit檢測web應(yīng)用程序安全漏洞

Burp Suit是web應(yīng)用程序檢測的最佳工具之一，功能強(qiáng)大，并可以檢測到當(dāng)前大部分漏洞。普通版可以直接在BurpSuit官網(wǎng)進(jìn)行下載，這里主要介紹它的抓取與掃描功能。

Burp Suit的“Spider”蜘蛛功能主要用來抓取web應(yīng)用程序的鏈接和內(nèi)容，是進(jìn)行掃描的前提。Burp Suit在爬行掃描出網(wǎng)站上所有鏈接后，再點(diǎn)擊“Scanner”自動(dòng)掃描其漏洞。掃描結(jié)果較為全面，但自動(dòng)掃描也可能會(huì)出現(xiàn)誤報(bào)，不能100%準(zhǔn)確。

圖2所示為對(duì)特定網(wǎng)站的漏洞掃描結(jié)果示例，可以發(fā)下其存在網(wǎng)站密碼明文未加密的高危漏洞。

1.3 使用IBM Security APPscan Standard檢測Web應(yīng)用程序和Web服務(wù)安全漏洞

APPscan也是應(yīng)用較為廣泛的一款掃描工具，它和BurpSuit一樣主要應(yīng)用于單個(gè)web應(yīng)用程序的檢測，且操作簡單。相對(duì)于BurpSuit，它的中文版更易于學(xué)習(xí)了解，但由于各個(gè)掃描器均不能保障掃描結(jié)果的100%準(zhǔn)確率，所以建議多用幾個(gè)不同掃描器進(jìn)行掃描對(duì)比。

圖3所示是使用APPscan對(duì)特定網(wǎng)站的漏洞掃描結(jié)果示例，可以看出，通過掃描可以發(fā)現(xiàn)如SQL注入等多個(gè)高危漏洞，并可以查看這些高危漏洞的詳細(xì)解說與程序代碼，使漏洞修復(fù)更為簡單方便。

圖3 APPscan掃描結(jié)果示例圖

圖4 AWVS掃描結(jié)果示例圖

圖5 高校網(wǎng)絡(luò)安全防范體系示例圖

1.4 使用AWVS進(jìn)行web漏洞掃描

AWVS與APPscan功能較為接近，且只適用于windows系統(tǒng)，操作簡單，但相比APPscan和Burp Suit，它對(duì)于CSRF跨站請求偽造等攻擊的敏感性較高，而APPScan與Burp Suit對(duì)于SQL漏洞攻擊、XSS攻擊等漏洞敏感性跟高。AWVS掃描結(jié)果如圖4所示。

以上四種掃描器使用較為簡單且功能齊全，通過對(duì)網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫等漏洞掃描，可以最早發(fā)現(xiàn)系統(tǒng)的薄弱之處并予以修復(fù)，從根本處不給攻擊者可乘之機(jī)。

2 做好高校網(wǎng)絡(luò)安全防護(hù)

合理使用網(wǎng)絡(luò)安全設(shè)備是高校網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)。根據(jù)國家GB/T 22239-2008《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，高校應(yīng)增強(qiáng)系統(tǒng)的安全防護(hù)能力，有效抵御內(nèi)部和外部威脅，為學(xué)校及內(nèi)部各部門提供安全、穩(wěn)定的業(yè)務(wù)服務(wù)。

圖5所示為高校網(wǎng)絡(luò)安全防范中可以建設(shè)的體系示例，除在外網(wǎng)出口位置部署出口防火墻抵制外部web威脅外，還應(yīng)注重內(nèi)網(wǎng)主機(jī)、數(shù)據(jù)庫的風(fēng)險(xiǎn)防范。針對(duì)安全運(yùn)維管理、應(yīng)用層安全防護(hù)、數(shù)據(jù)安全防護(hù)等方面，通過部署相關(guān)安全防護(hù)設(shè)備，結(jié)合安全管理制度，提高網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全以及數(shù)據(jù)安全。

結(jié)語：面對(duì)日益嚴(yán)峻的安全形勢，高校需要一套有效的網(wǎng)絡(luò)安全防護(hù)模式來抵抗風(fēng)險(xiǎn)，保障信息化的正常運(yùn)行。本文從漏洞檢測與安全防護(hù)體系兩個(gè)方面，為高校網(wǎng)絡(luò)安全提供了一些參考。