高校網站安全的“矛”與“盾”(一)

文/諸葛建偉

高校網站安全的“矛”與“盾”(一)

文/諸葛建偉

COST論壇由CCERT、《中國教育網絡》雜志于2008年共同發起，采取會員制，面向個人，完全免費，以開放、平等、自由的互聯網精神運作。如需獲取COST技術論壇視頻、錄音等資料，請登錄：http://www.cost.edu.cn/。

Web應用從互聯網誕生以來一直是最為主流的網絡應用類型，而作為Web應用的承載體——網站也構成了互聯網中最為核心的資源。在高校中，大量的網絡應用同樣以Web應用程序的方式進行構建，并在高校網站群上進行部署，包括學校院系門戶、教學管理系統、網上課程、數字圖書館、網上辦公等，為高校師生們提供各式各樣的網絡服務。為了便于用戶檢索和訪問各種網站服務資源，近幾年國內高校紛紛進行“數字化校園”項目建設，打造集中的校園信息門戶，并通過“校園一卡通”來統一各類校園服務的身份帳號標識和認證與支付途徑，使得高校師生們能夠享受到更加便捷的校園服務。

然而在以“數字化校園”和“校園一卡通”為代表的高校信息化建設過程中，網絡和信息系統的安全問題卻沒有得到應有的重視。特別是作為承載校園網絡應用服務的網站群，在設計開發、部署實施和運營維護等關鍵階段中都存在著明顯的安全問題，因此在面對互聯網上各種形態的安全威脅時，國內高校網站的安全形勢并不容樂觀。

網站的脆弱性與安全威脅

網站是由服務器操作系統、網絡服務軟件、Web應用程序、數據庫所構成的復雜信息系統，作為Web應用的服務提供端，通過傳輸網絡向Web瀏覽器提供信息數據和在線服務。圖1給出了網站系統的安全威脅層次模型，構成網站系統的各個組件層次上所面臨的典型安全威脅和攻擊類型。其包括：

傳輸網絡的網絡協議安全威脅：如針對HTTP明文傳輸協議的敏感信息監聽，在網絡層、傳輸層和應用層都存在的假冒身份攻擊，以及拒絕服務攻擊等；

操作系統和網絡服務軟件的安全威脅：網站的宿主操作系統，如Windows Server、Linux等，存在著遠程滲透攻擊和本地滲透攻擊威脅；網站系統上所依賴的I I S、Apache等Web服務器服務軟件、數據庫服務、SSH等遠程管理服務，也不可避免地存在著安全漏洞與弱點，攻擊者可以利用這些漏洞對網站服務器實施滲透攻擊，或者獲取敏感信息。

Web應用程序安全威脅：程序員在使用ASP、PHP等腳本編程語言實現網站上的Web應用程序時，由于缺乏安全意識或有著不良的編程習慣，最終導致Web應用程序出現安全漏洞，從而被攻擊者滲透利用，包括SQL注入攻擊、XSS跨站腳本攻擊等。

Web數據安全威脅：網站上在Web應用程序后臺存儲的關鍵數據內容，以及網站客戶輸入的數據內容，存在著被竊取、篡改及輸入不良信息等威脅。

正因為網站系統在各個構成軟件組件層次上都存在著安全威脅，而其中只要一個層次上出現問題，就會對網站的安全性造成損害，因此對于高校網站的運營方和網絡管理部門而言，在搭建和運營高校網站時，需要關注到網站系統所面臨的多樣化安全威脅，并采用適當的安全措施來規避這些威脅對網站所帶來的風險。

圖1 網站系統安全威脅層次模型

傳輸網絡安全威脅和設防措施

網站服務器和Web瀏覽器之間的網絡傳輸通常是基于HTTP協議，而HTTP協議是明文傳輸的，一旦網站服務器的用戶登錄認證過程仍使用HTTP協議，而沒有使用加密傳輸的HTTPS協議，那么就很容易被網絡監聽從而獲取登錄用戶的用戶名和密碼等敏感信息。比如某高校校園門戶網站仍采用HTTP明文協議來傳輸校園一卡通用戶名和口令，可以使用Wireshark等網絡嗅探工具監聽登錄交互網絡通訊過程，并從中很容易地提取到用戶敏感信息。可以設想在圖書館無線網絡等共享上網環境中，一些喜歡惡作劇的好事者或另有所圖的攻擊者可以輕易地監聽獲取到其他用戶的校園一卡通帳號信息，并可能利用這些信息進行一些無法預期的惡意攻擊。仍是同一所高校，在網絡管理部門的聯網登錄網站上就使用了HTTPS加密協議進行保護，這種差異反映出不同網站運營者對安全威脅的認知程度，及對安全防護措施水平也是高下立判。

在此種情況下，在高校網絡服務群提供了一卡通統一用戶標識之外，還應提供具備高度安全性的單點登錄(SSO)認證機制，從而充分利用統一用戶標識的優勢，并將涉及用戶敏感信息的登錄過程均集中在單點上處理，由具有較高安全技術水平和保障能力的網絡管理團隊來實施所有校園網絡服務的認證過程，這種機制能夠在投入資源條件限制的情況下，最大化地提升數字校園對用戶身份敏感信息的安全保障能力。

本文作者所在單位在CNGI試商用項目中已經完成了基于Web的網絡接入認證和單點登錄系統的研發，正在尋求在高校數字校園建設中的推廣部署，感興趣的讀者可以從項目網站http://netsec.ccert.edu.cn/cngi101/上了解更多信息。

操作系統、服務威脅和設防措施

目前高校網站服務器所采用的主流操作系統與Web服務平臺主要有Windows Server + IIS + MSSQL + ASP/ASP.NET和LAMP（Linux + Apache + MySQL + PHP）架構兩大類，而操作系統平臺、用于遠程管理的SSH等網絡服務、以及網站所依賴的Web、數據庫等網絡服務軟件都可能存在著一些安全漏洞和不安全配置，從而能夠被遠程攻擊者滲透攻擊，獲得網站服務器的訪問權。這種威脅在管理員疏于管理服務器，無法保證及時升級安全補丁的情況下尤其嚴重，然而在高校中，大量的網站服務器并沒有專職的管理員，而依賴于兼職人員進行維護，甚至處于無人看管的狀態，因此高校網站服務器是最容易被“網絡駭客”們所攻擊和利用的。

為了改變高校網站服務器的糟糕安全狀態，一方面從機制上，需要建立起對校園核心網站服務的安全責任制度，需要讓這些服務器至少有人看管和負責；另一方面從技術上，應充分利用計算機自動化能力來提升服務器安全性，包括：

1.設置操作系統及Web服務的自動化補丁更新和軟件升級機制

如Windows提供了補丁自動更新機制，高校應盡量促進軟件的正版化，并可通過教育折扣降低軟件正版化的成本，從而能夠合法地利用軟件廠商所提供地自動更新服務，來對包括Windows、IIS服務、MSSQL服務等軟件進行自動化的安全補丁更新。對于具有較高技術水平的高校，推薦采用Linux等開源軟件來架設網站服務器，并可以通過APT／YUM等自動軟件更新工具，結合Crond計劃任務管理工具來及時更新系統和相關服務軟件。應在每月補丁更新日設置定期的服務器人工維護計劃，來確保網站服務器的安全。

2.使用漏洞遠程掃描軟件和服務來評估網站服務器系統安全性

國內的商業漏洞掃描軟件，如綠盟“極光”等，提供了非常優秀的系統安全評估功能，但售價較為昂貴，具有技術能力的安全團隊可以自己使用開源的Nessus和OpenVAS等漏洞掃描器來定期評估高校網站群的服務器安全，此外，也可以采用目前比較流行的遠程安全評估服務。

3.采用SCAP安全內容自動化協議來對服務器安全配置進行核查

安全內容自動化協議(SCAP: Security Content Automation Protocol)是由美國標準化技術研究院(NIST)在安全自動化技術發展潮流中推出的標準協議，目前正在尋求通過IETF成為國際標準。SCAP協議提供了一種自動、標準化的方法來維護信息系統的安全，如實現安全配置基線，驗證當前的補丁程序，進行系統安全配置設置的持續性監測，檢查系統的入侵標志，以及能在任意設定時刻給出系統的安全狀態。基于SCAP協議的FDCC聯邦桌面核心配置計劃在美國大獲成功，有效地提升了美國聯邦政府計算機系統的安全性，但SCAP協議在國內的采納、本地化和應用仍處于初期階段，本文作者目前正在開展相關的研究，也希望能夠和相關的政府部門、業界公司、應用單位合作進行研發、應用推廣與標準化工作，促進安全自動化技術在中國的發展。

（作者單位為清華大學網絡工程研究中心）