校園網站安全管理策略

文／劉璀 劉鎧 劉昂威

2021 年國家互聯網應急中心發布的《2020年我國互聯網網絡安全態勢綜述》提到：2020 年，我國境內被篡改的網站約10 萬個，特別是全球抗擊疫情的同時，境外黑客組織有組織、有目的的網絡攻擊形勢愈加明顯[1]。

得益于近三十年的信息化建設，高校內網積累了大量的信息化資產，其中各類網站是信息化服務的重要基礎。相對于其他企事業單位，高校網站數量眾多，構成復雜，應用功能種類豐富，大體分為以下四類：

1.互聯網訪問量較大的WWW 學校主頁和招生網等宣傳咨詢類網站，這類網站具有一定社會影響力和權威性，且作為edu.cn 類型的域名搜索權重較高[2]，是黑客關注的重點。

2.為全校師生提供信息化服務的一站式、統一建設網站群、OA、選課教務系統、學生管理系統、檔案系統等網站，這類網站是師生學習工作的重要平臺，且保存有大量重要數據和敏感信息，是各個高校網站防護的重點。

3.各個學院、中心、實驗室、科研會議注冊等自建網站，甚至掛靠在學校的各種協會主頁，這部分校內網站規模小且分散，有個別網站管理方為了節約開發成本，從建設立項、開發、測試到上線都沒有嚴格的安全管控，導致網站安全管理和防護能力差，有時還會出現長時間無人管理運維的“僵尸網站”。部分校內機構為“省事”，還會在未備案的情況下，在校外上線“雙非網站”[3]。這部分是校園網安全管理的“痛點”。

4.校內用于師生教學科研的私有云、超算等算力資源平臺上運行著大量虛擬化主機，常見的校內虛擬機和云桌面申報—審批管理機制并不能很好地約束使用者，運維中經常發現將虛擬服務器另作“他用”的行為。由于個別用戶信息安全防護意識淡薄，主機存在黑客入侵、感染病毒的風險。這部分網站和主機為高校信息化部門網站安全管理工作帶來挑戰，是網絡安全管理的難點。

網站安全問題

網站服務由客戶端瀏覽器和服務器端程序組成，客戶端通過HTTP/HTTPS 協議來完成與服務器端的信息交互。因此，網站安全問題可以大體分為以下三種：

1.客戶端安全問題，包括瀏覽器漏洞、跨站腳本攻擊（XSS）、跨站點請求偽造（CSRF）、點擊劫持（ClickJacking）等[4]。主流瀏覽器都有一些防止XSS 攻擊的方法和技術，輸入檢查和輸出控制、字符轉義等也是網站安全設計的常見手段。

2.傳輸安全問題，報文在客戶端和服務器端之間傳輸時，很容易遭到竊聽和篡改，破壞信息的私密性和完整性。通過TLS（SSL）加密傳輸是解決這一問題的常見手段。

3.服務器端安全問題，針對Web 服務器的攻擊方法數量眾多，常見的有DDOS、注入和文件上傳漏洞、Webshell 網站后門漏洞等。具有一定權威性的全球性安全組織OWASP（Open Web Application Security Project）開放式Web 應用程序安全項目在2017 年提出的權威的“10 項最嚴重的Web應用程序安全風險列表”，總結了Web 應用程序最可能、最常見、最危險的十大漏洞[5]，見表1。

表1 OWASP 十大漏洞（2017）

World Wide Web 萬維網已經誕生三十年，網站安全問題伴隨著Web 技術的發展，也在演進和變化。信息安全的“木桶原理”指出系統的安全水平由安全性最低的部分決定，任何安全缺陷都會對系統構成威脅[6]。校園網作為一個整體，任何單項或者局部的安全隱患都會給整體網絡帶來安全威脅。高校網站安全建設作為系統工程，需要對校園網整體安全環境進行統一規劃建設，并要根據內外情況變化做好調整和應對。

為了應對層出不窮的安全漏洞和攻擊，信息化部門從管理體制和技術保障兩方面著手，通過開辦審核、上線前安全檢測、建立網站安全保護工作機制、落實網絡安全責任制、加強網站安全監測和應急處置等一系列安全管理和技術手段，構建網絡安全防護體系[7]。

網絡安全防護體系從軟硬件構成上來說，一般包括邊界防火墻（阻斷外界用戶對校內設備的掃描和探測）、漏洞掃描防護或遠程安全評估（網站上線前的安全檢查）、態勢感知、日志審計、暴力破解防護（防護口令暴力破解）、入侵防御系統IPS 和Web 應用防護系統WAF 等。

可以說，傳統網站安全管理手段較多關注上線前網站的漏洞發現和整改，以及上線后發生安全事件時的處置[8]。做的大部分是事前預防和事后補救恢復的工作，缺乏主動發現和整理內網運行的網站類信息資產，在緊急事件發生時缺少敏捷的響應手段，應急處置能力不足。

信息資產安全治理平臺的構建

為了提高網站安全管理能力，在高校內網搭建部署信息資產安全治理平臺，對校內信息資產做到主動發現識別、形成完備的網站及業務系統備案制度，做好網站及業務系統的全生命周期管理，更好地監控校內網站運行狀態，包含安全性、合規性、可用性等。

業務邏輯

具體業務邏輯如圖1 所示。分析整理清楚內網信息系統數量是網站安全管理的基礎。通過在網絡出口旁路部署自學習引擎，在IPv4 和IPv6 網絡環境下對鏡像流量內各類協議，特別是HTTP 和HTTPS 協議訪問進行分析，自動發現提供Web服務的網站以及提供其他端口服務的信息系統。

圖1 信息資產治理平臺業務邏輯

將信息系統納入治理平臺后，通過對網站監測和分析，一旦發現Webshell、網頁篡改、網頁敏感詞、網頁暗鏈、Web 漏洞和系統漏洞多種安全威脅，就要及時發出郵件通知并關停網站域名解析和對外網服務。同時制定防護策略，對SQL注入、跨站腳本攻擊（XSS）、跨站點請求偽造（CSRF）、頁面盜鏈、爬蟲、流量攻擊等常見攻擊行為進行防護，并支持WAF 防火墻聯動處置。發現內網面臨網絡安全威脅時，協同防護設備進行自動阻斷，或人工驗證后的手工阻斷，進行以下處置：

1.根據不同的安全事件，進行應用訪問阻斷功能；

2.設置策略，進行自動阻斷或人工驗證后阻斷；

3.通過設置策略，阻斷整個Web 應用或只阻斷發生問題的頁面。

部署和阻斷原理

利用部署在校園骨干網的治理平臺，對校內網站的運行狀態實時監控，根據風險等級及時控制WAF 設備聯動阻斷危險訪問。

聯動阻斷分為兩類：第一類為串聯部署，通過治理平臺下發指令給WAF，經過WAF 的資產相關的通訊數據就會被阻斷。串聯部署中的WAF 主要依靠匹配IP 或URL，進行包攔截。此種方式更加簡單高效。

第二類旁路部署對網絡影響最小，對服務端及客戶端會話進行雙向重置阻止服務器和客戶端數據的傳輸。根據TCP 通訊原理，服務方和客戶端消息傳遞有嚴格的時序限制，如果要達到阻斷效果，必須在下一包確認包到達之前對TCP 連接進行重置操作，否則等數據傳輸完成后再收到阻斷包就無法達到重置TCP 連接目的。

1.TCP 三次握手時阻斷（如圖2）。

圖2 TCP 建立連接時阻斷

2.數據傳輸中的阻斷（如圖3）。

圖3 TCP 建立連接后阻斷

實踐效果

通過部署信息資產治理平臺和WAF 聯動配置后，近3 個月內，內網共發現信息資產200 余個，共檢測到30%的資產有攻擊記錄，主要是面向互聯網開放的網站和信息系統。其中站群系統遭到69 萬余次攻擊，嚴重級別攻擊約占20%。從嚴重級別攻擊類型上看，SQL 注入類攻擊占到整體攻擊數量的90%，XSS 跨站腳本和Webshell網站后門漏洞利用等占到5%左右。WAF設備對各類攻擊進行了有效的阻斷。

根據平臺提供的情報，管理員對業務系統采取了一系列措施，對Web 業務系統進行了安全加固，其中包括：使用參數化語句，加強對用戶輸入的SQL 相關語句及敏感字符進行驗證；加強對用戶輸入參數的校驗，避免直接使用前端傳的參數拼接語句；加強對業務系統的文件上傳管理以及排查當前系統是否已經被植入Webshell；加強對用戶輸入的參數進行校驗，過濾掉可被執行的系統命令相關語句，防止命令執行造成危害；并對服務器進行定期升級，更新安全補丁等。

信息資產治理可有效解決校內網站眾多不易整體管控的問題，將學校的信息資產安全動態實時掌控，及時發現安全漏洞，實現精細化的問題資產處置，增強了應急響應的能力，可以有效應對層出不窮的網絡攻擊，全面加強高校網站安全保護能力。