web应用程序漏洞发掘和攻击速速加快,高校网站受影响大
目前,在高校内部和外部的业务系统中,基于Web和数据库结合的B/S架构应用已经得到广泛应用,与此同时,越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击。学校及其各院系部处中心的Web网站是各部门对外的窗口和形象,尤其如招生就业、政策数据决策研究等具有社会影响的网站,应该采取必要的信息安全保护措施。
由于针对Web系统前端,防火墙、入侵防御等网络安全设备已被广泛部署,网络访问控制策略设置也颇为严格,黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)来攻击网站;然而,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越快,基于Web漏洞的攻击更容易被利用,已经成为黑客首选。
高校网站运维方面存在的主要问题
1.缺乏专业、系统的网站建设运维体系
高校网站建设水平参差不齐,网站的建设运维也比较混乱。建站系统不同,网站维护人员流动性高,由学生建设的,也有专门的网站建设厂商来建设的,采用的系统也不是很专业,有的系统本身就带有漏洞。网站的安全防护和日常运维各自为政,难成体系。
2.网站多,站点数量庞大
一般来说,高校网站少则几百个,多则上千个,站点数量庞大,有序安全的管理显得尤为重要,这也是高校区别于其他行业需要对网站建设运维格外关注的主要原因之一。
3.运行分散
各个部门、学术机构的运行环境不同,有统一托管的,有采用云服务的,还有自建机房,甚至有的直接放置于自己的办公室。分散的环境不利于管理,但是短期内却无法统一。
4.内容维护缺乏有效监管
很多高校网站的论坛随意建立,无人管理,内容监管混乱。
高校网站群安全防护原则
遵循相关政策标准及法规要求
近年来,随着高校信息安全事故频频见诸报端,国家对高校信息及网络安全尤其重视。为加强高校信息安全防护,国家出台了信息安全等保要求,高校信息安全需达到信息安全等保三级要求。高校网站安全设计要符合国家有关标准、法规要求,符合国家对高校信息安全系统的等级保护技术规范与管理要求。
对信息安全进行均衡全面的保护
如果要提升整个系统的整体安全水平,那么就势必要从系统当中最为薄弱的环节入手加以保护。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。
技术和制度建设双管齐下
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
高校网站群安全防护具体应对方法
1.加强事前防范,进行安全风险识别
据了解,学校管理网站总数超过50个时,应在校园网络部署Web远程安全扫描系统;如果校内服务器数超过50台,则应部署服务器扫描系统。服务器扫描系统针对服务器漏洞进行探测扫描,Web远程安全扫描系统主要针对Web页面(挂马、暗链等)进行扫描。
扫描结果可以提前展示信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。全面满足重大时期紧急安全检查工作的需求和有效应对等级保护测评。
2.部署web应用防火墙
学校如果有三级(含)以上网站系统,或者集中网站的总数超过30个,应在信息系统前端部署Web应用防火墙(也称为WAF),天下数据WAF这一防御系统能够保护各网站Web服务器免受应用级入侵,它弥补了网络防火墙、IPS这类安全设备对Web应用攻击防护能力不足的问题,可及时发现网站可能发生的页面篡改等安全事件,保证Web服务器的安全运营。
3.防止网页内容篡改
各个高校基本都有自己的主页,页面内容被篡改是高校网站经常会面临的攻击行为。网页内容的改变包括:文字、图片或者正常字母组成的标语,变换范围可能是小局部,这些很难靠机器全部识别,但对高校形象造成不良影响,所以应具有保证网页内容安全的措施:安装网页防篡改系统或者购买远程实时监控的服务。
4.加强网站安全管理制度建设
高校网站群安全管理制度应包括网站的建设、维护、备案、应急等方面,制度由学校发布并由信息安全部门监督执行。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具体有可操作性,且必须得到有效推行和实施的制度。制定严格的制定与发布流程、方式和范围等。定期对安全管理制度进行评审和修订,修订不足及进行改进。
利用管理制度以及学校安全管理中心进行系统统一、高效的运维管理。包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理,安全事件处置、应急预案管理等,使系统始终处于相应的安全状态中。
天下数据 Web应用防火墙 ( 云WAF )是基于 AI 引擎的一站式 Web 业务运营风险防护方案,帮助用户应对网站入侵,漏洞利用,挂马,篡改,后门,爬虫Bot,域名劫持等安全问题,为组织网站及Web业务安全运营保驾护航。
