数字技术 与应用安全技术高校网站群系统安全风险与应对策略探讨马健 金涛伟*(长春中医药大学,吉林长春 130117)摘要:随着“互联网+”时代的到来,高校网站群系统安全风险问题逐渐凸显。本文作者针对网站群系统存在的安全风险从安全漏洞、病毒防护、安全配置等方面指出高校网站群系统存在的安全风险,并有针对性的提出了应对策略,希望能够探讨解决一些安全问题。关键词:网站群;安全风险;安全应对策略中图分类号:TP393.092文献标识码:A文章编号:1007-9416(2017)10-0189-02由于高校各级单位部门众多,网站数量日渐增多,越来越多的高校应用网站群系统构建学校网站。网站群系统的应用,一方面解决了以往高校网站建设存在的问题,但另一方面由于其高度集成性,也将高校网站的安全性问题推到了新的高度。1 网站群系统安全风险分析为改变以往网站重复建设、数据无法共享、监管难度大等问题,许多高校根据“统一标准、统一规范、统筹规划、分步实施”的原则,采用网站群系统构建以学校门户网站为主站,其他部门单位为子站的网站群体系,但也带来了一定的安全风险,主要包括以下几个方面:漏洞。如被攻击者利用,会导致网站权限被非法获取,数据被篡改或者被泄露。在服务器配置方面,如未关闭不必要的端口,也存在被攻击的风险。(2)应用程序漏洞。虽然高校网站群系统提供了多种类型的组件,例如留言板、计数器等。但高校日常业务众多,有些需求无法通过这些功能组件实现。因此,需要网站管理员自行编制代码,例如使用Javascript语言编制脚本应用程序。由于开发者技术水平不同,这些脚本程序安全性无法保障,对网站群系统的安全构成极大威胁。1.2 计算机病毒感染高校网站群系统在使用过程中,需要各级管理员上传文章、图片、附件等。在这个过程中,会使用移动硬盘、U盘、存储卡等,容易感染计算机病毒,丢失重要数据文件或网页被篡改等。1.1 安全漏洞安全漏洞是指硬件、软件、协议在具体实现或系统安全策略上的缺陷,从而可使攻击者能在未授权的情况下访问或破坏计算机系统[1]。安全漏洞主要包括:(1)服务器系统与配置漏洞。目前,高校网站群系统服务器上操作系统一般是Linux、Unix、Windows Server等,这些系统本身就有安全漏洞,会成为攻击者可利用的突破点,从而发起对网站群系统服务器的攻击。例如2017年5月12日在全球爆发的勒索病毒,就是利用了操作系统本身的漏洞对学校、医院等部门服务器发起攻击,导致相关机构的日常业务无法开展。此外,部署在服务器上的Apache Tomcat、MySQL、SQL Server等也具有潜在可被攻击的1.3 安全配置不到位高校网站群系统作为全校网站核心系统,自带安全防范功能,需要网站管理员熟悉并启动服务。例如后台登录IP限制,非法行为禁止登陆等。如网站群管理员对这些功能不熟悉,会导致配置不到位,导致埋下安全隐患。2 网站群系统安全风险应对策略高校实施网站群系统,需要在物理安全、网络安全、系统安全、应用安全四个方面加强安全措施[2]。具体的安全策略如下:2.1 物理安全策略图1 网站群安全技术架构模型收稿日期:2017-10-13作者简介:马健(1981—),男,吉林延吉人,硕士,助理工程师,研究方向:网络安全与技术。*通讯作者:金涛伟(1982—),男,吉林长春人,硕士,助理实验师,研究方向:计算机科学与技术、医学信息学研究,E-mail:4017453@qq.com。189安全技术物理安全是网站群系统安全的前提条件。物理安全也称实体安全,是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件设备的安全[3]。网站群系统服务器应部署在符合国家标准的机房,通过机房门禁系统对出入人员进行监控。应使用独立机柜,配置多路冗余电源及机房环境监控装置,如机房温度过高或断电等,将自动发送短信给机房值班人员。数字技术 与应用2.2 网络安全策略(1)网站群安全技术架构模型。高校网站群安全技术架构模型采用管理服务器、网页防篡改服务器、Web发布服务器和反向代理服务器四层架构,如图1所示。反向代理服务器的设置,将用户的访问请求转到反向代理服务器,由反向代理服务器将请求转发到Web发布服务器,从而隐藏Web发布服务器。一旦有攻击者对Web发布服务器发起攻击,那么只能攻击到反向代理服务器,不会引起网站数据破坏,增强了安全性。此外,通过将安全审计系统、Web应用防火墙、入侵检测系统部署在网站群系统外部,增强了网站群系统应对网络风险的能力。(2)入侵检测系统。入侵检测系统(Intrusion Detection System),简称IDS,实时检测外网或内网的入侵事件并进行响应。在网站群系统实施部署过程中,应将入侵检测系统部署在外网防火墙之后的主干网络上,用于实时检测任何破坏网站群系统数据的行为,并对该行为进行约束。(3)Web应用防火墙。Web应用防火墙(Web ApplicationFirewall),简称WAF,是通过一系列针对HTTP/HTTPS的安全策略为Web应用提供专门保护[4]。与传统防火墙不同,WAF部署在网络中的应用层,可对Web应用程序的访问请求实施安全检测,只有符合WAF安全规则,才可访问网站群系统,否则将阻断非法访问请求。(4)网页防篡改系统。网页防篡改系统是一种针对网站的保护软件,只保护网站最重要的内容,也就是网站群系统上的大量网页[5]。高校网站群系统可以通过部署该系统检测网站群系统内部的网页、图片、电子文档、音视频等文件,如文件发生了规则外的改变,将启动自动恢复功能。网页防篡改系统运用事件触发、核心内嵌、文件过滤驱动等技术检测网页、图片、电子文档、数据库等文件是否被非法修改或破坏。(5)安全审计系统。安全审计系统遵照既定的安全策略,通过记录网站、信息系统上的用户活动信息,发现系统存在的漏洞或网络入侵行为。网站群系统作为高校网站核心服务系统,安全性的提升不仅限于传统防火墙、Web应用防火墙、入侵检测系统等,还需要做到对各类用户活动的可查与可控。安全审计系统的部署,将会对网站群上各种活动行为进行记录,及早发现非法行为,确保网站群系统安全。(1)系统升级与漏洞扫描。高校网站群系统服务器系统一般是Linux、Windows Server操作系统,这些系统本身有漏洞,必须定期扫描系统漏洞并及时修复。同时,要安装系统升级包,严防网络攻击行为。定期与第三方评估机构合作,对网站群系统进行漏洞扫描,主动发现网站群系统中的SQL注入、跨站脚本等安全问题。(2)端口管理。服务器端口经常成为网络攻击和入侵的途径,必须关闭不常用或者无用的端口,减少网站群系统暴露在网络中的端口数量。在网站群系统前端,通过使用反向代理服务器的方式,让外网防火墙仅仅开放反向代理服务器的端口,大幅度降低网络攻击者入侵的可能。(3)计算机病毒防护。高校网站群系统必须部署服务器版杀毒软件,实现对网站群系统各网站的病毒监控与预警,制定升级病毒库计划,确保病毒库时刻保持最新。对各级管理员要进行管理权限限制,用户操作要有日志记录。2.4 应用安全(1)权限控制。高校网站群系统通过统一身份模式管理权限,实现跨多个网站的单点登录。通过分级授权,为各级网站管理员授予不同权限,设置可管理的站点、栏目、文章等。系统用户角色分为系统管理员、站点管理员、栏目管理员、普通用户等,可根据上述角色划分不同权限。(2)登录密码防破解。高校网站群系统应具备登录密码防破解功能,如连续3次以上输入密码有误,系统自动锁定账号,在设定的锁定时间内无法登录。如反复多次输入密码有误,系统永久锁定该账号。(3)IP地址访问控制。高校网站群系统通过设置IP地址或IP地址段,限制访问管理后台。例如设定只能在内网指定的IP地址或IP地址段访问管理后台,或在校外使用VPN访问,防止他人窃取管理员密码后直接登陆网站群管理后台,增强了系统安全性。3 结语应用高校网站群系统时,要对其安全风险进行全面分析,探索研究符合本校实际情况的网站群安全策略,制定符合本校实际情况的网站群系统安全管理制度,将信息安全工作落到实处,确保学校网站群安全、可靠、稳定地运行。参考文献[1]张庆吉,曹连刚,赵玉秀.高校网站安全问题分析及其对策[J].电子商务,2010,(6):58-59.[2]罗南.高校网站群建设中信息安全保障的探索[J].电脑知识与技术,2015,(26):83-84.[3]黄虹.基于等级保护的网络物理安全建设[J].信息网络安全,2010,(1):226-228.[4]黄晓华.高校网站安全问题分析[J].软件导刊,2014,(8):130-131.[5]姚滢.网页防篡改系统的研究与设计方案[J].计算机安全,2010,(9):61.2.3 系统安全Security Risks and Countermeasures of University Website Group SystemMa Jian, Jin Taowei(Changchun University of Chinese Nedicine, Jilin Changchun 130117)Abstract:With the advent of the \"Internet +\" era, the security risks of university website group system gradually highlights. The author of this paperfor security risk existing website group system from security vulnerabilities, virus protection, security configuration and points out the existing securityrisk system of university website group, and puts forward countermeasures, hope to be able to discuss and solve some security problems.Key Words:website group;security risk;security response strategy190