近年来,高校应用的普及,在便利学校管理与增强社会服务功能的同时,也招来了大量或"黑"或"红"的不速之客。特别是应用系统Web化之后,也开始瞄准校园网,高校网络以往的安全 "免疫系统"已经明显失去了效力,用户急需商开出更有效的安全"新药方"。
近几年来,各大高校为了增强系统的社会服务功能和访问的便捷性,都在向Web应用模式转型。为了保证这些Web应用系统的安全,大多高校网也都部署了安全代理、、/ ,以及软件防火墙、防这类安全设备。但是,高校网遭遇的恶性攻击事件不仅没有因此减少,反而还出现了大幅飙升的趋势。
"老三样"安全防护失效
"湖北多所高校网站遭攻击 考生录取记录被篡改";"北大网站遭篡改 假冒校长抨击大学教育";"黑客攻击清华大学新闻网 捏造顾秉林粗俗讲话假新闻";"知名高校挂马现象严重 考生面临安全风险"。如今,类似的高校网"中招"事件比比皆是,这些网络攻击不仅能轻易穿透高校网的安全屏障,还能在后台随便篡改数据。据杭州安恒信息技术有限公司技术总监范渊介绍,这些幕后黑手正是通过Web应用系统的漏洞,越过了高校网的安全防护体系。
"事实上,当前以Web应用系统为跳板,甚至控制整个内网系统的攻击行为已成为黑色产业链最普遍的攻击手段。据一些搜索网站的统计,目前70%以上的攻击行为都是基于WEB应用系统的。"
在范渊看来,校园网之所以在遭遇攻击后损失重大,主要是因为大部分学校的对外服务网站都与其内网系统相关联,攻击者更容易以器为跳板实现对校园内部系统的入侵。所以,对高校用户来说,因此导致信息泄露、信息被篡改及重要数据被破坏等损失的几率就更高。所以,高校网的第一道防线,其实应该是基于WEB应用系统的安全防护。
"很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性了,就能全面立体的防护WEB应用了。但是,为什么攻击事件依旧不断发生,并不断造成损失呢?其根本的原因在于,传统的网络安全设备对于应用层的攻击防范,作用十分有限,如今的这些攻击正是基于WEB应用的攻击。"
范渊告诉记者, 目前的大多防火墙都是工作在网络层,通过状态防火墙保证内部网络不会被外部网络非法接入。由于所有的处理都是在网络层,所以应用层攻击的特征在网络层次上是无法检测出来的。而IDS、IPS这类设备对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样无法提供有效的防护。而软件防病毒、防火墙产品,一般采用被动的检测机制,只能检测已知病毒或,并且无法识别外部的正常访问请求。
可见,基于"老三样"安全产品的WEB应用系统安全解决方案,对应用层的安全问题并不适用。高校用户就算采购更多这样的安全设备,也无法有针对性的解决他们现在的安全问题。这也是当前一些方案商在提出解决方案后,遭遇出局命运的原因。
杭州安恒信息技术有限公司CEO范渊
多层防护铸就铜墙铁壁
范渊表示,应用层的安全问题更为复杂,和传统的解决方案相比,"新药方"需要具备综合治疗的效应,单一的产品很难彻底帮用户解决问题。
"所以,我们的解决方案是由7大子系统构成的,目标是构建一个整体多层防护系统。它包含网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站弱点扫描子系统、网站数据库安全审计子系统总共7大部分,从各个层面和各个角度为网站系统建立起一个立体的防御体系。"
范渊解释道,网站的整体安全检测主要依靠网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。通过WEB应用弱点扫描子系统,可以快速检测网站可能存在的SQL注入、跨站脚本、表单绕过等应用弱点,并根据检测结果有针对性的采取安全加固措施。而通过数据库弱点扫描子系统,就能快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,再通过有效应对去尽可能防范对后台数据的入侵。
而监控审计也是防御Web攻击的关键。通过网站应用安全审计子系统和网站数据库安全审计子系统的协作。安恒的解决方案可以深度检测所有HTTP访问数据,并实现对网站访问的7x24小时实时监控,对检测到的异常访问和攻击行为,系统都会报警、通知用户,协助网管人员第一时间采取安全应急措施。而且,系统的日志功能,也为安全审计提供了基础。网站数据库安全审计子系统同时在帮助用户检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过、TELNET等其他的访问方式,实现了对后台数据库日常操作的监控、危险操作控制以及安全事件的追溯。