日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
高校網(wǎng)站安全的“矛”與“盾”

高校網(wǎng)站安全情況分析

網(wǎng)站建設哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、成都小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了太子河免費建站歡迎大家使用!

為了便于用戶檢索和訪問各種網(wǎng)站服務資源,近幾年國內(nèi)高校紛紛進行“數(shù)字化校園”項目建設,打造集中的校園信息門戶,并通過“校園一卡通”來統(tǒng)一各類校園服務的身份帳號標識和認證與支付途徑,使得高校師生們能夠享受到更加便捷的校園服務。

然而在以“數(shù)字化校園”和“校園一卡通”為代表的高校信息化建設過程中,網(wǎng)絡和信息系統(tǒng)的安全問題卻沒有得到應有的重視。特別是作為承載校園網(wǎng)絡應用服務的網(wǎng)站群,在設計開發(fā)、部署實施和運營維護等關鍵階段中都存在著明顯的安全問題,因此在面對互聯(lián)網(wǎng)上各種形態(tài)的安全威脅時,國內(nèi)高校網(wǎng)站的安全形勢并不容樂觀。

網(wǎng)站的脆弱性與安全威脅

網(wǎng)站是由服務器操作系統(tǒng)、網(wǎng)絡服務軟件、Web應用程序、數(shù)據(jù)庫所構成的復雜信息系統(tǒng),作為Web應用的服務提供端,通過傳輸網(wǎng)絡向Web瀏覽器提供信息數(shù)據(jù)和在線服務。圖1給出了網(wǎng)站系統(tǒng)的安全威脅層次模型,構成網(wǎng)站系統(tǒng)的各個組件層次上所面臨的典型安全威脅和攻擊類型。

圖1網(wǎng)站系統(tǒng)安全威脅層次模型

其包括:

傳輸網(wǎng)絡的網(wǎng)絡協(xié)議安全威脅:如針對HTTP明文傳輸協(xié)議的敏感信息監(jiān)聽,在網(wǎng)絡層、傳輸層和應用層都存在的假冒身份攻擊,以及拒絕服務攻擊等;

操作系統(tǒng)和網(wǎng)絡服務軟件的安全威脅:網(wǎng)站的宿主操作系統(tǒng),如Windows Server、Linux等,存在著遠程滲透攻擊和本地滲透攻擊威脅;網(wǎng)站系統(tǒng)上所依賴的IIS、Apache等Web服務器服務軟件、數(shù)據(jù)庫服務、SSH等遠程管理服務,也不可避免地存在著安全漏洞與弱點,攻擊者可以利用這些漏洞對網(wǎng)站服務器實施滲透攻擊,或者獲取敏感信息。

Web應用程序安全威脅:程序員在使用ASP、PHP等腳本編程語言實現(xiàn)網(wǎng)站上的Web應用程序時,由于缺乏安全意識或有著不良的編程習慣,最終導致Web應用程序出現(xiàn)安全漏洞,從而被攻擊者滲透利用,包括SQL注入攻擊、XSS跨站腳本攻擊等。

Web數(shù)據(jù)安全威脅:網(wǎng)站上在Web應用程序后臺存儲的關鍵數(shù)據(jù)內(nèi)容,以及網(wǎng)站客戶輸入的數(shù)據(jù)內(nèi)容,存在著被竊取、篡改及輸入不良信息等威脅。

正因為網(wǎng)站系統(tǒng)在各個構成軟件組件層次上都存在著安全威脅,而其中只要一個層次上出現(xiàn)問題,就會對網(wǎng)站的安全性造成損害,因此對于高校網(wǎng)站的運營方和網(wǎng)絡管理部門而言,在搭建和運營高校網(wǎng)站時,需要關注到網(wǎng)站系統(tǒng)所面臨的多樣化安全威脅,并采用適當?shù)陌踩胧﹣硪?guī)避這些威脅對網(wǎng)站所帶來的風險。

傳輸網(wǎng)絡安全威脅和設防措施

網(wǎng)站服務器和Web瀏覽器之間的網(wǎng)絡傳輸通常是基于HTTP協(xié)議,而HTTP協(xié)議是明文傳輸?shù)?,一旦網(wǎng)站服務器的用戶登錄認證過程仍使用HTTP協(xié)議,而沒有使用加密傳輸?shù)腍TTPS協(xié)議,那么就很容易被網(wǎng)絡監(jiān)聽從而獲取登錄用戶的用戶名和密碼等敏感信息。

比如某高校校園門戶網(wǎng)站仍采用HTTP明文協(xié)議來傳輸校園一卡通用戶名和口令,可以使用Wireshark等網(wǎng)絡嗅探工具監(jiān)聽登錄交互網(wǎng)絡通訊過程,并從中很容易地提取到用戶敏感信息。可以設想在圖書館無線網(wǎng)絡等共享上網(wǎng)環(huán)境中,一些喜歡惡作劇的好事者或另有所圖的攻擊者可以輕易地監(jiān)聽獲取到其他用戶的校園一卡通帳號信息,并可能利用這些信息進行一些無法預期的惡意攻擊。仍是同一所高校,在網(wǎng)絡管理部門的聯(lián)網(wǎng)登錄網(wǎng)站上就使用了HTTPS加密協(xié)議進行保護,這種差異反映出不同網(wǎng)站運營者對安全威脅的認知程度,及對安全防護措施水平也是高下立判。

在此種情況下,在高校網(wǎng)絡服務群提供了一卡通統(tǒng)一用戶標識之外,還應提供具備高度安全性的單點登錄(SSO)認證機制,從而充分利用統(tǒng)一用戶標識的優(yōu)勢,并將涉及用戶敏感信息的登錄過程均集中在單點上處理,由具有較高安全技術水平和保障能力的網(wǎng)絡管理團隊來實施所有校園網(wǎng)絡服務的認證過程,這種機制能夠在投入資源條件限制的情況下,最大化地提升數(shù)字校園對用戶身份敏感信息的安全保障能力。

操作系統(tǒng)、服務威脅和設防措施

目前高校網(wǎng)站服務器所采用的主流操作系統(tǒng)與Web服務平臺主要有WindowsServer+IIS+MSSQL+ASP/ASP.NET和LAMP(Linux+Apache+MySQL+PHP)架構兩大類,而操作系統(tǒng)平臺、用于遠程管理的SSH等網(wǎng)絡服務、以及網(wǎng)站所依賴的Web、數(shù)據(jù)庫等網(wǎng)絡服務軟件都可能存在著一些安全漏洞和不安全配置,從而能夠被遠程攻擊者滲透攻擊,獲得網(wǎng)站服務器的訪問權。

這種威脅在管理員疏于管理服務器,無法保證及時升級安全補丁的情況下尤其嚴重,然而在高校中,大量的網(wǎng)站服務器并沒有專職的管理員,而依賴于兼職人員進行維護,甚至處于無人看管的狀態(tài),因此高校網(wǎng)站服務器是最容易被“網(wǎng)絡駭客”們所攻擊和利用的。

為了改變高校網(wǎng)站服務器的糟糕安全狀態(tài),一方面從機制上,需要建立起對校園核心網(wǎng)站服務的安全責任制度,需要讓這些服務器至少有人看管和負責;另一方面從技術上,應充分利用計算機自動化能力來提升服務器安全性,包括:

1.設置操作系統(tǒng)及Web服務的自動化補丁更新和軟件升級機制

如Windows提供了補丁自動更新機制,高校應盡量促進軟件的正版化,并可通過教育折扣降低軟件正版化的成本,從而能夠合法地利用軟件廠商所提供地自動更新服務,來對包括Windows、IIS服務、MSSQL服務等軟件進行自動化的安全補丁更新。對于具有較高技術水平的高校,推薦采用Linux等開源軟件來架設網(wǎng)站服務器,并可以通過APT/YUM等自動軟件更新工具,結合Crond計劃任務管理工具來及時更新系統(tǒng)和相關服務軟件。應在每月補丁更新日設置定期的服務器人工維護計劃,來確保網(wǎng)站服務器的安全。

2.使用漏洞遠程掃描軟件和服務來評估網(wǎng)站服務器系統(tǒng)安全性

國內(nèi)的商業(yè)漏洞掃描軟件,如綠盟“極光”等,提供了非常優(yōu)秀的系統(tǒng)安全評估功能,但售價較為昂貴,具有技術能力的安全團隊可以自己使用開源的Nessus和OpenVAS等漏洞掃描器來定期評估高校網(wǎng)站群的服務器安全,此外,也可以采用目前比較流行的遠程安全評估服務。

3.采用SCAP安全內(nèi)容自動化協(xié)議來對服務器安全配置進行核查

安全內(nèi)容自動化協(xié)議(SCAP:SecurityContentAutomationProtocol)是由美國標準化技術研究院(NIST)在安全自動化技術發(fā)展潮流中推出的標準協(xié)議,目前正在尋求通過IETF成為國際標準。SCAP協(xié)議提供了一種自動、標準化的方法來維護信息系統(tǒng)的安全,如實現(xiàn)安全配置基線,驗證當前的補丁程序,進行系統(tǒng)安全配置設置的持續(xù)性監(jiān)測,檢查系統(tǒng)的入侵標志,以及能在任意設定時刻給出系統(tǒng)的安全狀態(tài)。

基于SCAP協(xié)議的FDCC聯(lián)邦桌面核心配置計劃在美國大獲成功,有效地提升了美國聯(lián)邦政府計算機系統(tǒng)的安全性,但SCAP協(xié)議在國內(nèi)的采納、本地化和應用仍處于初期階段,本文作者目前正在開展相關的研究,也希望能夠和相關的政府部門、業(yè)界公司、應用單位合作進行研發(fā)、應用推廣與標準化工作,促進安全自動化技術在中國的發(fā)展。

高校網(wǎng)站的安全分析就為大家介紹到這,希望給大家提供了參考和幫助,也希望讀者能夠繼續(xù)關注這方面的內(nèi)容。

【編輯推薦】

  1. 防止黑客入侵之訪問控制技術
  2. 防止黑客入侵技術之安全審計
  3. 詳談:防止黑客入侵技術(1)
  4. 詳談:防止黑客入侵技術(2)

本文題目:高校網(wǎng)站安全的“矛”與“盾”
文章網(wǎng)址:http://m.5511xx.com/article/cdgsdih.html