2021年国家互联网应急中心发布的《2020年我国互联网网络安全态势综述》提到:2020年,我国境内被篡改的网站约10万个,特别是全球抗击疫情的同时,境外黑客组织有组织、有目的的网络攻击形势愈加明显
[1]。
得益于近三十年的信息化建设,高校内网积累了大量的信息化资产,其中各类网站是信息化服务的重要基础。相对于其他企事业单位,高校网站数量众多,构成复杂,应用功能种类丰富,大体分为以下四类:
1、互联网访问量较大的WWW学校主页和招生网等宣传咨询类网站,这类网站具有一定社会影响力和权威性,且作为edu.cn类型的域名搜索权重较高
[2],是黑客关注的重点。
2、为全校师生提供信息化服务的一站式、统一建设网站群、OA、选课教务系统、学生管理系统、档案系统等网站,这类网站是师生学习工作的重要平台,且保存有大量重要数据和敏感信息,是各个高校网站防护的重点。
3、各个学院、中心、实验室、科研会议注册等自建网站,甚至挂靠在学校的各种协会主页,这部分校内网站规模小且分散,有个别网站管理方为了节约开发成本,从建设立项、开发、测试到上线都没有严格的安全管控,导致网站安全管理和防护能力差,有时还会出现长时间无人管理运维的“僵尸网站”。部分校内机构为“省事”,还会在未备案的情况下,在校外上线“双非网站”
[3]。这部分是校园网安全管理的“痛点”。
4、校内用于师生教学科研的私有云、超算等算力资源平台上运行着大量虚拟化主机,常见的校内虚拟机和云桌面申报—审批管理机制并不能很好地约束使用者,运维中经常发现将虚拟服务器另作“他用”的行为。由于个别用户信息安全防护意识淡薄,主机存在黑客入侵、感染病毒的风险。这部分网站和主机为高校信息化部门网站安全管理工作带来挑战,是网络安全管理的难点。
网站安全问题
网站服务由客户端浏览器和服务器端程序组成,客户端通过HTTP/HTTPS协议来完成与服务器端的信息交互。因此,网站安全问题可以大体分为以下三种:
1、客户端安全问题:包括浏览器漏洞、跨站脚本攻击(XSS)、跨站点请求伪造(CSRF)、点击劫持(ClickJacking)等
[4]。主流浏览器都有一些防止XSS攻击的方法和技术,输入检查和输出控制、字符转义等也是网站安全设计的常见手段。
2、传输安全问题:包括在客户端和服务器端之间传输时,很容易遭到窃听和篡改,破坏信息的私密性和完整性。通过TLS(SSL)加密传输是解决这一问题的常见手段。
3、服务器端安全问题:针对Web服务器的攻击方法数量众多,常见的有DDOS、注入和文件上传漏洞、Webshell网站后门漏洞等。具有一定权威性的全球性安全组织OWASP(Open Web Application Security Project)开放式Web应用程序安全项目在2017年提出的权威的“10项最严重的Web应用程序安全风险列表”,总结了Web应用程序最可能、最常见、最危险的十大漏洞
[5],见表1。
表1 OWASP十大漏洞(2017)
World Wide Web万维网已经诞生三十年,网站安全问题伴随着Web技术的发展,也在演进和变化。信息安全的“木桶原理”指出系统的安全水平由安全性最低的部分决定,任何安全缺陷都会对系统构成威胁
[6]。校园网作为一个整体,任何单项或者局部的安全隐患都会给整体网络带来安全威胁。高校网站安全建设作为系统工程,需要对校园网整体安全环境进行统一规划建设,并要根据内外情况变化做好调整和应对。
为了应对层出不穷的安全漏洞和攻击,信息化部门从管理体制和技术保障两方面着手,通过开办审核、上线前安全检测、建立网站安全保护工作机制、落实网络安全责任制、加强网站安全监测和应急处置等一系列安全管理和技术手段,构建网络安全防护体系
[7]。
网络安全防护体系从软硬件构成上来说,一般包括边界防火墙(阻断外界用户对校内设备的扫描和探测)、漏洞扫描防护或远程安全评估(网站上线前的安全检查)、态势感知、日志审计、暴力破解防护(防护口令暴力破解)、入侵防御系统IPS和Web应用防护系统WAF等。
可以说,传统网站安全管理手段较多关注上线前网站的漏洞发现和整改,以及上线后发生安全事件时的处置
[8]。做的大部分是事前预防和事后补救恢复的工作,缺乏主动发现和整理内网运行的网站类信息资产,在紧急事件发生时缺少敏捷的响应手段,应急处置能力不足。
信息资产安全治理平台的构建
为了提高网站安全管理能力,在高校内网搭建部署信息资产安全治理平台,对校内信息资产做到主动发现识别、形成完备的网站及业务系统备案制度,做好网站及业务系统的全生命周期管理,更好地监控校内网站运行状态,包含安全性、合规性、可用性等。
业务逻辑
具体业务逻辑如图1所示。分析整理清楚内网信息系统数量是网站安全管理的基础。通过在网络出口旁路部署自学习引擎,在IPv4和IPv6网络环境下对镜像流量内各类协议,特别是HTTP和HTTPS协议访问进行分析,自动发现提供Web服务的网站以及提供其他端口服务的信息系统。
图1 信息资产治理平台业务逻辑
将信息系统纳入治理平台后,通过对网站监测和分析,一旦发现Webshell、网页篡改、网页敏感词、网页暗链、Web漏洞和系统漏洞多种安全威胁,就要及时发出邮件通知并关停网站域名解析和对外网服务。同时制定防护策略,对SQL注入、跨站脚本攻击(XSS)、跨站点请求伪造(CSRF)、页面盗链、爬虫、流量攻击等常见攻击行为进行防护,并支持WAF防火墙联动处置。发现内网面临网络安全威胁时,协同防护设备进行自动阻断,或人工验证后的手工阻断,进行以下处置:
1.根据不同的安全事件,进行应用访问阻断功能;
2.设置策略,进行自动阻断或人工验证后阻断;
3.通过设置策略,阻断整个 Web 应用或只阻断发生问题的页面。
部署和阻断原理
利用部署在校园骨干网的治理平台,对校内网站的运行状态实时监控,根据风险等级及时控制WAF设备联动阻断危险访问。
联动阻断分为两类:
第一类为串联部署,通过治理平台下发指令给WAF,经过WAF的资产相关的通讯数据就会被阻断。串联部署中的WAF主要依靠匹配IP或URL,进行包拦截。此种方式更加简单高效。
第二类旁路部署对网络影响最小,对服务端及客户端会话进行双向重置阻止服务器和客户端数据的传输。根据TCP通讯原理,服务方和客户端消息传递有严格的时序限制,如果要达到阻断效果,必须在下一包确认包到达之前对TCP连接进行重置操作,否则等数据传输完成后再收到阻断包就无法达到重置TCP连接目的。
1. TCP三次握手时阻断(如图2)。
图2 TCP建立连接时阻断
2. 数据传输中的阻断(如图3)。
图3 TCP建立连接后阻断
实践效果
通过部署信息资产治理平台和WAF联动配置后,近3个月内,内网共发现信息资产200余个,共检测到30%的资产有攻击记录,主要是面向互联网开放的网站和信息系统。其中站群系统遭到69万余次攻击,严重级别攻击约占20%。从严重级别攻击类型上看,SQL注入类攻击占到整体攻击数量的90%,XSS跨站脚本和Webshell网站后门漏洞利用等占到5%左右。WAF设备对各类攻击进行了有效的阻断。
根据平台提供的情报,管理员对业务系统采取了一系列措施,对Web业务系统进行了安全加固,其中包括:使用参数化语句,加强对用户输入的SQL相关语句及敏感字符进行验证;加强对用户输入参数的校验,避免直接使用前端传输的参数拼接语句;加强对业务系统的文件上传管理以及排查当前系统是否已经被植入Webshell;加强对用户输入的参数进行校验,过滤掉可被执行的系统命令相关语句,防止命令执行造成危害;并对服务器进行定期升级,更新安全补丁等。
信息资产治理可有效解决校内网站众多不易整体管控的问题,将学校的信息资产安全动态实时掌控,及时发现安全漏洞,实现精细化的问题资产处置,增强了应急响应的能力,可以有效应对层出不穷的网络攻击,全面加强高校网站安全保护能力。