欢迎来到天天文库
浏览记录
ID:41010327
大小:318.00 KB
页数:10页
时间:2019-08-13
《高校Web应用系统安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、高校WEB应用系统安全解决方案高校Web应用系统安全解决方案10高校WEB应用系统安全解决方案目录一、前言3二、现状与背景3三、安全现状分析3(一)目前的典型安全措施31、防火墙42、IDS/IPS43、软件防病毒/防火墙4(二)WEB应用威胁51、SQL注入攻击52、XSS跨站攻击63、表单绕过攻击7四、安全解决方案7五:小结:1010高校WEB应用系统安全解决方案一、前言前期南通分公司与南通大学、南通纺织学院、南通航运学院等多院校展开合作,参与学校的数字校园建设,随着数字化校园建设推进,学校对WEB应用系统的安全要求也越来越高,本文对如何采用技术手段对高校的
2、web应用系统进行安全加固,为学校提供可靠、安全的一体化信息网络解决方案进行了探讨。二、现状与背景随着网络信息技术的发展与普及,目前几乎所有的高校甚至部分中小学,都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理,给学校的数据管理带来便利。然而,人们在享受互联网带来的便捷的同时,也承受着层出不穷的网络安全威胁。不管是在互联网或者是校园网,黑客攻击事件层出不穷,越来越多针对着名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为,严重危害学校互联网和校园网安全。对于以名誉及
3、教学质量为重的学校而言,风险极大。三、安全现状分析近一段时间,针对学校WEB应用系统进行的黑客攻击行为以及挂马事件层出不穷,带了巨大损失。(一)目前的典型安全措施10高校WEB应用系统安全解决方案目前应用系统典型安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS、软件防火墙/防病毒四层防护。1、防火墙(1)只能检测网络层的攻击(2)无法阻拦来自网络内部的非法操作(3)无法动态识别或自适应地调整规则(4)对WEB应用,端口80或443必须开放2、IDS/IPS(1)只检测已知特征(2)对数据层的信息缺乏深度分析,误报/漏报率很高(3)没有对session/
4、user的跟踪,不能保护SSL流量3、软件防病毒/防火墙(1)被动检测机制,只检测已知病毒或木马(2)无法识别外部正常访问请求。很多用户认为,在网络中部署多层的防火墙,入侵检测系统(IDS),入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体的防护WEB应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的大多防火墙都是工作在网络层,通过对网络层的数据过滤(基于TCP/IP10高校WEB应用系统安全解决方案报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不
5、会被外部网络非法接入。所有的处理都是在网络层,而应用层攻击的特征在网络层次上是无法检测出来的。IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。目前由于学校WEB应用系统安全解决方案自身的局限性,导致学校WEB应用系统无法应对日新月异的安全攻击,特别是目前主流基于WEB应用的安全攻击手段。(二)WEB应用威胁WEB应用系统直接面向Internet,以WEB应用
6、系统为跳板入侵服务器甚至控制整个内网系统的攻击行为已成为最普遍的攻击手段。据某搜索网站统计,目前70%以上的攻击行为都基于WEB应用系统。WEB应用系统安全关系到整个网络站点甚至内部敏感信息安全。目前,大多数WEB站点与学校内部数据管理应用结合在一起,特别是大部分学校对外服务网站都与其内网系统相关联,通过入侵WEB应用系统,以应用服务器为跳板实现对银行内部系统进一步入侵,由此引发的信息泄露,信息篡改及重要数据破坏等恶意攻击行为极大着威胁着学校及学生信息安全。筑建网络信息安全的第一道防线,基于WEB应用系统的防护方法研究迫在眉睫。根据长期针对网上银行业务系统的安全
7、评估结果,就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上应用系统主要存在问题进行详细介绍。1、SQL注入攻击10高校WEB应用系统安全解决方案SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。SQL注入攻击技术就本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQLInjection攻击
8、就发生了。实际上,SQL
此文档下载收益归作者所有