高校网站安全分析及对策.doc

《高校网站安全分析及对策.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、学无止境高校网站安全分析及对策摘要:本文通过对高校网站安全风险的分析和探讨，以高校非站群网站建设为背景，提出了安全防护对策，以保障高校网站信息的安全，从而更好地服务于广大师生。关键词:网站安全，安全威胁，安全防护对策1高校网站安全风险概述及分析2学无止境2016年3月18日发布的《中国互联网站发展状况及其安全报告(2016年)》指出:2015年，针对中国网站的仿冒页面(UＲL链接)191699个，较2014年增长85．7%，涉及IP地址20488个，较2014年增长199．4%。网页篡改、网站后门等攻击事件层出不穷，党政机关、科研机构、重要行业单位网站依然是黑客组

2、织攻击特别是APT攻击的重点目标。2015年被植入后门的中国网站数量为75028个，较2014年增长86．7%［1］。一旦网站被挂马或被植入广告链接、钓鱼诈骗，可能会造成隐私数据被窃取、业务中断等不良影响，不仅会侵害社会公众的利益，而且可能会使单位形象受到损失。可见，高校网站的安全形势相当严峻。高校网站安全性差，主要归纳为以下几点。1．1网站设计风格各异，开发环境、语言不统一，管理困难，程序存在漏洞。最常见的网站被攻击方式有以下几种:(1)SQL注入。高校网站被攻击方式中SQL注入［3］是最主要的风险，占黑客攻击数量的63%。据介绍，SQL注入攻击主要是利用网站系

3、统漏洞，黑客通过向网站提交的SQL查询语句，非法获取网站数据库中的敏感信息(如用户名、密码等)，从而直接上传后门文件，篡改网页内容，修改数据库数据等一系列严重后果。(2)跨站脚本。攻击者通过伪造请求，模仿用户提交表单的行为，将看上去来源可靠的链接中恶意嵌入代码，从而达到修改用户的数据，执行特定任务的目的。(3)上传文件。攻击者利用应用程序(如FTP等)上传恶意代码，当客户端执行时从而对网站造成破坏。(4)HttpHeads攻击。WEB网站无论采用何种技术和框架，都会用到HTTP协议，攻击者通过HT-TP协议在Ｒesponseheader和content之间注入任意

4、字符，从而攻击网站，如执行脚本语句、篡改cookies等。除网站程序开发上的漏洞外，高校网站还常存在网站管理上的问题。很多高校网站基于windowsserver系统，借助IIS为网站发布服务器，将几十个甚至上百个网站放置在相同目录下，然而，不同的网站文件夹权限设置［4］却相同。网站文件夹权限设置不合理很可能也会引起网站数据被篡改，从而导致网站被挂马或被植入广告链接等。1．2服务器系统、软件存在漏洞。无论是WindowsServer还是Linux、Unix操作系统，都有可能存在漏洞，如不及时修复、更新、安装补丁程序，系统随时会受到威胁。同时，服务器配置上的不完善也会

5、成为被攻击的对象，如权限设置不严谨，管理员账号用户名、密码为空等;没有关闭不必要的服务;共享文件夹不设置相应的权限;所有主机都可以Telnet到服务器等。运行在服务器上的软件也可能存在版本过低，非正版软件等一系列问题，也会产生漏洞［5－7］。1．3网络安全设备缺失。有的高校存在对网络安全不够重视，如网络设备陈旧，数量和性能上不能满足要求，更没有网络安全检测和防护设备。即使大多高校网络出口都配备了防火墙，仍不能保证网络安全万无一失，因为仍有很多攻击行为可以绕过防火墙，如数据驱动攻击等。1．4日常维护不到位，安全意识薄弱。网站管理部门安全制度的缺失，管理人员安全意识不

6、高或技术水平有限，对网站安全防范技术不了解，使日常维护不到位。此外，网站管理部门对众多二级网站的管理无法做到无死角防护，导致网站发生问题时，网站管理部门工作被动，与网站归属部门发生安全责任推诿［8］。2高校网站安全防护对策面临高校网站如此严峻的安全威胁，做好安全防护应主要从以下几个方面进行。2．1统一建设、规范管理，严防程序漏洞。就3结语随着信息安全技术不断发展，高校网站面临的安全威胁也在不断变化中，为保障正常的教学、管理，应不断地提高网站建设水平，加强网站安全防护，增强网络专业技术人员的技术水平和安全防护意识，从而才能将网站安全威胁降至最低，保障其正常平稳地运行

7、。2