隨著我國高校信息化建設的逐步深入，各高校教務工作對信息系統依賴的程度越來越高。高校網站已從一個簡單的信息發布、展示平臺，逐步轉變為匯集了招生就業、遠程教育、成果共享、招標采購等功能的綜合性業務平臺。高校網站已積聚了教育信息化建設中大量的信息資源，成為高校成熟的業務展示和應用平臺。

在高校網站業務建設發展的同時，網站的整體安全狀況卻不容樂觀。據權威機構檢測并統計，2012年，在全國各類網站安全情況排名中，高校網站的安全性排名倒數第二，僅僅高于政府網站。由于安全性薄弱及多方面的利益驅使，高校網站已經逐漸成為黑客關注的重點目標。相關數據顯示，中國每個高校網站平均每天被黑客攻擊113次(包含掃描等行為)，其中被攻擊最多的網站最高可達每日上萬次。由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現。最終給高校帶了嚴重的形象及經濟損失。

高校網站面臨的典型安全威脅

針對高校網站所承載的各類應用的特點，目前比較典型的攻擊總結如下：

SQL注入攻擊

SQL 注入是攻擊者通過輸入惡意的請求直接操作數據庫服務器的攻擊技巧。SQL注入是應用系統中最常見，同時也是危害最大的一類弱點。高校網站易受到SQL注入攻擊是由于網站程序缺乏有效的用戶輸入檢查，導致惡意用戶可以提交SQL查詢語句，非法獲取網站數據庫敏感信息，直至上傳后門文件，篡改網頁內容等一系列嚴重后果。

跨站腳本攻擊

跨站腳本攻擊的特點在于對存在漏洞的網站本身并不構成威脅，但會使網站成為攻擊者攻擊第三方的媒介。黑客往往會利用高校網站的高關注度，借助存在漏洞的網站轉發攻擊其他瀏覽相關網頁的用戶，竊取用戶瀏覽會話中諸如用戶名和口令(可能包含在Cookie里)的敏感信息，或通過插入掛馬代碼對用戶執行掛馬攻擊。

文件包含漏洞利用

文件包含漏洞廣泛存在于用PHP語言編寫的高校網站應用程序中，該漏洞允許客戶端用戶輸入控制動態包含在服務器端的文件，惡意攻擊者可以通過文件包含漏洞獲取敏感文件的內容或直接執行其指定的惡意腳本，進而獲取對高校網站的完全控制。

DDOS攻擊

DDoS攻擊則是一種可以造成大規模破壞的黑客武器。它通過制造偽造的流量，使得被攻擊的服務器負載過高，從而最終導致系統崩潰，無法提供正常的服務。由于各大高校提供的業務對WEB依賴性日益加強，許多考試報名系統、成績查詢系統、遠程教育系統等都在網上進行，一旦受到DDOS攻擊將造成服務癱瘓、終止，會嚴重損害個人利益，并削弱高校、教育部門的公信力。

天融信高校網站防護方案

面對以上安全形勢，天融信公司推出了高校網站防護方案。通過綜合部署天融信WEB應用安全網關(簡稱：TopWAF)及網頁防篡改系統，對安全事件發生的整個周期實施周密的策略，進而實現對高校網站的全面安全防護。

圖1：天融信公司的高校網站防護方案

事前——提供WEB應用漏洞掃描功能，事前檢測網站漏洞，提供預防解決方案。

TopWAF可提供對網站應用漏洞的掃描功能。該功能基于先進的漏洞掃描引擎及龐大漏洞信息庫。掃描內容涵蓋： SQL注入、跨站腳本及決絕服務等WEB常見漏洞。掃描任務支持單任務及批量任務。執行方式可按時間周期進行靈活設置。掃描結束后，自動生成全中文網站漏洞分析報告。此功能可以使網站管理員在不需要安裝任何漏洞掃描軟件的情況下，直觀地了解到網站存在的安全漏洞情況，并根據天融信安全專家的建議及時進行相關修補工作。

事中——應用多維防護體系，有效應對多種WEB安全威脅。

TopWAF采用先進的多維防護體系，對HTTP數據流進行深度分析。通過對WEB應用安全的深入研究，固化了一套針對WEB攻擊防護的專用特征規則庫，規則涵蓋諸如SQL注入、XSS(跨站腳本攻擊)等OWASP TOP10中的WEB應用安全風險，及文件包含、緩沖區溢出、遍歷目錄、OS命令注入等當今黑客常用的針對WEB基礎架構的攻擊手段。此外，TopWAF產品具備專業的抗DDoS功能，對于網絡層及應用層的DDoS攻擊進行有效控制，如SYN Flood、UDP Flood 、CC攻擊等。

事后——領先的技術實現網頁防篡改，強大的業務智能分析提供決策依據。

天融信網頁防篡改系統采用第三代網頁防篡改技術(增強型事件觸發+系統(內核)文件底層驅動過濾技術)，對保護的對象(靜態網頁、動態執行腳本、文件夾)實時監測其屬性，一旦發現更改立刻阻斷非法篡改操作，阻止網頁文件被修改，并實時通知管理客戶端。此外，在系統遭受極限攻擊發生文件篡改現象，系統也會自動從可信端進行有效文件恢復，徹底地保證了網頁內容不被篡改。

同時，TopWAF提供業內領先的業務智能分析功能。內容豐富，涵蓋網站業務數據智能分析、網站安全數據智能分析及網站管理數據智能分析三大模塊。展現形式為數據表格搭配統計圖示，效果清晰、直觀。為網站管理員提供有針對性的決策依據。

典型案例：

經過在多個實際項目中的實施，天融信高校網站防護方案已被驗證是可行、可靠并且高效的解決方案。其中，在一所全國重點大學的網站系統建設中，該方案起到了關鍵性作用。

案例背景

xx學院是一所由教育部管理的全國重點高等院校。擁有學院門戶、成人招生培訓網、畢業生就業信息網等30個以上對外或對內提供服務的網站。這些網站承擔著教學、宣傳、黨建等多方面任務。龐大的用戶群體也給這些網站帶來了的安全隱患。做好這些網站的安全防護工作，成為學院信息系統安全建設的重要任務。

用戶環境

xx學院的互聯網出口帶寬為500M，在互聯網接入口處配置有網絡防火墻。網站系統整體部署在學院內部網絡，共有WEB服務器33臺，分別安置在兩個物理機房，通過核心交換機做網絡上的隔離。

用戶需求

根據xx學院網站系統的網絡環境現狀、應用特點，結合高校行業的信息系統安全合規性要求，總結其對網站防護系統的主要需求如下：

實現對網站系統安全狀況的全局掌控;

防止黑客利用WEB應用漏洞對網站進行SQL注入、跨站腳本等攻擊，避免網頁被篡改、網站被植入掛馬、重要信息被竊取等;

防止黑客對網站進行DDOS攻擊，保證網站正常提供服務;

實現網頁被篡改后的自動、快速恢復，防止被篡改網頁公布于眾;

實時監控網站的安全狀況，發生安全事件第一時間告警管理員。詳細記錄安全事件信息，做到安全事后可追溯;

主動檢查網頁中存在的敏感信息，防止網站論壇被上傳非法反動言論;

詳細記錄網站的訪問行為，并根據訪問數據對網站業務進行分析，形成分析報表;

解決方案

參考xx學院網站系統的網絡結構、資源并依照用戶對安全系統建設的整體需求，天融信設計如下解決方案：

圖2：xx學院網站防護系統拓撲圖

1. 在xx學院兩個物理機房的WEB服務器集群前端分別部署兩臺天融信TopWAF(TI-3628-WAF型號)設備。采用透明模式接入網絡，無需對網絡結構作任何調整。

2. 在TopWAF上設置主動掃描策略，定期檢測網站漏洞及網頁中的違法信息。

3. 在TopWAF上開啟基本攻擊防護策略，過濾經過WEB服務器的雙向流量，實時阻止SQL注入、跨站腳本、文件包含等攻擊。

4. 在TopWAF 上開啟流量自學習功能，分析網站的正常流量，自動生成DDOS擊防護策略，有效緩解DDOS攻擊。

5. 在TopWAF上開啟郵件告警設置，當有安全事件發生時，第一時間郵件告警管理員。

6. 分別在33臺WEB服務器上部署天融信網頁防篡改系統監控代理端。通過內核文件底層驅動內嵌到操作系統中，基于事件觸發方式進行自動監測，對WEB服務器制定目錄下的所有文件內容進行實時監測，若發現變更，實時阻斷篡改行為。

7. 分別在33臺WEB服務器上設定防篡改備份目錄，事先備份受保護目錄下的正常網頁。當發生網頁被意外篡改時，防篡改系統通過其內部的內容恢復機制，從備份目錄進行實時恢復，確保文件的真實可靠性。

8. 在學院內網一臺服務器上部署防篡改管理中心程序，對33個防篡改監控代理端進行集中管理。統一下發安全策略并收集日志。

客戶收益

1. 通過TopWAF的WEB漏洞掃描功能，管理員可以定期對網站系統進行安全檢查，實時了解網站系統存在的安全隱患，并及時進行修補。

2. 即使WEB服務器所存在的安全漏洞沒有被及時修補，管理員也不必擔心黑客會利用漏洞完成攻擊。TopWAF會廣泛阻止對于WEB服務器的惡意行為。保證網站系統對外服務的正常。

3. 如果出現極端的網頁被篡改情況，網頁防篡改系統會在5ms內完成網頁的自動恢復。避免被篡改網頁公布于眾，維護檢察院形象。

4. 通過TopWAF的違法信息檢測功能，管理員可以及時發現含有違法信息的網站頁面，避免這些頁面被訪問。

5. 通過TopWAF的郵件告警功能，管理員可以在安全事件發生的第一時間得到通知，以及時進行策略調整。

6. 學院領導或網站管理員可通過TopWAF內置的數據智能分析功能所產生的統計報表，追溯安全事件細節，了解網站業務數據及管理行為，真正做到對網站的“了如指掌”。

目前天融信公司的高校網站防護方案已經服務于國內多所知名院校，并得到客戶的認可。結合安全產品，天融信公司也推出了安全評估、安全加固、在線監測及應急響應等多種網站安全服務。希望以最專業的產品和服務讓高校網站達到較高的安全等級。