校园网站风险评估综述.doc

信息安全工程 -校园网站风险评估课程设计 班级：0430801学号：08490108姓名：孔伟栋校园网站风险评估综述对于校园网站而言，解决信息安全的关键就是明白网 站面临的风险所在。利用风险评估来识别可能存在的风险 和威胁，对暴露出的问题进行有针对性的防护，这样才能 保证校园网站稳定高效地为师生服务。一. 信息风险评估的特点和意义1.1信息安全风险评估的基本意义信息系统的安全风险是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。风险评估的重要意义：1. 风险评估是分析确定风险的过程系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。2. 信息安全风险评估是信息安全建设的起点和基础安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。 信息安全建设都应该是基于信息安全风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间作出正确的判断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。3. 信息安全风险评估是需求主导和突出重点原则的具体体现说信息安全建设必须从实际出发，坚持需求主导、突出重点，则风险评估（需求分析）就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。4. 重视风险评估是信息化比较发达国家的基本经验上个世纪70年代，美国政府就发布了自动化数据外理风险评估指南。其后颁布的关于信息安全基本政策文件联邦信息资源安全明确提出了信息安全风险评估的要求，要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制订、实施信息安全计划，以保证信息和信息系统应有的安全。所以，总的来说，信息安全风险评估的意义在于为用户提供具有针对性的安全产品和安全技术。给用户提供量化的信息资产价值列表和资产风险列表。可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施。为决策和政策考虑提供不同的解决方案，使信息科技安全管理能够从策略性的层面推行 。为日后比较信息科技安全措施的变化提供依据 。1.2风险评估的基本特点：（1）决策支持性 所有的安全风险评估都是旨在为安全管理提供支持和服务，无论它发生在系统生命周期的哪个阶段，所不同的只在于其支持的管理决策阶段和内容。（2）比较分析性对信息安全管理和运营的各种安全方案进行比较，对各种情况下的技术、经济投入和结果进行分析、权衡。（3）前提假设性在风险评估中所使用的各种评估数据有两种，一是系统既定事实的描述数据；而是根据系统各种假设前提条件确定的预测数据。不管发生在系统生命周期的哪个阶段，在评估的时候，人们都必须对尚未确定的各种情况做出必要的假设，然后确定相应的预测数据，并据此作出系统的风险评估。没有哪个风险评估不需要给定假设前提条件，隐词信息安全风险评估具有前提假设性这一基本特征。（4）时效性必须及时使用信息安全风险评估的结果，过期则可能出现失效而无法使用，失去风险评估的作用和意义。（5）主观与客观继集成性信息安全风险评估是主管假设和判断与客观情况和数据的结合（6）目的性信息安全风险评估的最终目的是为信息安全管理决策和控制措施的实施提供支持。计算机安全的模型包含 4 个主要部分： 策略安全、检测、防护和响应。防护、检测和响应组成了一个完整的、动态的 安全循环，在安全策略的整体指导下保证信息系统的安全。 风险评估主要属于检测范畴，用它找出系统的漏洞，做好防护并为制定安全策略提供指导性意见。校园网服务 对象是全体师生，而学生又是最为活跃的群体，因此在校园网中的信息安全更为突出。新的安全漏洞不断出现，黑客的攻击手法不断翻新，而校园数据中心自身的情况也在不断地发展变化，在完成网站安全防范体系的架设后，必须不断对此网站进行风险评估，及时地维护和更新，才能保证网站的安全。 1.3风险评估的准备 确定范围 范围可能是组织全部的信息和信息系统，可能是单独的信息系统，可能是组织的关键业务流程，也可能是客户的知识产权。 确定目标 目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。 确定组织结构 组织结构的建立应考虑其结构和复杂程度，以保证能够满足风险评估的范围、目标。 确定方法 应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。 获得最高管理者批准 上述所有内容应得到组织的最高管理者的批准，并对管理层和员工进行传达。二. 校园网站存在风险的原因 校园网站由于以下自身的特点，导致安全问题比较突出。 (1 校园网站有的是隶属于学校的，有的是隶属于某 一学院的，有的是属于某一社团组织的，管理情况非常复 杂。用作网站服务器的计算机，有的院系是由技术人员负 责维护的，有些院系则没有专人维护，服务器系统建设完 毕之后无人管理，甚至被攻击者攻破作为攻击的跳板，变成攻击者的温床也无人觉察。 (2 大学生通常是最活跃的网络用户，对网络新技术 充满好奇，勇于尝试。如果没有意识到后果的严重性，有 些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，而他们首先所想到的目标很可能就是校内网站，一方面由于校园网服务器存储大量信息，例如学生档案、成 绩、作业、考卷等，这些数据对于学生来说很有诱惑力；一方面学生对校园网站比较熟悉，易于使用社会工程学，有些攻击者甚至就是网站的建设者。 (3 校园网与互联网相联。校园网站一般都能被公网用户访问（特殊资源除外），所以校园网站面临着外网攻击和来自内网攻击的双重安全威胁。 三. 校园网站的安全威胁 据统计，网受到的内部攻击比外部攻击多，根据攻击类型，校园网受到的威胁主要有：(1 非授权访问， 指对网络设备及信息资源进行非正常使用或越权使用等。(2 冒充合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。(3 破坏数据的完整性，指使用非法手段删除、修改、重发某些重要信息，以干扰用户的正常使用。(4系统漏洞是威胁校园网安全的长期因素。系统漏洞主要是指系统本身存在的、在设计时并没有考虑到的缺陷或弊端。由于系统漏洞存在的长期性，导致针对漏洞的网络安全问题也将是长期的，持久的。(5 应用系统的错误配置是影响网络服务安全的主要因素。应用系统是网络中主要服务提供者，因此其安全问题的产生也将会直接影响网络服务的正常运行。(6搭建网站所用软件自身存在着漏洞也是主要的安全威胁。在目前的校园网站中的 Web 服务器无论是IIS，还是 Apache，或多或少都存在着安全漏洞，正是因为软件安全漏洞的存在，使得校园网站的安全受到极大的 威胁。(7 数据缺乏必要的备份，数据是整个网络的核心，网站里面存储的重要的数据、档案或历史纪录，不论是对学校，还是对个人用户，都是至关重要的，一旦不慎丢失或是被恶意篡改、删除，都会造成严重的损失。如果没有完善的备份机制，有些数据是根本无法重建的。令人担忧的是大多数的校园网站并没有做好数据备份工作。 主要攻击类型：安全弱点：主要的漏洞攻击：1. SQL注入攻击注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断，将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。SQL注入攻击技术就本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL Injection攻击就发生了。实际上，SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。2. XSS跨站攻击跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。跨站脚本漏洞攻击不是对服务器的实际攻击，而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时，嵌入其中WEB里面的HTML代码会被执行，从而达到恶意用户的特殊目的，如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞，面向客户端的攻击手段。 3. 表单绕过攻击WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息，然后该表单被发送到 Web 服务器进行处理。接下来，服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器，并通过分析SQL服务器的返回结果来判断该用户名/密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞，通过构造一些畸形的特殊提交语句，绕过表单安全认证的一种攻击手段。例1：某大学分析测试中心后台管理系统存在表单绕过漏洞，可直接获取后台管理权限。4. 3多层防护系统建设网站系统基本的组成为网站代码和后台数据，在系统结构方面由WEB服务器和数据库服务器构成，所以安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。从整体的应用安全防护角度出发，通过网站的整体安全检测、主动防御、监控审计三部分的全面部署，是网站系统的应用安全配置达到比较高的水平，促使网站系统运行在比较安全的应用环境。所以整体多层防护系统由网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大子系统构成，从各个层面和各个角度为网站系统建立立体防御体系。网站的整体安全检测由网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。首先由网站WEB应用弱点扫描子系统通过扫描，快速检测网站可能存在的SQL注入、跨站脚本、表单绕过、Cookie注入、程序后门等应用弱点，根据检测结果能够针对性的采取有效的安全加固措施。通过数据库弱点扫描子系统能够有效检测作为网站后台支撑的数据库系统，快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患，通过有效应对，尽可能防范通过各种途径对后台数据的入侵。主动防御由网站防攻击子系统、网站防篡改子系统共同来完成。防攻击子系统通过实时检测和分析所有的访问请求，识别各类恶意访问和攻击，实行阻断且快速报警，并形成日志。通过防篡改子系统的防护，可以保护网站相关页面不被篡改，杜绝非法内容的外流，防止由于网页篡改给单位带来的形象上及经济上的损失。监控审计通过网站应用安全审计子系统、网站数据库安全审计子系统实现。网站应用安全审计子系统平台通过深度检测所有的HTTP访问数据，实现对网站访问进行7x24小时实时监控，通过系统可以一目了了的了解网站被访问的情况，一旦检测到异常访问和攻击行为，系统会及时报警，并且以各种方式通知网站维护员，从而可以在第一时间采取相关安全应急措施。系统的日志功能，为安全审计提供了基础，日志信息包括详细的访问信息及访问内容，为对各类攻击及异常访问的完整追溯提供了基础。网站数据库安全审计子系统能够检视所有的针对数据库服务器的访问，除了日常的SQL，还包括通过FTP、TELNET等其他的访问方式，可以实现后台数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。四. 校园网站的风险评估的方法 网站的风险评估一般从两方面进行，一方面从网站内部审核它的各项配置是否正确，软件有没有及时升级；另一方面从网站外部渗透测试，这方面的评估流程图如图 所示。确定目标信息搜集分析漏洞尝试攻击提出解决方案审核方案说明： (1确定目标即是确定要评估的网站。 (2 信息搜集包括多方面的信息： i whois，dns 上查找目标的 IP 地址，域名信息 以及其他一些注册信息。 ii扫描器扫描服务器开放的端口，通过端口号判 断开放服务的类型。 iii这些服务，通过获得 banner 或是出错信息获得服务器所使用的操作系统、应用软件、库、脚本语言的类型和版本信息。 (3)分析漏洞是利用搜集来的信息分析存在的脆弱点，可以人工分析，对于常见的一些漏洞可以借助漏洞扫描器进行测试。 (4)尝试攻击是利用分析得到的脆弱点进行攻击。因为即使寻找到了脆弱点也不意味者攻击一定能成功，需要在尝试攻击中更加深入地了解系统，往往在这个过程中能发现平时不易察觉的漏洞。 (5 提出解决方案是给出针对已经发现的漏洞进行修补和防护的措施。 (6审核方案是对已经做过防护的网站再做测试，验证解决方案的有效性，如果有一个漏洞没有修补就要退回上一步继续执行。 防护体系结构图：实施安全评估方案前后：五. 校园网站的安全需求 校园网站的服务器存储大量信息，要保证信息的真实性、可用性和完整性，其安全需求有：(1对服务器访问要进行安全身份认证，非认证用户无法进行访问；(2 服务器提供的资源受控制，防止非授权人员拷贝、修改、发送；(3 支持远程安全管理，网站管理员能够从远程进行 安全登录，为其传输的信息加密；(4 服务器的操作行为有严格的审核，能够防止黑客有意删除；(5 服务的安全状态能够实时显示，各种安全组件的工作状态能够被监测到；(6服务器在受到损害时，至少能做到数据恢复可用。 六. 校园网站安全解决方案 安全这个话题是多层次的，一个网站要安全必须满足物理安全、链路安全、网络级安全、应用安全和用户安全这 5 个层次。大多数校园网站没有完整的采取防护措施，因此，建立一套有效的网络安全机就显得尤为重要，以下是必须考虑的安全防护要点： 6.1部署防火墙在互联网与校园网内网之间部署了硬件防火墙，其 中 WWW、E-mail、FTP、DNS 服 务 器 连 接 在 防 火 墙 的DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与互联网连接。这样，通过互联网进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS 等 ），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审核。在网站的服务器上安装软件防火墙后还要进一步设置访问策略。 6.2漏洞及补丁管理 校园网是一个由多协议、多系统、多应用、多用户组成的复杂性网络环境，校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。为了要保障校园网站的安全 , 必须做好漏洞管理。 6.3备份和恢复数据是整个网络的核心。数据一旦被破坏或丢失，对于 Web 服务器，严重影响学校的形象；对于邮件服务器，影响了学校员工的对外联系；对于数据库服务器，将严重影响到教学的正常进行。所以做一套完整的数据备份和恢复机制可以在服务器发生故障时将损失降低到最小。 6.4 安装反病毒软件病毒、木马、蠕虫等恶意代码是网站的主要安全隐患，必须做到有效控制。现在的反病毒软件查杀面也非常广，还具有注册表、文件、邮件、内存等监控功能。在网站服务器上安反病毒软件能从邮件、FTP 文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。安装完后要及时升级，这样杀毒软件查杀能力能够覆盖最新的恶意代码。 6.5 帐号和密码管理校园网设备和系统中一般采用账号和密码来识别用户，划分用户权限。一旦攻击者获得了这些信息，他就能行驶账号所有人的权限，因此必须重视用户账号、密码的管理。人们常用的账号通常是自己名字的拼音，密码是自己或是亲人的生日，这样的设置是极度不安全的。制定安全的账号和密码时应遵循一些规则：保证长度大于8；要尽量混合使用大小写字符、数字和特殊字符；定期修改密码；避免在不同场合使用相同密码等。 6.6 安全管理安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。所以，加强校园网站的安全性不光技术层面上加强，还要提高广大网站管理员和学生的安全意识，做好安全培训工作，提供完善的安全服务，制定切实可行的管理制度。 （1安全培训：最终用户的安全意识是信息系统是否安全的决定因素，因此对校园网络用户的安全培训是整个安全体系中重要、不可或缺的一部分。对于用户的安全意识的培训，可以安排在新生入学教育和新员工上岗培训，也可以开展一些在职培训、学生选修课等形式的安全培训。对于系统管理员，一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的，这些学生没有经过必要的培训，容易留下大量的安全问题。对于这些岗 位的安全培训是当前校园网安全管理非常迫切的环节。 （2安全服务：安全服务内容包括系统级、应用级、客户级安全服务。建议在校园内成立一个信息安全风险评估小组，定期对校园网站进行风险评估。 （3安全制度：制度的制定要符合实际情况，不能是一纸空文，还要配备一定的监督机制。 七. 主动防御体系的建设防攻击子系统是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明部署模式全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护，为Web应用提供全方位的防护解决方案。系统功能：l深度防御防攻击子系统基于安恒专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）：SQL注入命令注入Cookie 注入跨站脚本(XSS) 敏感信息泄露恶意代码 错误配置隐藏字段 会话劫持 参数篡改 缓冲区溢出 应用层拒绝服务 弱口令 其他变形的应用攻击lWeb应用加速系统内嵌应用加速模块，通过对各类静态页面及部分脚本的高速缓存，大大提高访问速度。l敏感信息泄露防护系统内置安全防护策略，可以灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息（如：WEB应用安装目录、WEB服务器版本信息等）的泄露。l策略配置自定义策略配置l告警实时告警，支持邮件、短信等多种方式告警。l系统报表支持自定义报表，支持各类导出格式（WORD、EXCEL、PDF、HTML等）。系统特点l专利级WEB入侵异常检测引擎独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。l支持全透明部署业界首创支持全透明部署，无需更改原有的DNS或IP配置，对原有应用不会造成任何影响。lHTTPS支持国内首创全面支持HTTPS，实现各类高安全要求WEB应用系统的深度实时防护（如网银、证券交易等）。l支持多保护对象支持多台主机对象的保护，包括不同域名不同IP，不同域名相同IP的情况l支持用户自定义规则库用户可以根据数据包的特征关键字等自定义安全策略规则，来实现安全检测及过滤l统一日志平台接口l支持阻断、告警、By-Pass等多种应用模式八. 网站防篡改子系统：网站防篡改子系统是业界首创的新一代网站防篡改系统，采用目前最新服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制，高效实现网页监测、即时内容恢复、杜绝了网站被非法篡改、用户浏览非法内容的可能。网站防篡改子系统的特点：n新一代内核驱动级文件保护，确保防护功能不被恶意攻击者非法终止n采用核心内嵌技术，支持大规模连续篡改攻击防护n实时检测与内容恢复，完全杜绝被篡改内容被外界浏览n支持断线/连线状态下篡改检测n支持多服务器、多站点n保护各种类型文件：如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。3. 监控审计体系的建立主要功能：n全方位的攻击告警：当网站（或其他Web 应用程序）代码受到WEB应用层的已知及未知攻击时，能够提供多形式的实时告警。n多协议的访问监控：提供对WEB应用及WEB服务器的访问实时监控及回放功能，为安全事件的快速查询、定位、成因分析、责任认定提供有力的证据。n丰富的监控审计：实现用户访问WEB应用的统计分析，如：访问时段统计、攻击源统计、攻击类型统计、受攻击页面统计、访问页面数、访问流量、TOP10请求包长度等。产品特性：n零风险：旁路部署模式，无需改变现有网络体系结构及应用程序，实现应用层的零风险部署。n全方位：实现对各类WEB攻击（已知攻击、变形攻击、未知攻击）的全方位、多层次攻击告警。n高性能：基于硬件加速技术确保WebMonitor具备高吞吐、低延时，保证了27层深度过滤超越千兆性能。n高可靠：提供多层次的物理保护、掉电保护、自我监测及冗余部署，提升设备整体可靠性，达到99.9999%的可靠性。n易操作：充分考虑国内用户的使用和维护习惯，自动实现规则的生成，弥补手工创建及维护安全规则的不足；依靠内置的安全策略配合完全自定义策略，满足不同层次使用人员的个性化需求。3.3.2网站数据库安全审计子系统数据库安全审计子系统安恒自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计系统。主要功能细粒度审计：l有别于传统的简单SQL语句还原，通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段）l全方位的实时审计：实时监控来自各个层面的所有数据库活动。如：来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等l通过远程命令行执行的SQL命令也能够被审计与分析l完善的双向审计：系统不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计精准化行为回溯：l一旦发生安全事件，提供基于数据库对象（用户、表