查看: 2706|回复: 7

高校网站挂马事件敲响警钟校园网要进行IT治理

311 主题	8 好友	214748万积分

管理员

Rank: 9 Rank: 9 Rank: 9

发消息

电梯直达

楼主

发表于 2009-9-12 11:25:53 |只看该作者 |倒序浏览

2009年，Web已经发展了20年。我们每个人被越来越多的Web应用所围绕。从最简单的静态HTML页面，到动态的.com时代，到现在强调交互性的Web 2.0时代，直至以个性化为方向的Web 3.0的新互联网时代雏形的出现，我们深刻地感受到了Web强大的力量和不断推陈出新的活力。

　　然而，Web应用的安全隐患在近年来层出不穷，每年万维网大会上，Web安全更是一个热议焦点。

　　2009年高考网上录取前后，20多所知名高校的二级网页屡遭“挂马”，而浏览这些高校网页的学生和家长，存在被盗取网游、网银等账号信息，此事件引发了不小的震动。期间，中央财经大学招生网页被挂马，招生数据被恶意篡改，同时，8月份又有多所高校的成人教育网站被恶意“挂马”，这些情况引发了各大高校的高度戒备。

　　目前，网上录取已经结束，但“挂马”事件仍然肆虐。随着事态的延续，高校Web安全重新成为学校信息安全保障的热点话题。

　　剖析Web安全

　　2008年间，国内三大知名高校的校园主页曾先后中招挂马，引发教育领域一片哗然。

　　清华大学计算机与信息管理中心副总工吴海燕表示，当前，信息安全威胁逐渐“应用化”，黑客主要是利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等，获得Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。

　　这些漏洞从哪儿来呢？我们可以追溯到Web应用的开发工具——脚本语言。脚本语言的种类多样，由于它具有简洁、通用、灵活、易开发等特点，因此备受使用者的青睐。但是由于使用起来比较随意，所以开发后的应用往往存在很多可被利用的漏洞，反而成为黑客无孔不入的利器。

　　开源Web应用安全计划（Open Web Application Security Project，OWASP）是国际一个致力于对抗不安全的Web应用软件的非营利组织，在Web应用安全方面做了很多工作。随着存在安全隐患的Web应用程序数量的增长，OWASP也总结出Web应用程序的安全漏洞，包括：非法输入、失效的访问控制、失效的账户和Session管理、跨站点脚本攻击、缓冲区溢出、注入式攻击、异常错误处理、不安全的存储、应用层拒绝服务攻击、不安全的配置管理。现在人们遇到比较多的是SQL注入攻击和跨站攻击。

　　SQL注入攻击是比较早流行于网络的一种Web攻击。它以服务器为目标，通过把SQL命令注入到B/S应用或C/S应用中，最终达到欺骗服务器执行恶意SQL命令。信息安全专家戴世冬表示，防御SQL注入一般从两个方面着手：一是在服务器端进行安全设置，关闭服务器的错误信息；二是对客户端数据进行严格的检测。

　　由于各种扫描软件越来越成熟，SQL注入漏洞越来越容易被检出，相应的漏洞很快就会被修补。所以跨站攻击登上了Web攻击的舞台，并成为主流。跨站攻击以访问服务器的客户端为攻击目标，通过恶意脚本向第三方站点发送用户的信息。戴世冬认为XSS本质上是Web应用服务的漏洞，因此主要的防御方法还是在Web应用程序中消除XSS漏洞。
见招拆招出奇招

　　前不久，国内著名安全厂商瑞星的官方网页被黑客“挂马”，部分用户浏览瑞星网站页面后，计算机被自动下载运行木马，使用户的网游、网银账号和个人隐私面临极大的失窃风险。

　　“覆巢之下，岂有完卵。安全领域永远只能看到阶段性的胜利。”29届奥运会应急处理专家组成员、武汉大学计算机学院兼职教授、安天实验室负责人肖新光认为，大量严重的安全事件正是被海量的应用所淹没、忽略了。越是如此，就越要警惕最终链条式崩盘事件的出现。他与恶意代码已经斗争了15年，他发现，安全的热点一直而且永远会在终端之上，防范和追溯，近年来已经成为网络安全的关键词。针对挂马事件，他负责的安天实验室研发的“猎狐”系统曾经被用于北京奥运会的安全保卫，并在近期发现了多起知名站点挂马事件，是一个基于蜘蛛技术的高速挂马页面探测系统。

　　安全网站不安全，这无疑是一个巨大的讽刺，但也给隐患重重的高校网站管理敲响了警钟。

　　高校应对挂马，也是屡出奇招。兰州大学利用爬虫的原理，采用统一的信息门户系统，对学校的二级网站进行巡检，防范挂马漏洞出现。中山大学从很早就开始漏洞防御和监测工作，部署了入侵检测系统，还在高校网络应急响应组中发出其他学校的网页木马警报；北京大学狩猎女神项目组采用客户端蜜罐技术监测网页木马，对挂马的网页发出警报……

　　高招期间，负责网上录取线路保障的赛尔网络公司还在全国推出体检中心，为学校招生工作提供技术服务。

　　兰州大学网络中心副主任李仲贤介绍，统一信息门户系统能够实现多站点独立管理，通过该软件的应用，主要的网页全部都是静态页面，页面只有后台操作时可以改写，木马代码没办法提交数据。这样就基本不会挂马。针对一些需要交互的动态应用，可以选择一些能够自定义病毒代码的杀毒软件。

　　北京大学狩猎女神项目组的技术负责人诸葛建伟说：关键是追溯，网页木马的泛滥是受地下经济链驱动的，防不胜防，但是如果能追溯，挖出一个源头，就能杜绝一大片隐患。

　　他分析了木马网络的形成过程：木马网络构建者通常是拥有丰富经验的“信封”盗窃者或团队，从地下经济链中病毒编写者购买网页木马或盗号木马，使用一系列编码、加密、加壳等“免杀”机制躲过反病毒软件，加大分析难度。而“信封”窃取者从“箱子”获取窃取到的网游等账号信息，出售给网络虚拟资产“盗窃者”进行非法牟利。从2006年起，狩猎女神项目组就开始监测网页挂马和僵尸网络，运用蜜罐技术追溯和破获了不少木马“窝点”。当然，他也提到，目前只能追溯到网络世界里的威胁源头，从网络进一步追溯真实世界中的攻击者还存在较多困难。

　　除了在应用层追溯，在网络层也有研究者探索安全可控可追溯的技术，并且试图与真实世界建立一种关联。清华大学网络中心毕军教授介绍，今年7月的IETF会议上，在SAVI(源地址认证提高，Source Address Validation Improvements)工作组中，清华大学提出一种支持源地址验证的交换机技术CPS（Control Plan/Packet Snooping）方法，是在网络层实现的追溯技术。该方法在与主机直接相连的交换机上进行配置，交换机通过协议嗅探建立源地址和交换机端口的绑定关系，能达到主机级别粒度的源地址验证。通过这个方法，用户无法通过恶意修改客户端或者被黑客控制，从而减少管理安全风险。

　　“源地址验证技术对追溯是有用的，因为这是基于一个真实的地址环境的。但要治本，还需要其他的配套措施。”毕军说。

　　作为影响互联网可用性的关键的Web安全，由于其爆发具有突发性、时效性等特点，因此，人们总是投入更多的精力寻找技术的解决办法，在防御工具上花费很大的力气进行改进。但是，以Web安全为代表的信息安全仅仅靠技术就能解决了吗？

　　信息安全是一个系统工程

　　复旦大学最近针对二级网站的问题，在全校范围内收缩公共账号，引得校园内议论纷纷。复旦大学信息办主任宓说：“关乎校园信息安全体系建设，有再大的压力也要做。”

　　随着校园网络规模越来越大、信息系统越来越多、数据越来越丰富、用户越来越多，面临的问题和风险越来越大，人们发现安全的实质是管理问题，但仅仅考虑管理制度又是远远不够的。清华大学吴海燕认为，“见招拆招”，还是治标不治本。信息安全体系不应该是单纯技术或者单纯管理的东西，而是融合了技术体系和管理体系在内的一个可以全面解决安全问题的体系结构。实际上，信息安全应该被定位为系统工程。

　　根据权威数据的统计表明，70%以上的信息安全问题是由管理不善造成的，而这些安全问题中的95%是可以通过科学的信息安全管理制度来避免的。由于我国高校教育信息化起步较晚，比较重视在信息系统安全硬件基础设施的建设和各种安全技术，而有关的安全管理制度目前还不够完善。

　　多年来，人们对信息安全体系的研究一直没有中断过：通过出台各种标准来提供相应的控制措施。最近几年，人们对构建可控可管的完整的安全体系有了更加明确的认识。2007年，我国信息系统安全等级保护系列标准发布，标准规定了不同安全保护等级的信息系统的基本保护要求，既包括技术要求，也包括管理要求。
　至于信息安全体系的具体构成内容，则仁者见仁、智者见智。没有一套体系是通用的，每个高校还是必须根据人员配备、财力、基础设施等实际情况有所斟酌。不过，多数高校的相关人士都认为，各种网络安全软硬件、安全机制、网管员和用户等应该在统一的调控和整合中充分发挥各自的力量，因此，主动防御、安全评估、人员培训等是必不可少的。

　　信息安全体系的一个显著特点就是防患于未然。目前，越来越多的人都呼吁建立“主动防御”机制。

　　在细化安全体系和制度上，复旦大学每年都进行校内的安全审计。宓说：“在校园网安全管理中，安全审计非常必要。要不定期、不定人的安全工作审计，主要是保持部门内部和各托管服务器管理员对安全工作的警惕性。”目前，复旦大学安全审计的内容包括端口扫描、备份检查、系统补丁检查等。

　　无独有偶，北京师范大学也于2008年间发起了校园信息安全整体评估的工作，并取得突出的成效。“作为信息中心的工作教师怎么能够知道我们各个方面的工作是否有安全的风险？此外，安全的需求、系统的安全等级是什么？我们如何加快实施安全建设？这些方面的工作都依赖于安全评估工作的执行。”北京师范大学信息网络中心主任刘臻说。

　　刘臻表示，2008年的北师大奥运安保工作给了他和他的团队宝贵的经验，现在他们通过漏洞扫描、工具评估、人员评估、弱点评估、审计评估、综合风险分析等方式对网络设备、安全管理、人员、制度、业务系统等进行全面的安全评估。

　　此外，校园网的主体是网络技术人员和用户。要提高网络技术人员的网络信息安全应急处理能力，就要强化动手能力和安全分析能力的培训工作。要从根本上解决网络安全问题，只有提高用户的计算机水平和安全意识。

　　导入IT治理

　　随着用户对信息化的应用和服务的需求越来越高，“以人为本”的新一代数字校园理念深入人心。如何为用户提供安全、可靠、高效的信息技术支持环境，成为高校必须面临的挑战。

　　由于我国高校信息化发展之初，并没有从全局来规划各种资源的投入和整合，导致信息孤岛、设备浪费、安全问题频发。二级网站的“挂马”事件使得一些学校处境被动，甚至在一段时间内都受到不良影响。这表示，信息化工作者不能只看到现在，而要从战略层面来建立包括信息安全在内的信息化体系，并对信息技术资源进行有效的规划、组织、协调和控制势在必行，即进行IT治理。

　　清华大学计算机与信息管理中心主任蒋东兴介绍说，“IT治理”的概念最初是由美国的高校提出来的，美国麻省理工大学信息系统管理研究中心的彼得·维尔和珍妮·罗斯在《IT治理》一书中提出了概念框架，即IT治理是指在利用信息技术的过程中，为鼓励期望行为。

　　随着信息技术在学校核心竞争力的地位越来越重要，很多高校开始重视IT治理，并将其纳入学校的发展战略中。在美国教育信息化协会EDUCAUSE的2009年的十大关注点中，IT治理榜上有名。蒋东兴认为，国内大学引入IT治理很有必要，也到了行动的时候，不过“治理”高于“管理”，因此，需要从很高的层面上提倡。目前来看，国内高校在这方面需要大力推动。

　　IT治理不仅需要人们在理念上予以认同并接受，还要建立相应的职位和部门，即学校的CIO、各种形式的委员会和内部信息审计部门，来共同配合。

　　CIO负责领导、组织和协调高校IT战略规划，IT管理标准和政策的制定，以及IT架构和基础设施投资等决策的制定。各种形式的委员会构成了高校进行治理的基本组织结构。内部信息审计部门则评估和控制信息技术应用的可用性、效率、安全性。通过三个层面的协作，从建设阶段就开始制定IT治理的机制，着手设计和实现进行IT治理的一整套框架，来指导高校信息化建设中的IT投资决策的制定等工作，从而提高高校IT资源的管理水平和服务效率，提升教师、学生、大众对学校信息技术服务的满意度。

　　相关人士表示，与其随着时间流逝，等待高校中IT治理环境的成熟，不如从现在就为高校建立一个良性的IT资源循环。

　　来源：《中国教育网络》2009年9月刊