高校圖書館Web應用安全問題與對策

趙江

摘要：目前高校圖書館信息化發(fā)展過程中面臨的嚴重的Web應用安全問題，分析了常見網絡安全問題的表現形式和產生原因，立足高校圖書館網絡安全防護實踐，總結傳統(tǒng)的安全防護策略，最后介紹應用WEB應用防火墻來提高安全性。

關鍵詞：圖書館網絡安全； 網絡攻擊；Web應用防火墻

中圖分類號：G25 文獻標識碼：A 文章編號：1009-3044（2018）33-0051-02

1 引言

隨著最近幾年信息技術的飛速發(fā)展和計算機互聯網的迅速普及，高校圖書館的信息化建設也在跨越式向前發(fā)展。各館實現了書刊采購、編目、典藏、流通、檢索等網絡化服務和管理。大量的Web應用系統(tǒng)上線并投入使用，如數字（移動）圖書館系統(tǒng)、畢業(yè)生論文提交系統(tǒng)、特色資源數據庫平臺、數字資源訪問統(tǒng)計系統(tǒng)等，以及統(tǒng)一的數字中心的建立。隨之而來的網絡安全事件也在不斷增加，如服務器被黑、主頁被篡改、訪問被拒絕和網頁被掛馬等。此類頻頻發(fā)生的Web應用安全事件給高校圖書館的正常運作造成了很大影響，同時也給系統(tǒng)維護和安全監(jiān)管提出了新的挑戰(zhàn)。

2 針對Web應用漏洞的攻擊形式

目前在實際工作中遇到的Web應用受到攻擊的形式主要有：SQL注入攻擊、網站越權訪問和權限提升、敏感信息獲?。ㄎ募欠ㄏ螺d和上傳）、網頁（圖片）盜鏈、爬蟲攻擊、CSRF攻擊、XSS攻擊、Cookie漏洞攻擊、篡改網頁、網頁掛馬、DDoS攻擊等。

3 Web應用攻擊產生的根源

WEB應用出現安全問題根本上來源于軟件的漏洞，這些漏洞被黑客或者攻擊者發(fā)現并且利用。漏洞分別產生于四個層面：（1）WEB應用程序在開發(fā)的過程中存在一些質量問題，如Bug或者邏輯錯誤。在測試環(huán)境沒有發(fā)現和修改。（2）發(fā)布應用程序的平臺或者中間件存在安全漏洞，如Nginx、Tomcat和IIS等， 程序框架Struts、Mybatis等有些低版本程序存在安全隱患。（3）服務器上運行的操作系統(tǒng)如Windows Server系統(tǒng)、Linux系統(tǒng)的各個發(fā)行版等經常被爆出安全漏洞，官網上也定期發(fā)布針對特定漏洞的補丁。（4）網絡協議本身的設計缺陷和漏洞，如TCP/IP三次握手協議。

4 Web應用安全問題的傳統(tǒng)防護方案

發(fā)布平臺和中間件的漏洞我們難以控制，只有通過及時打補丁來避免安全隱患。WEB應用在開發(fā)過程中出現的問題相對容易控制，我們在采購或定制相關軟件時考察開發(fā)公司的資質和開發(fā)人員的素質，尋找資質高、實力強、專業(yè)化的開發(fā)單位；在軟件實施過程中加強溝通，要求開發(fā)方將系統(tǒng)的安全性單獨做在需求方案里；在應用程序上線前做好充足的測試工作；在上線運行過程中與開發(fā)方保持聯系，做好升級、軟件版本更新和打補丁工作，發(fā)現問題及時溝通和修復程序，避免出現更大的安全事件；在網絡入口處增加和啟用防火墻、入侵檢測設備，有針對性地做好安全防護策略和配置。

5 基于Web應用防火墻的防護

為了增強Web應用的安全性，傳統(tǒng)的安全防護措施是必不可少的，但是其被動性和滯后性的特點也十分明顯。硬件方面防火墻、IPS等傳統(tǒng)的安全設備，是高校校園網和圖書館網絡安全策略中不可缺少的重要環(huán)節(jié)，由于其設計定位為通用防護，防護粒度太粗，不能有效地防御各種針對WEB應用的攻擊，。因此安全領域提出一種新的方案，就是采用專業(yè)的WEB安全防護工具， Web應用防火墻。

Web應用防火墻（WAF）是為保護Web應用和Web服務而設計，一般采用獨立的硬件設備，軟件使用B/S結構設計，部署方式一般分為串聯部署、旁路模式和反向代理模式，分別接入網絡的方式如下圖所示。串聯模式下，WAF在內核模塊實現從TCP/IP協議棧的透明代理，提高了網絡適應能力、確保設備在網絡中即插即用而無須修改網絡及服務器配置，降低了部署、維護開銷。反向代理模式，需要改動服務器IP地址以及DNS解析，此模式相對透明代理模式安全性更高。旁路方式提供一種邏輯在線防護機制。該種部署靈活性較好，可以實現業(yè)務分流，對核心系統(tǒng)影響較小，因此在實際工作中采用較多。旁路方式部署的技術原理和實現過程如下：

6 Web應用防火墻在高校圖書館中的應用實踐

為了應對Web應用面臨的上述各種網絡攻擊和威脅，我館引入綠盟開發(fā)的Web應用防火墻（NSFOCUS WAF），設置了監(jiān)控界面、郵件、短信等方式實時對Web安全事件進行告警。主要從下面幾個方面增強館里的網絡防護措施，提升安全等級。

（1） 網站訪問控制。高校圖書館有些資源需要考慮保護版權等原因，Web應用和相關網頁有的頁面只允許授權的IP范圍訪問，有的內容是開放權限的，所有IP都可訪問，WAF提供了基于HTTP協議的訪問控制功能。（2） 防止網頁被篡改。WAF按照網頁篡改事件發(fā)生的先后順序，提供事中防護以及事后補償的在線防護解決方案。事中就是實時過濾HTTP請求中混雜的網頁篡改攻擊流量，如SQL注入、XSS等。事后就是自動監(jiān)控網站所有需保護頁面的完整性，檢測到網頁被篡改，第一時間對管理員進行短信告警，對外仍顯示篡改前的正常頁面，用戶可正常訪問網站。（3） 防止網頁掛馬。網頁掛馬為一種相對比較隱蔽的網頁篡改方式，本質上這種方式也破壞了網頁的完整性。當用戶請求訪問某一個頁面時，WAF會對服務器側響應的網頁內容進行在線檢測，判斷是否被植入惡意代碼，并對惡意代碼進行自動過濾。（4） 阻止敏感信息泄漏。Web站點可能包含一些不在正常網站數據目錄樹內的URL鏈接，比如一些網站擁有者不想被公開訪問的目錄、網站的WEB管理界面入口及以前曾經公開過但后來被隱藏的鏈接。WAF提供細粒度的HTTP訪問控制，防止對這些鏈接的非授權訪問。（5）防止攻擊者控制服務器。Web承載的交互式應用是數據庫的門戶，攻擊者經常通過SQL注入等方法入侵數據庫，造成數據泄露。WAF能檢查HTTP請求的各個字段，用精煉的規(guī)則對攻擊實施過濾，加上HTTP協議合規(guī)檢查、狀態(tài)碼過濾等機制，降低數據泄露風險。另外攻擊者使用自動化攻擊工具能構造大規(guī)模的惡意訪問，給Web應用穩(wěn)定性造成很大危害。WAF支持多種Web訪問控制，可以滿足不同用戶的需求，包括URL訪問控制、自動化攻擊工具識別、控制非法文件上傳和下載、阻止盜鏈和爬蟲等。（6）保護Web客戶端。用戶訪問站點時，如果遭受CSRF攻擊，就會對該站點失去信任，造成不良的用戶體驗，所以保護Web客戶端也是Web服務提供者的責任。WAF提供CSRF防護、XSS防護、Cookie簽名和加密等安全策略，保護Web客戶端。

參考文獻：

[1] 馮貴蘭，李正楠.Web應用防火墻在高校網站系統(tǒng)的應用研究[J].現代計算機（專業(yè)版），2017（5）.

[2] 趙磊，孫海星.WAF在企業(yè)網站系統(tǒng)中的應用研究[J].工業(yè)技術創(chuàng)新，2015（3）.

[3] 鄧靜，龔劍.基于高校私有云的WAF研究[J].宿州學院學報，2014（1）.

[4] 綠盟WEB應用防火墻產品白皮書.http：//www.nsfocus.com.cn/upload/contents/2015/04/2015_04021427560.pdf.

【通聯編輯：王力】