近日,“徐玉玉电信诈骗案”在事发一年后终于迎来了审判。2016年8月,家境贫困的准大学生徐玉玉相信了电信诈骗分子“2000元助学金”的谎言,被骗走了9900元仅有的大学学费。发现被骗后,徐玉玉因为忧伤、情绪压抑等原因倒在了报案回家的路上再也没有醒过来。
诈骗团伙固然可恨,可是倒卖徐玉玉个人信息的黑客也是罪无可恕的。如果诈骗团伙没有掌握这些精确的个人信息,徐玉玉也不会轻易地掉进陷阱。在我们替徐玉玉惋惜的同时,是否应该审视一下高校教务系统的安全性问题。
大学校园,一个本应该承载着我们的青春年华与美好回忆之地,背后却藏匿着鲜为人知的暗涌:
改成绩
2016年,22岁的大学生小闫频繁入侵四川多家高校的教务系统,并通过QQ群、百度贴吧等平台招徕“生意”,以数百元不等的价格,替“挂科”学生篡改成绩,牟利达4.8万元。后以破坏计算机信息系统罪,被判处有期徒刑五年。
网站挂马
今年五月,正值毕业论文季,一种新型勒索病毒ONION在国内多所院校爆发,感染后的磁盘文件会被病毒加密为.onion后缀。该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,对学习资料和个人数据造成严重损失。
考生信息泄露
每年高考招生录取时期,各种诈骗案件层出不穷,其中就包括攻击者通过技术手段入侵高校招生网站,篡改高考录取信息,伪造高考录取通知书,向考生实施诈骗的犯罪手段。 2016 年,黑客利用高考报名网站漏洞,窃取考生个人信息,并打包出售给电信诈骗团伙,导致山东考生徐玉玉不幸去世的。
高校网站安全风险
当前恶意攻击者们已经形成了分工明确、运作高效的黑色产业链,各类攻击工具很容易通过互联网获取和使用。当新的高危漏洞暴露时,漏洞的原理和利用方法也能第一时间在网上发布和传播,即便不是很高水平的恶意攻击者,也能利用获取的工具和信息,对网上的目标系统进行攻击和破坏,再加上数据售卖和诈骗所得的利益驱使,共同构成了安全风险升高的外部因素。
高校网站系统可能存在的各类安全脆弱性是导致安全风险升高的内部因素,具体的安全脆弱性可能包括网站主机系统服务中的安全漏洞、Web 服务器软件中的安全漏洞、以及网站Web 应用程序代码中的安全漏洞,网站系统存在的安全脆弱性一旦被恶意攻击者成功利用,就会造成网站篡改、信息泄露、服务中断、主机非法控制等安全事件。
因此,对安全脆弱性的及时识别和处置,是实现高校网站安全保障目标的最有效途径,只有依托专用的脆弱性扫描工具,全面准确地发现网站系统的安全脆弱性,并有效进行加固,才能够实现安全风险的有效管控。
“赛尔绿盟安全云”应运而生
对大多数教育行业用户来说,通常面临的网络安全方面的挑战如下:
1:病毒及攻击者的侵害;
2:缺少费用购买高昂的安全设备;
3:缺少人力及自动化能力,去全天候及时响应处理安全问题;
4:缺少安全架构,去获取这些安全资源以及规范安全运营流程;
5:作为事业单位要符合国家对信息安全等级保护的硬性要求。
针对这些典型的问题,单独的提供产品或服务,是很难有效解决用户所面临的安全困境,他们需要一个架构将这些资源进行整合,并能够按需、有弹性的获取及使用。 通过此架构,用户提供轻量级的投入和参与,能够实现安全服务/能力的按需分配和弹性调度,明确安全措施的部署位置、安全策略和要求,做到有效的安全管控。
基于这样的需求,赛尔网络有限公司联合北京神州绿盟信息安全科技股份有限公司,构建了”赛尔绿盟安全云平台”平台,旨在打造一个安全资源云市场,用户可以通过这个市场快速获取自己所需要的安全资源,同时获得整体的安全云防护能力。
“赛尔绿盟安全云”在云端提供以下SaaS 模式的专业安全服务:
- 安全脆弱性扫描服务
- DDoS 攻击流量云端清洗服务
- 网站安全监测服务
- 安全威胁情报服务
赛尔绿盟安全云网站:http://www.cernssafe.edu.cn/
高校网站安全状况不容乐观
据统计,2016 年8 月至12 月,103 所高校客户在赛尔绿盟安全云完成注册,并正式授权赛尔绿盟云,对学校门户网站和下属二级院系网站等180 个站点、763936 个页面进行安全脆弱性扫描,共计发现漏洞数量64792 个,中高危漏洞整体占比28.7%,即每四个漏洞中就有一个属于中高危级别,该结果在一定程度上说明,全国高校网站安全整体状况不容乐观。
高校网站安全等级分布
通过对103 所高校网站的安全等级评定结果进行统计,“非常安全”的高校数量为28 个,仅占样本高校的27%;“非常危险”的高校数量达到63 个,占样本高校的62%。由此可见样本高校的网站系统整体安全性较低,超过半数面临较高的安全风险。
103 所高校网站安全分值区间统计
高风险漏洞统计
高风险安全漏洞更容易被攻击者利用,从而导致影响较为严重的安全事件。远程安全脆弱性扫描服务所发现的网站安全漏洞分为Web 应用安全漏洞和系统安全漏洞两类,其中Web 应用安全漏洞存在于网站的应用代码中,而系统安全漏洞则存在于支撑网站服务的Web 服务器软件、数据库软件及相关中间件软件中。
高风险安全漏洞高校分布
高风险安全漏洞在87 所样本高校中的分布非常不均衡,其中有29 所高校网站不存在高风险安全漏洞,占样本高校总数的34%,其他56 所高校网站均存在高风险安全漏洞,占样本高校总数的66%。
高风险web 安全漏洞
在Web 应用安全漏洞方面,共有46 所(占54%)高校网站中不存在高风险漏洞,而高风险漏洞数量最多的三所高校网站则分别发现了224 个、92 个、83 个,共计399 个高风险漏洞,换言之,仅三所高校网站中就存在超过72% 的高风险web 安全漏洞。
对所有发现的高风险Web 应用安全漏洞分布和数量进行统计分析,五类主要安全漏洞分别为:
- 跨站脚本型漏洞(分布于19 所、22% 的高校网站,共计336 个)
- SQL 注入型漏洞(分布于9 所、11% 的高校网站,共计91 个)
- 信息泄露型漏洞(分布于21 所、25% 的高校网站,共计29 个)
- 内容欺骗型漏洞(分布于13 所、15% 的高校网站,共计65 个)
- 拒绝服务型漏洞(分布于7 所、8% 的高校网站,共计8 个)
TOP5 高风险WEB 安全漏洞分布
高风险系统安全漏洞
在系统安全漏洞方面,56 所(占66%)高校网站中不存在高风险漏洞,而高风险漏洞数量最多的三所高校网站则分别发现了81 个、54 个、44 个,共计179 个高风险漏洞,换言之,仅三所高校网站中就存在约60% 的高风险系统安全漏洞。
高风险系统安全漏洞存在主要原因是支撑网站服务的系统软件版本过低, 缺乏持续有效的安全补丁加固手段, 数量占比最高的三类高风险系统安全漏洞分别是A p a c h e W e b 服务器相关漏洞、P H P 相关漏洞、Openssl 相关漏洞。
攻击者可能成功利用高风险系统安全漏洞,实现远程信息窃取、远程命令执行、拒绝服务、数据篡改、本地提权等恶意目的,非法控制网站服务器系统。
教育网站安全保障改进建议
安全防护要贯穿整个WEB 应用生命周期
- 在教育门户网站的规划阶段,建议咨询国内专业安全公司获取安全规划建议并开展相应的培训工作;
- 在开发阶段,需要对网站进行代码核查;
- 在测试阶段,需要对上线前的网站做完整的安全检查;
- 在网站运行阶段,建议在事前、事中和事后进行分阶段、多层面的完整防护。
需要构建以漏洞、事件生命周期闭环管理体系
通过监测系统平台进行漏洞生命周期的管理并非只是简单的扫描,它包含了漏洞扫描、人工验证、漏洞状态的追踪工作以及漏洞修复后的复验工作等。
要根据单位实际情况,使漏洞管理流程化,包括完善的管理制度、自动化IT 安全管理平台、执行制度的人等共同支撑流程的运转。
提升安全管理人员工作能力
建议网站安全管理岗位人员积极参加上级部门或业界专业的安全培训,建立起信息安全管理的概念,清楚网站安全的危害,掌握识别安全漏洞及风险的专用技术,以及对安全问题进行加固处置的技能。同时,建议网站安全管理岗位人员多参加安全界相关的网络安全讲座及论坛,积极与专业安全厂家及专业安全
人员沟通交流,学习了解市面上先进的网站安全管理思路及方案,结合单位自身情况,推动网站整体安全防护能力的升级。
教育网站安全防护整体解决方案建议
预防教育WEB 应用安全问题,应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的教育WEB 应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的教育WEB 应用,其定制化特点致使没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长周期。
教育WEB 应用系统既已投入使用,又不太可能投入大量的人力重新开发或做大规模代码级整改,如何在运行阶段进行有效的安全防护便成为关注的焦点。本方案着重在网络层、系统层、应用层进行网站安全防护体系设计,建议对教育WEB 应用的安全威胁及业务运维路径采取以下安全措施进行防护:
- DDoS 防御:DDoS 防御一般包含两个方面,一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;二是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性,也是最为重要的方面。建议教育WEB 应用在特定时期(如高招期间)按需采购专业安全服务商的云清洗服务,缓解针对业务的DDOS攻击,避免对出口造成堵塞,保障业务正常开展。
- 网络访问控制:利用防火墙进行访问控制,防止不必要的服务请求进入网站系统,减少被攻击的可能性。远程用户安全接入:利用防火墙的SSL VPN 功能实现对远程用户的安全加密接入功能。
- 通用安全防护:利用入侵防护系统,对所有已知的应用层攻击手段和系统漏洞进行在线防护,一旦发现攻击行为实时进行阻断。
- 应用层防护:通过Web 应用防护系统可有效控制和缓解HTTP 及HTTPS 应用下各类安全威胁,如SQL 注入、XSS、跨站伪造(CSRF)、cookie 篡改以及应用层DDoS 等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障WEB 系统的高可用性和可靠性。
- 网页防篡改:在Web 服务器系统上部署网页防篡改系统,针对Web 应用网页和文件进行防护。
- 系统安全加固:通过安全评估系统,找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞,进行加固,以保障系统的安全性。
- 数据库审计:通过数据库审计系统的三层关联审计功能,实现对所有访问教育WEB 应用系统引起的数据库操作进行精细化审计,可直接审计前端用户。
- 运维安全审计:教育WEB 应用系统均部署在学校IDC机房,对系统的运维可以使用远程方式实现,通过部署堡垒机,可实现对所有运维人员的操作进行集中管控,对重要服务器及相关设备的操作做到实时的跟踪,并有可视化的操作日志,对于高风险的操作进行实时的预警,全程审计运维操作的每一个细节。
- 网站安全监测:通过专业化的托管式服务来实时监测和周期度量教育网站的风险隐患,评估网站的安全状态,衡量改进情况。如:赛尔绿盟云安全服务。
网站安全保障技术
WEB 应用漏洞扫描技术(WVSS)
WEB 应用漏洞扫描技术(Web Vulnerability ScanningSystem 简称: WVSS)是针对网站安全进行漏洞评估的技术集合,该技术可自动获取网站包含的所有资源,并全面模拟网站访问的各种行为,比如按钮点击、鼠标移动、表单复杂填充等,通过内建的“安全模型”检测Web 应用系统潜在的各种漏洞,输出易读易懂、权威有效的分析报告。
网站漏洞闭环管理(TVM)
威胁和漏洞管理技术(Threat and VulnerabilityManagement 简称TVM)引入漏洞情报快速发现漏洞披露,通过技术共享人员选择优秀的漏洞修复方案,漏洞修复工单管理形成闭环、可视化的漏洞修补管理,提升企业整体安全漏洞运维水平;结合漏洞威胁数据和本地资产的多维度风险分析算法,指导漏洞修补的优先顺序。
WEB 应用防火墙技术(WAF)
We b 应用防火墙技术代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对Web 应用防护具有先天的技术优势。基于对We b 应用业务和逻辑的深刻理解,WAF 对来自Web 应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
网站安全实时监测技术(WSM)
网站安全监测技术(Web Security Monitoring System简称:WSM)即通过对目标站点进行不间断的页面爬取、分析、匹配,为客户的互联网网站提供远程安全实时监测、安全检查、实时告警,可对目标站点的脆弱性、可用性、完整性进行高频率持续监测,一旦发生安全事件,及时告警。
网站安全云监测技术
将网站安全监测技术(Web Security MonitoringSystem)架设于云服务平台上形成的云端网站安全监测技术,聚集专家运维团队,实现网站安全的7*24 小时监测。利用本技术可以形成SAAS 托管式服务,用户端无需安装任何硬件或软件,无需改变网络部署现状,无需专人进行安全设备维护及分析日志,便可定期获得由经验丰富的安全专家团队出具的周期性综合评估报告,使客户及时掌握网站的风险状况及安全趋势。
网站恶意流量清洗技术(ADS)
DoS(Denial of Service 拒绝服务)攻击由于手法简单、目的易达、难以预防和追溯等特点,成为了较为常见的网络攻击方式之一,分为资源消耗、服务中止和物理破坏三类。
网站恶意流量云端清洗技术
云清洗技术是在云端建设恶意流量清洗平台的技术,通常定位于本地清洗大流量备援服务,主要帮助客户突破本地清洗方案的局限,以最小的经济投入应对大流量DDoS 攻击。
网站安全保障服务
必要的安全服务是网站安全保障体系中重要的组成内容,建议教育客户与专业的安全服务公司合作,为自身网站提供专业的网络安全服务,主要包括风险评估、应急响应、安全值守等。