济南网站建设,网站运营维护,网站优化
技术探讨您当前的位置:智达维网络科技 > 建站知识 > 技术探讨 >

高校网站安全建设方案

更新时间:2018-02-05 10:59:03 作者:千寻建站 访问量:28



高校网站安全建设方案

1 概述
    随着互联网技术的不断发展,无论是学校还是个人,对于互联网的依赖在不断增强。WEB技术承载着校园网越来越多的核心业务,重要程度不言而喻。WEB技术的发展历史也可以说是攻击与防护技术不断交织提升的过程。根据国内网络安全企业最新的调查,信息安全攻击中超过75%都发生在WEB应用层而非网络层上,因此,WEB安全性已经提升到一个空前的高度。
    对WEB系统的安全防护,由于攻防态势的先天性不对等,多数用户防护能力远远落在了新技术和新功能的后面,这个问题在中小规模的WEB应用平台中体现的尤为明显,国内各大众测平台暴露的问题就是很好的证明。
2 高校网站安全防护需求
    有效的WEB安全防护体系需要在如下的安全策略基础上建立。
2.1 纵深防御
    WEB系统包含多个层面,涉及不同的IT设备与软硬件系统,其面临的安全风险也跨越了业务系统、IT基础设施、网路通信协议等多个领域,其风险的多样性和复合性等特点也决定了其将使用多手段威胁检测结合纵深防护来实现高级别的安全,实现针对关键对象的纵深防御体系。
2.2 安全边界防护与检测
    WEB系统安全边界清晰,考虑在互联网边界(企业网络-互联网)、业务网络\办公网络边界(一般为DMZ区域边界)、数据交互边界(WEB服务器与数据库服务器边界)部署多层的边界检测和防护设备,相关设备应首先满足业务实时性和可用性的相关要求,并在此基础之上充分考虑其通信和威胁场景特点,如支持万兆或特殊协议等。
2.3 关键对象保护
    提供针对关键对象,如基础网络设备、Web服务器等提供安全检测和防护手段,并且围绕防护对象建立脆弱性评估、修补等安全操作流程。
2.4 云端防护与监测
    由于互联网应用的特性,网站的可用性异常重要,因此需要具备云端感知的能力对网站的可访问情况进行实时监测,同时在发生链路层DDoS攻击时,单纯依靠网络边界设备很难有效缓解攻击危害,因此需要借助云端海量的流量通道进行攻击流量的清洗,最终保障WEB服务的可用性。
2.5 基于攻击/异常行为的识别
    具备对典型攻击过程如扫描、远程溢出的识别能力,能够对入站流量进行深度检测,防止非法/异常的通讯数据结构破坏WEB系统运行;同时建立内部访问会话特征描述,制定运行环境模板,结合云端威胁情报,从而降低APT以及其他未知威胁的潜伏可能。
2.6 访问控制
    系统与系统之间应具有清晰的访问控制策略,访问控制策略在满足实时性的基础之上服务器及数据库等资产实现防护,避免未授权访问造成安全风险。
2.7 漏洞管理
    充分发掘现有系统中潜在对的漏洞风险,兼顾系统可用性和安全性的同时,采用风险可控的威胁消除或缓解手段,将漏洞对系统带来的影响降到最低。常用的漏洞发现方法包括白盒测试和黑盒测试以及漏洞扫描工具等。
2.8 安全审计
    使用多种手段,对包括操作系统、数据库系统、应用系统、网络系统等的行为进行审计,并根据业务特点和威胁环境建立独立于系统的外部审计机制,提供独立的审核记录功能。这对于异常情况的发现和事后溯源具有重要意义。
3 高校网站安全解决方案
3.1 系统部署

    Web应用防火墙系统的不断更新发展,从传统的透明代理模式已经转变为透明部署方式。工作在OSI七层模型中的第二层(数据链路层)。在第二层截获数据包,对数据包的进行特征库匹配,匹配上就是攻击行为,直接把数据包丢弃。如果数据是正常的,过滤引擎重新构造Web和SQL事务生产数据包发送给后端的Web服务器。
    透明部署方式是串联在Web服务器的前端,在物理层面是Web服务器的前端多了一台硬件设备。在网络层面是Web服务器的前端没有任何硬件设备。透明部署方式不改变校园网的网络拓扑结构。Web服务器看到的都是浏览者的源地址,也不会给审计类安全产品造成无法工作等现象的出现。Web应用防火墙的旁路阻断模式,大部分的Web应用防火墙都是串联部署在网络中进行流量过滤的,但是有些高校的网络只允许旁路部署产品。应用防火墙使用镜像分析功能与交换机、网站服务器进行联动,实现旁路部署阻断Web攻击行为。
3.2 网站云防护
    Web应用防火墙系统实现了重塑网站防护边界,在物理服务器的前端构建了硬件的物理网站防护边界。在互联网利用虚拟化技术构建了虚拟的网络边界网站防护体系。两个网站防护边界实现多层过滤,多层拦截的多边界协同防护体系。
3.3 威胁情报中心
    网络安全企业利用终端用户产生海量的安全大数据,通过大数据人工智能挖掘技术对未知的安全威胁统一分析,对分析结果形成可机读的威胁情报数据推送给相关的本地硬件设备,主要解决网络中的未知威胁安全问题,可大大提高WEB防护能力。Web应用防火墙系统内置有威胁情报中心功能,实际就是Web应用防火墙制作了一个人工智能大脑,与云端实现数据交流。实现Web应用防火墙自主发现攻击行为,并智能化判定对于攻击行为的是阻断或是放行。
3.4 网页防篡改
    网页防篡改系统平台采用透明部署方式,同样可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与应用防火墙的网络中断时,网页文件会被自动锁定,所有“写”的权限进行封锁,只有“读”的权限。当网络恢复中,所有相关权限会自动下发,网站正常恢复更新。
4 结束语
    通过分析当前高校的安全风险和安全防护需求,提出了针对高校网站的信息安全保护方案。在实际应用过程中,各高校可以根据网站建设实际情况,并结合信息安全专业分析建议,选择最为合适的网站安全防护方案。
 

    文章说明:本站发布的所有文章,版权均属于智达维网络科技。如需转载、摘编或利用其它方式使用上述作品,请注明“转载自:智达维网络科技”或“转载自:智达维网络科技/网站建设相关文章”,谢谢您的浏览!

相关推荐
热线:0531-87583458 电话:0531-66812586 QQ:2676834962
Copyright 智达维网络科技 版权所有
ICP备案编号:鲁ICP备11034527号-1 鲁公网安备 37010402000703号

扫二维码加微信咨询

拨打客服热线

0531-87583458

在线客服