随着我国高校信息化建设的逐步深入，各高校教务工作对信息系统依赖的程度越来越高。高校网站已从一个简单的信息发布、展示平台，逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源，成为高校成熟的业务展示和应用平台。

在高校网站业务建设发展的同时，网站的整体安全状况却不容乐观。据权威机构检测并统计，2012年，在全国各类网站安全情况排名中，高校网站的安全性排名倒数第二，仅仅高于政府网站。由于安全性薄弱及多方面的利益驱使，高校网站已经逐渐成为黑客关注的重点目标。相关数据显示，中国每个高校网站平均每天被黑客攻击113次(包含扫描等行为)，其中被攻击最多的网站最高可达每日上万次。由此引发的高校网站被篡改、被挂马的安全事件频繁出现。最终给高校带了严重的形象及经济损失。

高校网站面临的典型安全威胁

针对高校网站所承载的各类应用的特点，目前比较典型的攻击总结如下：

SQL注入攻击

SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQL注入是应用系统中最常见，同时也是危害最大的一类弱点。高校网站易受到SQL注入攻击是由于网站程序缺乏有效的用户输入检查，导致恶意用户可以提交SQL查询语句，非法获取网站数据库敏感信息，直至上传后门文件，篡改网页内容等一系列严重后果。

跨站脚本攻击

跨站脚本攻击的特点在于对存在漏洞的网站本身并不构成威胁，但会使网站成为攻击者攻击第三方的媒介。黑客往往会利用高校网站的高关注度，借助存在漏洞的网站转发攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息，或通过插入挂马代码对用户执行挂马攻击。

文件包含漏洞利用

文件包含漏洞广泛存在于用PHP语言编写的高校网站应用程序中，该漏洞允许客户端用户输入控制动态包含在服务器端的文件，恶意攻击者可以通过文件包含漏洞获取敏感文件的内容或直接执行其指定的恶意脚本，进而获取对高校网站的完全控制。

DDOS攻击

DDoS攻击则是一种可以造成大规模破坏的黑客武器。它通过制造伪造的流量，使得被攻击的服务器负载过高，从而最终导致系统崩溃，无法提供正常的服务。由于各大高校提供的业务对WEB依赖性日益加强，许多考试报名系统、成绩查询系统、远程教育系统等都在网上进行，一旦受到DDOS攻击将造成服务瘫痪、终止，会严重损害个人利益，并削弱高校、教育部门的公信力。

天融信高校网站防护方案

面对以上安全形势，天融信公司推出了高校网站防护方案。通过综合部署天融信WEB应用安全网关(简称：TopWAF)及网页防篡改系统，对安全事件发生的整个周期实施周密的策略，进而实现对高校网站的全面安全防护。

图1：天融信公司的高校网站防护方案

事前——提供WEB应用漏洞扫描功能，事前检测网站漏洞，提供预防解决方案。

TopWAF可提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖： SQL注入、跨站脚本及决绝服务等WEB常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后，自动生成全中文网站漏洞分析报告。此功能可以使网站管理员在不需要安装任何漏洞扫描软件的情况下，直观地了解到网站存在的安全漏洞情况，并根据天融信安全专家的建议及时进行相关修补工作。

事中——应用多维防护体系，有效应对多种WEB安全威胁。

TopWAF采用先进的多维防护体系，对HTTP数据流进行深度分析。通过对WEB应用安全的深入研究，固化了一套针对WEB攻击防护的专用特征规则库，规则涵盖诸如SQL注入、XSS(跨站脚本攻击)等OWASP TOP10中的WEB应用安全风险，及文件包含、缓冲区溢出、遍历目录、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。此外，TopWAF产品具备专业的抗DDoS功能，对于网络层及应用层的DDoS攻击进行有效控制，如SYN Flood、UDP Flood 、CC攻击等。

事后——领先的技术实现网页防篡改，强大的业务智能分析提供决策依据。

天融信网页防篡改系统采用第三代网页防篡改技术(增强型事件触发+系统(内核)文件底层驱动过滤技术)，对保护的对象(静态网页、动态执行脚本、文件夹)实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端。此外，在系统遭受极限攻击发生文件篡改现象，系统也会自动从可信端进行有效文件恢复，彻底地保证了网页内容不被篡改。

同时，TopWAF提供业内领先的业务智能分析功能。内容丰富，涵盖网站业务数据智能分析、网站安全数据智能分析及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示，效果清晰、直观。为网站管理员提供有针对性的决策依据。

典型案例：

经过在多个实际项目中的实施，天融信高校网站防护方案已被验证是可行、可靠并且高效的解决方案。其中，在一所全国重点大学的网站系统建设中，该方案起到了关键性作用。

案例背景

xx学院是一所由教育部管理的全国重点高等院校。拥有学院门户、成人招生培训网、毕业生就业信息网等30个以上对外或对内提供服务的网站。这些网站承担着教学、宣传、党建等多方面任务。庞大的用户群体也给这些网站带来了的安全隐患。做好这些网站的安全防护工作，成为学院信息系统安全建设的重要任务。

用户环境

xx学院的互联网出口带宽为500M，在互联网接入口处配置有网络防火墙。网站系统整体部署在学院内部网络，共有WEB服务器33台，分别安置在两个物理机房，通过核心交换机做网络上的隔离。

用户需求

根据xx学院网站系统的网络环境现状、应用特点，结合高校行业的信息系统安全合规性要求，总结其对网站防护系统的主要需求如下：

实现对网站系统安全状况的全局掌控;

防止黑客利用WEB应用漏洞对网站进行SQL注入、跨站脚本等攻击，避免网页被篡改、网站被植入挂马、重要信息被窃取等;

防止黑客对网站进行DDOS攻击，保证网站正常提供服务;

实现网页被篡改后的自动、快速恢复，防止被篡改网页公布于众;

实时监控网站的安全状况，发生安全事件第一时间告警管理员。详细记录安全事件信息，做到安全事后可追溯;

主动检查网页中存在的敏感信息，防止网站论坛被上传非法反动言论;

详细记录网站的访问行为，并根据访问数据对网站业务进行分析，形成分析报表;

解决方案

参考xx学院网站系统的网络结构、资源并依照用户对安全系统建设的整体需求，天融信设计如下解决方案：

图2：xx学院网站防护系统拓扑图

1. 在xx学院两个物理机房的WEB服务器集群前端分别部署两台天融信TopWAF(TI-3628-WAF型号)设备。采用透明模式接入网络，无需对网络结构作任何调整。

2. 在TopWAF上设置主动扫描策略，定期检测网站漏洞及网页中的违法信息。

3. 在TopWAF上开启基本攻击防护策略，过滤经过WEB服务器的双向流量，实时阻止SQL注入、跨站脚本、文件包含等攻击。

4. 在TopWAF 上开启流量自学习功能，分析网站的正常流量，自动生成DDOS击防护策略，有效缓解DDOS攻击。

5. 在TopWAF上开启邮件告警设置，当有安全事件发生时，第一时间邮件告警管理员。

6. 分别在33台WEB服务器上部署天融信网页防篡改系统监控代理端。通过内核文件底层驱动内嵌到操作系统中，基于事件触发方式进行自动监测，对WEB服务器制定目录下的所有文件内容进行实时监测，若发现变更，实时阻断篡改行为。

7. 分别在33台WEB服务器上设定防篡改备份目录，事先备份受保护目录下的正常网页。当发生网页被意外篡改时，防篡改系统通过其内部的内容恢复机制，从备份目录进行实时恢复，确保文件的真实可靠性。

8. 在学院内网一台服务器上部署防篡改管理中心程序，对33个防篡改监控代理端进行集中管理。统一下发安全策略并收集日志。

客户收益

1. 通过TopWAF的WEB漏洞扫描功能，管理员可以定期对网站系统进行安全检查，实时了解网站系统存在的安全隐患，并及时进行修补。

2. 即使WEB服务器所存在的安全漏洞没有被及时修补，管理员也不必担心黑客会利用漏洞完成攻击。TopWAF会广泛阻止对于WEB服务器的恶意行为。保证网站系统对外服务的正常。

3. 如果出现极端的网页被篡改情况，网页防篡改系统会在5ms内完成网页的自动恢复。避免被篡改网页公布于众，维护检察院形象。

4. 通过TopWAF的违法信息检测功能，管理员可以及时发现含有违法信息的网站页面，避免这些页面被访问。

5. 通过TopWAF的邮件告警功能，管理员可以在安全事件发生的第一时间得到通知，以及时进行策略调整。

6. 学院领导或网站管理员可通过TopWAF内置的数据智能分析功能所产生的统计报表，追溯安全事件细节，了解网站业务数据及管理行为，真正做到对网站的“了如指掌”。

目前天融信公司的高校网站防护方案已经服务于国内多所知名院校，并得到客户的认可。结合安全产品，天融信公司也推出了安全评估、安全加固、在线监测及应急响应等多种网站安全服务。希望以最专业的产品和服务让高校网站达到较高的安全等级。