高校网站与应用系统常见信息安全事件及防范措施

日期:2017年12月15日 17:15   作者: 信息化工作办公室  浏览量:

高校是网络安全的重要阵地。我校网络安全现状并不乐观,近年来多个部门网站和应用系统遭受攻击,并被上级主管部门通报,虽然没有造成大的损失,但也给学校带来了负面影响。为了进一步加强教育系统网络与信息安全管理,提高各业务系统负责人的网络安全防范意识,现将高校网站与应用系统常见的信息安全事件通报如下,望各单位学习并对照检查所负责的应用系统网络安全现状。

一、SQL注入漏洞

黑客通过把 SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。防范措施如下:

1、系统管理员应为信息系统的每个目录或文件设置相应的权限,授予每个文件能正常运行的最低权限。

2、系统应隐藏返回的错误详细信息。

3、在通过活动脚本与数据库建立连接时,一定要通过专用的数据库用户。

4、敏感信息加密,数据库的信息要使用不可逆加密算法存储,这样才能保证一旦数据库丢失,不会导致数据的泄密。

二、弱口令漏洞

通过对学校业务系统的扫描发现,多个业务系统的用户甚至管理员账号有弱口令漏洞。弱口令指的是仅包含简单数字和字母的口令,例如“123456”“abc123”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据。由于登录者的身份难以确定,使用硬件设备很难发现使用弱口令的用户登录者是否具有合法身份。对于弱口令漏洞,一方面可以通过宣传告知用户使用复杂口令;另一方面可以修改应用系统的登陆设置,强制用户使用复杂口令。

三、源码及信息泄露漏洞

服务器中源代码等信息可以被直接下载利用,源代码中所包含服务器配置、数据库连接等各类敏感信息,会对整个系统的安全造成很大隐患。源码及信息泄露漏洞经常出现在盗版操作系统中,因此要打造一个安全的应用系统,使用正版操作系统是前提条件;另外,操作系统要及时升级补丁并查杀病毒木马,保证操作系统能够及时获得系统更新。

四、Struts2漏洞

目前,许多商业软件使用开放的软件架构,譬如流行的Struts2架构。该架构在最近几年曾多次爆出严重漏洞,如Struts2 S2-046 漏洞,远程攻击者可利用该漏洞在受影响服务器上远程执行系统命令,入侵服务器;再如Struts2 S2-045 漏洞远程攻击者可通过发送恶意构造的 HTTP 数据包, 利用该漏洞在受影响服务器上执行系统命令, 最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果;再如Struts2 S2-016 漏洞,远程攻击者可以通过操纵参数远程执行恶意代码, 造成拒绝服务、数据泄露等后果。因此,所有使用Struts2架构的应用系统一定要及时更新Struts2的系统版本,并及时修改出错的源代码。

五、植入暗链漏洞

暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。对于所管理的应用系统需要定期扫描,或使用搜索引擎工具查看敏感词链接。

以上所述为我校应用系统经常出现的漏洞情况,希望各单位网络信息管理员及各应用系统负责人能够定期维护所管理的应用系统,并及时修复系统漏洞,做好相关应用系统的网络安全保障工作。