高校图书馆Web应用安全问题与对策

赵江

摘要：目前高校图书馆信息化发展过程中面临的严重的Web应用安全问题，分析了常见网络安全问题的表现形式和产生原因，立足高校图书馆网络安全防护实践，总结传统的安全防护策略，最后介绍应用WEB应用防火墙来提高安全性。

关键词：图书馆网络安全； 网络攻击；Web应用防火墙

中图分类号：G25 文献标识码：A 文章编号：1009-3044（2018）33-0051-02

1 引言

随着最近几年信息技术的飞速发展和计算机互联网的迅速普及，高校图书馆的信息化建设也在跨越式向前发展。各馆实现了书刊采购、编目、典藏、流通、检索等网络化服务和管理。大量的Web应用系统上线并投入使用，如数字（移动）图书馆系统、毕业生论文提交系统、特色资源数据库平台、数字资源访问统计系统等，以及统一的数字中心的建立。随之而来的网络安全事件也在不断增加，如服务器被黑、主页被篡改、访问被拒绝和网页被挂马等。此类频频发生的Web应用安全事件给高校图书馆的正常运作造成了很大影响，同时也给系统维护和安全监管提出了新的挑战。

2 针对Web应用漏洞的攻击形式

目前在实际工作中遇到的Web应用受到攻击的形式主要有：SQL注入攻击、网站越权访问和权限提升、敏感信息获取（文件非法下载和上传）、网页（图片）盗链、爬虫攻击、CSRF攻击、XSS攻击、Cookie漏洞攻击、篡改网页、网页挂马、DDoS攻击等。

3 Web应用攻击产生的根源

WEB应用出现安全问题根本上来源于软件的漏洞，这些漏洞被黑客或者攻击者发现并且利用。漏洞分别产生于四个层面：（1）WEB应用程序在开发的过程中存在一些质量问题，如Bug或者逻辑错误。在测试环境没有发现和修改。（2）发布应用程序的平台或者中间件存在安全漏洞，如Nginx、Tomcat和IIS等， 程序框架Struts、Mybatis等有些低版本程序存在安全隐患。（3）服务器上运行的操作系统如Windows Server系统、Linux系统的各个发行版等经常被爆出安全漏洞，官网上也定期发布针对特定漏洞的补丁。（4）网络协议本身的设计缺陷和漏洞，如TCP/IP三次握手协议。

4 Web应用安全问题的传统防护方案

发布平台和中间件的漏洞我们难以控制，只有通过及时打补丁来避免安全隐患。WEB应用在开发过程中出现的问题相对容易控制，我们在采购或定制相关软件时考察开发公司的资质和开发人员的素质，寻找资质高、实力强、专业化的开发单位；在软件实施过程中加强沟通，要求开发方将系统的安全性单独做在需求方案里；在应用程序上线前做好充足的測试工作；在上线运行过程中与开发方保持联系，做好升级、软件版本更新和打补丁工作，发现问题及时沟通和修复程序，避免出现更大的安全事件；在网络入口处增加和启用防火墙、入侵检测设备，有针对性地做好安全防护策略和配置。

5 基于Web应用防火墙的防护

为了增强Web应用的安全性，传统的安全防护措施是必不可少的，但是其被动性和滞后性的特点也十分明显。硬件方面防火墙、IPS等传统的安全设备，是高校校园网和图书馆网络安全策略中不可缺少的重要环节，由于其设计定位为通用防护，防护粒度太粗，不能有效地防御各种针对WEB应用的攻击，。因此安全领域提出一种新的方案，就是采用专业的WEB安全防护工具， Web应用防火墙。

Web应用防火墙（WAF）是为保护Web应用和Web服务而设计，一般采用独立的硬件设备，软件使用B/S结构设计，部署方式一般分为串联部署、旁路模式和反向代理模式，分别接入网络的方式如下图所示。串联模式下，WAF在内核模块实现从TCP/IP协议栈的透明代理，提高了网络适应能力、确保设备在网络中即插即用而无须修改网络及服务器配置，降低了部署、维护开销。反向代理模式，需要改动服务器IP地址以及DNS解析，此模式相对透明代理模式安全性更高。旁路方式提供一种逻辑在线防护机制。该种部署灵活性较好，可以实现业务分流，对核心系统影响较小，因此在实际工作中采用较多。旁路方式部署的技术原理和实现过程如下：

6 Web应用防火墙在高校图书馆中的应用实践

为了应对Web应用面临的上述各种网络攻击和威胁，我馆引入绿盟开发的Web应用防火墙（NSFOCUS WAF），设置了监控界面、邮件、短信等方式实时对Web安全事件进行告警。主要从下面几个方面增强馆里的网络防护措施，提升安全等级。

（1） 网站访问控制。高校图书馆有些资源需要考虑保护版权等原因，Web应用和相关网页有的页面只允许授权的IP范围访问，有的内容是开放权限的，所有IP都可访问，WAF提供了基于HTTP协议的访问控制功能。（2） 防止网页被篡改。WAF按照网页篡改事件发生的先后顺序，提供事中防护以及事后补偿的在线防护解决方案。事中就是实时过滤HTTP请求中混杂的网页篡改攻击流量，如SQL注入、XSS等。事后就是自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警，对外仍显示篡改前的正常页面，用户可正常访问网站。（3） 防止网页挂马。网页挂马为一种相对比较隐蔽的网页篡改方式，本质上这种方式也破坏了网页的完整性。当用户请求访问某一个页面时，WAF会对服务器侧响应的网页内容进行在线检测，判断是否被植入恶意代码，并对恶意代码进行自动过滤。（4） 阻止敏感信息泄漏。Web站点可能包含一些不在正常网站数据目录树内的URL链接，比如一些网站拥有者不想被公开访问的目录、网站的WEB管理界面入口及以前曾经公开过但后来被隐藏的链接。WAF提供细粒度的HTTP访问控制，防止对这些链接的非授权访问。（5）防止攻击者控制服务器。Web承载的交互式应用是数据库的门户，攻击者经常通过SQL注入等方法入侵数据库，造成数据泄露。WAF能检查HTTP请求的各个字段，用精炼的规则对攻击实施过滤，加上HTTP协议合规检查、状态码过滤等机制，降低数据泄露风险。另外攻击者使用自动化攻击工具能构造大规模的恶意访问，给Web应用稳定性造成很大危害。WAF支持多种Web访问控制，可以满足不同用户的需求，包括URL访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫等。（6）保护Web客户端。用户访问站点时，如果遭受CSRF攻击，就会对该站点失去信任，造成不良的用户体验，所以保护Web客户端也是Web服务提供者的责任。WAF提供CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。

参考文献：

[1] 冯贵兰，李正楠.Web应用防火墙在高校网站系统的应用研究[J].现代计算机（专业版），2017（5）.

[2] 赵磊，孙海星.WAF在企业网站系统中的应用研究[J].工业技术创新，2015（3）.

[3] 邓静，龚剑.基于高校私有云的WAF研究[J].宿州学院学报，2014（1）.

[4] 绿盟WEB应用防火墙产品白皮书.http：//www.nsfocus.com.cn/upload/contents/2015/04/2015_04021427560.pdf.

【通联编辑：王力】