推薦文章

高校網站與應用系統常見信息安全事件及防范措施

審核人:    發布日期:12/15    點擊:

高校是網絡安全的重要陣地。我校網絡安全現狀并不樂觀,近年來多個部門網站和應用系統遭受攻擊,并被上級主管部門通報,雖然沒有造成大的損失,但也給學校帶來了負面影響。為了進一步加強教育系統網絡與信息安全管理,提高各業務系統負責人的網絡安全防范意識,現將高校網站與應用系統常見的信息安全事件通報如下,望各單位學習并對照檢查所負責的應用系統網絡安全現狀。

一、SQL注入漏洞

黑客通過把 SQL(數據庫操作語言)語句插入存在漏洞的頁面,欺騙服務器執行惡意命令,取得對數據庫的操作權限,以達到獲取和篡改數據的目的。防范措施如下:

1、系統管理員應為信息系統的每個目錄或文件設置相應的權限,授予每個文件能正常運行的最低權限。

2、系統應隱藏返回的錯誤詳細信息。

3、在通過活動腳本與數據庫建立連接時,一定要通過專用的數據庫用戶。

4、敏感信息加密,數據庫的信息要使用不可逆加密算法存儲,這樣才能保證一旦數據庫丟失,不會導致數據的泄密。

二、弱口令漏洞

通過對學校業務系統的掃描發現,多個業務系統的用戶甚至管理員賬號有弱口令漏洞。弱口令指的是僅包含簡單數字和字母的口令,例如“123456”“abc123”等,很容易被破解,黑客可以輕易進入系統獲取和篡改數據。由于登錄者的身份難以確定,使用硬件設備很難發現使用弱口令的用戶登錄者是否具有合法身份。對于弱口令漏洞,一方面可以通過宣傳告知用戶使用復雜口令;另一方面可以修改應用系統的登陸設置,強制用戶使用復雜口令。

三、源碼及信息泄露漏洞

服務器中源代碼等信息可以被直接下載利用,源代碼中所包含服務器配置、數據庫連接等各類敏感信息,會對整個系統的安全造成很大隱患。源碼及信息泄露漏洞經常出現在盜版操作系統中,因此要打造一個安全的應用系統,使用正版操作系統是前提條件;另外,操作系統要及時升級補丁并查殺病毒木馬,保證操作系統能夠及時獲得系統更新。

四、Struts2漏洞

目前,許多商業軟件使用開放的軟件架構,譬如流行的Struts2架構。該架構在最近幾年曾多次爆出嚴重漏洞,如Struts2 S2-046 漏洞,遠程攻擊者可利用該漏洞在受影響服務器上遠程執行系統命令,入侵服務器;再如Struts2 S2-045 漏洞遠程攻擊者可通過發送惡意構造的 HTTP 數據包, 利用該漏洞在受影響服務器上執行系統命令, 最終可完全控制該服務器,造成拒絕服務、數據泄露、網站遭篡改等后果;再如Struts2 S2-016 漏洞,遠程攻擊者可以通過操縱參數遠程執行惡意代碼, 造成拒絕服務、數據泄露等后果。因此,所有使用Struts2架構的應用系統一定要及時更新Struts2的系統版本,并及時修改出錯的源代碼。

五、植入暗鏈漏洞

暗鏈是黑客通過網站漏洞篡改頁面源代碼,以隱蔽的方式植入不易被覺察的代碼鏈接到其他網站,達到對其他網站的宣傳,因此被植入暗鏈一般說明網站已被攻陷。對于所管理的應用系統需要定期掃描,或使用搜索引擎工具查看敏感詞鏈接。

以上所述為我校應用系統經常出現的漏洞情況,希望各單位網絡信息管理員及各應用系統負責人能夠定期維護所管理的應用系統,并及時修復系統漏洞,做好相關應用系統的網絡安全保障工作。

澳门极速快乐十分