1、基于贵阳农村网安全建设的探讨贾 峰,简微微,徐金晶摘要:文章根据现行复杂的互联网环境,结合贵阳农村网的建设情况,围绕网站安全建设展开讨论,分别对网络环境、网络中存在的各类不安全因素进行探讨与挖掘,并有针对性的提出解决方案并就该方案进行探索。关键词:农村网;网站安全;安全防御;中图分类号: F323.89 文献标识码:A 文章编号:1674-0432(XX)-08-0047-20 前言随着互联网应用的普及,信息的获取越来越依赖于网络,从而进一步推动了互联网应用和网站建设。但是,随着网站建设的规模化,网站安全问题迅速严峻。根据 XX 年初国家计算机网络应急技术处理协调中心的统计报告,在目前所有造成
2、严重危害的网络攻击事件中,网页篡改占到总数量的 74%。从近几年 CNCERT/CC 的报告可以看出,随着互联网应用的普及,安全问题日益突出,针对网站的攻击,尤其是网站篡改事件迅猛膨胀,已经成为目前危害最为严重的网络安全问题。互联网改变了我们的生活,其中影响最大的莫过于网站,网站是互联网最重要的资源。随着网站数量不断增加,与之相对应的是网站受攻击的情况也越来越多。网站被攻击事件的不断发生,严重地扰乱了网站的正常服务,带来了不良的政治和经济影响。如何有效地保护贵阳农村网的网站安全,增强为“三农”的信息服务是贵阳市农村综合经济信息中心面临的课题。仅仅靠防火墙、入侵检测技术来保护网站安全是远远不够的
3、,防火墙、入侵检测、网站保护系统配合使用,共同保障网络安全,已经成为网络安全防护的趋势。下面就结合贵阳农村网的安全建设情况谈谈网站安全建设的思路及防御手段。1 贵阳农村网安全建设的必要性贵阳农村网是面向社会公开的网站系统,其服务人群不仅局限于为贵阳市农民提供信息服务。更面向全省、全国乃至世界范围内的农户提供技术服务及各种资源保障。是贵阳市农口部门信息发布的门户网站,其意义重大。因此系统安全性的建设不容忽视。2 网站系统的各种攻击手段要做到安全防御,则必先了解 WEB 的各种攻击手段,下面列举几类常见的攻击手段:2.1 SQL 注入漏洞的入侵这种是 ASP+ACCESS 的网站入侵方式,通过注入
4、点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把 ASP 木马上传上去,获得一个网站的 WEBSHELL。2.2 ASP 上传漏洞的利用这种技术方式是利用一些网站的 ASP 上传功能来上传 ASP木马的一种入侵方式,不少网站都限制了上传文件的类型,一般来说 ASP 为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的,黑客可以采取 COOKIE 欺骗的方式来上传 ASP 木马,获得网站的 WEBSHELL 权限。2.3 后台数据库备份方式获得 WEBSHELL这个主要是利用网站后台对 ACCESS 数据库进行数据库备份和恢复的
5、功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成 ASP,那么利用网站上传的功能上传一个文件名改成 JPG 或者 GIF 后缀的 ASP 木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成 ASP 文件,从而达到能够获取网站 WEBSHELL 控制权限的目的。2.4 网站旁注入侵这种技术是通过 IP 绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。2.5 SA 注入点利用的入侵技术这种是 ASP+MSSQL 网站的入侵方式,找到有 SA 权限的 SQL注入点,然后用 SQL 数据库的 XP_CMDSHELL 的存
6、储扩展来运行系统命令建立系统级别的帐号,然后通过 3389 登录进去,或者在一台肉鸡上用 NC 开设一个监听端口,然后用VBS 一句话木马下载一个 NC 到服务器里面,接着运行 NC 的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。2.6 其他入侵手段包括 SA 弱密码的入侵技术、提交一句话木马的入侵技术、利用论坛漏洞的入侵方式等等。3 针对各类攻击的防范措施防范 WEB 攻击有两种方式,一种是用技术手段来防御攻击,另一种是用安全软件来防御攻击。3.1 手动防御手动的方式来防范基于 WEB 的攻击包括为系统安装补丁程序,尽可能的减少系统漏洞;
7、安装杀毒软件,及时更新病毒库,防止系统被病毒破坏;通过设置端口达到安全保护功能,比如利用 TCP/IP 筛选的端口设置方式或防火墙端口的管理功能管理开放端口;正确设定目录的安全属性,根据需要为系统用户或网站用户分配合理的权限;对 IIS 帐号和权限进行管理,尽可能减少同一用户同时访问多个网站系统的可能性;修补注入漏洞和限制上传文件类型;加强 SQL 权限的安全设置等。综合运用多项手动防御措施,可有效的降低网站系统的安全风险。3.2 利用安全软件进行防御定期对端口及系统漏洞进行扫描,如 XSCAN 扫描器,它是目前国内最好用的扫描器。可以探测系统开放端口的情况,然后还可以对端口提供的服务安全进行
8、探测,能探测FTP,MAIL,SQL 等服务的帐号和密码,是一款不可多得的安全扫描探测产品。定期对 WEB 漏洞进行扫描,如明小子 3.5,该软件也是用得最多的 WEB 漏洞扫描以及入侵工具,当然我们也可以用来探测我们自己服务器网站的安全状况,它能够扫描网站的注入漏洞和上传漏洞以及探测网站的后台地址等信息。定期查杀木马,推荐使用冰刃 IceSword,他是一斩断黑手的利刃,它适用于 Windows XX/XP/XX 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都
9、可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。4 网页防篡改的实现4.1 网页文件保护服务器端保护系统模块采用动态访问控制技术,对网页文件提供实时、动态保护,未经授权的非法访问行为一律进行拦截,从而防止非法人员篡改、删除受保护的文件,确保网页文件的完整性。网站服务器管理人员和网站维护人员通过保护策略的设置,指定网站目录的保护属性,受到保护的目录、文件没有经过授权不能更改和删除。针对未授权的增加、修改和删除进行实时报警、并且记录详细日志,在入侵企图的情况下,将自动通过 E-Mail、SMS 等多种方式报警,通知网站服务器管理员。4.2 网络攻击防护系统实现
10、基于内嵌于各种 Web 服务器中的插件,这些插件可以截获每个访问被监控网页的 Http 请求,访问请求进行入侵检测规则匹配,可以防止 SQL 注入等常见网页攻击。并实时报警、并且记录详细日志,在入侵企图的情况下,将自动通过 E-Mail、SMS 等多种方式报警,通知网站服务器管理员。4.3 系统实现技术特点4.3.1 中心端实现集中控管 通过中心端直接对各个站点进行运行状态监控和管理。包括站点的状态查看,对各个站点进行远程关闭,禁用和启用。下发报警和安全保护策略,接收客户端的报警信息,对控管信息和报警信息进行统计分析。4.3.2 实时动态保护 WA 端核心保护模块对网页文件、数据库等提供实时动
11、态保护功能,阻断一切未经认证和授权的访问,打破了传统网站保护软件所采用的破坏后“即时恢复”的观念,做到网管人员、网站维护人员通过授权维护网站,其他攻击行为无法对网站数据进行篡改与删除,时刻保证网站的安全。4.3.3 强大的适应功能 网站管理系统对不同类型、不同规模的网站,提出了不同的解决方案,各种软件版本如企业版、虚拟主机版、大型网站版等在对网站提供保护的基础上,极大地适应了不同网站的管理。4.3.4 灵活的报警方式 本系统对文件的非法篡改行为提供声音,邮件,短信等多种报警方式通知管理员,做到即时发现,及时报警,系统报警机制灵活。4.3.5 完善的日志记录 系统对网站的操作进行记录,所有日志信
12、息包括以下内容:时间、事件、操作人、源 IP、目的 IP,包括正常维护更新、试图攻击行为等都有详细的记录。任何用户均不能对日志进行修改、删除操作,确保日志的准确性与完整性。4.3.6 特有的加密技术 采用 PKI 技术,实现密文和密钥的分离。PKI 技术是整个系统安全的基础。在设计中,充分利用了 PKI 技术,将其融合到系统的安全保障体系之中。WA 与 MC 间通讯是封装了特有的通信协议,利用 SSL 进行传输中的加密认证,既可以防止黑客利用伪指令向系统进行攻击,又可以防止黑客的侦听、截取,以及回放式的攻击。增加了非法行为对系统攻击的难度,保证了信息在通讯环节中的安全。由于公钥加密的速度比较慢
13、,因此在加密通信时采用的是对称加密技术。使用的密钥都是临时产生的随机密钥,在确认对方身份后采用公钥加密技术传递给对方,随后双方进行对称加密通信。当传送数据时会附加一个对数据的数字签名,以保证所传递数据的安全性和完整性。4.3.7 高强度身份认证 系统除要经过用户名密码的认证外,还需经过 USB KEY 的认证,多重的认证机制保证了系统用户的唯一性,为系统的安全提供了更高的保障。5 结束语围绕市委、市政府农村信息化建设的总任务和信息产业部把我市列为全国首批农村信息化综合服务平台建设试点城市的总要求,对我市农村信息化建设提出更高的要求,贵阳农村网是贵阳市农村信息化建设的门户网站,网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会,才能提供各种各样安全、快捷为“三农”的信息服务。参考文献1 防范 ASP 木马的十大基本原则J.计算机与网络,XX,1.2 武新华,翟长森,等.黑客攻防秘技大曝光M.清华大学出版社,XX.3 Mike Andrews,James A.Whittaker .Web 入侵安全测试与对策M.清华大学出版社,XX.作者简介:贾峰(1979-),男,就职于贵阳市气象局,助理工程师,研究方向:农村综合经济信息网服务。
