2020年中国互联网网络安全情况总结

无需加好友免费技术支持

2021年，国家互联网应急中心发布的《2020年中国互联网网络安全情况总结》提到，2020年，中国大约有10万个网站被篡改，特别是在全球抗击疫情的同时，海外黑客组织有组织有目的的网络攻击形势越来越明显 [1]。

由于近30年的信息建设，大学内部网络积累了大量的信息资产，其中各种网站是信息服务的重要基础。与其他企业事业单位相比，大学网站数量多，构成复杂，应用功能丰富，一般分为以下四类：

2、为全校师生提供一站式信息服务，统一建设网站群，OA、教务系统、学生管理系统、档案系统等网站是师生学习的重要平台，保存了大量的重要数据和敏感信息，是各高校网站保护的重点。

3.各学院、中心、实验室、科研会议注册等自建网站，甚至挂靠学校各协会主页。这部分校园网站规模小，分散。为了节约开发成本，个别网站管理者从项目建设、开发、测试到上线都没有严格的安全控制，导致网站安全管理和保护能力差，有时会出现长期无人管理和运维的僵尸网站。一些校内机构为省事，还将在校外推出双非网站[3]，无需备案。这部分是校园网安全管理的痛点。

4.大量的虚拟主机运行在私有云、超级计算机等计算资源平台上，用于教师和学生的教学和科研。学校常见的虚拟机和云桌面申报-审批管理机制不能很好地限制用户。在操作和维护过程中，经常发现虚拟服务器被用作其他用途。由于个别用户信息安全意识薄弱，主机有黑客入侵和病毒感染的风险。这部分网站和主机挑战了大学信息部网站的安全管理，这是网络安全管理的难点。

网站服务由客户浏览器和服务器端程序组成，客户端通过HTTP/HTTPS协议完成与服务器端的信息交互。因此，网站安全问题大致可分为以下三类：

1.客户端安全问题：浏览器漏洞、跨站脚本攻击（XSS）、跨站点请求伪造（CSRF）、点击劫持（ClickJacking）等[4]。主流浏览器有一些预防措施XSS网站安全设计的常用的攻击方法和技术，如输入检查和输出控制、字符转义等。

2、传输安全问题：包括在客户端和服务器端之间传输，容易被窃听和篡改，破坏信息的隐私和完整性。TLS（SSL）加密传输是解决这一问题的常用手段。

3.服务器端安全：针对：Web服务器的攻击方法很多，很常见DDOS、在文件中注入和上传漏洞，Webshell网站后门漏洞等。具有一定权威性的全球安全组织OWASP（Open Web Application Security Project）开放式Web应用程序安全项目在2017年提出的权威的“10项最严重的Web总结了应用程序安全风险列表Web十大最可能、最常见、最危险的漏洞[5]见表 1。

2017年版《OWASP Top 10》

A1∶2017-注入

A2∶2017-身份认证无效

A3∶2017-敏感信息泄漏

A4∶2017-XML外部实体（XXE）【新】

A5∶2017-无效访问控制合并

A6∶2017-安全配置错误

A7∶2017-跨站脚本（XSS）

A8∶2017-不安全反序列化新，来自社区

A9∶2017-使用含有已知漏洞的组件

A10∶2017-不足的日志记录和监控新来自社区

表1 OWASP十大漏洞(2017)

World Wide Web万维网已经诞生30年了，网站安全问题伴随着Web技术的发展也在演变。信息安全的桶原理指出，系统的安全水平由最低安全部分决定，任何安全缺陷都会对系统构成威胁[6]。作为一个整体，任何单一或局部的安全风险都会对整个网络构成安全威胁。作为一个系统工程，高校网站的安全建设需要统一规划和建设校园网络的整体安全环境，并根据内外情况进行调整和响应。

为了应对层出不穷的安全漏洞和攻击，信息化部门从管理体制和技术保障两方面着手，通过开办审核、上线前安全检测、建立网站安全保护工作机制、落实网络安全责任制、加强网站安全监测和应急处置等一系列安全管理和技术手段，构建网络安全防护体系[7]。

网络安全防护体系从软硬件构成上来说，一般包括边界防火墙（阻断外界用户对校内设备的扫描和探测）、漏洞扫描防护或远程安全评估（网站上线前的安全检查）、态势感知、日志审计、暴力破解防护（防护口令暴力破解）、入侵防御系统IPS和Web应用防护系统WAF等。

为提高网站安全管理能力，在大学网络部署信息资产安全管理平台，积极识别学校信息资产，形成完整的网站和业务系统记录系统，做好网站和业务系统的生命周期管理，更好地监控学校网站运行状态，包括安全、合规、可用性等。

业务逻辑

具体业务逻辑如图1所示。分析和整理内部网络信息系统的数量是网站安全管理的基础。通过在网络出口旁边部署自学引擎IPv4和IPv6.在网络环境下，镜像流量中的各种协议，特别是HTTP和HTTPS分析协议访问，自动发现Web提供其他端口服务的网站和信息系统。

图1 业务逻辑信息资产治理平台

将信息系统纳入治理平台后，通过对网站的监控和分析Webshell、网页篡改，网页敏感词，网页暗链，Web对于漏洞和系统漏洞的各种安全威胁，应及时发送电子邮件通知，关闭网站域名分析和外部网络服务。同时，制定防护策略SQL注入，跨站脚本攻击（XSS）、跨站点请求伪造（CSRF）、保护页面盗链、爬虫、流量攻击等常见攻击行为，支持WAF联动处理防火墙。发现内网面临网络安全威胁时，配合防护设备自动阻断，或人工验证后手动阻断，进行以下处理：

1.根据不同的安全事件，应用访问阻断功能；

2.设置自动阻断或人工验证后阻断的策略；

3.通过设置策略阻断整个策略 Web 应用程序或只阻断问题页面。

部署和阻断原理

利用校园骨干网部署的治理平台，实时监控校园网站的运行状态，根据风险等级及时控制WAF设备联动阻断危险访问。

联动阻断分为两类：

第一类是串联部署，通过治理平台下发指令WAF，经过WAF与资产相关的通信数据将被阻断。串联部署WAF主要依靠匹配IP或URL，包拦截。这种方法更简单高效。

第二类旁路部署对网络影响最小，双向重置服务器和客户端会话，防止服务器和客户端数据传输。TCP通信原理、服务提供商和客户端信息传输有严格的时间限制。如果要达到阻断效果，必须在下一包确认包到达前进行处理TCP连接进行重置操作，否则数据传输完成后无法达到重置TCP连接目的。

1. TCP三次握手时阻断(如图2所示)。

图2 TCP 建立连接时阻断

2. 数据传输中的阻断(如图3所示)。

图3 TCP 建立连接后的阻断

实践效果

部署信息资产治理平台和WAF联动配置后，近三个月内，内网发现了200多个信息资产，发现30%的资产有攻击记录，主要是对互联网开放的网站和信息系统。其中站群系统攻击69万多次，严重攻击约占20%。从严重级别攻击类型来看，SQL注入攻击占总攻击量的90%，XSS跨站脚本和Webshell利用网站后门漏洞约占5%。WAF设备有效地阻断了各种攻击。

根据平台提供的情报，管理员对业务系统采取了一系列措施，对Web业务系统进行了安全加固，包括使用参数句加强用户输入SQL验证相关语句和敏感字符；加强对用户输入参数的验证，避免直接使用前端传输的参数拼接语句；加强业务系统文件上传管理，检查当前系统是否植入Webshell；加强对用户输入参数的验证，过滤掉可执行的系统命令相关陈述，防止命令执行造成危害；定期升级服务器，更新安全补丁。

信息资产管理可以有效解决学校网站整体控制问题，学校信息资产安全动态实时控制，及时发现安全漏洞，实现精细问题资产处置，提高应急响应能力，可以有效应对无尽的网络攻击，全面加强高校网站安全保护能力。

参考文献

[1]国家互联网应急中心.2020年中国互联网网络

[2]汪为农.高校网站是安全短板[J].2015年，中国教育网， (11) : 55.

[3]刘海宁.治理和研究高校双非网站和僵尸网站[J].医学教育管理， 2019, 5(S1)：48-50.

[4]龙兴刚.Web应用安全现状及防护技术研究[J].通信技术，2013 ,（7）：63-66 .

[5]OWASP Top 10-2017.Top 10 Web Application Security Risks,

[6]巫建文、王涛、徐凌奎等.基于多桶模型的信息安全量化评价方案[J]. 2011年(28)计算机应用研究.

[7]叶新恩、周涛、刘璀等.研究和实现高校信息系统对外服务安全管理[J]. 2018年网络空间安全， 9 (09)：82-86.

[8]徐艺扬等.新的信息资产治理平台赋予二级单位安全能力 [J]. 2019年，中国教育网， (10)：62-64.

来源：中国教育网