1.1 学校应用系统安全概述

　　随着网络信息技术的发展与普及，目前几乎所有的高校甚至部分中小学，都采用各类信息系统对学校的各类数据包括图书馆管理系统、学生成绩计分系统以及对外宣传服务平台等进行统一管理，给学校的数据管理带来便利。

　　然而，人们在享受互联网带来的便捷的同时，也承受着层出不穷的网络安全威胁。不管是在互联网或者是校园网，黑客攻击事件层出不穷，越来越多针对著名高校所进行入侵行为以及破坏行为与日俱增。特别是一些恶意人员进行的数据篡改以及恶意挂马等行为，严重危害学校互联网和校园网安全。对于以名誉及教学质量为重的学校而言，风险极大。

　　1.2 典型应用架构

　　学校应用系统一般至少包括以下多个系统：对外服务网站、教务管理系统、图书管理系统、财务管理系统以及教职员工信息管理系统等。

　　图一 武汉大学对外服务网站

　　图二 武汉大学教学管理系统

　　1.3 安全分析

　　1.3.1 安全现状分析

　　近一段时间，针对学校WEB应用系统进行的黑客攻击行为以及挂马事件层出不穷，带了巨大损失。

　　“复旦大学”、“厦门大学”等网站被挂马

　　“北京大学档案馆”、“中国政法大学社会学院”等网站被挂马

　　1.3.1 典型安全措施

　　目前应用系统典型安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙/防病毒四层防护。

　　1、 防火墙

　　(1) 只能检测网络层的攻击

　　(2) 无法阻拦来自网络内部的非法操作

　　(3) 无法动态识别或自适应地调整规则

　　(4) 对WEB应用,端口80或443必须开放

　　2、 IDS/IPS

　　(1) 只检测已知特征

　　(2) 对数据层的信息缺乏深度分析，误报/漏报率很高

　　(3) 没有对session/user的跟踪，不能保护SSL流量

　　3、 软件防病毒/防火墙

　　(1) 被动检测机制，只检测已知病毒或木马

　　(2) 无法识别外部正常访问请求

　　很多用户认为，在网络中部署多层的防火墙，入侵检测系统(IDS)，入侵防御系统(IPS)等设备，就可以保障网络的安全性，就能全面立体的防护WEB应用了，但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能;通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。

　　目前由于学校WEB应用系统安全解决方案自身的局限性，导致学校WEB应用系统无法应对日新月异的安全攻击，特别是目前主流基于WEB应用的安全攻击手段。