关于“入侵强智教务管理系统漏洞及利用”的说明及防范

随着信息化的发展与应用的不断深入，各高校基本普及应用网络化的教务管理系统来管理教务、教学工作，由此对系统的依赖性越来越强，对系统的安全性要求越来越高。湖南强智科技发展有限公司历经十年，一直致力于高校教务管理工作信息化建设的研发工作，并在全国多达300多所学校成功应用及推广，而网上也流传有“入侵强智教务管理系统漏洞及利用”等相关文章，关于教务管理系统的安全问题，在此我代表公司有必要站出来做出必要的解释。

湖南强智科技发展有限公司是一家以教育管理软件开发和技术服务为核心，主要以提供教育管理软件、企业管理软件、IT系统集成和服务的软件企业。公司于2000年08月组建，总部位于长沙国家软件产业基地（麓谷）。现已在北京设有分公司，在武汉、南昌、济南、郑州、长春、哈尔滨、天津、广州、杭州、上海、南宁等地设有办事处或客户服务中心，总部下辖教育软件、电子商务及系统集成等事业部，现有员工150多人，拥有完善的管理体系、质量保证体系、售后服务体系和销售网络。

    公司一致致力于纯B/S架构的教务管理系统的研发，目前已经有基于J2EE架构、基于NET平台、基于ASP平台的三代教务管理系统。公司在后期开发JAVA版本和NET版本均经过严格的安全及性能测试，用户可以放心的使用；而在现有的客户中，还有超过一半的客户在使用公司基于ASP版本的教务管理系统，该版本系统在开发前期，确实存在部分安全漏洞及隐患，在2005年6月已经全面的进行了补丁发布及客户安全升级工作，但是到目前为止，还是存在部分学校没有按公司要求来升级系统补丁，或者在系统部署环境方面的安全防范做的不到位，导致还存在一定的漏洞隐患，针对公司原ASP的教务管理系统，湖南大学的系统管理员将正文负责过多年的系统维护工作，一致保证着湖南大学综合教务管理系统的安全稳定的运行。

浅谈湖南大学综合教务管理系统安全防范

湖南大学  将正文

最近常看到教务管理系统的安全问题，提到了教务管理系统的入侵、注入等过程，其实这些问题是可以通过一些安全的措施完全避免的，也就是说这些问题也是可以预见的，然而这些措施却很容易被系统管理员疏忽了。湖南大学综合教务管理系统是从2004年就开始使用的是湖南强智科技公司开发的软件ASP版本，并根据学校的具体业务的特殊性与强智公司联合开发，在本人担任湖南大学综合教务管理系统管理员的几年中，针对一些可以预见的安全问题，采取了一些措施，保证了系统的安全，没有出现任何安全问题。在这里本人结合自己在湖南大学管理教务系统中的一些经验和方法，就系统安全性谈一谈实实在在的一些做法，以达到抛砖引玉的目的。

   一、 系统硬件安全防范

   （一）在服务器上和个人使用的PC机上都设置了BIOS密码，设置直接从硬盘启动。现在存在一些启动光盘，用光盘启动是可以重置操作系统密码。

    （二）将服务器放置在网络中心，网络中心24小时监控，保证了服务器内部硬件的安全，特别是服务器的硬盘。在服务器和使用的PC机机箱上加锁，不要怕麻烦，这样能够保证硬盘，特别是敏感数据不被窃取。

    （三）服务器硬盘做磁盘陈列，对教务系统的数据库服务器和WEB服务器都做了RAID5，建议用RAID5+1(hot spare)模式，以提供灾备功能。

二、系统软件安全防范

    （一）安全配置了操作系统：

      1、系统的常规安全防护，将操作系统的所有补丁都打上，及时的更新补丁，安装防火墙和杀毒软件。

      2、文件系统的安全性，限制IIS用户对系统磁盘的写权限。限制了IIS用户对系统磁盘的写权限能够避免黑客通过上传文件，避免上传webshell来获得系统的后台的情况。

      3、对网络端口进行了端口映射，不将真实的操作系统暴露在网络上。也就是说直接在网络上的能够被访问的80端口的机器不是WEB服务器的，保证了黑客通过其他的漏洞获取到系统管理权限的问题。也保证了即使拿到操作系统用户密码，也不能轻易施展破坏。

    （二）精心布置应用服务器和数据库服务器的连接方式，将WEB服务和数据库服务分开，分别部署在不同的服务器上。将数据库服务器设置在IIS的内部网络，并只与WEB服务器用一根网线连接，这样数据库服务器只与WEB服务器有物理连接，与外网没有直接联系，WEB服务器充担前置了前置机和隔离墙的功能，使教务系统数据库服务器更加安全。

    （三）使用VPN方式保证重要、敏感的用户名和密码在网络上传输的安全。本人使用的PC机到服务器的连接都是采用VPN的方式，保证了服务器上各类密码的安全性。

    三、系统的管理和维护

    （一）系统管理

    1、经常性的查看系统日志，查看系统的所有的用户，看是否增加了陌生用户的情况，特别是查看administrators 组用户。

    2、经常查看IIS的日志，有针对性的进行各类检查。

    3、及时打系统补丁，特别是对一些存在溢出的漏洞，很容易就被黑客获取到管理员的权限。

    4、不把服务器当作PC机来使用，不在上面安装一些桌面软件，像QQ、迅雷、EMULE等等，否则很容易引毒上身。

    5、不图方便。要想很安全，很多事情操作起来就肯定不方便了；要想操作起来简单、省事，就存在安全隐患。例如就文件上传的功能来说，很多黑客发现系统漏洞后，首先要做的是上传一些工具然后进行进一步的渗透，所以只要将服务器上所有的上传组件都禁用了，而且上传的目录也设置了IIS目录的属性，不让ASP引擎解析脚本。但这样也带来了一些麻烦，就是发布通知的附件都要通过另外的方式上传。除了系统管理员外，没有任何人能够上传任何东西到服务器上，虽然增加了管理员的工作量，但是对于系统的安全来说，我个人觉得还是很值。

    6、将IIS错误信息输出进行屏蔽，因为有些错误提示包含了让黑客可以利用的信息。

    （二）数据库管理

    1、设置数据库访问权限，在IIS上的连接用户不使用超级管理员sa。这点比较重要的，很多系统管理员也忽略了。如果系统存在注入点，黑客利用的是sa的权限，系统的安全性遭到严重威胁。

    2、在数据库的调用时，尽量使用存储过程传参方式，避免直接的SQL语句传递调用，减少程序中的SQL注入漏洞。

    3、在所有文件通过#include包含的一个文件（根目录下的某个文件，出于安全不指明此文件）中做request内容的SQL注入检查，分request.QueryString和request.Form两中情况检查，防范系统的SQL注入。

    4、设置SQL SERVER 每天的自动备份。

    5、检查数据库的日志，发现是否存在任何异常。

    （三）应用程序管理

    1、注意程序更新的问题，更新前一定要检查更新程序是不是没有考虑很完善，是不是存在一些漏洞，比如注入、绕过相关验证获得不应该的权限等等。

    2、注意检查应用程序中是否存在木马。特别是在我们使用一些网上拷贝过来的程序的时候，由于很多程序写的不是很完善，存在一些漏洞，这样就容易被人猜测到一些文件名称，如“upfile.asp”、“upload.asp”、“upload.htm”等等。如果页面没有验证，任何人都可以上传的话，那就没有安全可言了。

    3、不要随意把系统的有关的密码给软件的开发人员，好象这样方便了很多，而不知道这样带来的安全问题是严重的。

    4、注意教务系统使用对象之一是学生，特别是计算机方面的学生，存在一些试试的想法，所以特别要注意学生登陆的所有ASP程序的安全性，保证不存在任何漏洞。

    四、 管理员要不断的学习，而且还要有奉献的精神。

    系统管理员的安全防范知识和经验对系统的安全影响很大。机器和软件都是固定的模式在运行，而系统管理员就不一样了。系统管理员要经常查看系统的日志，对系统进行全方位、多角度的思考，时刻去发现问题，寻找一些软件的漏洞，所以系统安全的第一要素就是人。而且所有的安全漏洞都是先发现，再有补丁，所以能够及时发现漏洞、及时补漏洞是非常重要的，这需要系统管理员不断的学习和积累经验才可以做到。

    总之，道高一尺，魔高一丈，只有不断的学习，不断的采取各种有效措施，才能确保教务管理系统稳定的运行。

更多信息来自东方联盟网 http://www.vm888.com