Web应用从互联网诞生以来一直是最为主流的网络应用类型，而作为Web应用的承载体——网站也构成了互联网中最为核心的资源。在高校中，大量的网络应用同样以Web应用程序的方式进行构建，并在高校网站群上进行部署，包括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等，为高校师生们提供各式各样的网络服务。为了便于用户检索和访问各种网站服务资源，近几年国内高校纷纷进行“数字化校园”项目建设，打造集中的校园信息门户，并通过“校园一卡通”来统一各类校园服务的身份帐号标识和认证与支付途径，使得高校师生们能够享受到更加便捷的校园服务。

　　然而在以“数字化校园”和“校园一卡通”为代表的高校信息化建设过程中，网络和信息系统的安全问题却没有得到应有的重视。特别是作为承载校园网络应用服务的网站群，在设计开发、部署实施和运营维护等关键阶段中都存在着明显的安全问题，因此在面对互联网上各种形态的安全威胁时，国内高校网站的安全形势并不容乐观。

　　网站的脆弱性与安全威胁

　　网站是由服务器操作系统、网络服务软件、Web应用程序、数据库所构成的复杂信息系统，作为Web应用的服务提供端，通过传输网络向Web浏览器提供信息数据和在线服务。图1给出了网站系统的安全威胁层次模型，构成网站系统的各个组件层次上所面临的典型安全威胁和攻击类型。

图1 网站系统安全威胁层次模型

　　其包括：

　　传输网络的网络协议安全威胁：如针对HTTP明文传输协议的敏感信息监听，在网络层、传输层和应用层都存在的假冒身份攻击，以及拒绝服务攻击等；

　　操作系统和网络服务软件的安全威胁：网站的宿主操作系统，如Windows Server、Linux等，存在着远程渗透攻击和本地渗透攻击威胁；网站系统上所依赖的I I S、Apache等Web服务器服务软件、数据库服务、SSH等远程管理服务，也不可避免地存在着安全漏洞与弱点，攻击者可以利用这些漏洞对网站服务器实施渗透攻击，或者获取敏感信息。

　　Web应用程序安全威胁：程序员在使用ASP、PHP等脚本编程语言实现网站上的Web应用程序时，由于缺乏安全意识或有着不良的编程习惯，最终导致Web应用程序出现安全漏洞，从而被攻击者渗透利用，包括SQL注入攻击、XSS跨站脚本攻击等。

　　Web数据安全威胁：网站上在Web应用程序后台存储的关键数据内容，以及网站客户输入的数据内容，存在着被窃取、篡改及输入不良信息等威胁。

　　正因为网站系统在各个构成软件组件层次上都存在着安全威胁，而其中只要一个层次上出现问题，就会对网站的安全性造成损害，因此对于高校网站的运营方和网络管理部门而言，在搭建和运营高校网站时，需要关注到网站系统所面临的多样化安全威胁，并采用适当的安全措施来规避这些威胁对网站所带来的风险。