呂美敬　葉新恩　劉明剛

摘 要：隨著高校信息化的發(fā)展和信息資源的不斷豐富，越來越多的高校和政府部門引入了網(wǎng)站群系統(tǒng)。網(wǎng)站群系統(tǒng)作為網(wǎng)站集中管理的平臺(tái)的，其功能性與安全性逐漸得到重視。本文針對當(dāng)前網(wǎng)站安全形勢，結(jié)合作者管理網(wǎng)站的工作經(jīng)驗(yàn)，從現(xiàn)狀分析、安全管理、技術(shù)保障、管理模式等四個(gè)方面對網(wǎng)站管理安全展開討論。

關(guān)鍵詞：高校網(wǎng)站群；網(wǎng)站安全；管理與維護(hù)

DOI：10.16640/j.cnki.37-1222/t.2016.09.114

1 高校網(wǎng)站安全現(xiàn)狀分析

近年，隨著高校信息化建設(shè)的發(fā)展以及嚴(yán)峻的網(wǎng)絡(luò)安全形式，高校信息安全受到越來越多的關(guān)注。據(jù)媒體報(bào)道，自2014年4月至2015年3月的12個(gè)月間，補(bǔ)天漏洞響應(yīng)平臺(tái)上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個(gè)，涉及高校網(wǎng)站1088個(gè)，在被告知網(wǎng)站存在漏洞后，修復(fù)漏洞的高校網(wǎng)站只有35個(gè)，僅186個(gè)漏洞被修復(fù)，96.8%的高校網(wǎng)站完全無視安全漏洞的存在，94.6%的高校網(wǎng)站安全漏洞未被修復(fù)。表1是2015年發(fā)生在高校的2015年主要安全事件。

從以上教育系統(tǒng)內(nèi)頻發(fā)的網(wǎng)絡(luò)安全事件可以看出，網(wǎng)站管理人員技術(shù)欠缺是造成網(wǎng)站安全問題的一分部原因，但是最重要的原因是高校信息化建設(shè)過程中網(wǎng)絡(luò)安全管理沒有引起相關(guān)學(xué)校的重視，人員配置極不合理，信息安全建設(shè)經(jīng)費(fèi)匱乏。補(bǔ)天漏洞響應(yīng)平臺(tái)上的漏洞一般會(huì)提前告知，但是由于高校網(wǎng)站監(jiān)管不足，缺乏相關(guān)的技術(shù)人員，漏洞長期不被修復(fù)，給了很多黑客可趁之機(jī)。

2 網(wǎng)站群安全管理

網(wǎng)站群是按照一定的隸屬關(guān)系組織在一起，統(tǒng)一規(guī)劃建設(shè)、統(tǒng)一管理、分開維護(hù)的網(wǎng)站集合。它摒棄了傳統(tǒng)的網(wǎng)站分開建設(shè)、硬件成本大、維護(hù)難、安全防護(hù)困難的難題，受到越來越多的高校、政府及企事業(yè)單位的青睞。網(wǎng)站群安全管理包含網(wǎng)站統(tǒng)一建設(shè)、網(wǎng)站上線安全管理、服務(wù)器設(shè)置、賬戶安全設(shè)置及訪問控制。

2.1 網(wǎng)站統(tǒng)一建設(shè)

我校有部分二級(jí)單位由于不清楚學(xué)校統(tǒng)一建設(shè)流程或其他特殊原因，與廠商進(jìn)行合作進(jìn)行二級(jí)網(wǎng)站自建，而高校在對這種自建網(wǎng)站進(jìn)行漏洞掃描時(shí)發(fā)現(xiàn)，多數(shù)自建網(wǎng)站都存在漏洞較多、危險(xiǎn)系數(shù)較高等問題。學(xué)校信息安全主管單位，應(yīng)負(fù)責(zé)學(xué)校信息系統(tǒng)建設(shè)及二級(jí)網(wǎng)站建設(shè)相關(guān)工作，為保證系統(tǒng)、網(wǎng)站安全，我校網(wǎng)絡(luò)信息中心、數(shù)字化校園建設(shè)辦公室采取“集中建設(shè)、集中管理”的方式，即學(xué)校所有信息系統(tǒng)建設(shè)均由數(shù)字化校園建設(shè)辦公室統(tǒng)籌協(xié)調(diào)，系統(tǒng)、網(wǎng)站建成之后內(nèi)容管理由各用戶單位負(fù)責(zé)，而系統(tǒng)、網(wǎng)站的統(tǒng)一部署、安全運(yùn)行則由網(wǎng)絡(luò)信息中心負(fù)責(zé)。

2.2 網(wǎng)站上線安全管理

對于由網(wǎng)絡(luò)信息中心、數(shù)字化校園建設(shè)辦公室統(tǒng)一建設(shè)的網(wǎng)站上線工作要遵循網(wǎng)絡(luò)信息中心統(tǒng)一制定的網(wǎng)站上線流程。網(wǎng)站上線之前用戶需先提交網(wǎng)站上線所需要的材料，包含域名變更申請表及網(wǎng)絡(luò)對外服務(wù)申請表。對已申請的網(wǎng)站要先進(jìn)行內(nèi)網(wǎng)域名解析工作，并進(jìn)行漏洞掃描，根據(jù)漏洞掃描的結(jié)果決定是否開放外網(wǎng)。若漏洞掃描的安全值低于規(guī)定的安全值，即開放外網(wǎng)訪問服務(wù)，否則需要修復(fù)漏洞直到安全，方可開放外網(wǎng)訪問服務(wù)。

2.3 服務(wù)器設(shè)置

為了提高網(wǎng)站的安全性，網(wǎng)站群系統(tǒng)使用雙服務(wù)器布置，采用網(wǎng)站前端瀏覽和后臺(tái)管理維護(hù)分離的部署方案，將網(wǎng)站群分離成管理機(jī)和發(fā)布機(jī)進(jìn)行部署。發(fā)布機(jī)是一個(gè)web服務(wù)器，通過80端口供外網(wǎng)直接訪問。發(fā)布機(jī)部署網(wǎng)站群發(fā)布端軟件，可以快速的將管理機(jī)發(fā)布的內(nèi)容同步到一臺(tái)或多臺(tái)發(fā)布機(jī)上。管理機(jī)使用的端口和發(fā)布機(jī)不同，用戶通過內(nèi)網(wǎng)或vpn訪問管理機(jī)，實(shí)現(xiàn)網(wǎng)站系統(tǒng)維護(hù)和內(nèi)容管理，并且外網(wǎng)無法直接訪問，圖1為服務(wù)器部署拓?fù)鋱D。

2.4 賬號(hào)安全設(shè)置

為了避免管理員賬戶密碼過于簡單被惡意利用，制定了詳細(xì)的密碼強(qiáng)度規(guī)則，密碼必須包含字母、數(shù)字及特殊字符并且制定定期修改密碼的維護(hù)計(jì)劃。為防止他人對賬戶密碼進(jìn)行猜解，如果密碼輸錯(cuò)三次，則該賬號(hào)將被鎖定，鎖定的賬號(hào)必須通過網(wǎng)絡(luò)信息中心網(wǎng)站群系統(tǒng)管理員驗(yàn)證身份方可解鎖。

2.5 訪問限制

為加強(qiáng)網(wǎng)站安全管理，網(wǎng)站群系統(tǒng)后臺(tái)管理平臺(tái)維護(hù)端口默認(rèn)不對互聯(lián)網(wǎng)直接開放，僅允許校內(nèi)用戶采用固定的IP地址或者通過VPN（虛擬專用網(wǎng)絡(luò)）訪問網(wǎng)站群系統(tǒng)后臺(tái)發(fā)布系統(tǒng)。

3 硬件保障

在嚴(yán)峻的網(wǎng)絡(luò)安全形式下，為保證學(xué)校系統(tǒng)、網(wǎng)站在技術(shù)層面不受攻擊，高校負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全的部門需采購相關(guān)的安全設(shè)備。

3.1 堡壘主機(jī)

堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，用戶無需考慮其它主機(jī)的安全的目的。堡壘主機(jī)作為學(xué)校網(wǎng)絡(luò)的外部檢查結(jié)點(diǎn)，所有不必要的服務(wù)、協(xié)議、程序、以及網(wǎng)絡(luò)端口都被刪除或禁用。同時(shí)由于堡壘主機(jī)并不提供與內(nèi)網(wǎng)信任主機(jī)之間的認(rèn)證服務(wù)，因此即使堡壘主機(jī)被攻破，入侵者也無法利用堡壘主機(jī)為跳板共計(jì)內(nèi)網(wǎng)，從而減少高校潛在攻擊。

3.2 UTM防火墻

UTM（Unified Threat Management，統(tǒng)一威脅管理）防火墻指利用單一的硬件設(shè)備提供多種網(wǎng)絡(luò)保護(hù)功能的安全設(shè)備設(shè)備，在防火墻的基礎(chǔ)上集成了防毒墻、入侵檢測、防垃圾郵件等功能。

3.3 WAF防火墻

WAF（Web Application Firewall，簡稱WAF）防火墻針對HTTP/HTTPS制定一系列的安全策略從而為web應(yīng)用提供保護(hù)的硬件安全設(shè)備。所有托管的二級(jí)網(wǎng)站的訪問均需通過WAF的內(nèi)容簡稱和驗(yàn)證，并對非法請求語義實(shí)施阻斷，以保證二級(jí)網(wǎng)站的安全性和合法性。

3.4 入侵檢測設(shè)備

入侵檢測設(shè)備（Intrusion Detection System，簡稱IDS）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，是一種積極主動(dòng)的安全防護(hù)技術(shù)。不同于防火墻的防御作用，IDS 是一種監(jiān)聽設(shè)備，無需網(wǎng)絡(luò)流量流經(jīng)即可對網(wǎng)絡(luò)的異常入侵以及誤用入侵進(jìn)行檢測，是高校網(wǎng)絡(luò)安全保障的重要手段。

3.5 入侵防御設(shè)備

入侵防御設(shè)備（Intrusion Prevention System，簡稱IPS）作為對防病毒軟件和防火墻的補(bǔ)充設(shè)備，能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為，并對不正常的或具有傷害性的網(wǎng)絡(luò)資料傳輸行為進(jìn)行及時(shí)阻斷。

3.6 上網(wǎng)行為審計(jì)設(shè)備

上網(wǎng)行為審計(jì)設(shè)備指可以提供互聯(lián)網(wǎng)用戶控制、上網(wǎng)行為管理的硬件設(shè)備，主要功能包括網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、貸款瀏覽管理、信息收發(fā)審計(jì)、用戶行為分析等。該設(shè)備專用于高校防止非法信息惡意傳播，監(jiān)控網(wǎng)絡(luò)資源使用情況等方面。

4 管理模式

（1）學(xué)校主頁和各二級(jí)單位網(wǎng)站，原則上均需要在學(xué)校管理的集中平臺(tái)上統(tǒng)一建設(shè)。

（2）各二級(jí)單位及部門固定1～2個(gè)信息管理員管理網(wǎng)站后臺(tái)，并采用白名單的形式訪問網(wǎng)站后臺(tái)，白名單里的人員以固定的校內(nèi)允許的可信的IP地址訪問站群管理后臺(tái)。

（3）網(wǎng)站系統(tǒng)管理人員需具備一定的網(wǎng)站管理基礎(chǔ)，高校應(yīng)著重培養(yǎng)每個(gè)網(wǎng)站管理員的專業(yè)技術(shù)能力。

（4）健全網(wǎng)站管理辦法，提高網(wǎng)站使用效率。網(wǎng)站作為學(xué)校及各單位宣傳的門戶網(wǎng)站，需要健全的管理辦法，從網(wǎng)站內(nèi)容、網(wǎng)站形式、后臺(tái)管理等各方面進(jìn)行規(guī)范。

（5）定期開展網(wǎng)站管理經(jīng)驗(yàn)交流活動(dòng)，提高網(wǎng)站管理素養(yǎng)。各單位網(wǎng)站管理員基本上都不是專門從事計(jì)算機(jī)行業(yè)的老師，對網(wǎng)站管理缺乏一定專業(yè)知識(shí)。定期的經(jīng)驗(yàn)交流，不僅使老師方便處理日常網(wǎng)站管理中遇到的問題，互通有無，而且能增加一定的實(shí)踐經(jīng)驗(yàn)。

5 總結(jié)

目前，中央財(cái)經(jīng)大學(xué)在學(xué)校各單位的支持、配合下，學(xué)校在信息安全建設(shè)方面取得了一定的成果，但距離國家出的安全建設(shè)要求仍“任重道遠(yuǎn)”，無論是對學(xué)校還是對各二級(jí)單位而言，仍需開展大量工作。學(xué)校需要及時(shí)加強(qiáng)對信息網(wǎng)站的備案和監(jiān)管工作，要求每個(gè)網(wǎng)站都應(yīng)有專門的技術(shù)人員管理并做好相關(guān)技術(shù)防護(hù)，定期進(jìn)行安全評(píng)估及漏洞掃描工作，一旦發(fā)現(xiàn)網(wǎng)站漏洞便及時(shí)修補(bǔ)。同時(shí)做好網(wǎng)絡(luò)信息安全人才的培養(yǎng)，建設(shè)一支健全、高效的網(wǎng)絡(luò)安全運(yùn)維團(tuán)隊(duì)。

參考文獻(xiàn)：

[1]網(wǎng)絡(luò)安全從防患做起[DB/OL].中國教育和科研計(jì)算機(jī)網(wǎng)CERNET.

[2]王薇.對于高校網(wǎng)站群建設(shè)與管理分析[J].電子技術(shù)與軟件工程，2015（22）：38-39.

[3]忽海娜，歐陽鋒.高校網(wǎng)站建設(shè)安全問題分析與對策[J].軟件導(dǎo)刊，2014，13（11）：163-164.

[4]劉艷麗.高校網(wǎng)站群建設(shè)與管理探析--以洛陽師范學(xué)院為例[J]. 中國現(xiàn)代教育裝備，2014（07）：19-20.

[5]馬偉山，李冰，唐衛(wèi)清.政府門戶網(wǎng)站群建設(shè)框架的研究與設(shè)計(jì)[J].計(jì)算機(jī)與數(shù)字工程，2009（09）：139-142.

[6]許瑞平，崔永超.中小規(guī)模高校網(wǎng)站群建設(shè)與管理探討[J].軟件導(dǎo)刊. 教育技術(shù)，2014（05）：57-59.