陳瑛

摘要：目前高校網(wǎng)站普遍存在著網(wǎng)站數(shù)量龐大、網(wǎng)站安全狀況差、對安全問題不重視等等問題，使網(wǎng)站安全成為高校網(wǎng)絡(luò)信息安全的短板。文章通過分析高校網(wǎng)站安全的現(xiàn)狀及產(chǎn)生的原因，提出通過構(gòu)建網(wǎng)站信息安全臺帳、建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制、實(shí)行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺、完善安全技術(shù)保障等方式對高校網(wǎng)站安全進(jìn)行管理，試圖為高校網(wǎng)站安全管理提供一些思路和方法。

關(guān)鍵詞：網(wǎng)站安全； 高校網(wǎng)站； 管理模式； 網(wǎng)站群

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）21-0022-02

Abstract：A large number of Web sites， the site security situation is poor， the security issues do not attach importance to and so on， so that the website security has become a short board of network information security in Colleges and universities. Through analysis of University web site security situation and reasons， the article put forward through the construction of website information security account， website security access and exit mechanism， implementation of safety responsibility system， unified platform construction site， improve security technology such as on the net station safety management， trying to provide some ideas and methods for site safety management in Colleges and universities.。

Key words：security of website； university website； management mode； website group

1 引言

隨著高校信息化程度的提高，網(wǎng)站作為信息交換和信息發(fā)布的重要工具，在高校的教學(xué)、科研、管理中扮演著越來越重要的角色[1]。高校除了學(xué)校中英文門戶網(wǎng)站外，各部處、各院系、重點(diǎn)實(shí)驗室甚至各實(shí)驗團(tuán)隊都有自己的網(wǎng)站，大大小小的網(wǎng)站少則幾十個多則幾百個。由于經(jīng)費(fèi)和人員的限制，大部分高校的二級網(wǎng)站都是由二級單位自行建設(shè)管理，通過虛擬主機(jī)或者主機(jī)托管的形式寄存在網(wǎng)絡(luò)中心。由于網(wǎng)站建設(shè)的入門技術(shù)門檻比較低，很多二級網(wǎng)站是委托外面的公司或者學(xué)生進(jìn)行建設(shè)，技術(shù)架構(gòu)五花八門，有些甚至弄臺服務(wù)器下載個開源的網(wǎng)站后臺就搭建了一個網(wǎng)站，網(wǎng)站開發(fā)水平參差不齊，同時也缺乏專業(yè)技術(shù)人員進(jìn)行維護(hù)，對安全漏洞無法進(jìn)行整改，導(dǎo)致網(wǎng)站安全事故頻發(fā)。本文通過華南理工大學(xué)網(wǎng)站安全管理的實(shí)踐及結(jié)合其他高校的網(wǎng)站安全管理的辦法，探討如何在目前復(fù)雜的安全形勢下對高校網(wǎng)站進(jìn)行安全管理。

2 高校網(wǎng)站安全現(xiàn)狀

根據(jù)《2013中國高校網(wǎng)站安全檢測報告》顯示，國內(nèi)高校網(wǎng)站安全檢測平均成績僅為55分，約2/3的高校網(wǎng)站安全狀況不及格，存在網(wǎng)站被篡改、植入木馬病毒等安全風(fēng)險，中國高校網(wǎng)站安全普遍存在“網(wǎng)站建設(shè)和管理不統(tǒng)一、網(wǎng)站日常維護(hù)缺失、對于網(wǎng)站安全不重視、網(wǎng)站信息保護(hù)意識差、軟件系統(tǒng)漏洞、服務(wù)器漏洞”六大安全隱患。為黑客入侵提供了機(jī)會[2]。

據(jù)媒體報道，自2014年4月至2015年3月的12個月間，補(bǔ)天平臺上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個，涉及高校網(wǎng)站1088個。其中，高危漏洞2611個，占74.7%；中危漏洞691個，占19.8%；低危漏洞193個，占5.5%。過去一年間，在被告知網(wǎng)站存在漏洞后，會修復(fù)漏洞的高校網(wǎng)站只有35個，僅186個漏洞被修復(fù)，96.8%的高校網(wǎng)站完全無視安全漏洞的存在，94.6%的高校網(wǎng)站安全漏洞未被修復(fù)[3]。

高校網(wǎng)站面臨的安全形勢非常嚴(yán)峻，隨著網(wǎng)站數(shù)量不斷增加，一方面安全漏洞頻出，另一方面卻漏洞卻長期得不到修復(fù)，造成高校網(wǎng)站安全困境的原因究竟是什么，結(jié)合我們多方面的調(diào)查和研究大體分成以下幾方面：

1）網(wǎng)站建設(shè)和管理不統(tǒng)一。大部分的高校由于人員和經(jīng)費(fèi)問題，二級網(wǎng)站建設(shè)都是各個學(xué)院二級單位各自負(fù)責(zé)建設(shè)，網(wǎng)站建設(shè)的技術(shù)和水平參差不齊，導(dǎo)致學(xué)校網(wǎng)站安全整體上管理困難。

2）網(wǎng)站維護(hù)技術(shù)力量缺失。由于大部分二級網(wǎng)站的網(wǎng)站維護(hù)人員基本都是進(jìn)行內(nèi)容維護(hù)，對網(wǎng)站的服務(wù)器安全和系統(tǒng)漏洞等沒有技術(shù)力量進(jìn)行維護(hù)，就算被告知有安全漏洞也不知道怎么去修復(fù)，特別是涉及程序代碼上的sql注入之類的高危漏洞，更是無從下手，導(dǎo)致高校的漏洞修復(fù)率極低。

3）對網(wǎng)站安全不重視。目前大部分網(wǎng)站主辦單位相關(guān)領(lǐng)導(dǎo)缺乏網(wǎng)絡(luò)和信息安全責(zé)任意識，對網(wǎng)站安全的重要性認(rèn)識不足，對網(wǎng)站安全漏洞的危害性也認(rèn)識不足，在沒有出安全事故前抱有僥幸的心理。

3 高校網(wǎng)站安全管理

高校網(wǎng)站安全面臨著重大的挑戰(zhàn)，如何在現(xiàn)有情況下對高校網(wǎng)站安全進(jìn)行高效、統(tǒng)一的管理，經(jīng)過我們這幾年在高校網(wǎng)站安全管理的實(shí)踐并結(jié)合其他高校的經(jīng)驗，從構(gòu)建網(wǎng)站信息安全臺帳、建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制、實(shí)行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺、完善安全技術(shù)保障等五大方面對高校網(wǎng)站安全管理模式進(jìn)行探討，具體如下：

3.1 實(shí)行網(wǎng)站信息登記制度 構(gòu)建網(wǎng)站信息安全臺帳

信息安全臺帳是信息安全管理的基礎(chǔ)，我們在做網(wǎng)站安全管理的時候，首先需要了解學(xué)校到底有多少網(wǎng)站，分別歸屬于哪些單位管理和建設(shè)，網(wǎng)站的用途，網(wǎng)站采用的技術(shù)架構(gòu)，網(wǎng)站服務(wù)器的基本情況，網(wǎng)站管理員的情況等等，只有建立了網(wǎng)站信息安全臺帳，我們在網(wǎng)站安全管理的時候才能有的放矢，在出現(xiàn)安全故障時才能夠快速聯(lián)系到網(wǎng)站的負(fù)責(zé)單位和負(fù)責(zé)人進(jìn)行相關(guān)處理，相關(guān)技術(shù)漏洞出現(xiàn)后可以及時通知進(jìn)行補(bǔ)丁修復(fù)。

建立網(wǎng)站信息安全臺帳，是通過每年下發(fā)公文要求各單位自行申報自辦及下屬單位網(wǎng)站，這樣可以了解大部分網(wǎng)站的建設(shè)信息；另外對于新建網(wǎng)站，在申請開通校外訪問端口和學(xué)校域名之前必須先進(jìn)行網(wǎng)站信息登記；

3.2 建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制

網(wǎng)站安全準(zhǔn)入是指學(xué)校單位在申請自建網(wǎng)站和發(fā)布網(wǎng)站的時候必須經(jīng)過學(xué)校的網(wǎng)站備案和安全檢測，確保只有安全性符合要求的網(wǎng)站才可入互聯(lián)網(wǎng)，從源頭就把存在安全問題的網(wǎng)站拒之門外。

網(wǎng)站歸檔退出是針對不再使用的網(wǎng)站或長期無人管理維護(hù)的網(wǎng)站而建立的一種退出機(jī)制，其目的在于清退無用的網(wǎng)站，減少網(wǎng)站安全風(fēng)險。同時對于有重大安全隱患的網(wǎng)站采取下線處理，等待整改通過后才允許上線。

3.3 明確安全責(zé)任主體 實(shí)行安全責(zé)任人制度

學(xué)校成立信息安全領(lǐng)導(dǎo)小組，由校領(lǐng)導(dǎo)擔(dān)任組長，并任命各單位主要負(fù)責(zé)人是網(wǎng)絡(luò)與信息安全的第一責(zé)任人，負(fù)責(zé)整個單位的網(wǎng)絡(luò)和信息安全；明確網(wǎng)站“誰主辦誰負(fù)責(zé)”的責(zé)任制度，之前很多單位都對網(wǎng)站安全認(rèn)識不足或者認(rèn)為網(wǎng)站安全問題應(yīng)該歸學(xué)校相關(guān)技術(shù)部門管，通過明確責(zé)任主體，讓各單位開始重視自建網(wǎng)站的安全問題，推動各級單位領(lǐng)導(dǎo)重視網(wǎng)站安全問題，積極配合網(wǎng)站安全漏洞修復(fù)。

3.4 提供統(tǒng)一網(wǎng)站建設(shè)平臺 減少安全風(fēng)險

高校早期的網(wǎng)站基本上是各部門委托公司或者找學(xué)生利用ASP、JSP等語言開發(fā)的動態(tài)網(wǎng)站，由于網(wǎng)站管理維護(hù)跟不上，加上開發(fā)人員水平參差不齊，網(wǎng)站漏洞百出，經(jīng)常面臨被掛木馬、SQL注入、腳本漏洞攻擊等威脅。[4]

在被通報的各類高校網(wǎng)站安全事故中大部分是一些二級單位子網(wǎng)站，高校主網(wǎng)站相對比較安全；遍布在學(xué)校各學(xué)院、部處、直屬單位甚至各實(shí)驗室的大大小小幾十個甚至上百個網(wǎng)站，為高校的網(wǎng)站安全管理帶來眾多的安全隱患。

通過網(wǎng)站群系統(tǒng)，初步實(shí)現(xiàn)高校網(wǎng)站的統(tǒng)一部署、分級管理、信息共享和專人維護(hù)，改善了原有網(wǎng)站建設(shè)中的管理無序、信息孤島、資源浪費(fèi)等現(xiàn)象。更為重要的是網(wǎng)站群系統(tǒng)作為學(xué)校信息基礎(chǔ)平臺是由有專業(yè)技術(shù)力量的信息辦或網(wǎng)絡(luò)中心進(jìn)行管理和維護(hù)；網(wǎng)站群系統(tǒng)作為校級重點(diǎn)安全防護(hù)系統(tǒng)，通過第三方的等級保護(hù)評測，定期安全巡檢等措施保護(hù)網(wǎng)站群系統(tǒng)自身的安全。避免了二級單位自建網(wǎng)站缺乏技術(shù)力量導(dǎo)致的安全困境。

3.5 完善網(wǎng)站安全架構(gòu)和安全設(shè)備 為網(wǎng)站安全管理提供技術(shù)保障

各類安全技術(shù)手段是高校網(wǎng)站安全策略的重要組成部分，通過完善網(wǎng)站安全架構(gòu)，購買網(wǎng)站安全設(shè)備，為網(wǎng)站安全防護(hù)提供技術(shù)保障；

在網(wǎng)站安全部署上一般通過網(wǎng)絡(luò)防火墻實(shí)行內(nèi)外網(wǎng)隔離方式，網(wǎng)站的管理和發(fā)布端分開部署，管理端部署在內(nèi)網(wǎng)，發(fā)布端部署在外網(wǎng)，發(fā)布的網(wǎng)站采用靜態(tài)化的方式，外網(wǎng)訪問管理端需要使用VPN進(jìn)行連接；

重要網(wǎng)站前端采用負(fù)載均衡設(shè)備，應(yīng)對大規(guī)模訪問；實(shí)行外部存儲一天一備，并實(shí)行異地備份，以確保網(wǎng)站數(shù)據(jù)安全；

核心的網(wǎng)站應(yīng)用外部署WAF（web應(yīng)用防火墻） 進(jìn)行防護(hù)，阻止網(wǎng)絡(luò)攻擊和sql注入；

重要的靜態(tài)網(wǎng)站服務(wù)器通過采用強(qiáng)認(rèn)證的網(wǎng)頁防篡改系統(tǒng)進(jìn)行防護(hù)，比如主頁服務(wù)器和網(wǎng)站群系統(tǒng)發(fā)布服務(wù)器等。

4 結(jié)論

高校網(wǎng)站安全管理是一項長期的艱巨的工作。在技術(shù)與管理的雙輪驅(qū)動下，除了文中所述及點(diǎn)外我們還需要通過建立健全的組織體系、管理規(guī)章和責(zé)任制度，進(jìn)一步落實(shí)國家信息安全等級保護(hù)制度，增強(qiáng)安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，提高高校網(wǎng)站整體安全防護(hù)水平。

參考文獻(xiàn)：

[1] 張慶吉，曹連剛，趙玉秀.高校網(wǎng)站安全問題分析及其對策 [J].電子商務(wù)，2010（6）：58-59.

[2] 360互聯(lián)網(wǎng)安全中心.2013年中國高校網(wǎng)站安全報告[EB/OL]. 北京：360互聯(lián)網(wǎng)安全中心.[2014-1-1].http：//zt.#/1101061855.php？dtid=1101062368&did=1101062961.

[3] 呂美敬， 葉新恩， 劉明剛.淺談高校網(wǎng)站群安全管理與對策分析[J].山東工業(yè)技術(shù)，2016（9）：130-131.

[4] 楊建軍.基于網(wǎng)站安全的解決方案[J].計算機(jī)安全，2011（10）：52-56.