高校網(wǎng)站安全防護體系化構(gòu)建策略研究

摘 要：隨著信息技術(shù)的不斷發(fā)展與更新，網(wǎng)站應(yīng)用越來越廣。高校網(wǎng)站是學(xué)校形象的體現(xiàn)，一旦發(fā)生安全事故，不僅會有損學(xué)校的名譽，還有可能造成重大損失。文章針對當(dāng)前高校網(wǎng)站的現(xiàn)狀進(jìn)行分析，提出構(gòu)建體系化的校園網(wǎng)站安全防護策略，以提升網(wǎng)站的安全性。

關(guān)鍵詞：高校網(wǎng)站;安全防護;策略

近年來，隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，攻擊網(wǎng)站的技術(shù)手段也在不斷升級，導(dǎo)致網(wǎng)站安全事件層出不窮。高校中如學(xué)校主頁、招生就業(yè)、科研管理、教務(wù)、學(xué)工等網(wǎng)站與應(yīng)用系統(tǒng)是學(xué)校的名片與形象，對學(xué)校發(fā)展舉足輕重，一旦遭到攻擊，將有損學(xué)校的名譽，甚至可能造成重大損失。然而，當(dāng)前一些高校對網(wǎng)站安全的重視程度不高，安全防護措施不到位，因此有必要探討構(gòu)建體系化的高校網(wǎng)站安全防護策略。

1 現(xiàn)狀分析

1.1 網(wǎng)站眾多

網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)站應(yīng)用需求日益凸顯，高校行政和院系部門眾多，網(wǎng)站需求多樣，并且隨著辦學(xué)規(guī)模的擴大，網(wǎng)站數(shù)量快速增長。從門戶網(wǎng)站、行政部門網(wǎng)站、院系部門網(wǎng)站、科研機構(gòu)網(wǎng)站、學(xué)生制作的網(wǎng)站到各類應(yīng)用系統(tǒng)，高校的網(wǎng)站數(shù)量有上百個到近千個不等。

1.2 管理難度大

高校的網(wǎng)站來自不同部門，建設(shè)目的、建設(shè)人員、開發(fā)時期、使用技術(shù)不同，支撐網(wǎng)站的操作系統(tǒng)和數(shù)據(jù)庫版本也不同，且存放位置零散，缺乏統(tǒng)一的管理與規(guī)劃[1]。由于存在數(shù)量多、技術(shù)參差不齊、生命周期不同、責(zé)權(quán)不清、專業(yè)人員配置不足等問題，加之沒有一種技術(shù)或方法能夠消除網(wǎng)站中所有的安全隱患，造成了高校網(wǎng)站管理防護不到位，容易遭受攻擊。

1.3 安全意識薄弱

一些高校由于對網(wǎng)站安全不夠重視，人力、物力及財力投入不足，網(wǎng)絡(luò)設(shè)備陳舊，甚至沒有配備網(wǎng)站安全檢測與防護設(shè)備，加之缺乏安全管理制度[2]，管理人員安全意識不強，日常維護不到位，導(dǎo)致網(wǎng)站被掛馬或篡改，出現(xiàn)流量攻擊、甚至信息被竊取等問題。

2 網(wǎng)站安全防護體系化構(gòu)建策略

高校網(wǎng)站安全管理，應(yīng)從源頭開始，在其生命周期內(nèi)，開展全方位、多維度的體系化防護。首先，應(yīng)梳理出所有的在線網(wǎng)站，明確其基本信息和管理歸屬并進(jìn)行備案登記;其次，按照安全管理制度對其執(zhí)行上線管理、運行管控以及退出機制。

2.1 網(wǎng)站安全管理制度

完善網(wǎng)站安全管理制度，有利于規(guī)范、制約和協(xié)調(diào)網(wǎng)站安全管理。網(wǎng)站與應(yīng)用系統(tǒng)在生命周期內(nèi)各個時期對安全管理的要求不同，因此在制定網(wǎng)站安全管理制度時，應(yīng)依據(jù)建設(shè)、備案、上線、運行與維護、退出等各階段，制定相應(yīng)的管理制度[3]。如網(wǎng)站安全建設(shè)規(guī)范、網(wǎng)站備案登記制度、網(wǎng)站安全上線管理制度、網(wǎng)站安全運行制度，網(wǎng)站安全維護制度、網(wǎng)站退出歸檔制度等。所有的制度規(guī)范應(yīng)由信息安全小組起草并由學(xué)校審批發(fā)布。網(wǎng)站安全管理制度應(yīng)明確組織職責(zé)，且具有可操作性，其實施、運作應(yīng)貫穿于網(wǎng)站和應(yīng)用系統(tǒng)的全生命周期中。

2.2 網(wǎng)站梳理與備案

高校網(wǎng)站數(shù)量眾多、建設(shè)單位不一、建設(shè)時期不同、采用技術(shù)多樣，因此安全管理的第一步是全方位梳理網(wǎng)站信息。通過從網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、服務(wù)端口等多維度進(jìn)行全面審查，匯總高校網(wǎng)站資產(chǎn)基本信息。資產(chǎn)狀態(tài)梳理包括記錄在線網(wǎng)站使用情況，對不在線網(wǎng)站，確認(rèn)不再使用后，做退出和歸檔處理。設(shè)備梳理包括對設(shè)備類型、品牌、型號、操作系統(tǒng)版本進(jìn)行詳細(xì)分類，為后續(xù)快速定位設(shè)備系統(tǒng)漏洞提供數(shù)據(jù)支撐。業(yè)務(wù)應(yīng)用梳理則是關(guān)注業(yè)務(wù)所屬類型、制作者、開發(fā)框架、開發(fā)語言、中間件、域名等信息，方便快速定位Web應(yīng)用漏洞。服務(wù)端口梳理包括常用端口、非標(biāo)準(zhǔn)端口、不合規(guī)端口，整改或關(guān)閉非標(biāo)、不合規(guī)端口以減少攻擊目標(biāo)，對常用端口進(jìn)行監(jiān)控管理。口令梳理包括記錄網(wǎng)絡(luò)設(shè)備及服務(wù)器口令、業(yè)務(wù)系統(tǒng)口令、數(shù)據(jù)庫口令，為弱口令治理提供依據(jù)。

對網(wǎng)站信息進(jìn)行梳理后，則對學(xué)校所有網(wǎng)站進(jìn)行備案登記，進(jìn)行統(tǒng)一部署、統(tǒng)一防護，切實落實網(wǎng)站安全管理責(zé)任。在網(wǎng)站和應(yīng)用系統(tǒng)的生命周期內(nèi)，真正落實“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”。備案內(nèi)容包括但不限于網(wǎng)站名稱、域名、網(wǎng)站建設(shè)單位、單位負(fù)責(zé)人、啟用時間、開發(fā)語言、是否含有數(shù)據(jù)庫及數(shù)據(jù)庫類型、應(yīng)用服務(wù)器IP、操作系統(tǒng)類型、是否通過安全監(jiān)測等。

2.3 網(wǎng)站安全管理

網(wǎng)站安全管理應(yīng)做到事前開展風(fēng)險評估、事中運行防護與維護、事發(fā)應(yīng)急響應(yīng)、生命周期結(jié)束歸檔。

2.3.1 網(wǎng)站風(fēng)險評估

校內(nèi)所有網(wǎng)站在上線前，必須通過掃描系統(tǒng)進(jìn)行合規(guī)性與安全性檢查，包括但不限于系統(tǒng)漏洞、中間件漏洞、Web漏洞、端口與弱口令掃描等。安全管理員通過漏洞掃描，輸出安全風(fēng)險報告。信息安全管理部門將風(fēng)險報告發(fā)送網(wǎng)站建設(shè)單位，要求其修復(fù)和整改不合規(guī)網(wǎng)站，待整改完成后再次進(jìn)行安全掃描。通過不斷進(jìn)行風(fēng)險評估，確保網(wǎng)站自身安全、運行環(huán)境安全、數(shù)據(jù)安全都合規(guī)后，網(wǎng)站才允許配置域名并提供對外服務(wù)。

2.3.2 在線防護和監(jiān)控

網(wǎng)站運行階段，應(yīng)加強網(wǎng)絡(luò)安全設(shè)備防護、網(wǎng)站服務(wù)器系統(tǒng)安全防護，配備Web應(yīng)用防火墻加固，以確保網(wǎng)站得到有效的安全防護和監(jiān)控預(yù)警。

在網(wǎng)絡(luò)安全防護上，配備邊界防火墻、入侵防護系統(tǒng)（Intrusion Prevention System，IPS）。防火墻可以有效隔離內(nèi)網(wǎng)和互聯(lián)網(wǎng)。通過防火墻的安全策略，可以有效阻止非法訪問、限制外部只能訪問允許端口、控制出入網(wǎng)絡(luò)的信息流。IPS具有海量攻擊特征庫，能夠?qū)ｉT深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找所認(rèn)識的攻擊代碼特征，即時中斷或隔離一些非正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為。

在服務(wù)器安全防護上，啟動防火墻軟件，關(guān)閉Telnet，F(xiàn)TP等功能，以減少被攻擊的可能性。賬號管理方面，關(guān)閉非必要賬號，管理員密碼設(shè)置有一定復(fù)雜度，并實施定期改密策略。操作系統(tǒng)上應(yīng)安裝防病毒軟件，定期查殺病毒并更新系統(tǒng)和防病毒軟件的補丁。

在應(yīng)用系統(tǒng)的安全防護上，考慮在應(yīng)服務(wù)器前端部署Web應(yīng)用防火墻（Web Application Firewall，WAF），WAF工作在應(yīng)用層，通過對Web應(yīng)用進(jìn)行訪問控制、內(nèi)容校驗，并提供Web應(yīng)用加固工具，從而實現(xiàn)對網(wǎng)站的有效防護。

2.3.3 應(yīng)急響應(yīng)

校園網(wǎng)站一旦發(fā)生安全事故，會對學(xué)校的聲譽造成極其嚴(yán)重的負(fù)面影響。因此，必須明確各部門職責(zé)分工，成立“應(yīng)急工作小組”，制定網(wǎng)站安全事件應(yīng)急預(yù)案，以應(yīng)對安全事故的發(fā)生。一旦學(xué)校網(wǎng)站出現(xiàn)了網(wǎng)絡(luò)攻擊、信息破壞，應(yīng)立即觸發(fā)安全應(yīng)急響應(yīng)服務(wù)。網(wǎng)絡(luò)管理人員應(yīng)將被攻擊網(wǎng)站或系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離，保護現(xiàn)場。應(yīng)急工作小組盡快通知相關(guān)人員收集信息，對網(wǎng)站或系統(tǒng)所出現(xiàn)的情況進(jìn)行分析和有效排查，追查攻擊來源。同時組織人員對網(wǎng)站或系統(tǒng)進(jìn)行恢復(fù)與重建，確保網(wǎng)站盡快正常運行，將安全損失降到最低。應(yīng)急工作小組視情況嚴(yán)重的，應(yīng)立刻向上級機關(guān)匯報并向公安部門報警。

2.3.4 網(wǎng)站運維管理

網(wǎng)站運維包括例行維護、安全檢查以及數(shù)據(jù)備份。例行維護是每周檢查網(wǎng)站及服務(wù)器的工作狀態(tài)，定期更新系統(tǒng)和網(wǎng)站的補丁;安全檢查包括定期檢查與專項檢查。定期檢查為每月一次的漏洞掃描，信息安全管理部門，對存在安全隱患的網(wǎng)站進(jìn)行下線處理，并向網(wǎng)站所屬部門發(fā)送高危或中危風(fēng)險報告，責(zé)令整改。在整改期內(nèi)完成整改的網(wǎng)站，經(jīng)重新漏掃評估合規(guī)后，再做上線處理。專項檢查是在特定時期有針對性地對某類安全隱患進(jìn)行重點檢查，以消除安全隱患;數(shù)據(jù)備份則是定期（如每周）對所有在線網(wǎng)站進(jìn)行全量或增量、本地或異地的數(shù)據(jù)備份，以便出現(xiàn)問題時能快速恢復(fù)最近版本。

2.3.5 退出機制

網(wǎng)站退出機制分為永久退出與臨時退出兩種情況，一種是對于常年不使用或無人管理的網(wǎng)站，信息安全管理部門發(fā)布通知到各級部門后，無反饋結(jié)果的則做永久退出處理，對其關(guān)閉外網(wǎng)權(quán)限，進(jìn)行備份與歸檔。另一種則是在例行安全檢測之后發(fā)現(xiàn)存在安全隱患或已經(jīng)發(fā)生重大安全事故的網(wǎng)站，立刻下線并通知相關(guān)部門進(jìn)行整改，稱之為臨時退出，但若有拒不整改的網(wǎng)站，則轉(zhuǎn)入永久退出。

3 結(jié)語

隨著信息技術(shù)的高速發(fā)展，高校網(wǎng)站面臨的安全威脅也在不斷增長，建立一套有制度、有檢測、有防護、有響應(yīng)且全方位、多角度的高校網(wǎng)站安全防護體系，能夠保障網(wǎng)站和應(yīng)用系統(tǒng)在全生命周期內(nèi)得到動態(tài)安全防護，從而校園網(wǎng)站的安全運行，為教育教學(xué)和科研管理等工作的正常開展提供有力支持。

基金項目：江蘇省現(xiàn)代教育技術(shù)研究智慧校園專項課題;項目名稱：智慧校園數(shù)據(jù)中心建設(shè)方案研究;項目編號：66923。

作者簡介：胡進(jìn)娟（1982— ），女，江蘇南京人，工程師，碩士;研究方向：校園網(wǎng)絡(luò)，數(shù)據(jù)中心，云計算，網(wǎng)絡(luò)安全。

[參考文獻(xiàn)]

[1]仝素梅.高校網(wǎng)站建設(shè)安全問題分析及應(yīng)對策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（1）：132-133.

[2]林維鏘.高校網(wǎng)站的安全分析及應(yīng)對策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（10）：93-95.

[3]季益龍，程松泉.“互聯(lián)網(wǎng)+”背景下的高校網(wǎng)站安全保障體系構(gòu)建[J].中國教育信息化，2017（15）：93-96.

Research on the systematic construction strategy of website

security protection in colleges and universities

Hu Jinjuan

（Information Office of Jiangsu Second Normal University， Nanjing 210013， China）

Abstract：With the continuous development and update of information technology， website is more and more widely used. Website is the image of the university. Once a safety accident occurs， it will not only damage the reputation of the university， but also cause great losses. Based on the analysis of the current situation of university website， this paper puts forward a systematic security strategy of university website to improve the security of the website.

Key words：university website; safety protection; strategy