管理視角下的網(wǎng)站群安全工作實(shí)踐

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了管理視角下的網(wǎng)站群安全工作實(shí)踐范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要：本文從高校管理人員的視角，對(duì)網(wǎng)站群系統(tǒng)建設(shè)過程中的安全工作進(jìn)行分析，可分為以下8個(gè)方面：網(wǎng)站群建設(shè)背景、認(rèn)清高校網(wǎng)站安全工作的根本、系統(tǒng)建設(shè)依據(jù)與管理制度、預(yù)算與技術(shù)需求、安全技術(shù)防范、服務(wù)器部署、網(wǎng)站管理權(quán)限分配和校內(nèi)網(wǎng)站管理制度。通過對(duì)這8個(gè)方面進(jìn)行概括性分析和總結(jié)，能夠使高校網(wǎng)站群的安全工作內(nèi)容更加清晰。

關(guān)鍵詞：高校網(wǎng)站群；網(wǎng)站群系統(tǒng)；網(wǎng)站群安全

引言

隨著信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)站安全問題得到越來越多的重視，眾多高校因缺少長(zhǎng)期規(guī)劃，出現(xiàn)網(wǎng)站各自為政、信息孤立、資源浪費(fèi)的情況，或因當(dāng)前網(wǎng)站、網(wǎng)站群系統(tǒng)已運(yùn)行多年，安全問題、審美問題和管理問題接踵而至。通過建設(shè)網(wǎng)站群系統(tǒng)可以解決大部分的問題，但是網(wǎng)站高度集中也給高校網(wǎng)站的安全性帶來了很大的挑戰(zhàn)。本文以廣東南華工商職業(yè)學(xué)院網(wǎng)站群的建設(shè)工作為例，對(duì)網(wǎng)站安全進(jìn)行概括性分析，希望能夠?yàn)楦咝＞W(wǎng)站安全管理人員提供借鑒。

1網(wǎng)站群建設(shè)的背景

1.1已采取的措施

已采取的措施：清理雙非、僵尸網(wǎng)站，完成網(wǎng)站群系統(tǒng)的二級(jí)信息安全等級(jí)保護(hù)測(cè)評(píng)工作，將二級(jí)學(xué)院、部門各自建設(shè)的校外網(wǎng)站全部遷入校內(nèi)，統(tǒng)一使用學(xué)校域名、IP地址，并要求網(wǎng)站安全負(fù)責(zé)人簽署信息系統(tǒng)/網(wǎng)站安全協(xié)議書。

1.2仍無法滿足需求

采取以上措施后網(wǎng)站安全雖然可以得到一定的保障，但是各學(xué)院、部門的網(wǎng)站仍然存在無法統(tǒng)一管理的情況，不僅安全隱患仍然突出、數(shù)據(jù)無法共享，服務(wù)器的資源浪費(fèi)也非常嚴(yán)重，或者原網(wǎng)站群系統(tǒng)已運(yùn)行多年，因制作技術(shù)、建設(shè)模式與管理方式限制，已不能滿足學(xué)校日益增長(zhǎng)的網(wǎng)站建設(shè)需求。如今高校智慧校園的建設(shè)正在加速發(fā)展，門戶網(wǎng)站作為學(xué)校對(duì)外宣傳的窗口，更應(yīng)提前做好規(guī)劃，為建設(shè)智慧校園鋪好道路。

2認(rèn)清高校網(wǎng)站安全工作的根本

2.1網(wǎng)站安全工作的根本

高校網(wǎng)絡(luò)信息安全工作的最根本任務(wù)是通過管理手段和技術(shù)手段降低安全風(fēng)險(xiǎn)[1]。首先，部署網(wǎng)站安全防護(hù)設(shè)備，通過技術(shù)手段阻隔大部分的安全風(fēng)險(xiǎn)；其次，做好網(wǎng)站安全管理和維護(hù)，通過管理手段來控制技術(shù)暫時(shí)解決不了的安全風(fēng)險(xiǎn)。

2.2頂層設(shè)計(jì)

通過頂層設(shè)計(jì)開展相關(guān)的網(wǎng)絡(luò)安全工作，如成立網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組、成立網(wǎng)絡(luò)安全專項(xiàng)工作小組等，由校長(zhǎng)作為小組組長(zhǎng)，各學(xué)校領(lǐng)導(dǎo)作為小組成員，親自帶領(lǐng)各學(xué)院、部門主動(dòng)配合開展相關(guān)的網(wǎng)絡(luò)安全工作。只有校領(lǐng)導(dǎo)高度重視網(wǎng)站安全，才能順利開展網(wǎng)站安全工作。

3系統(tǒng)建設(shè)依據(jù)與管理制度

3.1建設(shè)依據(jù)與規(guī)范

網(wǎng)站群系統(tǒng)應(yīng)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行建設(shè)，將《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、國(guó)內(nèi)外相關(guān)的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)作為建設(shè)規(guī)范[2]。

3.2安全管理制度

制定學(xué)校的網(wǎng)站安全管理制度、網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案，對(duì)網(wǎng)站群系統(tǒng)的安全日志保存時(shí)間、漏洞掃描、系統(tǒng)升級(jí)、密碼復(fù)雜度、密碼更新周期和備份周期等做出具體規(guī)定，并通過制度或規(guī)定來約束管理員的行為。

4預(yù)算與技術(shù)需求

4.1項(xiàng)目預(yù)算

制定項(xiàng)目預(yù)算的時(shí)候可以加入SSL安全證書部署、二級(jí)信息安全等級(jí)保護(hù)測(cè)評(píng)，并將其作為項(xiàng)目驗(yàn)收條件，以確保項(xiàng)目安全落地。同時(shí)，要提前調(diào)研市場(chǎng)，根據(jù)學(xué)校具體需求確定SSL安全證書的域名與域名數(shù)量，單域名還是多域名，并分別調(diào)研它們當(dāng)前的市場(chǎng)價(jià)值。

4.2技術(shù)需求

①網(wǎng)站群系統(tǒng)應(yīng)采用B/S結(jié)構(gòu)設(shè)計(jì)、J2EE技術(shù)架構(gòu)，禁止使用Struts2相關(guān)技術(shù)架構(gòu)[3]。②應(yīng)當(dāng)支持快速處理常見的敏感信息，靜態(tài)頁(yè)面自動(dòng)生成，審核過程全程可視化。③應(yīng)內(nèi)置應(yīng)用防火墻、入侵防護(hù)日志、網(wǎng)頁(yè)自動(dòng)防篡改功能，可管理黑名單及白名單，能夠針對(duì)危險(xiǎn)行為進(jìn)行IP封禁。④應(yīng)支持危險(xiǎn)文件掃描，掃描服務(wù)器中包含特殊代碼的文件，并提供掃描日志。⑤平臺(tái)提供遠(yuǎn)程診斷功能，具備獨(dú)立的遠(yuǎn)程異地備份系統(tǒng)。⑥用戶可自定義備份計(jì)劃，定時(shí)或不定時(shí)對(duì)站點(diǎn)數(shù)據(jù)進(jìn)行備份。⑦支持設(shè)置密碼強(qiáng)度規(guī)則，內(nèi)置應(yīng)用防火墻、入侵防護(hù)日志。

5安全技術(shù)防范

5.1網(wǎng)站安全防護(hù)技術(shù)設(shè)備

網(wǎng)站安全防護(hù)技術(shù)設(shè)備應(yīng)包括但不限于包過濾防火墻、IPS、堡壘機(jī)、VPN、云WAF防火墻，校園網(wǎng)邊界啟用防火墻，除特殊審批的地址外不對(duì)校外提供服務(wù)，校外只能通過VPN訪問校內(nèi)資源。

5.2防火墻開放端口

網(wǎng)站機(jī)服務(wù)器僅開放80端口，完成SSL安全證書部署工作啟用https協(xié)議后僅開放443端口。網(wǎng)站管理機(jī)服務(wù)器只允許校內(nèi)訪問，如部署移動(dòng)端等服務(wù)需要對(duì)外開放訪問的，僅開放8080端口。

5.3運(yùn)維與等保

服務(wù)器的部署、運(yùn)維全部通過堡壘機(jī)進(jìn)行，服務(wù)器的密碼一律不向校外提供，并保留運(yùn)維審計(jì)日志與運(yùn)維人員的操作錄像。因等保測(cè)評(píng)周期較長(zhǎng)，在系統(tǒng)建設(shè)時(shí)期應(yīng)同步開展二級(jí)信息安全等級(jí)保護(hù)測(cè)評(píng)工作，通過等保后再進(jìn)行項(xiàng)目驗(yàn)收工作。5.4支持IPv6訪問學(xué)校進(jìn)行網(wǎng)絡(luò)扁平化改造后，網(wǎng)站需要支持IPv6訪問，IPv4的安全機(jī)制僅限于應(yīng)用程序級(jí)，而IPv6通過IP的AH和ESP標(biāo)記保證了分組的鑒權(quán)和私密特性，從而實(shí)現(xiàn)IP級(jí)的安全。

6服務(wù)器部署

6.1機(jī)部署

為保障網(wǎng)站群系統(tǒng)能夠安全、高效、穩(wěn)定地運(yùn)行并具備高可擴(kuò)展性，需要部署2臺(tái)較高性能的網(wǎng)站機(jī)服務(wù)器，提供前臺(tái)Web頁(yè)面的訪問服務(wù)保證負(fù)載能力，所有網(wǎng)站頁(yè)面通過靜態(tài)方式，開啟網(wǎng)頁(yè)防篡改功能，禁止使用動(dòng)態(tài)組件。

6.2管理機(jī)部署

完整的部署方案需要提供3臺(tái)管理機(jī)服務(wù)器：第一臺(tái)管理機(jī)提供站點(diǎn)管理及資料維護(hù)服務(wù)，第二臺(tái)管理機(jī)作為備用服務(wù)器，采用冷備方式部署，第三臺(tái)作為遠(yuǎn)程備份服務(wù)器，用于保存數(shù)據(jù)及對(duì)所有文件進(jìn)行完整備份[4]。同時(shí)，網(wǎng)站群管理平臺(tái)本身要求具有站點(diǎn)恢復(fù)功能，子站不需要單獨(dú)備份，可直接使用系統(tǒng)備份文件實(shí)現(xiàn)抽取式恢復(fù)。

7網(wǎng)站管理權(quán)限分配

7.1落實(shí)責(zé)任

信息化部門通過技術(shù)防范保障學(xué)校的網(wǎng)絡(luò)安全，各二級(jí)學(xué)院、部門由專人對(duì)接，全權(quán)負(fù)責(zé)各自的網(wǎng)站，包括網(wǎng)站權(quán)限、網(wǎng)站二次建設(shè)、內(nèi)容管理和運(yùn)維運(yùn)營(yíng)，權(quán)責(zé)分明。

7.2權(quán)限分配

網(wǎng)站權(quán)限包括網(wǎng)站的建設(shè)、內(nèi)容、管理、應(yīng)用和內(nèi)容，其中的內(nèi)容部分又可具體分為各個(gè)欄目的文章編輯、審核，從而實(shí)現(xiàn)學(xué)校所有網(wǎng)站的信息管理、人員管理、分級(jí)審核和內(nèi)容[2]。系統(tǒng)審核過程全程可視化，可以查看被審核文章的當(dāng)前審核狀態(tài)及處理人、處理意見等相關(guān)信息。

8校內(nèi)網(wǎng)站管理制度

8.1網(wǎng)站管理制度

學(xué)校宣傳部門制定并校內(nèi)網(wǎng)站管理制度，負(fù)責(zé)統(tǒng)一管理學(xué)校主頁(yè)的內(nèi)容更新并對(duì)所有以學(xué)校名義的新聞進(jìn)行監(jiān)管，其余各部門明確部門網(wǎng)站管理人員和信息人員的職責(zé)[5]。

8.2鼓勵(lì)機(jī)制

一方面，在管理制度中加入年終考評(píng)機(jī)制，對(duì)各部門的新聞數(shù)量和內(nèi)容進(jìn)行考評(píng)，考評(píng)結(jié)果納入年度目標(biāo)考核內(nèi)容；另一方面，設(shè)立網(wǎng)站管理專項(xiàng)經(jīng)費(fèi)，對(duì)網(wǎng)站管理與維護(hù)給予資金支持。

9結(jié)語

高校網(wǎng)站安全工作的根本是網(wǎng)站安全的風(fēng)險(xiǎn)管理和控制。雖然當(dāng)前發(fā)展迅速的技術(shù)規(guī)范為網(wǎng)站帶來越來越多的安全保障，但必須了解一個(gè)客觀事實(shí)，漏洞和安全威脅是永遠(yuǎn)存在的，一勞永逸的安全解決方案是不存在的。網(wǎng)站安全需要靠制度、技術(shù)、投入和管理來綜合進(jìn)行保障，在制度完善、技術(shù)規(guī)范、部署了各類網(wǎng)站安全防護(hù)技術(shù)設(shè)備的前提下，那就只能通過加強(qiáng)管理來提高網(wǎng)站的安全防范水平，技術(shù)占三分，管理占七分。在未來高校的網(wǎng)站安全手段中，管理或許將會(huì)變得越來越重要。

參考文獻(xiàn)

[1]張巍,于廣輝,李先毅.管理視角下的高校網(wǎng)絡(luò)信息安全工作實(shí)踐[J].中國(guó)教育信息化,2018(5):81-83.

[2]馬健.高校網(wǎng)站群安全管理體系建設(shè)探索[J].科學(xué)技術(shù)創(chuàng)新,2017(35):85-86.

[3]李君.高職院校網(wǎng)站群建設(shè)與安全分析[J].智能計(jì)算機(jī)與應(yīng)用,2014,4(1):40-44.

[4]張?jiān)伱?賈艷梅,蒲在毅.高校站群系統(tǒng)建設(shè)與應(yīng)用[J].網(wǎng)絡(luò)空間安全,2018,9(6):86-89.

[5]梁軒.淺談高等職業(yè)院校網(wǎng)站群系統(tǒng)建設(shè)的研究[J].電腦知識(shí)與技術(shù),2019,15(29):17-18,20.

作者：張珂卿 單位：廣東南華工商職業(yè)學(xué)院