鄭州

（重慶市教育信息技術(shù)與裝備中心，重慶 400020）

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速普及，與我們息息相關(guān)的眾多信息都通過(guò)網(wǎng)站這一載體進(jìn)行存儲(chǔ)和傳遞，各行各業(yè)都對(duì)網(wǎng)站系統(tǒng)依賴(lài)程度越來(lái)越高，特別是近年教育信息化建設(shè)的逐步深入，“數(shù)字校園”建設(shè)蓬勃開(kāi)展，各教育機(jī)構(gòu)的教務(wù)工作對(duì)信息系統(tǒng)的投入越來(lái)越大，教育系統(tǒng)網(wǎng)站已從一個(gè)簡(jiǎn)單的信息發(fā)布、形象展示，逐步轉(zhuǎn)變?yōu)閰R集招生就業(yè)、遠(yuǎn)程教育、資源共享、教學(xué)研究、繼續(xù)教育、招標(biāo)采購(gòu)等功能的綜合性業(yè)務(wù)應(yīng)用平臺(tái)。都在大力進(jìn)行教育網(wǎng)站業(yè)務(wù)建設(shè)的同時(shí)，各教育系統(tǒng)在安全保障的建設(shè)上出現(xiàn)了嚴(yán)重缺失，網(wǎng)站掛馬、網(wǎng)頁(yè)篡改、DDOS攻擊等威脅網(wǎng)絡(luò)安全的事件呈逐年上升的趨勢(shì)，以2010年高招為例，2010年5月14日一天內(nèi)，全國(guó)128所高校被集體掛馬，其中不乏名牌重點(diǎn)高校，這一數(shù)字已超過(guò)2009年全年掛馬數(shù)，近幾年全國(guó)各級(jí)各類(lèi)教育行政部門(mén)的網(wǎng)站應(yīng)用系統(tǒng)也成為黑客爭(zhēng)先攻擊的重點(diǎn)，修改考試成績(jī)、騙取認(rèn)證證書(shū)、篡改報(bào)名信息等事件屢有發(fā)生，攻擊者有利可圖，在巨大經(jīng)濟(jì)利益的驅(qū)使下，教育系統(tǒng)網(wǎng)站已經(jīng)逐漸成為黑客關(guān)注的新目標(biāo)，因此教育系統(tǒng)網(wǎng)站安全保障工作已經(jīng)迫在眉睫。

一、教育網(wǎng)站典型安全威脅來(lái)源

教育網(wǎng)站的建設(shè)主要包括各級(jí)教育行政部門(mén)、各類(lèi)學(xué)校以及其他教育機(jī)構(gòu)，用卡爾薩根“魔鬼出沒(méi)的世界”這句話(huà)來(lái)形容教育網(wǎng)站目前所處的惡劣安全環(huán)境是再合適不過(guò)了。針對(duì)當(dāng)前信息化技術(shù)的發(fā)展，當(dāng)前比較典型的網(wǎng)站安全威脅主要分為外部攻擊和內(nèi)部威脅，據(jù)統(tǒng)計(jì)，外部攻擊幾乎占整個(gè)網(wǎng)站安全事件的70%左右，內(nèi)部威脅占到整個(gè)網(wǎng)絡(luò)安全事件的30%左右，其攻擊方式主要有以下幾種：

1.外部攻擊

（1）跨站腳本攻擊

跨站攻擊，即Cross Site Script Execution(通常簡(jiǎn)寫(xiě)為 XSS)，是指攻擊者利用網(wǎng)站程序?qū)τ脩?hù)輸入過(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶(hù)造成影響的HTML代碼，通過(guò)插入掛馬代碼盜取用戶(hù)瀏覽會(huì)話(huà)中諸如用戶(hù)名和口令（可能包含在Cookie里）的敏感信息，再利用用戶(hù)身份進(jìn)行某種動(dòng)作或者對(duì)訪(fǎng)問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。

（2）信息泄露

信息泄漏是攻擊者通過(guò)應(yīng)用系統(tǒng)部署時(shí)沒(méi)有將注釋去掉、應(yīng)用系統(tǒng)部署時(shí)沒(méi)有正確地配置服務(wù)器程序等方式獲得應(yīng)用系統(tǒng)某些敏感信息的攻擊技巧，通常是利用程序員遺留在代碼中的注釋或者服務(wù)器程序的錯(cuò)誤信息進(jìn)行攻擊。信息泄露的危害：遠(yuǎn)程攻擊者可以利用漏洞獲得敏感信息，有利于攻擊者進(jìn)一步的攻擊。

（3）SQL 注入攻擊

SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。值得注意的是SQL注入是從正常的WWW端口訪(fǎng)問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況，需要構(gòu)造巧妙的SQL語(yǔ)句，從而成功獲取想要的數(shù)據(jù)。

（4）越權(quán)攻擊

越權(quán)攻擊是由于程序員對(duì)頁(yè)面的訪(fǎng)問(wèn)權(quán)的檢測(cè)不完善而造成的，使入侵者不需得到用戶(hù)或管理員的密碼即可訪(fǎng)問(wèn)只有特定用戶(hù)或管理員才能訪(fǎng)問(wèn)的頁(yè)面的一種漏洞。越權(quán)攻擊最早出現(xiàn)在2000年左右，最初以流行的“聊天室踢人大法”出現(xiàn)，就是利用訪(fǎng)問(wèn)某些對(duì)用戶(hù)權(quán)限檢測(cè)不完善的聊天室程序的負(fù)責(zé)踢人的頁(yè)面來(lái)達(dá)到任意踢人的目的，不過(guò)這種越管理員權(quán)限的漏洞通常比較隱蔽，尤其是對(duì)非開(kāi)源的程序，大多只能憑經(jīng)驗(yàn)來(lái)猜。 再一種越權(quán)，我們可以稱(chēng)之為“越步越權(quán)”，這類(lèi)漏洞針對(duì)的是某些需要N個(gè)步驟完成的過(guò)程，第X步?jīng)]有檢測(cè)是否完成了X-1步而使攻擊者可以跳過(guò)第X-1步。這種漏洞常出現(xiàn)在找回密碼的程序中，最后驗(yàn)證完畢修改密碼的頁(yè)面只是把要修改的用戶(hù)名以隱藏域的方式放在了網(wǎng)頁(yè)中，但是下一步?jīng)]有進(jìn)行相關(guān)檢測(cè)導(dǎo)致攻擊者可以修改任意用戶(hù)的密碼。

（5）DDOS 攻擊

DDOS全名是Distributed Denialof service (分布式拒絕服務(wù)攻擊)，很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊，DDOS最早可追溯到1996年初，在中國(guó)2002年開(kāi)始頻繁出現(xiàn)，2003年已經(jīng)初具規(guī)模。DDOS攻擊通過(guò)制造偽造的流量數(shù)據(jù)，使被攻擊的服務(wù)器、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備（如防火墻、路由器等）負(fù)載過(guò)高，從而最終導(dǎo)致系統(tǒng)崩潰，無(wú)法提供正常的服務(wù)。

2.內(nèi)部安全威脅

（1）人為管理失誤

人為的無(wú)意失誤是造成網(wǎng)絡(luò)不安全的重要原因。網(wǎng)絡(luò)管理員在這方面不但肩負(fù)重任，還面臨越來(lái)越大的壓力，稍有考慮不周，安全配置不當(dāng)，就會(huì)造成安全漏洞。黑客往往會(huì)通過(guò)人們安全意識(shí)低、不及時(shí)更新修復(fù)系統(tǒng)漏洞、對(duì)信任的網(wǎng)站和文件不謹(jǐn)慎對(duì)待等特點(diǎn)，對(duì)網(wǎng)站進(jìn)行入侵，沒(méi)有健全的安全機(jī)制、對(duì)危機(jī)處理反應(yīng)速度慢等都給黑客留下入侵的時(shí)機(jī)，對(duì)郵件、聊天信息等信息的傳遞沒(méi)有提高警惕，也給黑客入侵提供了傳播途徑。

（2）安全意識(shí)低

雖然信息技術(shù)在飛速地發(fā)展，但是網(wǎng)絡(luò)的安全問(wèn)題卻一直都存在，其中很重要的一點(diǎn)就是我們對(duì)黑客入侵的安全防范認(rèn)識(shí)還不夠，用戶(hù)安全意識(shí)還不強(qiáng)，不按照安全規(guī)定操作，如口令選擇不慎，將自己的網(wǎng)站用戶(hù)賬戶(hù)隨意轉(zhuǎn)借他人或與別人共享，都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。這是一種非代碼的入侵方式，不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)、黑客技術(shù)等進(jìn)行入侵，這種入侵實(shí)際上是一種利用攻擊用戶(hù)心理弱點(diǎn)來(lái)騙取目標(biāo)重要信息的方式，這種入侵方式簡(jiǎn)單，應(yīng)用廣泛，應(yīng)當(dāng)引起網(wǎng)絡(luò)安全管理員和網(wǎng)站用戶(hù)的重視。

二、教育網(wǎng)站安全問(wèn)題應(yīng)對(duì)措施

圍繞教育網(wǎng)站所承載的業(yè)務(wù)特點(diǎn)以及面臨的典型威脅，結(jié)合現(xiàn)在 《國(guó)家信息安全等級(jí)保護(hù)制度》的有關(guān)要求，通過(guò)對(duì)網(wǎng)站進(jìn)行外部的過(guò)濾防護(hù)、內(nèi)部的Web服務(wù)保護(hù)、操作系統(tǒng)內(nèi)核加固等環(huán)節(jié)的安全建設(shè)，并在運(yùn)維階段加強(qiáng)信息安全管理，方可有效保障教育網(wǎng)站的信息安全，滿(mǎn)足國(guó)家、行業(yè)主管機(jī)構(gòu)的監(jiān)管要求；保證重大事件（如在線(xiàn)錄取、在線(xiàn)考試、證書(shū)頒發(fā)）期間的網(wǎng)站安全，維護(hù)網(wǎng)站運(yùn)營(yíng)主管單位的形象和聲譽(yù)，提高網(wǎng)站的安全運(yùn)維效率。

結(jié)合網(wǎng)站安全威脅的主要問(wèn)題，我們應(yīng)對(duì)的主要思路應(yīng)該是：以教育網(wǎng)站面臨的威脅風(fēng)險(xiǎn)為設(shè)計(jì)核心，從威脅產(chǎn)生的來(lái)源進(jìn)行全方位的立體防御，有效地解決教育網(wǎng)站安全內(nèi)外威脅，不留短板，不留軟肋，從而提高教育網(wǎng)站的整體安全性。其主要防護(hù)手段包括外部過(guò)濾防御、Web服務(wù)安全、操作系統(tǒng)安全和管理使用安全等幾個(gè)方面，如圖1所示。

1.外部過(guò)濾防御

外部的過(guò)濾防御主要通過(guò)風(fēng)險(xiǎn)事前預(yù)警、風(fēng)險(xiǎn)事中防護(hù)、風(fēng)險(xiǎn)事后處理等積極主動(dòng)方式來(lái)實(shí)現(xiàn)教育系統(tǒng)網(wǎng)站安全風(fēng)險(xiǎn)全流程控制。

（1）風(fēng)險(xiǎn)事前預(yù)警

圖1 網(wǎng)站安全防護(hù)架構(gòu)拓?fù)鋱D

目前對(duì)網(wǎng)站新漏洞、網(wǎng)頁(yè)被掛馬等狀況，絕大多數(shù)網(wǎng)站建設(shè)和運(yùn)維者并不能及時(shí)察覺(jué)。增設(shè)Web應(yīng)用防火墻后，可圍繞具體業(yè)務(wù)類(lèi)采用針對(duì)性比較強(qiáng)的Web安全自動(dòng)化檢測(cè)，定期或不定期地對(duì)網(wǎng)站安全問(wèn)題進(jìn)行檢測(cè)，可分為預(yù)警檢測(cè)和事后檢測(cè)兩方面。

我們以重慶市教委為例，2011年11月，重慶市教委機(jī)關(guān)網(wǎng)絡(luò)機(jī)房已根據(jù)自身實(shí)際情況成功地部署了“Web應(yīng)用防火墻”，通過(guò)硬件加固的方式，對(duì)Web服務(wù)器的多種項(xiàng)目（包括潛在的危險(xiǎn)文件/CGI以及多個(gè)服務(wù)器版本上的特定問(wèn)題等）進(jìn)行了全面的檢測(cè)，還可以對(duì)Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器的配置進(jìn)行定期檢查，確保服務(wù)器的配置正確，對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行安全基線(xiàn)審計(jì)，對(duì)一些常見(jiàn)的Web攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊（Directory traversal）、身份驗(yàn)證頁(yè)上的弱口令長(zhǎng)度等進(jìn)行技術(shù)層面的驗(yàn)證，有效地防止網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件的發(fā)生。

（2）風(fēng)險(xiǎn)事中防護(hù)

一是網(wǎng)頁(yè)篡改在線(xiàn)防護(hù)。

按照網(wǎng)頁(yè)篡改事件發(fā)生的時(shí)序，提供事件中防護(hù)以及事后補(bǔ)償?shù)脑诰€(xiàn)防護(hù)保護(hù)機(jī)制。通過(guò)防篡改發(fā)布系統(tǒng)，事中，實(shí)際過(guò)濾HTTP請(qǐng)求中混雜的網(wǎng)頁(yè)篡改攻擊流量（如 SQL注入、XSS等）； 事后，自動(dòng)監(jiān)控網(wǎng)站所有保護(hù)頁(yè)面的完整性，檢測(cè)到網(wǎng)頁(yè)被篡改，第一時(shí)間對(duì)管理員進(jìn)行短信告警提示，對(duì)外仍顯示篡改前的正常頁(yè)面，用戶(hù)還能繼續(xù)正常訪(fǎng)問(wèn)網(wǎng)站。

二是網(wǎng)頁(yè)掛馬在線(xiàn)防護(hù)。

網(wǎng)頁(yè)掛馬是一種相對(duì)比較隱蔽的網(wǎng)頁(yè)篡改方式，本質(zhì)上這種方式也破壞了網(wǎng)頁(yè)的完整性，網(wǎng)頁(yè)掛馬攻擊目標(biāo)為各類(lèi)網(wǎng)站的最終用戶(hù)，網(wǎng)站作為傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響網(wǎng)站的公信力。加裝防篡改發(fā)布系統(tǒng)后，可有效地進(jìn)行掛馬在線(xiàn)防護(hù)，當(dāng)用戶(hù)請(qǐng)求訪(fǎng)問(wèn)某一個(gè)頁(yè)面時(shí)，會(huì)對(duì)服務(wù)器側(cè)響應(yīng)的網(wǎng)頁(yè)內(nèi)容進(jìn)行在線(xiàn)檢測(cè)，判斷是否被植入惡意代碼，并對(duì)惡意代碼進(jìn)行自動(dòng)過(guò)濾。

三是敏感信息泄露防護(hù)。

Web應(yīng)用防火墻通常會(huì)提供自定義非法敏感關(guān)鍵字過(guò)濾功能，站點(diǎn)在信息發(fā)布時(shí)可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹(shù)內(nèi)的URL鏈接，提供細(xì)粒度的URLACL，防止這些鏈接非授權(quán)訪(fǎng)問(wèn)。對(duì)其進(jìn)行自動(dòng)過(guò)濾，防止非法內(nèi)容發(fā)布給公眾瀏覽，識(shí)別并更正Web應(yīng)用錯(cuò)誤的業(yè)務(wù)流程，識(shí)別并防護(hù)敏感數(shù)據(jù)泄露，滿(mǎn)足內(nèi)容合規(guī)與審計(jì)要求。

四是智能應(yīng)用層DDOS攻擊防護(hù)。

面對(duì)各類(lèi)寬帶及資源耗盡拒絕服務(wù)攻擊，如對(duì)SYNFLOOD這種常見(jiàn)攻擊行為，Web應(yīng)用防火墻能夠有效地進(jìn)行識(shí)別，并實(shí)時(shí)對(duì)攻擊流量進(jìn)行阻斷，確保Web業(yè)務(wù)的可用性及連續(xù)性。

（3）風(fēng)險(xiǎn)事后安全恢復(fù)

當(dāng)前防篡改系統(tǒng)與Web應(yīng)用防火墻的并用，對(duì)于網(wǎng)站發(fā)生的攻擊行為能夠做到有效的并網(wǎng)審計(jì)，具有豐富的日志報(bào)表，借助圖形化的方式來(lái)做數(shù)據(jù)的統(tǒng)計(jì)分析。對(duì)于攻擊能夠做到發(fā)起的地區(qū)，使用什么樣的系統(tǒng)、訪(fǎng)問(wèn)了哪些資源、做了哪些破壞行為，可實(shí)時(shí)分析，進(jìn)行自定義事件查詢(xún)。

2.Web應(yīng)用服務(wù)保護(hù)

（1）動(dòng)態(tài)網(wǎng)頁(yè)腳本保護(hù)

當(dāng)前教育網(wǎng)站越來(lái)越多地使用動(dòng)態(tài)技術(shù)來(lái)輸出網(wǎng)頁(yè)。動(dòng)態(tài)網(wǎng)頁(yè)由網(wǎng)頁(yè)腳本和內(nèi)容組成，網(wǎng)頁(yè)腳本以文件形式存在于Web服務(wù)器上，動(dòng)態(tài)網(wǎng)頁(yè)腳本與靜態(tài)網(wǎng)頁(yè)一樣，極易受到攻擊和篡改。隨著技術(shù)發(fā)展，防護(hù)網(wǎng)站篡改模塊越來(lái)越受網(wǎng)站安全管理員的認(rèn)可，它通常采用文件驅(qū)動(dòng)級(jí)技術(shù)，可直接從Web服務(wù)器上得到動(dòng)態(tài)網(wǎng)頁(yè)腳本，不受變化的內(nèi)容影響，能夠像靜態(tài)網(wǎng)頁(yè)一樣保護(hù)動(dòng)態(tài)網(wǎng)頁(yè)腳本。

（2）連續(xù)篡改攻擊保護(hù)

對(duì)于大規(guī)模連續(xù)的篡改，防篡改系統(tǒng)檢測(cè)到首個(gè)非法操作后就會(huì)阻斷其后連續(xù)的篡改操作，系統(tǒng)針對(duì)來(lái)源和操作行為，提前終止其后續(xù)篡改操作請(qǐng)求，系統(tǒng)在底層完成這些措施并不會(huì)將這些大規(guī)模連續(xù)篡改請(qǐng)求發(fā)送到上層應(yīng)用，極大地降低了應(yīng)用程序的處理負(fù)擔(dān)，有效地提高了應(yīng)有的工作效率。

（3）服務(wù)器安全運(yùn)行可靠性管理

防篡改模塊一般可以監(jiān)控服務(wù)器上當(dāng)前的運(yùn)行狀態(tài)，監(jiān)視服務(wù)器CPU、內(nèi)存、網(wǎng)絡(luò)流量、服務(wù)等，并能夠有效地防護(hù)，通過(guò)設(shè)置的閾值及時(shí)向用戶(hù)提供報(bào)警信息，使用戶(hù)能夠及時(shí)響應(yīng)意外事件，并通過(guò)設(shè)置進(jìn)程的黑白名單來(lái)防止服務(wù)器被植入后門(mén)木馬等程序。

3.操作系統(tǒng)內(nèi)核安全加固

網(wǎng)站后臺(tái)管理模塊可將超級(jí)用戶(hù)當(dāng)做一般用戶(hù)看待，即超級(jí)用戶(hù)也無(wú)法越過(guò)后臺(tái)管理模塊的安全屏障去訪(fǎng)問(wèn)未經(jīng)授權(quán)的文件，這樣有效地防止了敏感數(shù)據(jù)的泄露，也可以防止由于超級(jí)用戶(hù)誤操作而帶來(lái)的損失，即使黑客取得了超級(jí)用戶(hù)管理權(quán)限，也無(wú)法突破后臺(tái)管理模塊的安全策略、訪(fǎng)問(wèn)敏感數(shù)據(jù)資源。

4.內(nèi)部用戶(hù)管理使用安全

（1）軟硬件資產(chǎn)管理

通過(guò)強(qiáng)化用戶(hù)的入網(wǎng)注冊(cè)機(jī)制、IP和MAC地址網(wǎng)絡(luò)地址管理、網(wǎng)卡管理等功能，有效地規(guī)范網(wǎng)內(nèi)終端注冊(cè)管理機(jī)制。通常用戶(hù)上網(wǎng)行為管理系統(tǒng)能夠較好地實(shí)現(xiàn)包括外設(shè)在內(nèi)的硬件狀態(tài)信息（具體包括客戶(hù)端計(jì)算機(jī)名，CPU型號(hào)及主頻、內(nèi)存大小、硬盤(pán)、光驅(qū)、鍵盤(pán)、鼠標(biāo)、主板、操作系統(tǒng)及版本、IE瀏覽器及版本等）、軟件狀態(tài)信息 （客戶(hù)端補(bǔ)丁安裝情況、應(yīng)用軟件等）、連網(wǎng)情況信息、資產(chǎn)禁用、資產(chǎn)信息的追蹤與報(bào)警、端口等管理。

（2）終端桌面安全加固

對(duì)客戶(hù)終端安全軟件資源進(jìn)行統(tǒng)一監(jiān)控，內(nèi)部網(wǎng)絡(luò)管理員可根據(jù)條件查詢(xún)指定軟件和違規(guī)軟件的安裝情況，對(duì)違反規(guī)定而致安全防護(hù)措施薄弱的客戶(hù)端進(jìn)行提示和斷網(wǎng)等處理，以此提醒或者切斷可能成為傳染源的主機(jī)，防患于未然，確保網(wǎng)站內(nèi)部安全。特別是要加強(qiáng)對(duì)防病毒軟件安裝及版本的檢查，了解網(wǎng)絡(luò)中的殺毒軟件安裝狀況，必要時(shí)通過(guò)部署的上網(wǎng)行為管理系統(tǒng)強(qiáng)制為客戶(hù)端安裝防病毒程序，保護(hù)主機(jī)免受潛在的威脅侵害。

系統(tǒng)用戶(hù)密碼的脆弱可能導(dǎo)致計(jì)算機(jī)內(nèi)重要信息的丟失，而一般用戶(hù)重視程度不足，設(shè)置密碼過(guò)于簡(jiǎn)單甚至沒(méi)有設(shè)置密碼，因此使他人可以輕易進(jìn)入到本機(jī)系統(tǒng)，進(jìn)行不安全操作或者竊取重要信息。因此配置符合保密要求的密碼策略尤為重要，可以通過(guò)對(duì)口令長(zhǎng)度、屏保密碼等有效地保障系統(tǒng)登錄口令安全。

（3）升級(jí)補(bǔ)丁分發(fā)管理

內(nèi)部網(wǎng)絡(luò)大多客戶(hù)端用戶(hù)對(duì)補(bǔ)丁升級(jí)認(rèn)識(shí)不夠，極易成為攻擊的致命環(huán)節(jié)，網(wǎng)絡(luò)管理員可以通過(guò)安防系統(tǒng)或行為管理系統(tǒng)集中進(jìn)行補(bǔ)丁安全認(rèn)證、補(bǔ)丁測(cè)試、補(bǔ)丁發(fā)放、補(bǔ)丁分發(fā)安裝等操作，將認(rèn)證后的補(bǔ)丁通過(guò)統(tǒng)一管理平臺(tái)向用戶(hù)網(wǎng)絡(luò)終端進(jìn)行配送；確保用戶(hù)最終應(yīng)用補(bǔ)丁的安全性，逐步形成一個(gè)統(tǒng)一、穩(wěn)定、及時(shí)的補(bǔ)丁分發(fā)機(jī)制，避免由于終端脆弱性而導(dǎo)致的惡意入侵及病毒傳播，同時(shí)合理控制網(wǎng)絡(luò)流量，防范擁塞，有效保障專(zhuān)網(wǎng)的正常穩(wěn)定運(yùn)行。

（4）用戶(hù)行為監(jiān)控審計(jì)

在內(nèi)部網(wǎng)絡(luò)部署上網(wǎng)行為管理系統(tǒng)的目標(biāo)在于，將安全防范的重點(diǎn)從設(shè)備本身轉(zhuǎn)移到設(shè)備的使用者——終端用戶(hù)行為上，通過(guò)技術(shù)手段使各種管理?xiàng)l例落實(shí)，增強(qiáng)用戶(hù)的安全和保密意識(shí)，保護(hù)內(nèi)部的信息不外泄。通過(guò)對(duì)用戶(hù)上網(wǎng)訪(fǎng)問(wèn)行為、各種文件操作、網(wǎng)絡(luò)文件輸出等行為進(jìn)行監(jiān)控，并對(duì)審計(jì)結(jié)果提供詳實(shí)的報(bào)表，有效地保障了信息安全，規(guī)范了人員的安全上網(wǎng)行為，強(qiáng)化了安全意識(shí)。

隨著網(wǎng)站建設(shè)技術(shù)的日新月異，面對(duì)規(guī)模越來(lái)越龐大和復(fù)雜的網(wǎng)絡(luò)環(huán)境，僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全方式來(lái)保證網(wǎng)站系統(tǒng)安全和暢通，顯然已經(jīng)不能滿(mǎn)足當(dāng)前網(wǎng)絡(luò)的可管、可控的要求，因此以終端準(zhǔn)入解決方案為代表的網(wǎng)絡(luò)管理軟件開(kāi)始逐步融合進(jìn)網(wǎng)站整體的安全防護(hù)解決方案中，以逐步取代單純意義上的單個(gè)安全硬件的作用。網(wǎng)站安全威脅將隨著技術(shù)不斷發(fā)展呼喚新的安防措施，只有通過(guò)不斷提高網(wǎng)站建設(shè)人員的技術(shù)能力、加強(qiáng)網(wǎng)絡(luò)安全防護(hù)軟硬件規(guī)劃投入和科學(xué)地使用管理維護(hù)策略，才能將日趨嚴(yán)峻的教育系統(tǒng)網(wǎng)站安全威脅風(fēng)險(xiǎn)降到最低。

[1]高校門(mén)戶(hù)網(wǎng)站如何保障安全的報(bào)告[R].中國(guó)綠盟信息中心，2010.

[2]梁斌.黑客攻擊網(wǎng)站常用的技術(shù)及方法[J].中國(guó)高新技術(shù)企業(yè)，2011，（8）：78-79.

[3]沈蘇彬.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京：人民郵電出版社，2005：51-60.

[4]從2011年司法考試“泄題疑云”看教育信息安全[DB/OL].http://www.asmag.com.cn/article/article_detail.aspx?aid=45924.

[5]孫鐵，何財(cái)發(fā).高手支招之高校網(wǎng)站如何保安全[DB/OL].http://netsecurity.51cto.com/art/201007/213081.htm.