徐 鸝

浙江醫(yī)藥高等專科學校圖書信息中心， 浙江 寧波 315100

網(wǎng)絡安全新形勢下的高職院校網(wǎng)站群保障體系構建

徐 鸝

浙江醫(yī)藥高等?？茖W校圖書信息中心， 浙江 寧波 315100

網(wǎng)站群作為高職院校業(yè)務展示和信息應用的公共平臺，其網(wǎng)絡安全防范能力是避免安全事件發(fā)生的關鍵。目前，網(wǎng)絡信息安全已提升到國家戰(zhàn)略層面，高職院校應轉(zhuǎn)變網(wǎng)站群建設思路，并在確保開發(fā)代碼安全的基礎上，從技術架構和安全防范兩個方面，構建網(wǎng)站群保障體系，減少安全隱患。

網(wǎng)絡安全；網(wǎng)站群；技術架構；服務管理

根據(jù)《2012年中國互聯(lián)網(wǎng)安全報告》和《2013年中國高校網(wǎng)站安全檢測報告》顯示，高校網(wǎng)站掛馬、網(wǎng)頁篡改、DDoS攻擊、竊取資料、篡改數(shù)據(jù)事件屢有發(fā)生。網(wǎng)站群作為基于HTTP協(xié)議的Web應用，其所涵蓋的信息大多是未經(jīng)加密的明文，信息獲取門檻較低，具有如SQL注入、跨站腳本攻擊、命令注入等安全隱患，容易成為黑客竊取資料和篡改數(shù)據(jù)的重要目標。

高職院校在數(shù)字化校園建設中，存在起步較晚，資金投入有限，網(wǎng)絡安全基礎設施有待完善，技術人員配備不足，安全防范經(jīng)驗欠缺，管理服務意識薄弱等現(xiàn)象，容易發(fā)生網(wǎng)絡安全事件。在網(wǎng)絡安全的新形勢下，高職院校應該加強網(wǎng)絡安全分析，從技術架構、安全防范角度構建網(wǎng)站群的保障體系，并將網(wǎng)站群建設從內(nèi)容建設轉(zhuǎn)變?yōu)椋杭訌娋W(wǎng)站群安全分析能力，建立體系化的安全部署和運維管理，提升網(wǎng)絡信息安全防護能力，提高服務保障及管理水平。

1 網(wǎng)站群的網(wǎng)絡安全因素分析

以往，軟件漏洞和后門被認為是網(wǎng)站群的主要網(wǎng)絡安全問題，對于常規(guī)的Web攻擊手段，我們可以在軟件開發(fā)流程上做好防范措施。但是，網(wǎng)絡安全具有相對性，在現(xiàn)階段，我們有必要對網(wǎng)站群開展網(wǎng)絡安全因素分析，以解決安全管理漏洞、內(nèi)外部攻擊、缺乏統(tǒng)一安全防護體系等問題，從而實現(xiàn)各個層次的安全防護。

我們知道，網(wǎng)站群是由軟硬件設備構成的網(wǎng)絡應用系統(tǒng)，網(wǎng)站群的安全屬于網(wǎng)絡安全范疇。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。它主要包含網(wǎng)絡設備安全、網(wǎng)絡信息安全、網(wǎng)絡軟件安全，具有保密性、完整性、可用性、可控性和可審查性等特性[1]。

Gartner公司提出網(wǎng)絡安全的內(nèi)涵包括：信息安全，是網(wǎng)絡安全的最重要內(nèi)涵；信息技術(IT)安全，包括關鍵核心技術、信息基礎設施、相關硬件軟件技術等的安全；運作技術(OT)安全，包括法規(guī)、標準、制度、管理等方面；物理安全，指與技術無關的安全[2]。

在信息系統(tǒng)安全等級保護體系中，信息系統(tǒng)安全主要指物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理制度、安全管理機構、系統(tǒng)建設管理及系統(tǒng)運維管理。按照信息安全系統(tǒng)分層的觀點，安全機制主要分為九層：基礎設施實體安全、平臺安全、數(shù)據(jù)安全、應用安全、管理安全、授權與審計安全、安全防范體系、安全服務及安全技術[3]。

綜合來說，就網(wǎng)站群的安全技術架構和安全防范而言，物理安全是網(wǎng)站群安全的前提；網(wǎng)絡拓撲結(jié)構設計對網(wǎng)絡群安全具有直接影響；系統(tǒng)安全要求對網(wǎng)站群操作系統(tǒng)進行安全配置，加強登錄過程的認證，確保用戶的合法性，并嚴格限制登錄者的操作權限；應用系統(tǒng)需要通過技術手段確保數(shù)據(jù)傳輸?shù)谋Ｃ苄裕煌ㄟ^容災備份系統(tǒng)來保障數(shù)據(jù)完整性；建設網(wǎng)站群服務管理體系，最大程度降低管理風險。

2 網(wǎng)站群安全技術架構

從安全技術架構來說，網(wǎng)站群的安全問題主要在于網(wǎng)絡層、操作系統(tǒng)、數(shù)據(jù)庫的安全。高職院校一般都具備獨立的數(shù)據(jù)中心。以浙江醫(yī)藥高等?？茖W校為例，目前已建有MIS+S(基本信息安全保障)系統(tǒng)架構，隨著硬件驅(qū)動已轉(zhuǎn)變?yōu)閼抿?qū)動，網(wǎng)絡信息基礎設施和服務都有了大幅度的提升，能夠從物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全四個環(huán)節(jié)，打造網(wǎng)站群安全防范技術體系，實現(xiàn)動態(tài)防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監(jiān)控，應用分析等目標(如圖1所示)。

圖1 網(wǎng)站群安全防范技術體系

2.1 動態(tài)防御

以往，我們通常利用防火墻、雙核心網(wǎng)絡設備以及DMZ區(qū)來實現(xiàn)應用防護，防范惡意攻擊和病毒入侵的能力有限。在網(wǎng)絡安全問題日趨嚴重和復雜的情況下，需要加固原有的網(wǎng)絡拓撲結(jié)構，增加應用防護系統(tǒng)、統(tǒng)一防惡意代碼軟件、網(wǎng)絡管理系統(tǒng)，與防火墻一起建立動態(tài)防御體系。只有為網(wǎng)站群和服務建立訪問控制體系，才能將絕大多數(shù)攻擊阻止在到達攻擊目標之前，或攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標，最終提升網(wǎng)站群系統(tǒng)的物理安全、網(wǎng)絡安全和應用安全。

我們將網(wǎng)站群系統(tǒng)所在區(qū)域從原DMZ區(qū)劃分出來，與其他Web應用一起規(guī)劃為安全級別較高的Web Server服務區(qū)域。同時，在該區(qū)域部署統(tǒng)一惡意代碼防范管理系統(tǒng)，建立安全的病毒防護措施。在核心交換和Web Server服務區(qū)域間，通過串聯(lián)部署方式，增加一臺WAF(應用防護系統(tǒng))，起到防護Web應用、漏洞檢測作用，確保網(wǎng)站群在內(nèi)的Web應用完整性(如圖2所示)。同時，開啟硬件防火墻上的網(wǎng)站防篡改、IPS功能、日志功能，建立攻擊監(jiān)控體系，實時檢測出絕大多數(shù)攻擊，并采取相應的行動(如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源，等)。網(wǎng)站群系統(tǒng)管理員在統(tǒng)一惡意代碼防范管理平臺上，對網(wǎng)站群主機進行遠程控制。包括：遠程啟動或停止實時監(jiān)控、手動掃描、實時更新、功能組件配置、設定分組任務或策略,等，以有效阻隔外來病毒入侵及內(nèi)部病毒清除，有效保障系統(tǒng)安全。

圖2 動態(tài)防御拓撲圖

眾所周知，網(wǎng)絡攻擊也可以來自于局域網(wǎng)內(nèi)部，如內(nèi)網(wǎng)DoS攻擊、ARP等病毒攻擊。對于內(nèi)網(wǎng)攻擊的防范，通常采取的應對方法有：為內(nèi)網(wǎng)終端安裝病毒防護軟件、加強用戶病毒查殺意識，在網(wǎng)絡設備上劃分VLAN進行邏輯隔離、設置ACL訪問控制?，F(xiàn)階段，我們還啟用硬件防火墻上的IPS、DDoS/DoS內(nèi)網(wǎng)防護、病毒防御策略等功能來加強防范。同時，利用上網(wǎng)行為管理設備，對內(nèi)網(wǎng)終端實施安全檢查、網(wǎng)絡準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施，針對內(nèi)網(wǎng)攻擊事件查看分析用戶行為記錄并定位，并且依據(jù)學校相關規(guī)章制度進行處置處理(如《校園網(wǎng)用戶守則》、《校園網(wǎng)聯(lián)網(wǎng)安全保護管理辦法》、《校園網(wǎng)系統(tǒng)安全管理制度》，等)，提高局域網(wǎng)內(nèi)部的綜合防范能力，減少內(nèi)網(wǎng)攻擊事件的發(fā)生。

2.2 主機安全

主機安全是網(wǎng)站群系統(tǒng)安全的保障?？梢圆捎秒p機熱備的方式來解決主機冗余問題。但是，由于網(wǎng)站群系統(tǒng)應用的重要性和網(wǎng)絡安全的復雜性，為提高主機安全能力，還需要構建主機集群環(huán)境，以保障網(wǎng)站群系統(tǒng)的持續(xù)運行。

目前，高職院校為提高數(shù)據(jù)中心的利用率和采購運行成本，通常會采用服務器虛擬化軟件規(guī)劃虛擬數(shù)據(jù)中心[4]。在該環(huán)境中，統(tǒng)一存儲設備部署在后端，為物理服務器(虛擬主機)提供空間資源，并為前端虛擬機提供數(shù)據(jù)存儲資源；數(shù)臺高性能服務器作為虛擬主機，隨時劃分前端虛擬機，并提供虛擬機所需的CPU、內(nèi)存資源、存儲器訪問權和網(wǎng)絡連接能力，滿足各項應用的服務器需求。采用虛擬機(VM)部署網(wǎng)站群雙機熱備，在降低采購成本的同時，提高了網(wǎng)站群主機的靈活性、冗余保障和容災遷移能力，保障網(wǎng)站群主機操作系統(tǒng)的安全需求(如圖3所示)。

圖3 主機安全

為了減少網(wǎng)站群所在虛擬主機(物理服務器)的單點故障，實現(xiàn)網(wǎng)站群系統(tǒng)的不間斷運行，我們利用vSphere集群功能，在虛擬數(shù)據(jù)中心內(nèi)，配置HA(high availability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下，將一臺出現(xiàn)故障的虛擬主機上面的網(wǎng)站群虛擬機切換到集群中另一臺虛擬主機上運行(如192.168.0.116和192.168.0.118)。應用業(yè)務時間間斷由VM系統(tǒng)啟動時間、應用啟動時間、心跳檢測時間構成。

圖4 vSphere集群界面圖

2.3 備份和恢復

數(shù)據(jù)資料是整個網(wǎng)站群系統(tǒng)運作的核心，建立良好的備份和恢復機制，可以在應用系統(tǒng)遭受攻擊時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。以往，為降低備份容災成本，會采用純軟件模式，通過編輯腳本文件，連接兩臺熱備服務器，將數(shù)據(jù)實時復制到另一臺服務器上，如果一臺服務器出現(xiàn)故障，可以及時切換到另一臺服務器，避免了磁盤陣列的單點故障。

在網(wǎng)絡安全的新形勢下，為實現(xiàn)應用數(shù)據(jù)及業(yè)務存儲系統(tǒng)的完整性和可靠性，我們在網(wǎng)絡拓樸的DMZ區(qū)域，接入存儲備份一體機(浙江醫(yī)藥高等?？茖W校采用Symantec BE3600)，構建高可用性的存儲備份環(huán)境。利用其存儲空間及備份管理系統(tǒng)，實現(xiàn)有效的異地備份[5]，為網(wǎng)站群的容災備份提供了進一步的安全保障。通過制定備份策略，選擇合適的備份頻率，采用完全備份、增量備份、差分備份或按需備份的組合方式，確保及時恢復失敗的網(wǎng)站群虛擬機，快速恢復丟失的應用程序服務，全面提升網(wǎng)站群的數(shù)據(jù)安全及備份恢復能力，避免在各種極端情況下造成的重大損失和惡劣影響。

2.4 安全審計

網(wǎng)站群要達到可控性與可審查性，就必須對站點的訪問活動進行多層次的記錄。安全審計是網(wǎng)站群主機安全和應用安全中的重要環(huán)節(jié)，審計范圍要覆蓋到主機上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶，審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關事件，及時發(fā)現(xiàn)非法入侵行為[6]。

我們在圖2的基礎上，以旁路方式部署了一臺審計設備，并接入核心交換(如圖5所示)。審計設備通過對交換機的鏡像口進行旁路監(jiān)聽。網(wǎng)站群系統(tǒng)管理員可通過B/S方式使用日志管理綜合審計系統(tǒng)，從網(wǎng)絡運行維護、數(shù)據(jù)庫安全及系統(tǒng)安全審計等方面，采集所有網(wǎng)站群的數(shù)據(jù)庫訪問行為記錄，收集客觀、實時的分析數(shù)據(jù)。一旦發(fā)生網(wǎng)站群網(wǎng)絡信息安全事件，系統(tǒng)管理員可根據(jù)網(wǎng)站群用戶對數(shù)據(jù)庫系統(tǒng)的所有操作信息，進行準確快速定位，并排除安全隱患。此外，為確保安全審計，還應要求網(wǎng)站群開發(fā)人員去除或隱藏程序中的刪除日志功能。

圖5 部署審計設備框圖

2.5 安全測試與配置

由于網(wǎng)絡安全不是絕對的，因此，在建立技術防范體系后，我們按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》中的第二級基本要求[7]，對網(wǎng)站群的操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數(shù)據(jù)完整性和保密性，從而確保信息發(fā)布和管理安全。我們采用Centos和Oracle來構建網(wǎng)站群的操作系統(tǒng)和數(shù)據(jù)庫環(huán)境，相關配置如下：

2.5.1 身份鑒別 良好的身份認證體系可防止攻擊者假冒合法用戶。為此，須對登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站群的用戶進行身份標識和鑒別，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易冒用的特點，并確保用戶名具有惟一性。因此，我們做了相關配置：

編輯操作系統(tǒng)文件etc/login.defs文件，應達到密碼定期更換要求。如：

PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)

PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)

PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)

PASS_MIN_LEN 6 #最小密碼長度6

編輯操作系統(tǒng)文件/etc/pam.d/system-auth文件，應達到密碼復雜度要求，如：

password requisite pam_cracklib.so minlen=6 dcr- edit=2 ocredit=2 #限制密碼最小長度6位和至少包含2數(shù)字、至少包含2個特殊字符數(shù)

編輯操作系統(tǒng)文件etc/pam.d/system-auth文件，采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施，實現(xiàn)登錄失敗處理功能。如：

auth required pam_tally.so onerr=fail deny=6 un- lock_time=300 #設置密碼連續(xù)錯誤6次鎖定，鎖定時間300 s。

對于數(shù)據(jù)庫的身份鑒別，我們通過配置Oracle公司提供的驗證密碼復雜度的函數(shù)來實現(xiàn)。

對于網(wǎng)站群系統(tǒng)，后臺管理用戶密碼復雜度設置高級別，對密碼的長度、大小寫、特殊字符都方面都要做要求，同時設置口令有效期。

2.5.2 訪問控制 訪問控制更側(cè)重于管理層面，要求操作系統(tǒng)和數(shù)據(jù)庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責文件，實現(xiàn)權限分離，責任分離。如：依據(jù)安全策略控制用戶對資源的訪問；實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權限期的分離；限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令；應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

此外，我們對網(wǎng)站群的角色權限進行細分，做到權限相互制約。如超級管理員具有所有功能的操作權限，二級網(wǎng)站管理員只能具有自己站點的操作權限，審計員只能查看安全日志。

2.5.3 入侵防范 做好入侵防范措施。在操作系統(tǒng)方面，我們遵循最小安裝的原則，僅安裝需要的組件和應用程序，使得端口和服務實現(xiàn)最小化；通過對安全漏洞的周期檢查，設置升級服務器等方式保持系統(tǒng)補丁及時得到更新，從而使絕大多數(shù)攻擊無效。

2.5.4 資源控制 系統(tǒng)資源控制主要指終端接入的方式、IP地址范圍及登錄次數(shù)限制。我們做了相關配置，示例如下：

對于操作系統(tǒng)，編輯/etc/ssh/sshd_config文件，如：

AllowUsers*@172.16.20.*#僅允許管理員所在172.16.20.0/24網(wǎng)段所有用戶通過ssh訪問(IP改為實際管理機地址)。

此外，根據(jù)安全策略，編輯/etc/profile文件，設置登錄終端的操作超時鎖定。如：

TMOUT=600 #無操作600 s后自動退出

看了這一條，讀者通過邏輯思維必然會覺得“原來鵝鼻山就是秦望山！秦始皇是登上鵝鼻山‘以望南?！?！”但再一想又不對了：大越不會有兩座秦望山，前一條說山在縣東南四十里，入城者已經(jīng)難以看到它，現(xiàn)在搬到縣西南七十里，使涉境者更難見到了。

在數(shù)據(jù)庫中，通過建立/修改profile，以確保數(shù)據(jù)庫系統(tǒng)超時斷開，如：

create/alter profile profile_name limit

Idle_time 10

分配profile給用戶

alter user username_name profile profile_name

2.5.5 數(shù)據(jù)完整性和保密性 主要指建立通信保密措施，如：在條件許可下，將明文的HTTP方式更改為HTTPS加密方式進行管理；在對服務器進行遠程管理時，采取必要措施(如VPN、PUTTY工具)，防止鑒別信息在網(wǎng)絡傳輸中被竊聽。

2.6 安全監(jiān)控

網(wǎng)站群投入使用后，我們在策略基礎上，通過部署在DMZ區(qū)域中的網(wǎng)絡管理系統(tǒng)，實時監(jiān)控網(wǎng)站群虛擬機的可用性和性能，收集并實時監(jiān)控網(wǎng)站群系統(tǒng)的運行指標，以便及時了解應用的運行狀況，并能進行相應的控制，保障業(yè)務的時效性。

監(jiān)控的數(shù)據(jù)主要指網(wǎng)站群主機運行時的系統(tǒng)環(huán)境信息，如CPU利用率、內(nèi)存的使用情況、IO情況、磁盤剩余空間、網(wǎng)絡吞吐量、心跳檢測、請求響應時間、數(shù)據(jù)庫處理、系統(tǒng)負載量，等。發(fā)現(xiàn)異常時，開發(fā)和運維人員能在用戶還未察覺前處理完故障，將損失降到最低。

網(wǎng)站群的部分業(yè)務子站，比如招生、就業(yè)、教務，具有訪問頻繁、某一時段流量大的特點。為了確保網(wǎng)站群的穩(wěn)定性，我們開展了網(wǎng)站分析工作，主要有在線日志分析、性能優(yōu)化以及常見的故障排查。對于在線運行系統(tǒng)，網(wǎng)站群管理員可針對服務器操作系統(tǒng)日志文件進行分析，如access.log，示例如下：

分析訪問量排名前10的IP地址，找到惡意攻擊行為(如HTTP flood，也稱為CC攻擊)的來源。如：more access.log|cut-f1-d""|sort|uniq-c|sort-k1-n-r|head-10。

頁面的響應時間是用戶應用體驗感的重要因素。通過找到響應慢的頁面，向開發(fā)人員提出性能優(yōu)化建議。如：more access.log|sort-k2-n-r|head-10。

調(diào)查400和500的請求占比情況，根據(jù)返回值判定是否有惡意攻擊者在進行掃描(如圖6所示)。

圖6 統(tǒng)計404和500請求占比

在系統(tǒng)上線運行前，通過自動化的測試工具，如開源工具ab(ApacheBench)、圖形化展示工具(如Apa- che JMeter)，模擬多種正常、峰值以及異常負載的條件，對系統(tǒng)的各項指標進行測試，以確定系統(tǒng)在各種負載下性能指標的變化，為網(wǎng)站群上線提供重要的參考依據(jù)，并發(fā)現(xiàn)系統(tǒng)潛在的一些瓶頸和問題。

3 網(wǎng)站群安全防范措施

單純期望某一個安全技術或體系架構就能夠全面消除或解決網(wǎng)絡安全威脅和風險的想法是不現(xiàn)實的。高職院校網(wǎng)站安全問題突出，還歸結(jié)于學校對網(wǎng)站安全不重視，網(wǎng)站信息保護意識差，網(wǎng)站日常維護缺失，等。我們只能通過大量實踐，在網(wǎng)絡安全實戰(zhàn)對抗中不斷完善，明確責任和義務，建立管理制度和安全制度。管理是網(wǎng)絡安全的重要部分，在對網(wǎng)站群部署進行有效的安全風險(安全威脅)識別和評估后，我們還圍繞技術層面、組織層面、管理層面、服務層面，完善網(wǎng)站群安全防范措施(如圖7所示)。

圖7 網(wǎng)站群安全防范措施

建立學校、部門兩級運行維護的組織體系，按集中建站、分級管理、制度約束、服務保障的原則，通過統(tǒng)一策劃、統(tǒng)一標準、統(tǒng)一資源、統(tǒng)一平臺來實現(xiàn)集中建站。按照國家有關規(guī)章制度和安全辦法(策略)，形成制度約束機制，確保網(wǎng)站群在高效、安全、有序的體系下運作。

理順管理體制與職責，構建主站和子站間的垂直管理體系，制定網(wǎng)站群管理辦法、建立網(wǎng)站群管理和信息員制度、制定安全規(guī)范及操作手冊、建立內(nèi)容管理與審核制度、明確各網(wǎng)站內(nèi)容管理與運行管理崗位職責、規(guī)范工作流程、完善信息發(fā)布等環(huán)節(jié)，全面做好網(wǎng)站群安全管理工作。

通過提升服務管理水平，構建健全的網(wǎng)站群服務體系。我們參考ISO/IEC20000-1采用的PDCA方法論，從規(guī)劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手，根據(jù)學校技術、政策和資源等實際環(huán)境，加強安全服務管理，確保網(wǎng)站群服務水平。并參考信息安全服務體系，從安全評估服務、安全修復服務、安全保障服務、安全信息服務、安全培訓服務、數(shù)據(jù)恢復服務、產(chǎn)品集成服務八個方面，加強安全服務[8]。

4 網(wǎng)站群保障體系構建效果

在網(wǎng)站群項目建設前期，我們通過對原有網(wǎng)站及其系統(tǒng)、應用、數(shù)據(jù)等方面進行安全分析，找出了學校在網(wǎng)絡信息安全因素中的薄弱環(huán)節(jié)，在后續(xù)的網(wǎng)站群部署方案中增加了需要改進和優(yōu)化的細節(jié)，保證了網(wǎng)站群系統(tǒng)的成功實施。

在實施過程中，我們充分利用學校的網(wǎng)絡信息基礎設施，通過動態(tài)防御、主機安全、備份恢復、安全審計環(huán)節(jié)的實施，促進了該校數(shù)據(jù)中心的硬件整合優(yōu)化，既減少了重復投資、有效降低了學校資金不足的影響，又提高了已有軟硬件的利用率，并為今后打造高效低耗的綠色數(shù)據(jù)中心奠定基礎。

有序開展網(wǎng)站群系統(tǒng)建設也是一次鍛煉信息技術人員的機會。經(jīng)過測試配置、監(jiān)控、分析等一系列規(guī)范化操作訓練，提高了該校信息技術人員在系統(tǒng)部署、性能優(yōu)化方面的技能、加強了安全監(jiān)管意識，不僅是一次很好的網(wǎng)絡安全防范實戰(zhàn)練習，也有效地提高了現(xiàn)有信息技術人員的工作效率，在一定程度上緩

解了學校信息技術人員緊缺的實際困難。

通過安全防范措施的實施，形成了學校網(wǎng)站群的常態(tài)化組織體系和工作機制。通過出臺學校網(wǎng)站群管理辦法、健全體制機制、明確責任歸屬、強化了網(wǎng)站群二級網(wǎng)站負責人及信息員的安全責任意識，有利于打造健康向上的校園輿情環(huán)境，共同維護學校網(wǎng)站群系統(tǒng)安全。

通過網(wǎng)站群系統(tǒng)建設的實踐，我們認為，在網(wǎng)絡安全問題日益復雜的形勢下，高職院校有必要在揚長避短、整合優(yōu)化的原則下，構建符合學校情況的網(wǎng)站群保障體系。通過網(wǎng)站群保障體系的建設，為高職院校打造了一個具有安全性、可擴充性和易管理性的網(wǎng)站信息環(huán)境，有利于提升高職院校網(wǎng)絡信息安全防范技術能力，最終促進高職院校教育信息化的良性建設和發(fā)展。

[1]百度百科.網(wǎng)站群[EB/OL].http://baike.baidu.com/

[2]網(wǎng)絡安全宣傳周.倪光南：自主可控是增強網(wǎng)絡安全的前提[EB/OL].http://news.xinhuanet.com/politics/2014-11/27/c_1113430069.htm,2014-11-27

[3]柳純錄.信息系統(tǒng)項目管理師教程[M].北京：清華大學出版社，2014:539-543，569

[4]舒爾茨.綠色虛擬數(shù)據(jù)中心[M].北京：人民郵電出版社,2010:113-122

[5]張冬.大話存儲-網(wǎng)絡存儲系統(tǒng)原理精解與最佳實踐[M].北京：清華大學出版社,2008：379-391

[6]柳純錄.信息系統(tǒng)項目管理師教程[M].北京：清華大學出版社,2014:631-639

[7]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術信息系統(tǒng)安全等級保護基本要求[M].北京：中國標準出版社，2008:7-14

[8]焦婧，陳瑛，王曉霞.高校校園網(wǎng)站群服務管理體系的構建與實踐-以北京聯(lián)合大學為例[D].上海：中國高等教育學會教育信息化分會第十二次學術年會論文集，2014:212-218

Construction of the security system of higher vocational collegewebsite group in the new situation of network security

XuLi

LibraryandInformationCenter,ZhejiangPharmaceuticalCollege,Ningbo315100,China

The website group is a public platform of higher vocational colleges to display business and information application. And network security capability is the key to avoiding security events. At present, network information security has been elevated to the national strategic level. Therefore, higher vocational colleges must change the concept about website group construction and construct website group security system to reduce security risks regarding technological framework and security precaution based on ensuring code security.

network security; website group; technological framework; service management

2014年浙江省教育科學規(guī)劃研究課題“信息技術發(fā)展與教育改革背景下的數(shù)據(jù)中心規(guī)劃發(fā)展研究”(2014SCG073)

2014-12-25

徐鸝(1977-)，女，浙江衢州人，碩士，實驗師，主要研究方向：教育信息化。

G434

A

1004-5287(2015)03-0279-06

：10.13566/j.cnki.cmet.cn61-1317/g4.201503012