呂美敬　葉新恩　劉明剛

摘 要：隨著高校信息化的發(fā)展和信息資源的不斷豐富，越來越多的高校和政府部門引入了網站群系統(tǒng)。網站群系統(tǒng)作為網站集中管理的平臺的，其功能性與安全性逐漸得到重視。本文針對當前網站安全形勢，結合作者管理網站的工作經驗，從現(xiàn)狀分析、安全管理、技術保障、管理模式等四個方面對網站管理安全展開討論。

關鍵詞：高校網站群；網站安全；管理與維護

DOI：10.16640/j.cnki.37-1222/t.2016.09.114

1 高校網站安全現(xiàn)狀分析

近年，隨著高校信息化建設的發(fā)展以及嚴峻的網絡安全形式，高校信息安全受到越來越多的關注。據媒體報道，自2014年4月至2015年3月的12個月間，補天漏洞響應平臺上顯示的有效高校網站漏洞多達3495個，涉及高校網站1088個，在被告知網站存在漏洞后，修復漏洞的高校網站只有35個，僅186個漏洞被修復，96.8%的高校網站完全無視安全漏洞的存在，94.6%的高校網站安全漏洞未被修復。表1是2015年發(fā)生在高校的2015年主要安全事件。

從以上教育系統(tǒng)內頻發(fā)的網絡安全事件可以看出，網站管理人員技術欠缺是造成網站安全問題的一分部原因，但是最重要的原因是高校信息化建設過程中網絡安全管理沒有引起相關學校的重視，人員配置極不合理，信息安全建設經費匱乏。補天漏洞響應平臺上的漏洞一般會提前告知，但是由于高校網站監(jiān)管不足，缺乏相關的技術人員，漏洞長期不被修復，給了很多黑客可趁之機。

2 網站群安全管理

網站群是按照一定的隸屬關系組織在一起，統(tǒng)一規(guī)劃建設、統(tǒng)一管理、分開維護的網站集合。它摒棄了傳統(tǒng)的網站分開建設、硬件成本大、維護難、安全防護困難的難題，受到越來越多的高校、政府及企事業(yè)單位的青睞。網站群安全管理包含網站統(tǒng)一建設、網站上線安全管理、服務器設置、賬戶安全設置及訪問控制。

2.1 網站統(tǒng)一建設

我校有部分二級單位由于不清楚學校統(tǒng)一建設流程或其他特殊原因，與廠商進行合作進行二級網站自建，而高校在對這種自建網站進行漏洞掃描時發(fā)現(xiàn)，多數自建網站都存在漏洞較多、危險系數較高等問題。學校信息安全主管單位，應負責學校信息系統(tǒng)建設及二級網站建設相關工作，為保證系統(tǒng)、網站安全，我校網絡信息中心、數字化校園建設辦公室采取“集中建設、集中管理”的方式，即學校所有信息系統(tǒng)建設均由數字化校園建設辦公室統(tǒng)籌協(xié)調，系統(tǒng)、網站建成之后內容管理由各用戶單位負責，而系統(tǒng)、網站的統(tǒng)一部署、安全運行則由網絡信息中心負責。

2.2 網站上線安全管理

對于由網絡信息中心、數字化校園建設辦公室統(tǒng)一建設的網站上線工作要遵循網絡信息中心統(tǒng)一制定的網站上線流程。網站上線之前用戶需先提交網站上線所需要的材料，包含域名變更申請表及網絡對外服務申請表。對已申請的網站要先進行內網域名解析工作，并進行漏洞掃描，根據漏洞掃描的結果決定是否開放外網。若漏洞掃描的安全值低于規(guī)定的安全值，即開放外網訪問服務，否則需要修復漏洞直到安全，方可開放外網訪問服務。

2.3 服務器設置

為了提高網站的安全性，網站群系統(tǒng)使用雙服務器布置，采用網站前端瀏覽和后臺管理維護分離的部署方案，將網站群分離成管理機和發(fā)布機進行部署。發(fā)布機是一個web服務器，通過80端口供外網直接訪問。發(fā)布機部署網站群發(fā)布端軟件，可以快速的將管理機發(fā)布的內容同步到一臺或多臺發(fā)布機上。管理機使用的端口和發(fā)布機不同，用戶通過內網或vpn訪問管理機，實現(xiàn)網站系統(tǒng)維護和內容管理，并且外網無法直接訪問，圖1為服務器部署拓撲圖。

2.4 賬號安全設置

為了避免管理員賬戶密碼過于簡單被惡意利用，制定了詳細的密碼強度規(guī)則，密碼必須包含字母、數字及特殊字符并且制定定期修改密碼的維護計劃。為防止他人對賬戶密碼進行猜解，如果密碼輸錯三次，則該賬號將被鎖定，鎖定的賬號必須通過網絡信息中心網站群系統(tǒng)管理員驗證身份方可解鎖。

2.5 訪問限制

為加強網站安全管理，網站群系統(tǒng)后臺管理平臺維護端口默認不對互聯(lián)網直接開放，僅允許校內用戶采用固定的IP地址或者通過VPN（虛擬專用網絡）訪問網站群系統(tǒng)后臺發(fā)布系統(tǒng)。

3 硬件保障

在嚴峻的網絡安全形式下，為保證學校系統(tǒng)、網站在技術層面不受攻擊，高校負責學校網絡安全的部門需采購相關的安全設備。

3.1 堡壘主機

堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，用戶無需考慮其它主機的安全的目的。堡壘主機作為學校網絡的外部檢查結點，所有不必要的服務、協(xié)議、程序、以及網絡端口都被刪除或禁用。同時由于堡壘主機并不提供與內網信任主機之間的認證服務，因此即使堡壘主機被攻破，入侵者也無法利用堡壘主機為跳板共計內網，從而減少高校潛在攻擊。

3.2 UTM防火墻

UTM（Unified Threat Management，統(tǒng)一威脅管理）防火墻指利用單一的硬件設備提供多種網絡保護功能的安全設備設備，在防火墻的基礎上集成了防毒墻、入侵檢測、防垃圾郵件等功能。

3.3 WAF防火墻

WAF（Web Application Firewall，簡稱WAF）防火墻針對HTTP/HTTPS制定一系列的安全策略從而為web應用提供保護的硬件安全設備。所有托管的二級網站的訪問均需通過WAF的內容簡稱和驗證，并對非法請求語義實施阻斷，以保證二級網站的安全性和合法性。

3.4 入侵檢測設備

入侵檢測設備（Intrusion Detection System，簡稱IDS）是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備，是一種積極主動的安全防護技術。不同于防火墻的防御作用，IDS 是一種監(jiān)聽設備，無需網絡流量流經即可對網絡的異常入侵以及誤用入侵進行檢測，是高校網絡安全保障的重要手段。

3.5 入侵防御設備

入侵防御設備（Intrusion Prevention System，簡稱IPS）作為對防病毒軟件和防火墻的補充設備，能夠監(jiān)視網絡或網絡設備的網絡資料傳輸行為，并對不正常的或具有傷害性的網絡資料傳輸行為進行及時阻斷。

3.6 上網行為審計設備

上網行為審計設備指可以提供互聯(lián)網用戶控制、上網行為管理的硬件設備，主要功能包括網頁訪問過濾、網絡應用控制、貸款瀏覽管理、信息收發(fā)審計、用戶行為分析等。該設備專用于高校防止非法信息惡意傳播，監(jiān)控網絡資源使用情況等方面。

4 管理模式

（1）學校主頁和各二級單位網站，原則上均需要在學校管理的集中平臺上統(tǒng)一建設。

（2）各二級單位及部門固定1～2個信息管理員管理網站后臺，并采用白名單的形式訪問網站后臺，白名單里的人員以固定的校內允許的可信的IP地址訪問站群管理后臺。

（3）網站系統(tǒng)管理人員需具備一定的網站管理基礎，高校應著重培養(yǎng)每個網站管理員的專業(yè)技術能力。

（4）健全網站管理辦法，提高網站使用效率。網站作為學校及各單位宣傳的門戶網站，需要健全的管理辦法，從網站內容、網站形式、后臺管理等各方面進行規(guī)范。

（5）定期開展網站管理經驗交流活動，提高網站管理素養(yǎng)。各單位網站管理員基本上都不是專門從事計算機行業(yè)的老師，對網站管理缺乏一定專業(yè)知識。定期的經驗交流，不僅使老師方便處理日常網站管理中遇到的問題，互通有無，而且能增加一定的實踐經驗。

5 總結

目前，中央財經大學在學校各單位的支持、配合下，學校在信息安全建設方面取得了一定的成果，但距離國家出的安全建設要求仍“任重道遠”，無論是對學校還是對各二級單位而言，仍需開展大量工作。學校需要及時加強對信息網站的備案和監(jiān)管工作，要求每個網站都應有專門的技術人員管理并做好相關技術防護，定期進行安全評估及漏洞掃描工作，一旦發(fā)現(xiàn)網站漏洞便及時修補。同時做好網絡信息安全人才的培養(yǎng)，建設一支健全、高效的網絡安全運維團隊。

參考文獻：

[1]網絡安全從防患做起[DB/OL].中國教育和科研計算機網CERNET.

[2]王薇.對于高校網站群建設與管理分析[J].電子技術與軟件工程，2015（22）：38-39.

[3]忽海娜，歐陽鋒.高校網站建設安全問題分析與對策[J].軟件導刊，2014，13（11）：163-164.

[4]劉艷麗.高校網站群建設與管理探析--以洛陽師范學院為例[J]. 中國現(xiàn)代教育裝備，2014（07）：19-20.

[5]馬偉山，李冰，唐衛(wèi)清.政府門戶網站群建設框架的研究與設計[J].計算機與數字工程，2009（09）：139-142.

[6]許瑞平，崔永超.中小規(guī)模高校網站群建設與管理探討[J].軟件導刊. 教育技術，2014（05）：57-59.