引言： 學(xué)校門戶網(wǎng)站已成為宣傳學(xué)校新手段新方法，可以代表學(xué)校形象,網(wǎng)站各種安全隱患常常被一些不法分子利用,因此，必須充分認(rèn)識(shí)加強(qiáng)信息安全體系建設(shè)的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，帶動(dòng)教育信息化快速前行，學(xué)校均通過(guò)建立自己的門戶網(wǎng)站，用于展示校園文化、教師風(fēng)采、學(xué)生風(fēng)貌、教育理念等，成為學(xué)校對(duì)外宣傳、形象展示和溝通交流的平臺(tái)，實(shí)現(xiàn)學(xué)校對(duì)外聯(lián)系的信息化和網(wǎng)絡(luò)化，從而提升學(xué)校對(duì)外形象，提高軟實(shí)力，增強(qiáng)綜合競(jìng)爭(zhēng)力。

門戶網(wǎng)站安全管理的重要性

學(xué)校門戶網(wǎng)站已成為宣傳學(xué)校新手段新方法，可以代表學(xué)校形象，具有其他商務(wù)網(wǎng)站無(wú)法比擬的嚴(yán)肅性和權(quán)威性。由于網(wǎng)站建立在完全開(kāi)放的互聯(lián)網(wǎng)上，各種安全隱患常常被一些不法分子利用，學(xué)校越有名受不法分子利用的可能性就越大，其對(duì)網(wǎng)站進(jìn)行惡意操作，如網(wǎng)頁(yè)被篡改、被上傳病毒、掛木馬、論壇發(fā)布不當(dāng)言論等，導(dǎo)致安全事件，造成門戶網(wǎng)站無(wú)法正常工作，嚴(yán)重影響學(xué)校相關(guān)工作的順利進(jìn)行，從而影響到學(xué)校的形象。政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點(diǎn)目標(biāo)，學(xué)校網(wǎng)站也出現(xiàn)多次被攻擊現(xiàn)象，安全漏洞是重要信息系統(tǒng)遭遇攻擊的主要內(nèi)因。因此，必須充分認(rèn)識(shí)加強(qiáng)信息安全體系建設(shè)的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

信息系統(tǒng)安全等級(jí)保護(hù)制度

近年來(lái)，我國(guó)對(duì)信息系統(tǒng)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)制度，為網(wǎng)站信息安全管理提供了一套切實(shí)可行的辦法。信息安全等級(jí)保護(hù)制度是開(kāi)展信息安全工作的基本方法,促進(jìn)信息化、維護(hù)國(guó)家信息安全。

信息和信息系統(tǒng)的安全保護(hù)等級(jí)共分五級(jí)： 第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。第五級(jí)為?？乇Ｗo(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。中小學(xué)門戶網(wǎng)站一般定級(jí)為二級(jí)，對(duì)于二級(jí)標(biāo)準(zhǔn)，國(guó)家有著嚴(yán)格的建設(shè)標(biāo)準(zhǔn)，中小學(xué)門戶網(wǎng)站管理者應(yīng)該嚴(yán)格按照信息安全等級(jí)保護(hù)制度所規(guī)定的級(jí)別進(jìn)行建設(shè)與管理，執(zhí)行國(guó)家法律法規(guī)要求。

學(xué)校門戶網(wǎng)站信息安全管理現(xiàn)狀

學(xué)校門戶網(wǎng)站的管理者是重網(wǎng)站發(fā)布信息內(nèi)容，輕信息安全管理，主要表現(xiàn)在五個(gè)方面：

1.網(wǎng)站存放的軟硬件環(huán)境不符合安全要求

學(xué)校管理者目前對(duì)學(xué)校門戶網(wǎng)站有深刻認(rèn)識(shí)，但對(duì)信息安全管理卻大大滯后于網(wǎng)站內(nèi)容管理。網(wǎng)站存放的軟硬件不達(dá)標(biāo)，機(jī)房無(wú)法滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應(yīng)要求。網(wǎng)站存放的操作系統(tǒng)及網(wǎng)站軟件存有漏洞，系統(tǒng)訪問(wèn)策略設(shè)置容易造成網(wǎng)站受到攻擊。

2.網(wǎng)站安全管理制度欠缺

就本地區(qū)學(xué)校調(diào)查，多數(shù)學(xué)校對(duì)信息安全管理制度建立空缺，或者所建立的安全管理制度沒(méi)有實(shí)質(zhì)的可操作性，只是為應(yīng)付檢查所設(shè)立，對(duì)制度的制定與發(fā)布流程、方式和范圍均沒(méi)有詳實(shí)表述，制度制定完成后沒(méi)有任何后續(xù)工作，而是直接束之高閣。

3.網(wǎng)站安全管理機(jī)構(gòu)形同虛設(shè)

學(xué)校管理者建立的信息安全管理機(jī)構(gòu)只是一個(gè)機(jī)構(gòu)，按規(guī)定配備了安全管理崗位人員，但崗位人員對(duì)崗位安全管理職責(zé)無(wú)論是理論知識(shí)還是實(shí)踐經(jīng)驗(yàn)都欠缺，有的崗位人員只是一個(gè)掛名，無(wú)法真實(shí)的履行自己的工作職責(zé)。同時(shí)，學(xué)校管理人員發(fā)生變動(dòng)后，管理機(jī)構(gòu)的人員仍舊為以前人員，沒(méi)有進(jìn)行及時(shí)變更，造成空窗期。

4.網(wǎng)站管理人員管理放縱

針對(duì)網(wǎng)站進(jìn)行操作人員沒(méi)有專門指定，隨意授權(quán)人員進(jìn)行操作，操作沒(méi)有正式記錄與操作工作流程，知曉網(wǎng)站相關(guān)操作密碼就可以進(jìn)行各種權(quán)限操作，造成多種人員輕易就操作到網(wǎng)站內(nèi)核及所在的物理設(shè)備。

5.網(wǎng)站運(yùn)維管理空白

學(xué)校門戶網(wǎng)站建成投入使用后，只有少數(shù)人員對(duì)網(wǎng)站內(nèi)容進(jìn)行不定期管理，而網(wǎng)站其他的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等都沒(méi)有。當(dāng)受到攻擊后，無(wú)法及時(shí)進(jìn)行有序處理，通常手忙腳亂狀態(tài)。

完善學(xué)校門戶網(wǎng)站信息安全管理體系

信息系統(tǒng)安全等級(jí)保護(hù)制度已經(jīng)確立了一套完整的信息安全管理體系，它依據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)情況保證它們具有相應(yīng)等級(jí)的基本安全保護(hù)能力，不同安全保護(hù)等級(jí)的信息系統(tǒng)要求具有不同的安全保護(hù)能力。每一級(jí)別均有針對(duì)自己的基本安全要求，根據(jù)實(shí)現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大方面。基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾方面提出，二者為不可分割兩部分。學(xué)校門戶網(wǎng)站應(yīng)該嚴(yán)格按照等級(jí)保護(hù)所提出的五個(gè)級(jí)別進(jìn)行準(zhǔn)確定級(jí)，獲得相關(guān)部門批準(zhǔn)后，嚴(yán)格落實(shí)等級(jí)保護(hù)所確認(rèn)的級(jí)別標(biāo)準(zhǔn)要求，完善學(xué)校門戶網(wǎng)站的信息安全管理體系。網(wǎng)站的管理者應(yīng)該重點(diǎn)強(qiáng)化關(guān)注六個(gè)方面：

1.網(wǎng)站存放的物理環(huán)境

網(wǎng)站存放的物理環(huán)境，機(jī)房出入應(yīng)該專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入人員；機(jī)房滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應(yīng)。網(wǎng)絡(luò)結(jié)構(gòu)安全，設(shè)備滿足業(yè)務(wù)能力，帶寬滿足業(yè)務(wù)，網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，建立訪問(wèn)控制列表。網(wǎng)絡(luò)設(shè)備具有防護(hù)能力。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)有身份識(shí)別，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)，限制默認(rèn)用戶的訪問(wèn)權(quán)限，刪除多余、過(guò)期賬戶。具有入侵防范和惡意代碼防范功能。對(duì)登錄用戶進(jìn)行身份鑒別，提供訪問(wèn)控制功能控制用戶組/用戶對(duì)系統(tǒng)功能和用戶數(shù)據(jù)的訪問(wèn)，采用給定通信會(huì)話方式保護(hù)通信完整，具有軟件容錯(cuò)功能。能夠檢測(cè)到重要用戶數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，就對(duì)重要信息進(jìn)行備份和恢復(fù)。

2.安全管理制度方面

安全管理制度應(yīng)在信息安全領(lǐng)導(dǎo)機(jī)構(gòu)總體負(fù)責(zé)下統(tǒng)一制定，制定過(guò)程中要進(jìn)行論證和審定，內(nèi)容滿足基本技術(shù)要求和基本管理要求，涵蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等多個(gè)方面。同時(shí)，制度的制定要做到具有切實(shí)可行的可操作性。發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)，可以按照制度進(jìn)行操作，結(jié)束后要對(duì)安全管理制度進(jìn)行重新審定，對(duì)需要改進(jìn)的制度進(jìn)行修訂。

3.安全管理機(jī)構(gòu)方面

學(xué)校門戶網(wǎng)站投入運(yùn)行前，要設(shè)立指導(dǎo)和管理信息安全工作專門機(jī)構(gòu)，機(jī)構(gòu)人員要由單位主管領(lǐng)導(dǎo)委任或授權(quán)人員擔(dān)任。通過(guò)正式文件明確安全管理機(jī)構(gòu)的職責(zé)，不能出現(xiàn)只有機(jī)構(gòu)而無(wú)人落實(shí)具體工作的情況。機(jī)構(gòu)內(nèi)部設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人，如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，明確崗位職責(zé)分工。學(xué)校人員短缺可以進(jìn)行部分崗位交叉兼任。嚴(yán)管安全管理機(jī)構(gòu)內(nèi)部的審批權(quán)限，重視管理制度的制定和發(fā)布、人員的配備與培訓(xùn)、產(chǎn)品的采購(gòu)等。組織定期對(duì)網(wǎng)站信息系統(tǒng)進(jìn)行安全檢查，留存安全檢查報(bào)告、檢查過(guò)程記錄、審計(jì)分析報(bào)告、安全檢查表格等必備的書(shū)面材料。

4.人員安全管理方面

錄用人員時(shí)，要對(duì)人員的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后與其簽署相關(guān)協(xié)議，明確說(shuō)明工作職責(zé)，確保錄用的安全管理和技術(shù)人員有能力完成工作職責(zé)。人員離崗時(shí)，及時(shí)終止其所有訪問(wèn)權(quán)限，收回工作門禁卡，交接所負(fù)責(zé)的資產(chǎn)，必要時(shí)要求離職人員承諾相關(guān)保密義務(wù)，及時(shí)更換所掌握密碼。其次，定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安全知識(shí)的考核，對(duì)違背安全策略和規(guī)定的人員有明確的懲戒措施并落實(shí)到位。再次，定期開(kāi)展人員安全意識(shí)教育和培訓(xùn)，預(yù)先制定教育培訓(xùn)計(jì)劃并抓好落實(shí)。對(duì)外部人員訪問(wèn)采取合理的管理措施并要求保密。

5.系統(tǒng)建設(shè)管理方面

網(wǎng)站建設(shè)初期就要有安全方案設(shè)計(jì)，由專門部門及專門人員對(duì)門戶網(wǎng)站的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃，根據(jù)門戶網(wǎng)站確定的安全級(jí)別選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。同時(shí)，根據(jù)門戶網(wǎng)站確定的級(jí)別要求，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案等，在制定過(guò)程中要組織有關(guān)部門和安全技術(shù)專家對(duì)其進(jìn)行論證和審定，并根據(jù)安全測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略等配套文件。在產(chǎn)品采購(gòu)上，指定專門部門負(fù)責(zé)產(chǎn)品的采購(gòu)，產(chǎn)品選擇應(yīng)優(yōu)先選擇通過(guò)國(guó)家認(rèn)定的安全產(chǎn)品。

6.系統(tǒng)運(yùn)行維護(hù)管理方面

嚴(yán)格按照建立時(shí)制定的安全策略，對(duì)服務(wù)器進(jìn)行正確配置，按操作規(guī)程對(duì)服務(wù)器進(jìn)行操作，對(duì)軟硬件維護(hù)制度化管理，建立服務(wù)器的操作日志，定期檢查管理情況。監(jiān)控網(wǎng)站服務(wù)器的各項(xiàng)資源指標(biāo)，如 CPU、內(nèi)存、硬盤等使用情況，明確門戶網(wǎng)站所涉及內(nèi)容由誰(shuí)負(fù)責(zé)運(yùn)行維護(hù)，專人保管系統(tǒng)運(yùn)行所產(chǎn)生的各類文檔。網(wǎng)絡(luò)安全專人負(fù)責(zé)，定期查看維護(hù)網(wǎng)絡(luò)運(yùn)行日志、監(jiān)控記錄和分析處理報(bào)警信息等網(wǎng)絡(luò)安全管理工作。按照國(guó)家相關(guān)管理部門規(guī)定，劃分安全事件種類，按對(duì)網(wǎng)站的影響程度劃分等級(jí)，發(fā)現(xiàn)安全線索和可疑事件時(shí)要求及時(shí)報(bào)告，使安全事件的報(bào)告和響應(yīng)處理過(guò)程制度化、文檔化。制定有針對(duì)性的應(yīng)急預(yù)案，內(nèi)容覆蓋什么時(shí)候啟動(dòng)預(yù)案、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后評(píng)估內(nèi)容，對(duì)網(wǎng)站相關(guān)的管理人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，成立應(yīng)急預(yù)案小組，并不定期對(duì)應(yīng)急預(yù)案進(jìn)行演練。