信息技術(shù)的發(fā)展，促進(jìn)了高校信息化的發(fā)展。高校校園網(wǎng)站儼然已經(jīng)成為了高校開展教學(xué)、對外交流、科研培訓(xùn)、服務(wù)社會的重要窗口，組成了數(shù)字化校園建設(shè)的重要部分。幾乎所有高校都建立了校園網(wǎng)門戶網(wǎng)站及若干二級網(wǎng)站（各院系及職能部門網(wǎng)站）。高校網(wǎng)站在教學(xué)、科研、管理、宣傳、校園文化建設(shè)等方面發(fā)揮了重要作用。但伴隨著信息化的深入，由于高校網(wǎng)站建設(shè)和管理安全意識比較薄弱，容易遭受網(wǎng)絡(luò)攻擊，在網(wǎng)站建設(shè)、安全管理方面存在一些不容忽視的問題。已經(jīng)威脅了校園網(wǎng)站的安全，網(wǎng)站安全問題日益突破，需要相關(guān)人員積極行動起來，打響網(wǎng)站防護(hù)攻堅戰(zhàn)。

一、當(dāng)前高校網(wǎng)站運行現(xiàn)狀的思考

高校網(wǎng)站作為對外服務(wù)的窗口，是高校最主要的宣傳互動平臺之一，同時也是了解高校權(quán)威信息的主渠道。高校網(wǎng)站一般由學(xué)校門戶網(wǎng)站及二級部門網(wǎng)站構(gòu)成。由于網(wǎng)站建設(shè)的時間、技術(shù)、資金投入以及開發(fā)網(wǎng)站時使用的操作系統(tǒng)、開發(fā)語言以及規(guī)范性都參差不齊，致使高校網(wǎng)站類型迥異，管理維護(hù)難度大。

一般高校門戶網(wǎng)站和二級部門網(wǎng)站分屬于不同的部門維護(hù)，其中很大一部分網(wǎng)站由老師、學(xué)生或委托他人開發(fā)、管理和維護(hù)，管理人員也是臨時指派不固定。而多數(shù)管理人員通常只會簡單的計算機(jī)操作，普遍缺少網(wǎng)絡(luò)安全知識和安全技術(shù)，安全意識淡薄。網(wǎng)絡(luò)安全攻防需要具備網(wǎng)絡(luò)、編程、系統(tǒng)命令以及操作系統(tǒng)底層等全方面的知識，而高校主要作為網(wǎng)站系統(tǒng)的應(yīng)用者，基本上沒有專門的安全攻防人員來負(fù)責(zé)網(wǎng)站安全，因此，對網(wǎng)站只能進(jìn)行被動的管理，無法發(fā)現(xiàn)網(wǎng)站在運行過程中存在的安全隱患，很難做到事前防御。

二、高校網(wǎng)站安全防護(hù)的有效對策

1.網(wǎng)站程序編寫

網(wǎng)站建設(shè)中的程序編寫是網(wǎng)站安全的重要風(fēng)險源，也是網(wǎng)絡(luò)黑客經(jīng)常攻擊的軟肋，為強(qiáng)化網(wǎng)站的安全性，保障網(wǎng)站平穩(wěn)運行，網(wǎng)站建設(shè)和維護(hù)人員要重視這一風(fēng)險點，提高網(wǎng)站的穩(wěn)定性和安全性。因此，為避免網(wǎng)站程序漏洞，網(wǎng)站制作之初就應(yīng)從嚴(yán)要求。嚴(yán)格審核程序代碼編寫的規(guī)范性，增強(qiáng)技術(shù)壁壘，將安全隱患消滅在源頭。例如，在編寫程序代碼時，要對用戶輸入數(shù)據(jù)進(jìn)行驗證，規(guī)范數(shù)據(jù)的大小、類型和字符串，要限制API函數(shù)對系統(tǒng)資源的使用，還要對Web服務(wù)器資源進(jìn)行限制，防止服務(wù)遭攻擊。除自主開發(fā)，也可以購買專業(yè)的網(wǎng)站管理系統(tǒng)，可獲得及時的維護(hù)和升級服務(wù)，提高網(wǎng)站安全性。

2.服務(wù)器安全設(shè)置

服務(wù)器是網(wǎng)絡(luò)黑客攻擊的重點，嚴(yán)重可以造成整個網(wǎng)絡(luò)的癱瘓，造成大量數(shù)據(jù)的泄漏或毀滅，給網(wǎng)絡(luò)運行造成不可彌補的損失，是網(wǎng)站安全防護(hù)的重中之重。所以，為保證網(wǎng)站安全、平穩(wěn)運行，必須從思想上重視對網(wǎng)站服務(wù)器的保護(hù)，及時更新操作系統(tǒng)安全補丁，提高服務(wù)器的抗攻擊能力，才能從根本上保證校園網(wǎng)絡(luò)的安全。如，在安裝系統(tǒng)服務(wù)時，只安裝必需的網(wǎng)絡(luò)服務(wù)，只開放必需的網(wǎng)絡(luò)端口，其它不用的端口可以暫時關(guān)閉。在服務(wù)器配置方面，為每個賬戶設(shè)置最小的管理權(quán)限，為不同的安全等級設(shè)置不同訪問的賬戶。同時，修改管理員Administrator用戶名并設(shè)置復(fù)雜的密碼，禁用Guest用戶，關(guān)閉磁盤共享和遠(yuǎn)程登錄功能等。另外，需要安裝殺毒軟件，經(jīng)常查殺病毒和木馬。對Web服務(wù)器軟件可能存在的漏洞，一方面要及時更新最新版本的軟件；另一方面要針對漏洞安裝補丁，進(jìn)行相應(yīng)的配置，做好預(yù)防工作。

3.網(wǎng)站文件夾權(quán)限設(shè)置

IIS是由微軟公司提供的基于Microsoft Windows運行的互聯(lián)網(wǎng)基本服務(wù)。在IIS中，應(yīng)刪除默認(rèn)站點和默認(rèn)站點目錄，創(chuàng)建自己的網(wǎng)站，以增強(qiáng)網(wǎng)站的安全性。同時，配合操作系統(tǒng)NTFS權(quán)限來設(shè)置網(wǎng)站目錄和文件訪問權(quán)限。如果是靜態(tài)網(wǎng)頁所在目錄，可給予讀的權(quán)限；如果是動態(tài)網(wǎng)頁所在目錄，可給予腳本資源訪問權(quán)限；如果是數(shù)據(jù)庫文件所在目錄，可給予讀寫的權(quán)限。另外，刪除IIS中不必要的腳本映射，啟用網(wǎng)站日志記錄，為日后網(wǎng)站安全分析提供依據(jù)。

4.安裝硬件防火墻、入侵檢測系統(tǒng)、Web應(yīng)用防火墻

在校園網(wǎng)安全建設(shè)中，要重視網(wǎng)絡(luò)安全設(shè)備配置，通過硬件防火墻、入侵檢測系統(tǒng)、Web應(yīng)用防火墻等構(gòu)筑網(wǎng)絡(luò)安全防護(hù)體系。硬件防火墻是保障內(nèi)網(wǎng)安全的一道重要屏障。它能在Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶入侵。硬件防火墻的安全性和穩(wěn)定性直接關(guān)系到整個內(nèi)網(wǎng)的安全。因此，日常例行檢查對于保證硬件防火墻的安全非常重要。

5.網(wǎng)站日常管理維護(hù)

除技術(shù)層面的安全防護(hù)外，網(wǎng)站日常管理維護(hù)也是必不可少的環(huán)節(jié)。首先，在人員配置方面，需要安排專業(yè)技術(shù)人員從事網(wǎng)站日常管理維護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)、網(wǎng)站服務(wù)器、網(wǎng)絡(luò)安全設(shè)備等方面的管理；其次，制定相應(yīng)的規(guī)章制度，責(zé)任到人，管理到位，建立安全應(yīng)急響應(yīng)及處置預(yù)案等；最后，要經(jīng)常對網(wǎng)站管理人員進(jìn)行培訓(xùn)，提高安全防范意識和技術(shù)水平，采用多種備份方式定期備份系統(tǒng)和網(wǎng)站數(shù)據(jù)，以便在出現(xiàn)問題時能及時恢復(fù)。

網(wǎng)站的安全是整體的、動態(tài)的，因此需要制定全方位的網(wǎng)站安全策略來保障高校網(wǎng)站的安全。構(gòu)建高校網(wǎng)站安全體系不僅要用到各種網(wǎng)絡(luò)安全技術(shù)，還需要建立完善的網(wǎng)站安全管理制度，培養(yǎng)專門的網(wǎng)站管理人才，并在組織、人員和經(jīng)費上確保各項管理制度得以全面落實，只有這樣，才能有效地實現(xiàn)高校網(wǎng)站安全、可靠、穩(wěn)定地運行。

（作者單位：無錫南洋職業(yè)技術(shù)學(xué)院）