孫愷

【摘 要】隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與全面覆蓋，網(wǎng)站安全問題已經(jīng)成為各大校園信息中心負責(zé)人需要解決的重中之重。校園網(wǎng)站已經(jīng)從一個簡單地發(fā)布信息、展示校園內(nèi)容的平臺，逐步轉(zhuǎn)變成為了匯集學(xué)院教學(xué)管理、招生就業(yè)、培訓(xùn)鑒定、信息發(fā)布的多功能的綜合載體。如何解決校園網(wǎng)站的安全隱患，保證網(wǎng)站正常運行，是仁者見仁智者見智的問題。文章主要針對當(dāng)前網(wǎng)站的特點以及目前出現(xiàn)的一些問題，進行相關(guān)分析，引出更加高效的適合于校園網(wǎng)站的安全策略。

【關(guān)鍵詞】網(wǎng)站安全；維護；校園網(wǎng)站

中圖分類號： TP393.092 文獻標(biāo)識碼： A 文章編號： 2095-2457（2018）12-0141-002

DOI：10.19694/j.cnki.issn2095-2457.2018.12.062

0 引言

近幾年來，中職學(xué)院網(wǎng)站建設(shè)從以前簡單的發(fā)布信息逐步變成了學(xué)院理念宣傳的重要平臺，網(wǎng)站能夠提升學(xué)院的知名度，并取得了較好的社會效益。在互聯(lián)網(wǎng)時代，一個學(xué)生如果想要了解一個學(xué)院的基本情況，基本上都是通過該學(xué)院的網(wǎng)站來作為第一選擇的，那么，學(xué)院網(wǎng)站的建設(shè)和管理就顯得額外的重要，可以說網(wǎng)站關(guān)系著中職學(xué)院的名譽和顏面。就目前來看，中職院校的網(wǎng)站管理還存在著許多情況，特別是管理上的漏洞。許多黑客通過病毒入侵對學(xué)院網(wǎng)站進行攻擊，將學(xué)院網(wǎng)站進行黑鏈鏈接至非法網(wǎng)頁或者國外服務(wù)器，對學(xué)院造成非常大的不好影響，在當(dāng)今時代，對網(wǎng)站的安全進行嚴密安全的維護和管理是勢在必行的，也可以說是非常重要的。

1 網(wǎng)站存在的漏洞以及安全維護措施

從上述可以看到，做好網(wǎng)站安全的必要性，但是想要將網(wǎng)站的安全系數(shù)提升，網(wǎng)站管理員將自身工作做好，就需要具備很強的業(yè)務(wù)理論和實際操作能力，有目的性的去實施一系列的安全措施，具體來說將校園網(wǎng)站管理好和提升安全性需要做好以下幾個方面：

1.1 網(wǎng)站沒有WEB防火墻防護，經(jīng)常被非法攻擊，篡改網(wǎng)頁，存在嚴重的網(wǎng)絡(luò)安全漏洞

一般情況下，學(xué)院的Web服務(wù)器一般都是存放在本學(xué)院的中心機房網(wǎng)站服務(wù)器上，極個別學(xué)院會放在相關(guān)網(wǎng)絡(luò)安全服務(wù)器上進行運行，這樣會給一些黑客可乘之機，會將學(xué)院網(wǎng)站變成肉雞，進行黑鏈，連接到一些不法網(wǎng)站上面去。所以通常情況下，我們都會安裝Web應(yīng)用防火墻。Web應(yīng)用防火墻能提前發(fā)現(xiàn)預(yù)警、實時防護及事后追溯分析，完成了從事前Web掃描、事中Web防護、事后Web防篡改“三位一體”的防護體系。從網(wǎng)絡(luò)層、應(yīng)用層4層Web 安全掃描與檢查，網(wǎng)頁防篡改、Web安全掃描互動，網(wǎng)絡(luò)層、應(yīng)用層D.DoS，構(gòu)建立體式防護網(wǎng)絡(luò)。從而真正對web 防護提供一套全方面安全體系。網(wǎng)頁防篡改軟件，是安全在服務(wù)器上一套安全的防篡改插件?；谖募A驅(qū)動級保護技術(shù)，事件觸發(fā)機制，確保系統(tǒng)資源不被浪費。與WAF 聯(lián)動：網(wǎng)頁防篡改（端點技術(shù)）與WAF 聯(lián)動，阻斷Web 威脅。采用文件級驅(qū)動保護技術(shù)后，用戶每次訪問每個受保護網(wǎng)頁時，Web 服務(wù)器在發(fā)送之前都進行完整性檢查，保證網(wǎng)頁的真實性，可以徹底杜絕篡改后的網(wǎng)頁被訪問的可能性，要支持Windows Server 2008/Win7/Win 8/ Win10， Linux/BSD系統(tǒng)的網(wǎng)頁防篡改。

1.2 經(jīng)常性的與制作網(wǎng)站的技術(shù)人員進行溝通

關(guān)于校園網(wǎng)絡(luò)的建設(shè)，有的是掏錢請外面公司制作的；有的是自己學(xué)校的相關(guān)計算機專業(yè)的老師團隊制作的。網(wǎng)站管理維護人員最好參與校園網(wǎng)站的建設(shè)，這樣才能在根本上明白網(wǎng)站的設(shè)計，方便進行網(wǎng)站維護與管理。如果只是在網(wǎng)站上線后接手，對網(wǎng)站中的情況一無所知，這樣根本無從進行管理。由于制作網(wǎng)站的設(shè)計者在根本上都會將主要精力放在如何滿足學(xué)院的網(wǎng)站界面的色彩搭配、美觀程度以及對于基本業(yè)務(wù)基本功能的實現(xiàn)和需求，從根本上忽略了網(wǎng)站開發(fā)過程中所存在的安全隱患和完全漏洞。所以作為網(wǎng)站管理人員要經(jīng)常性的與制作網(wǎng)站的技術(shù)人員進行溝通是很有必要的。

1.3 網(wǎng)站數(shù)據(jù)庫SA賬戶盡量不用，數(shù)據(jù)庫的權(quán)限

一般情況下，學(xué)院服務(wù)器會有很多個，許多數(shù)據(jù)庫的用戶名默認都是SA，比如圖書管理系統(tǒng)、評教系統(tǒng)、教務(wù)管理系統(tǒng)等等，如果用戶名都為SA的話，對于數(shù)據(jù)庫來說會出現(xiàn)密碼錯誤問題，經(jīng)常性的出現(xiàn)問題。所以為了避免出現(xiàn)這樣的問題，我們應(yīng)該將網(wǎng)站數(shù)據(jù)庫的SA賬戶盡可能不使用，防止出現(xiàn)漏洞被黑客進行攻擊。

1.4 網(wǎng)站改編，安全性要求要高

網(wǎng)站安全的第一步其實在編寫該網(wǎng)站代碼的時候就應(yīng)該加載進去，網(wǎng)站最終實現(xiàn)的是一個平臺的展示，而不單純是一個網(wǎng)頁效果的展現(xiàn)，網(wǎng)站編寫時最重要的把網(wǎng)絡(luò)安全加載進自己的網(wǎng)站里面，使自己的網(wǎng)站不光要外表美觀，最重要的是安全防護能力，如果網(wǎng)站做得十分精美，但是卻天天遭受攻擊，使得網(wǎng)站不能正常使用，又有何用？

1.5 服務(wù)器使用安全策略，對于部分端口進行控制或者卸載

網(wǎng)絡(luò)用戶的主觀行為是網(wǎng)站安全的最大“敵人”，所以需要從職業(yè)道德和安全技術(shù)兩方面來保證網(wǎng)絡(luò)的安全性。從技術(shù)角度上來看，控制網(wǎng)絡(luò)用戶的主觀行為主要是要根據(jù)網(wǎng)絡(luò)用戶的合法性來控制物理通信端口的狀態(tài)（開放或者關(guān)閉），從而達到限制或者阻止網(wǎng)絡(luò)用戶的惡意主觀行為的效果。具體步驟可以在交換機上點擊“高級規(guī)則”“添加規(guī)則名”選中“設(shè)置端口規(guī)則”在TCP端口控制里選中“只允許通過”點擊“添加”添加相應(yīng)的端口，點“確定”即可。

1.6 服務(wù)器遠程控制最好局限于本地，不要開放給外部

如果有服務(wù)器上操作系統(tǒng)的賬號、密碼以及該服務(wù)器的ip地址，而且是管理員組的賬號，可以考慮用telnet登陸該服務(wù)器；如果只是進行普通的文件操作。上傳、下載之類等，那么還可以用tcp命名管道的方式與對方連接，一般通過映射網(wǎng)絡(luò)驅(qū)動器的方式來解決，如果需要別人遠程操作，可以使用qq里的遠程協(xié)助，在登錄服務(wù)器里打開QQ軟件，接受QQ遠程協(xié)助，但是需要對遠程協(xié)助的技術(shù)人員要確定。

1.7 文件夾讀寫權(quán)限要設(shè)置好

加強權(quán)限設(shè)置也是我們保證網(wǎng)站安全的一個很重要的因素。在通常情況下網(wǎng)站管理人員需要對網(wǎng)站服務(wù)器以及其他的服務(wù)器的使用權(quán)限進行嚴格的設(shè)置，尤其是文件夾的讀取和寫入權(quán)限特別的重要，只有這樣才能夠保證在一臺服務(wù)器受到攻擊或者出現(xiàn)問題的時候，網(wǎng)站服務(wù)器和其他服務(wù)器不受到牽連和波及，可以盡可能的避免這類問題的發(fā)生。在安裝PHP在用IIS搭建網(wǎng)站時，某些文件和目錄的訪問權(quán)限是受限的，但是取消文件或目錄屬性中的“只讀”勾選后，仍舊不能解決網(wǎng)站訪問權(quán)限的問題。這是由于網(wǎng)站目錄訪問權(quán)限和本地目錄訪問權(quán)限是不一樣的。那網(wǎng)站下的目錄設(shè)置權(quán)限需要打開網(wǎng)站根目錄的“屬性”窗體，切換到“安全”選項框，在“安全”選項框中，有該目錄權(quán)限的組或用戶，以及對應(yīng)的權(quán)限。點擊“編輯”按鈕，在打開的“權(quán)限”對話框中，再點擊“添加”按鈕，依次添加匿名用戶IUSR和和用戶組IIS_IUSRS，對于網(wǎng)站的根目錄，通常只需要賦予“讀取”，“列出文件夾內(nèi)容”和“讀取和執(zhí)行”的權(quán)限。如果在網(wǎng)站下某些文件或目錄需要寫入權(quán)限，則單獨在這些文件或目錄的IUSR和IIS_USRS權(quán)限上添加“寫入”權(quán)限，通過這種方式完成網(wǎng)站的訪問權(quán)限設(shè)置。

1.8 網(wǎng)站程序有上傳功能的地方要有所限制，注意上傳漏洞

“上傳漏洞”入侵是目前對網(wǎng)站最廣泛的入侵方法。90%的具有上傳頁面的網(wǎng)站，都存在上傳漏洞。一、能直接上傳asp文件的漏洞如果網(wǎng)站有上傳頁面，就要警惕直接上傳asp文件漏洞。如果校園論壇頁面對上傳文件擴展名過濾不嚴，導(dǎo)致黑客能直接上傳asp文件，因此黑客只要打開upfile.asp頁直接上傳，asp木馬即可拿到webshell、擁有網(wǎng)站的管理員控制權(quán)。為了防范此類漏洞，建議網(wǎng)站采用最新版程序建站，因為最新版程序一般都沒有直接上傳漏洞，當(dāng)然刪除有漏洞的上傳頁面，將會最安全，這樣黑客再也不可能利用上傳漏洞入侵了！如果不能刪除上傳頁面，為了防范入侵，建議在上傳程序中添加安全代碼，禁止上傳asp/asa/js/exe/com等類文件，這需要管理者能看懂a(chǎn)sp程序。

1.9 備份任務(wù)，網(wǎng)站代碼要經(jīng)常備份

對網(wǎng)站全部數(shù)據(jù)的備份包括下面兩種情況：一是對網(wǎng)站數(shù)據(jù)備份，比如網(wǎng)站文章和圖片以及其他信息；二是對網(wǎng)站源碼備份，比如網(wǎng)站管理后臺程序源碼，比如后臺文件有多種自己開發(fā)的插件功能時候，或者當(dāng)網(wǎng)站代碼被惡意入侵修改時候，備份的代碼就可以發(fā)揮用處。要完整的備份網(wǎng)站，以上兩種情況都要做到，才算完成數(shù)據(jù)的備份，默認數(shù)據(jù)會存放在data/backupdata文件里面，也可以單獨拷貝到本地，以備后需，每次備份都會自動覆蓋舊信息。數(shù)據(jù)備份好后還要對源碼進行備份，首先要登錄網(wǎng)站空間后臺，找到網(wǎng)站安裝目錄，點擊【全選】，選擇全部的后臺源碼文件，在點擊【壓縮】生成的格式，一般apache服務(wù)器生成.zip后綴的格式，其他服務(wù)器類型選擇.rar格式就好。待壓縮完成后，在使用FTP工具下載我們已經(jīng)打包的文件到本地，此時文件已經(jīng)包含了網(wǎng)站數(shù)據(jù)文件和網(wǎng)站源碼，下次使用時候直接安裝此源碼就好。

1.10 網(wǎng)站各大板塊負責(zé)人的使用權(quán)限

對于校園網(wǎng)絡(luò)來說，基本上都是各個部門分別有一個板塊負責(zé)人，他們各司其職，各管各自的版塊，很容易出現(xiàn)問題，被黑客進行攻擊。對于網(wǎng)站各個版塊負責(zé)人要盡可能保證不要經(jīng)常進行更換，對于各個部門的個人權(quán)限一定要設(shè)置清楚，如果有可能的話最好對版塊負責(zé)人的網(wǎng)站信息更新行為進行遠程監(jiān)控以及行為管理，這樣可以盡可能有效的防止黑客利用網(wǎng)站版塊負責(zé)人的用戶使用權(quán)限來進行對于校園網(wǎng)站的攻擊。

2 結(jié)束語

隨著網(wǎng)絡(luò)的普及和發(fā)展，做好網(wǎng)站安全工作已經(jīng)成為了目前各大院校網(wǎng)絡(luò)安全的重中之重。網(wǎng)站維護管理人員必須要加強自身的網(wǎng)絡(luò)安全意識，不斷地學(xué)習(xí)先進的網(wǎng)站與網(wǎng)絡(luò)知識，從而保證網(wǎng)站的安全、高效、穩(wěn)定運行。

【參考文獻】

[1]張強.淺談高校網(wǎng)絡(luò)安全解決方案.實驗室科學(xué)，2013（8）.

[2]史京.網(wǎng)站安全維護的問題與建議綜述.電子技術(shù)與軟件工程.2016（4）.

[3]龔建明.淺談網(wǎng)站的日常維護與安全管理.計算機光盤軟件與應(yīng)用，2011（22）.