高校網站安全管理探討

前言：本站為你精心整理了高校網站安全管理探討范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：目前高校網站普遍存在著網站數量龐大、網站安全狀況差、對安全問題不重視等等問題，使網站安全成為高校網絡信息安全的短板。文章通過分析高校網站安全的現狀及產生的原因，提出通過構建網站信息安全臺帳、建立網站安全準入與退出機制、實行安全責任人制度、統一網站建設平臺、完善安全技術保障等方式對高校網站安全進行管理，試圖為高校網站安全管理提供一些思路和方法。

關鍵詞：網站安全;高校網站;管理模式;網站群

1引言

隨著高校信息化程度的提高，網站作為信息交換和信息的重要工具，在高校的教學、科研、管理中扮演著越來越重要的角色[1]。高校除了學校中英文門戶網站外，各部處、各院系、重點實驗室甚至各實驗團隊都有自己的網站,大大小小的網站少則幾十個多則幾百個。由于經費和人員的限制，大部分高校的二級網站都是由二級單位自行建設管理，通過虛擬主機或者主機托管的形式寄存在網絡中心。由于網站建設的入門技術門檻比較低，很多二級網站是委托外面的公司或者學生進行建設，技術架構五花八門，有些甚至弄臺服務器下載個開源的網站后臺就搭建了一個網站，網站開發水平參差不齊，同時也缺乏專業技術人員進行維護，對安全漏洞無法進行整改，導致網站安全事故頻發。本文通過華南理工大學網站安全管理的實踐及結合其他高校的網站安全管理的辦法，探討如何在目前復雜的安全形勢下對高校網站進行安全管理。

2高校網站安全現狀

根據《2013中國高校網站安全檢測報告》顯示，國內高校網站安全檢測平均成績僅為55分，約2/3的高校網站安全狀況不及格，存在網站被篡改、植入木馬病毒等安全風險,中國高校網站安全普遍存在“網站建設和管理不統一、網站日常維護缺失、對于網站安全不重視、網站信息保護意識差、軟件系統漏洞、服務器漏洞”六大安全隱患。為黑客入侵提供了機會。據媒體報道，自2014年4月至2015年3月的12個月間，補天平臺上顯示的有效高校網站漏洞多達3495個，涉及高校網站1088個。其中，高危漏洞2611個，占74.7%；中危漏洞691個，占19.8%；低危漏洞193個，占5.5%。過去一年間，在被告知網站存在漏洞后，會修復漏洞的高校網站只有35個，僅186個漏洞被修復，96.8%的高校網站完全無視安全漏洞的存在，94.6%的高校網站安全漏洞未被修復。高校網站面臨的安全形勢非常嚴峻，隨著網站數量不斷增加，一方面安全漏洞頻出，另一方面卻漏洞卻長期得不到修復，造成高校網站安全困境的原因究竟是什么，結合我們多方面的調查和研究大體分成以下幾方面：

1）網站建設和管理不統一。大部分的高校由于人員和經費問題,二級網站建設都是各個學院二級單位各自負責建設，網站建設的技術和水平參差不齊,導致學校網站安全整體上管理困難。

2）網站維護技術力量缺失。由于大部分二級網站的網站維護人員基本都是進行內容維護,對網站的服務器安全和系統漏洞等沒有技術力量進行維護,就算被告知有安全漏洞也不知道怎么去修復，特別是涉及程序代碼上的sql注入之類的高危漏洞，更是無從下手，導致高校的漏洞修復率極低。

3）對網站安全不重視。目前大部分網站主辦單位相關領導缺乏網絡和信息安全責任意識，對網站安全的重要性認識不足，對網站安全漏洞的危害性也認識不足，在沒有出安全事故前抱有僥幸的心理。

3高校網站安全管理

高校網站安全面臨著重大的挑戰，如何在現有情況下對高校網站安全進行高效、統一的管理，經過我們這幾年在高校網站安全管理的實踐并結合其他高校的經驗，從構建網站信息安全臺帳、建立網站安全準入與退出機制、實行安全責任人制度、統一網站建設平臺、完善安全技術保障等五大方面對高校網站安全管理模式進行探討，具體如下：

3.1實行網站信息登記制度

構建網站信息安全臺帳信息安全臺帳是信息安全管理的基礎,我們在做網站安全管理的時候,首先需要了解學校到底有多少網站,分別歸屬于哪些單位管理和建設,網站的用途,網站采用的技術架構,網站服務器的基本情況,網站管理員的情況等等,只有建立了網站信息安全臺帳,我們在網站安全管理的時候才能有的放矢,在出現安全故障時才能夠快速聯系到網站的負責單位和負責人進行相關處理，相關技術漏洞出現后可以及時通知進行補丁修復。建立網站信息安全臺帳，是通過每年下發公文要求各單位自行申報自辦及下屬單位網站，這樣可以了解大部分網站的建設信息；另外對于新建網站，在申請開通校外訪問端口和學校域名之前必須先進行網站信息登記；

3.2建立網站安全準入與退出機制

網站安全準入是指學校單位在申請自建網站和網站的時候必須經過學校的網站備案和安全檢測，確保只有安全性符合要求的網站才可入互聯網，從源頭就把存在安全問題的網站拒之門外。網站歸檔退出是針對不再使用的網站或長期無人管理維護的網站而建立的一種退出機制，其目的在于清退無用的網站，減少網站安全風險。同時對于有重大安全隱患的網站采取下線處理，等待整改通過后才允許上線。

3.3明確安全責任主體

實行安全責任人制度學校成立信息安全領導小組,由校領導擔任組長,并任命各單位主要負責人是網絡與信息安全的第一責任人，負責整個單位的網絡和信息安全;明確網站“誰主辦誰負責”的責任制度，之前很多單位都對網站安全認識不足或者認為網站安全問題應該歸學校相關技術部門管，通過明確責任主體，讓各單位開始重視自建網站的安全問題，推動各級單位領導重視網站安全問題，積極配合網站安全漏洞修復。

3.4提供統一網站建設平臺

減少安全風險高校早期的網站基本上是各部門委托公司或者找學生利用ASP、JSP等語言開發的動態網站，由于網站管理維護跟不上，加上開發人員水平參差不齊，網站漏洞百出，經常面臨被掛木馬、SQL注入、腳本漏洞攻擊等威脅。[4]在被通報的各類高校網站安全事故中大部分是一些二級單位子網站，高校主網站相對比較安全；遍布在學校各學院、部處、直屬單位甚至各實驗室的大大小小幾十個甚至上百個網站，為高校的網站安全管理帶來眾多的安全隱患。通過網站群系統，初步實現高校網站的統一部署、分級管理、信息共享和專人維護，改善了原有網站建設中的管理無序、信息孤島、資源浪費等現象。更為重要的是網站群系統作為學校信息基礎平臺是由有專業技術力量的信息辦或網絡中心進行管理和維護；網站群系統作為校級重點安全防護系統，通過第三方的等級保護評測，定期安全巡檢等措施保護網站群系統自身的安全。避免了二級單位自建網站缺乏技術力量導致的安全困境。

3.5完善網站安全架構和安全設備

為網站安全管理提供技術保障各類安全技術手段是高校網站安全策略的重要組成部分，通過完善網站安全架構，購買網站安全設備，為網站安全防護提供技術保障；在網站安全部署上一般通過網絡防火墻實行內外網隔離方式，網站的管理和端分開部署，管理端部署在內網，端部署在外網，的網站采用靜態化的方式，外網訪問管理端需要使用VPN進行連接；重要網站前端采用負載均衡設備，應對大規模訪問；實行外部存儲一天一備，并實行異地備份，以確保網站數據安全；核心的網站應用外部署WAF(web應用防火墻)進行防護,阻止網絡攻擊和sql注入；重要的靜態網站服務器通過采用強認證的網頁防篡改系統進行防護,比如主頁服務器和網站群系統服務器等。

4結論

高校網站安全管理是一項長期的艱巨的工作。在技術與管理的雙輪驅動下，除了文中所述及點外我們還需要通過建立健全的組織體系、管理規章和責任制度，進一步落實國家信息安全等級保護制度，增強安全預警、應急處置和災難恢復能力，提高高校網站整體安全防護水平。

參考文獻：

[1]張慶吉,曹連剛,趙玉秀.高校網站安全問題分析及其對策[J].電子商務,2010(6):58-59.

[2]360互聯網安全中心.2013年中國高校網站安全報告[EB/OL].北京：360互聯網安全中心.

[3]呂美敬,葉新恩,劉明剛.淺談高校網站群安全管理與對策分析[J].山東工業技術,2016(9):130-131.

[4]楊建軍.基于網站安全的解決方案[J].計算機安全,2011(10):52-56.

作者：陳瑛 單位：華南理工大學