學(xué)校門戶網(wǎng)站等級保護(hù)思考

引言： 學(xué)校門戶網(wǎng)站已成為宣傳學(xué)校新手段新方法，可以代表學(xué)校形象,網(wǎng)站各種安全隱患常常被一些不法分子利用,因此，必須充分認(rèn)識加強(qiáng)信息安全體系建設(shè)的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，帶動教育信息化快速前行，學(xué)校均通過建立自己的門戶網(wǎng)站，用于展示校園文化、教師風(fēng)采、學(xué)生風(fēng)貌、教育理念等，成為學(xué)校對外宣傳、形象展示和溝通交流的平臺，實現(xiàn)學(xué)校對外聯(lián)系的信息化和網(wǎng)絡(luò)化，從而提升學(xué)校對外形象，提高軟實力，增強(qiáng)綜合競爭力。

門戶網(wǎng)站安全管理的重要性

學(xué)校門戶網(wǎng)站已成為宣傳學(xué)校新手段新方法，可以代表學(xué)校形象，具有其他商務(wù)網(wǎng)站無法比擬的嚴(yán)肅性和權(quán)威性。由于網(wǎng)站建立在完全開放的互聯(lián)網(wǎng)上，各種安全隱患常常被一些不法分子利用，學(xué)校越有名受不法分子利用的可能性就越大，其對網(wǎng)站進(jìn)行惡意操作，如網(wǎng)頁被篡改、被上傳病毒、掛木馬、論壇發(fā)布不當(dāng)言論等，導(dǎo)致安全事件，造成門戶網(wǎng)站無法正常工作，嚴(yán)重影響學(xué)校相關(guān)工作的順利進(jìn)行，從而影響到學(xué)校的形象。政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點目標(biāo)，學(xué)校網(wǎng)站也出現(xiàn)多次被攻擊現(xiàn)象，安全漏洞是重要信息系統(tǒng)遭遇攻擊的主要內(nèi)因。因此，必須充分認(rèn)識加強(qiáng)信息安全體系建設(shè)的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

信息系統(tǒng)安全等級保護(hù)制度

近年來，我國對信息系統(tǒng)實施信息系統(tǒng)安全等級保護(hù)制度，為網(wǎng)站信息安全管理提供了一套切實可行的辦法。信息安全等級保護(hù)制度是開展信息安全工作的基本方法,促進(jìn)信息化、維護(hù)國家信息安全。

信息和信息系統(tǒng)的安全保護(hù)等級共分五級： 第一級為自主保護(hù)級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益。第二級為指導(dǎo)保護(hù)級，適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。第三級為監(jiān)督保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。第四級為強(qiáng)制保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。第五級為?？乇Ｗo(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。中小學(xué)門戶網(wǎng)站一般定級為二級，對于二級標(biāo)準(zhǔn)，國家有著嚴(yán)格的建設(shè)標(biāo)準(zhǔn)，中小學(xué)門戶網(wǎng)站管理者應(yīng)該嚴(yán)格按照信息安全等級保護(hù)制度所規(guī)定的級別進(jìn)行建設(shè)與管理，執(zhí)行國家法律法規(guī)要求。

學(xué)校門戶網(wǎng)站信息安全管理現(xiàn)狀

學(xué)校門戶網(wǎng)站的管理者是重網(wǎng)站發(fā)布信息內(nèi)容，輕信息安全管理，主要表現(xiàn)在五個方面：

1.網(wǎng)站存放的軟硬件環(huán)境不符合安全要求

學(xué)校管理者目前對學(xué)校門戶網(wǎng)站有深刻認(rèn)識，但對信息安全管理卻大大滯后于網(wǎng)站內(nèi)容管理。網(wǎng)站存放的軟硬件不達(dá)標(biāo)，機(jī)房無法滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應(yīng)要求。網(wǎng)站存放的操作系統(tǒng)及網(wǎng)站軟件存有漏洞，系統(tǒng)訪問策略設(shè)置容易造成網(wǎng)站受到攻擊。

2.網(wǎng)站安全管理制度欠缺

就本地區(qū)學(xué)校調(diào)查，多數(shù)學(xué)校對信息安全管理制度建立空缺，或者所建立的安全管理制度沒有實質(zhì)的可操作性，只是為應(yīng)付檢查所設(shè)立，對制度的制定與發(fā)布流程、方式和范圍均沒有詳實表述，制度制定完成后沒有任何后續(xù)工作，而是直接束之高閣。

3.網(wǎng)站安全管理機(jī)構(gòu)形同虛設(shè)

學(xué)校管理者建立的信息安全管理機(jī)構(gòu)只是一個機(jī)構(gòu)，按規(guī)定配備了安全管理崗位人員，但崗位人員對崗位安全管理職責(zé)無論是理論知識還是實踐經(jīng)驗都欠缺，有的崗位人員只是一個掛名，無法真實的履行自己的工作職責(zé)。同時，學(xué)校管理人員發(fā)生變動后，管理機(jī)構(gòu)的人員仍舊為以前人員，沒有進(jìn)行及時變更，造成空窗期。

4.網(wǎng)站管理人員管理放縱

針對網(wǎng)站進(jìn)行操作人員沒有專門指定，隨意授權(quán)人員進(jìn)行操作，操作沒有正式記錄與操作工作流程，知曉網(wǎng)站相關(guān)操作密碼就可以進(jìn)行各種權(quán)限操作，造成多種人員輕易就操作到網(wǎng)站內(nèi)核及所在的物理設(shè)備。

5.網(wǎng)站運維管理空白

學(xué)校門戶網(wǎng)站建成投入使用后，只有少數(shù)人員對網(wǎng)站內(nèi)容進(jìn)行不定期管理，而網(wǎng)站其他的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等都沒有。當(dāng)受到攻擊后，無法及時進(jìn)行有序處理，通常手忙腳亂狀態(tài)。

完善學(xué)校門戶網(wǎng)站信息安全管理體系

信息系統(tǒng)安全等級保護(hù)制度已經(jīng)確立了一套完整的信息安全管理體系，它依據(jù)信息系統(tǒng)的安全保護(hù)等級情況保證它們具有相應(yīng)等級的基本安全保護(hù)能力，不同安全保護(hù)等級的信息系統(tǒng)要求具有不同的安全保護(hù)能力。每一級別均有針對自己的基本安全要求，根據(jù)實現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大方面。基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾方面提出，二者為不可分割兩部分。學(xué)校門戶網(wǎng)站應(yīng)該嚴(yán)格按照等級保護(hù)所提出的五個級別進(jìn)行準(zhǔn)確定級，獲得相關(guān)部門批準(zhǔn)后，嚴(yán)格落實等級保護(hù)所確認(rèn)的級別標(biāo)準(zhǔn)要求，完善學(xué)校門戶網(wǎng)站的信息安全管理體系。網(wǎng)站的管理者應(yīng)該重點強(qiáng)化關(guān)注六個方面：

1.網(wǎng)站存放的物理環(huán)境

網(wǎng)站存放的物理環(huán)境，機(jī)房出入應(yīng)該專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入人員；機(jī)房滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應(yīng)。網(wǎng)絡(luò)結(jié)構(gòu)安全，設(shè)備滿足業(yè)務(wù)能力，帶寬滿足業(yè)務(wù)，網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，建立訪問控制列表。網(wǎng)絡(luò)設(shè)備具有防護(hù)能力。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有身份識別，依據(jù)安全策略控制用戶對資源的訪問，限制默認(rèn)用戶的訪問權(quán)限，刪除多余、過期賬戶。具有入侵防范和惡意代碼防范功能。對登錄用戶進(jìn)行身份鑒別，提供訪問控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問，采用給定通信會話方式保護(hù)通信完整，具有軟件容錯功能。能夠檢測到重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，就對重要信息進(jìn)行備份和恢復(fù)。

2.安全管理制度方面

安全管理制度應(yīng)在信息安全領(lǐng)導(dǎo)機(jī)構(gòu)總體負(fù)責(zé)下統(tǒng)一制定，制定過程中要進(jìn)行論證和審定，內(nèi)容滿足基本技術(shù)要求和基本管理要求，涵蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等多個方面。同時，制度的制定要做到具有切實可行的可操作性。發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時，可以按照制度進(jìn)行操作，結(jié)束后要對安全管理制度進(jìn)行重新審定，對需要改進(jìn)的制度進(jìn)行修訂。

3.安全管理機(jī)構(gòu)方面

學(xué)校門戶網(wǎng)站投入運行前，要設(shè)立指導(dǎo)和管理信息安全工作專門機(jī)構(gòu)，機(jī)構(gòu)人員要由單位主管領(lǐng)導(dǎo)委任或授權(quán)人員擔(dān)任。通過正式文件明確安全管理機(jī)構(gòu)的職責(zé)，不能出現(xiàn)只有機(jī)構(gòu)而無人落實具體工作的情況。機(jī)構(gòu)內(nèi)部設(shè)立安全管理各個方面的負(fù)責(zé)人，如系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，明確崗位職責(zé)分工。學(xué)校人員短缺可以進(jìn)行部分崗位交叉兼任。嚴(yán)管安全管理機(jī)構(gòu)內(nèi)部的審批權(quán)限，重視管理制度的制定和發(fā)布、人員的配備與培訓(xùn)、產(chǎn)品的采購等。組織定期對網(wǎng)站信息系統(tǒng)進(jìn)行安全檢查，留存安全檢查報告、檢查過程記錄、審計分析報告、安全檢查表格等必備的書面材料。

4.人員安全管理方面

錄用人員時，要對人員的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，錄用后與其簽署相關(guān)協(xié)議，明確說明工作職責(zé)，確保錄用的安全管理和技術(shù)人員有能力完成工作職責(zé)。人員離崗時，及時終止其所有訪問權(quán)限，收回工作門禁卡，交接所負(fù)責(zé)的資產(chǎn)，必要時要求離職人員承諾相關(guān)保密義務(wù)，及時更換所掌握密碼。其次，定期對各個崗位人員進(jìn)行安全技能及安全知識的考核，對違背安全策略和規(guī)定的人員有明確的懲戒措施并落實到位。再次，定期開展人員安全意識教育和培訓(xùn)，預(yù)先制定教育培訓(xùn)計劃并抓好落實。對外部人員訪問采取合理的管理措施并要求保密。

5.系統(tǒng)建設(shè)管理方面

網(wǎng)站建設(shè)初期就要有安全方案設(shè)計，由專門部門及專門人員對門戶網(wǎng)站的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃，根據(jù)門戶網(wǎng)站確定的安全級別選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施。同時，根據(jù)門戶網(wǎng)站確定的級別要求，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案等，在制定過程中要組織有關(guān)部門和安全技術(shù)專家對其進(jìn)行論證和審定，并根據(jù)安全測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略等配套文件。在產(chǎn)品采購上，指定專門部門負(fù)責(zé)產(chǎn)品的采購，產(chǎn)品選擇應(yīng)優(yōu)先選擇通過國家認(rèn)定的安全產(chǎn)品。

6.系統(tǒng)運行維護(hù)管理方面

嚴(yán)格按照建立時制定的安全策略，對服務(wù)器進(jìn)行正確配置，按操作規(guī)程對服務(wù)器進(jìn)行操作，對軟硬件維護(hù)制度化管理，建立服務(wù)器的操作日志，定期檢查管理情況。監(jiān)控網(wǎng)站服務(wù)器的各項資源指標(biāo)，如 CPU、內(nèi)存、硬盤等使用情況，明確門戶網(wǎng)站所涉及內(nèi)容由誰負(fù)責(zé)運行維護(hù)，專人保管系統(tǒng)運行所產(chǎn)生的各類文檔。網(wǎng)絡(luò)安全專人負(fù)責(zé)，定期查看維護(hù)網(wǎng)絡(luò)運行日志、監(jiān)控記錄和分析處理報警信息等網(wǎng)絡(luò)安全管理工作。按照國家相關(guān)管理部門規(guī)定，劃分安全事件種類，按對網(wǎng)站的影響程度劃分等級，發(fā)現(xiàn)安全線索和可疑事件時要求及時報告，使安全事件的報告和響應(yīng)處理過程制度化、文檔化。制定有針對性的應(yīng)急預(yù)案，內(nèi)容覆蓋什么時候啟動預(yù)案、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后評估內(nèi)容，對網(wǎng)站相關(guān)的管理人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，成立應(yīng)急預(yù)案小組，并不定期對應(yīng)急預(yù)案進(jìn)行演練。