高校網站安全防護體系化構建策略研究

摘 要：隨著信息技術的不斷發展與更新，網站應用越來越廣。高校網站是學校形象的體現，一旦發生安全事故，不僅會有損學校的名譽，還有可能造成重大損失。文章針對當前高校網站的現狀進行分析，提出構建體系化的校園網站安全防護策略，以提升網站的安全性。

關鍵詞：高校網站;安全防護;策略

近年來，隨著互聯網技術的高速發展，攻擊網站的技術手段也在不斷升級，導致網站安全事件層出不窮。高校中如學校主頁、招生就業、科研管理、教務、學工等網站與應用系統是學校的名片與形象，對學校發展舉足輕重，一旦遭到攻擊，將有損學校的名譽，甚至可能造成重大損失。然而，當前一些高校對網站安全的重視程度不高，安全防護措施不到位，因此有必要探討構建體系化的高校網站安全防護策略。

1 現狀分析

1.1 網站眾多

網絡技術的發展使得網站應用需求日益凸顯，高校行政和院系部門眾多，網站需求多樣，并且隨著辦學規模的擴大，網站數量快速增長。從門戶網站、行政部門網站、院系部門網站、科研機構網站、學生制作的網站到各類應用系統，高校的網站數量有上百個到近千個不等。

1.2 管理難度大

高校的網站來自不同部門，建設目的、建設人員、開發時期、使用技術不同，支撐網站的操作系統和數據庫版本也不同，且存放位置零散，缺乏統一的管理與規劃[1]。由于存在數量多、技術參差不齊、生命周期不同、責權不清、專業人員配置不足等問題，加之沒有一種技術或方法能夠消除網站中所有的安全隱患，造成了高校網站管理防護不到位，容易遭受攻擊。

1.3 安全意識薄弱

一些高校由于對網站安全不夠重視，人力、物力及財力投入不足，網絡設備陳舊，甚至沒有配備網站安全檢測與防護設備，加之缺乏安全管理制度[2]，管理人員安全意識不強，日常維護不到位，導致網站被掛馬或篡改，出現流量攻擊、甚至信息被竊取等問題。

2 網站安全防護體系化構建策略

高校網站安全管理，應從源頭開始，在其生命周期內，開展全方位、多維度的體系化防護。首先，應梳理出所有的在線網站，明確其基本信息和管理歸屬并進行備案登記;其次，按照安全管理制度對其執行上線管理、運行管控以及退出機制。

2.1 網站安全管理制度

完善網站安全管理制度，有利于規范、制約和協調網站安全管理。網站與應用系統在生命周期內各個時期對安全管理的要求不同，因此在制定網站安全管理制度時，應依據建設、備案、上線、運行與維護、退出等各階段，制定相應的管理制度[3]。如網站安全建設規范、網站備案登記制度、網站安全上線管理制度、網站安全運行制度，網站安全維護制度、網站退出歸檔制度等。所有的制度規范應由信息安全小組起草并由學校審批發布。網站安全管理制度應明確組織職責，且具有可操作性，其實施、運作應貫穿于網站和應用系統的全生命周期中。

2.2 網站梳理與備案

高校網站數量眾多、建設單位不一、建設時期不同、采用技術多樣，因此安全管理的第一步是全方位梳理網站信息。通過從網絡設備、業務應用、服務端口等多維度進行全面審查，匯總高校網站資產基本信息。資產狀態梳理包括記錄在線網站使用情況，對不在線網站，確認不再使用后，做退出和歸檔處理。設備梳理包括對設備類型、品牌、型號、操作系統版本進行詳細分類，為后續快速定位設備系統漏洞提供數據支撐。業務應用梳理則是關注業務所屬類型、制作者、開發框架、開發語言、中間件、域名等信息，方便快速定位Web應用漏洞。服務端口梳理包括常用端口、非標準端口、不合規端口，整改或關閉非標、不合規端口以減少攻擊目標，對常用端口進行監控管理。口令梳理包括記錄網絡設備及服務器口令、業務系統口令、數據庫口令，為弱口令治理提供依據。

對網站信息進行梳理后，則對學校所有網站進行備案登記，進行統一部署、統一防護，切實落實網站安全管理責任。在網站和應用系統的生命周期內，真正落實“誰主管誰負責、誰運維誰負責、誰使用誰負責”。備案內容包括但不限于網站名稱、域名、網站建設單位、單位負責人、啟用時間、開發語言、是否含有數據庫及數據庫類型、應用服務器IP、操作系統類型、是否通過安全監測等。

2.3 網站安全管理

網站安全管理應做到事前開展風險評估、事中運行防護與維護、事發應急響應、生命周期結束歸檔。

2.3.1 網站風險評估

校內所有網站在上線前，必須通過掃描系統進行合規性與安全性檢查，包括但不限于系統漏洞、中間件漏洞、Web漏洞、端口與弱口令掃描等。安全管理員通過漏洞掃描，輸出安全風險報告。信息安全管理部門將風險報告發送網站建設單位，要求其修復和整改不合規網站，待整改完成后再次進行安全掃描。通過不斷進行風險評估，確保網站自身安全、運行環境安全、數據安全都合規后，網站才允許配置域名并提供對外服務。

2.3.2 在線防護和監控

網站運行階段，應加強網絡安全設備防護、網站服務器系統安全防護，配備Web應用防火墻加固，以確保網站得到有效的安全防護和監控預警。

在網絡安全防護上，配備邊界防火墻、入侵防護系統（Intrusion Prevention System，IPS）。防火墻可以有效隔離內網和互聯網。通過防火墻的安全策略，可以有效阻止非法訪問、限制外部只能訪問允許端口、控制出入網絡的信息流。IPS具有海量攻擊特征庫，能夠專門深入網絡數據內部，查找所認識的攻擊代碼特征，即時中斷或隔離一些非正常的網絡數據傳輸行為。

在服務器安全防護上，啟動防火墻軟件，關閉Telnet，FTP等功能，以減少被攻擊的可能性。賬號管理方面，關閉非必要賬號，管理員密碼設置有一定復雜度，并實施定期改密策略。操作系統上應安裝防病毒軟件，定期查殺病毒并更新系統和防病毒軟件的補丁。

在應用系統的安全防護上，考慮在應服務器前端部署Web應用防火墻（Web Application Firewall，WAF），WAF工作在應用層，通過對Web應用進行訪問控制、內容校驗，并提供Web應用加固工具，從而實現對網站的有效防護。

2.3.3 應急響應

校園網站一旦發生安全事故，會對學校的聲譽造成極其嚴重的負面影響。因此，必須明確各部門職責分工，成立“應急工作小組”，制定網站安全事件應急預案，以應對安全事故的發生。一旦學校網站出現了網絡攻擊、信息破壞，應立即觸發安全應急響應服務。網絡管理人員應將被攻擊網站或系統進行網絡隔離，保護現場。應急工作小組盡快通知相關人員收集信息，對網站或系統所出現的情況進行分析和有效排查，追查攻擊來源。同時組織人員對網站或系統進行恢復與重建，確保網站盡快正常運行，將安全損失降到最低。應急工作小組視情況嚴重的，應立刻向上級機關匯報并向公安部門報警。

2.3.4 網站運維管理

網站運維包括例行維護、安全檢查以及數據備份。例行維護是每周檢查網站及服務器的工作狀態，定期更新系統和網站的補丁;安全檢查包括定期檢查與專項檢查。定期檢查為每月一次的漏洞掃描，信息安全管理部門，對存在安全隱患的網站進行下線處理，并向網站所屬部門發送高危或中危風險報告，責令整改。在整改期內完成整改的網站，經重新漏掃評估合規后，再做上線處理。專項檢查是在特定時期有針對性地對某類安全隱患進行重點檢查，以消除安全隱患;數據備份則是定期（如每周）對所有在線網站進行全量或增量、本地或異地的數據備份，以便出現問題時能快速恢復最近版本。

2.3.5 退出機制

網站退出機制分為永久退出與臨時退出兩種情況，一種是對于常年不使用或無人管理的網站，信息安全管理部門發布通知到各級部門后，無反饋結果的則做永久退出處理，對其關閉外網權限，進行備份與歸檔。另一種則是在例行安全檢測之后發現存在安全隱患或已經發生重大安全事故的網站，立刻下線并通知相關部門進行整改，稱之為臨時退出，但若有拒不整改的網站，則轉入永久退出。

3 結語

隨著信息技術的高速發展，高校網站面臨的安全威脅也在不斷增長，建立一套有制度、有檢測、有防護、有響應且全方位、多角度的高校網站安全防護體系，能夠保障網站和應用系統在全生命周期內得到動態安全防護，從而校園網站的安全運行，為教育教學和科研管理等工作的正常開展提供有力支持。

基金項目：江蘇省現代教育技術研究智慧校園專項課題;項目名稱：智慧校園數據中心建設方案研究;項目編號：66923。

作者簡介：胡進娟（1982— ），女，江蘇南京人，工程師，碩士;研究方向：校園網絡，數據中心，云計算，網絡安全。

[參考文獻]

[1]仝素梅.高校網站建設安全問題分析及應對策略[J].網絡安全技術與應用，2015（1）：132-133.

[2]林維鏘.高校網站的安全分析及應對策略研究[J].網絡安全技術與應用，2019（10）：93-95.

[3]季益龍，程松泉.“互聯網+”背景下的高校網站安全保障體系構建[J].中國教育信息化，2017（15）：93-96.

Research on the systematic construction strategy of website

security protection in colleges and universities

Hu Jinjuan

（Information Office of Jiangsu Second Normal University， Nanjing 210013， China）

Abstract：With the continuous development and update of information technology， website is more and more widely used. Website is the image of the university. Once a safety accident occurs， it will not only damage the reputation of the university， but also cause great losses. Based on the analysis of the current situation of university website， this paper puts forward a systematic security strategy of university website to improve the security of the website.

Key words：university website; safety protection; strategy