前言：本站為你精心整理了高校網(wǎng)站安全管理探討范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：目前高校網(wǎng)站普遍存在著網(wǎng)站數(shù)量龐大、網(wǎng)站安全狀況差、對安全問題不重視等等問題，使網(wǎng)站安全成為高校網(wǎng)絡(luò)信息安全的短板。文章通過分析高校網(wǎng)站安全的現(xiàn)狀及產(chǎn)生的原因，提出通過構(gòu)建網(wǎng)站信息安全臺帳、建立網(wǎng)站安全準(zhǔn)入與退出機制、實行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺、完善安全技術(shù)保障等方式對高校網(wǎng)站安全進行管理，試圖為高校網(wǎng)站安全管理提供一些思路和方法。

關(guān)鍵詞：網(wǎng)站安全;高校網(wǎng)站;管理模式;網(wǎng)站群

1引言

隨著高校信息化程度的提高，網(wǎng)站作為信息交換和信息的重要工具，在高校的教學(xué)、科研、管理中扮演著越來越重要的角色[1]。高校除了學(xué)校中英文門戶網(wǎng)站外，各部處、各院系、重點實驗室甚至各實驗團隊都有自己的網(wǎng)站,大大小小的網(wǎng)站少則幾十個多則幾百個。由于經(jīng)費和人員的限制，大部分高校的二級網(wǎng)站都是由二級單位自行建設(shè)管理，通過虛擬主機或者主機托管的形式寄存在網(wǎng)絡(luò)中心。由于網(wǎng)站建設(shè)的入門技術(shù)門檻比較低，很多二級網(wǎng)站是委托外面的公司或者學(xué)生進行建設(shè)，技術(shù)架構(gòu)五花八門，有些甚至弄臺服務(wù)器下載個開源的網(wǎng)站后臺就搭建了一個網(wǎng)站，網(wǎng)站開發(fā)水平參差不齊，同時也缺乏專業(yè)技術(shù)人員進行維護，對安全漏洞無法進行整改，導(dǎo)致網(wǎng)站安全事故頻發(fā)。本文通過華南理工大學(xué)網(wǎng)站安全管理的實踐及結(jié)合其他高校的網(wǎng)站安全管理的辦法，探討如何在目前復(fù)雜的安全形勢下對高校網(wǎng)站進行安全管理。

2高校網(wǎng)站安全現(xiàn)狀

根據(jù)《2013中國高校網(wǎng)站安全檢測報告》顯示，國內(nèi)高校網(wǎng)站安全檢測平均成績僅為55分，約2/3的高校網(wǎng)站安全狀況不及格，存在網(wǎng)站被篡改、植入木馬病毒等安全風(fēng)險,中國高校網(wǎng)站安全普遍存在“網(wǎng)站建設(shè)和管理不統(tǒng)一、網(wǎng)站日常維護缺失、對于網(wǎng)站安全不重視、網(wǎng)站信息保護意識差、軟件系統(tǒng)漏洞、服務(wù)器漏洞”六大安全隱患。為黑客入侵提供了機會。據(jù)媒體報道，自2014年4月至2015年3月的12個月間，補天平臺上顯示的有效高校網(wǎng)站漏洞多達3495個，涉及高校網(wǎng)站1088個。其中，高危漏洞2611個，占74.7%；中危漏洞691個，占19.8%；低危漏洞193個，占5.5%。過去一年間，在被告知網(wǎng)站存在漏洞后，會修復(fù)漏洞的高校網(wǎng)站只有35個，僅186個漏洞被修復(fù)，96.8%的高校網(wǎng)站完全無視安全漏洞的存在，94.6%的高校網(wǎng)站安全漏洞未被修復(fù)。高校網(wǎng)站面臨的安全形勢非常嚴(yán)峻，隨著網(wǎng)站數(shù)量不斷增加，一方面安全漏洞頻出，另一方面卻漏洞卻長期得不到修復(fù)，造成高校網(wǎng)站安全困境的原因究竟是什么，結(jié)合我們多方面的調(diào)查和研究大體分成以下幾方面：

1）網(wǎng)站建設(shè)和管理不統(tǒng)一。大部分的高校由于人員和經(jīng)費問題,二級網(wǎng)站建設(shè)都是各個學(xué)院二級單位各自負責(zé)建設(shè)，網(wǎng)站建設(shè)的技術(shù)和水平參差不齊,導(dǎo)致學(xué)校網(wǎng)站安全整體上管理困難。

2）網(wǎng)站維護技術(shù)力量缺失。由于大部分二級網(wǎng)站的網(wǎng)站維護人員基本都是進行內(nèi)容維護,對網(wǎng)站的服務(wù)器安全和系統(tǒng)漏洞等沒有技術(shù)力量進行維護,就算被告知有安全漏洞也不知道怎么去修復(fù)，特別是涉及程序代碼上的sql注入之類的高危漏洞，更是無從下手，導(dǎo)致高校的漏洞修復(fù)率極低。

3）對網(wǎng)站安全不重視。目前大部分網(wǎng)站主辦單位相關(guān)領(lǐng)導(dǎo)缺乏網(wǎng)絡(luò)和信息安全責(zé)任意識，對網(wǎng)站安全的重要性認識不足，對網(wǎng)站安全漏洞的危害性也認識不足，在沒有出安全事故前抱有僥幸的心理。

3高校網(wǎng)站安全管理

高校網(wǎng)站安全面臨著重大的挑戰(zhàn)，如何在現(xiàn)有情況下對高校網(wǎng)站安全進行高效、統(tǒng)一的管理，經(jīng)過我們這幾年在高校網(wǎng)站安全管理的實踐并結(jié)合其他高校的經(jīng)驗，從構(gòu)建網(wǎng)站信息安全臺帳、建立網(wǎng)站安全準(zhǔn)入與退出機制、實行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺、完善安全技術(shù)保障等五大方面對高校網(wǎng)站安全管理模式進行探討，具體如下：

3.1實行網(wǎng)站信息登記制度

構(gòu)建網(wǎng)站信息安全臺帳信息安全臺帳是信息安全管理的基礎(chǔ),我們在做網(wǎng)站安全管理的時候,首先需要了解學(xué)校到底有多少網(wǎng)站,分別歸屬于哪些單位管理和建設(shè),網(wǎng)站的用途,網(wǎng)站采用的技術(shù)架構(gòu),網(wǎng)站服務(wù)器的基本情況,網(wǎng)站管理員的情況等等,只有建立了網(wǎng)站信息安全臺帳,我們在網(wǎng)站安全管理的時候才能有的放矢,在出現(xiàn)安全故障時才能夠快速聯(lián)系到網(wǎng)站的負責(zé)單位和負責(zé)人進行相關(guān)處理，相關(guān)技術(shù)漏洞出現(xiàn)后可以及時通知進行補丁修復(fù)。建立網(wǎng)站信息安全臺帳，是通過每年下發(fā)公文要求各單位自行申報自辦及下屬單位網(wǎng)站，這樣可以了解大部分網(wǎng)站的建設(shè)信息；另外對于新建網(wǎng)站，在申請開通校外訪問端口和學(xué)校域名之前必須先進行網(wǎng)站信息登記；

3.2建立網(wǎng)站安全準(zhǔn)入與退出機制

網(wǎng)站安全準(zhǔn)入是指學(xué)校單位在申請自建網(wǎng)站和網(wǎng)站的時候必須經(jīng)過學(xué)校的網(wǎng)站備案和安全檢測，確保只有安全性符合要求的網(wǎng)站才可入互聯(lián)網(wǎng)，從源頭就把存在安全問題的網(wǎng)站拒之門外。網(wǎng)站歸檔退出是針對不再使用的網(wǎng)站或長期無人管理維護的網(wǎng)站而建立的一種退出機制，其目的在于清退無用的網(wǎng)站，減少網(wǎng)站安全風(fēng)險。同時對于有重大安全隱患的網(wǎng)站采取下線處理，等待整改通過后才允許上線。

3.3明確安全責(zé)任主體

實行安全責(zé)任人制度學(xué)校成立信息安全領(lǐng)導(dǎo)小組,由校領(lǐng)導(dǎo)擔(dān)任組長,并任命各單位主要負責(zé)人是網(wǎng)絡(luò)與信息安全的第一責(zé)任人，負責(zé)整個單位的網(wǎng)絡(luò)和信息安全;明確網(wǎng)站“誰主辦誰負責(zé)”的責(zé)任制度，之前很多單位都對網(wǎng)站安全認識不足或者認為網(wǎng)站安全問題應(yīng)該歸學(xué)校相關(guān)技術(shù)部門管，通過明確責(zé)任主體，讓各單位開始重視自建網(wǎng)站的安全問題，推動各級單位領(lǐng)導(dǎo)重視網(wǎng)站安全問題，積極配合網(wǎng)站安全漏洞修復(fù)。

3.4提供統(tǒng)一網(wǎng)站建設(shè)平臺

減少安全風(fēng)險高校早期的網(wǎng)站基本上是各部門委托公司或者找學(xué)生利用ASP、JSP等語言開發(fā)的動態(tài)網(wǎng)站，由于網(wǎng)站管理維護跟不上，加上開發(fā)人員水平參差不齊，網(wǎng)站漏洞百出，經(jīng)常面臨被掛木馬、SQL注入、腳本漏洞攻擊等威脅。[4]在被通報的各類高校網(wǎng)站安全事故中大部分是一些二級單位子網(wǎng)站，高校主網(wǎng)站相對比較安全；遍布在學(xué)校各學(xué)院、部處、直屬單位甚至各實驗室的大大小小幾十個甚至上百個網(wǎng)站，為高校的網(wǎng)站安全管理帶來眾多的安全隱患。通過網(wǎng)站群系統(tǒng)，初步實現(xiàn)高校網(wǎng)站的統(tǒng)一部署、分級管理、信息共享和專人維護，改善了原有網(wǎng)站建設(shè)中的管理無序、信息孤島、資源浪費等現(xiàn)象。更為重要的是網(wǎng)站群系統(tǒng)作為學(xué)校信息基礎(chǔ)平臺是由有專業(yè)技術(shù)力量的信息辦或網(wǎng)絡(luò)中心進行管理和維護；網(wǎng)站群系統(tǒng)作為校級重點安全防護系統(tǒng)，通過第三方的等級保護評測，定期安全巡檢等措施保護網(wǎng)站群系統(tǒng)自身的安全。避免了二級單位自建網(wǎng)站缺乏技術(shù)力量導(dǎo)致的安全困境。

3.5完善網(wǎng)站安全架構(gòu)和安全設(shè)備

為網(wǎng)站安全管理提供技術(shù)保障各類安全技術(shù)手段是高校網(wǎng)站安全策略的重要組成部分，通過完善網(wǎng)站安全架構(gòu)，購買網(wǎng)站安全設(shè)備，為網(wǎng)站安全防護提供技術(shù)保障；在網(wǎng)站安全部署上一般通過網(wǎng)絡(luò)防火墻實行內(nèi)外網(wǎng)隔離方式，網(wǎng)站的管理和端分開部署，管理端部署在內(nèi)網(wǎng)，端部署在外網(wǎng)，的網(wǎng)站采用靜態(tài)化的方式，外網(wǎng)訪問管理端需要使用VPN進行連接；重要網(wǎng)站前端采用負載均衡設(shè)備，應(yīng)對大規(guī)模訪問；實行外部存儲一天一備，并實行異地備份，以確保網(wǎng)站數(shù)據(jù)安全；核心的網(wǎng)站應(yīng)用外部署WAF(web應(yīng)用防火墻)進行防護,阻止網(wǎng)絡(luò)攻擊和sql注入；重要的靜態(tài)網(wǎng)站服務(wù)器通過采用強認證的網(wǎng)頁防篡改系統(tǒng)進行防護,比如主頁服務(wù)器和網(wǎng)站群系統(tǒng)服務(wù)器等。

4結(jié)論

高校網(wǎng)站安全管理是一項長期的艱巨的工作。在技術(shù)與管理的雙輪驅(qū)動下，除了文中所述及點外我們還需要通過建立健全的組織體系、管理規(guī)章和責(zé)任制度，進一步落實國家信息安全等級保護制度，增強安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，提高高校網(wǎng)站整體安全防護水平。

參考文獻：

[1]張慶吉,曹連剛,趙玉秀.高校網(wǎng)站安全問題分析及其對策[J].電子商務(wù),2010(6):58-59.

[2]360互聯(lián)網(wǎng)安全中心.2013年中國高校網(wǎng)站安全報告[EB/OL].北京：360互聯(lián)網(wǎng)安全中心.

[3]呂美敬,葉新恩,劉明剛.淺談高校網(wǎng)站群安全管理與對策分析[J].山東工業(yè)技術(shù),2016(9):130-131.

[4]楊建軍.基于網(wǎng)站安全的解決方案[J].計算機安全,2011(10):52-56.

作者：陳瑛 單位：華南理工大學(xué)