高校網站安全防護體系構建方案—中國教育和科研計算機網CERNET

中國教育和科研計算機網中國教育 | 高?？萍?/a> | 教育信息化 | 下一代互聯網 | CERNET

CERNET第二十八/二十九屆學術年會在福州舉辦

CERNET第二十七屆學術年勝利召開
戰“疫”| 停課不停學大家在行動
教育部"智慧教育示范區"創建與發展

校園信息化

資源與應用

產品與裝備

信息服務

首頁 > 教育信息化 > 技　　術 > 網絡安全

高校網站安全防護體系構建方案

2023-11-01 中國教育網絡

　　2022年《北京教育信息化“十四五”規劃》中提出“健全防護體系，提升教育系統網絡安全保障能力”，從落實法律法規、加快技術應用、提升網絡安全監測、健全數據安全、開展網絡安全宣傳教育和培訓幾個方面對學校的網站安全提出了具體要求。高校網站作為高校信息化建設的重要組成部分和最直接的成果展示，其安全防護非常重要。

　　隨著高校主站、部處院系網站、學術研究機構網站建設規模逐漸增大，網站統一監管難度增大，安全防護難度也隨之增大，網站安全事故頻發。網站能否給公眾提供信息展示且滿足信息安全的要求，直接影響著高校的社會形象和招生、就業、宣傳等工作。目前，急需研究如何精細化網站安全管理手段、利用各類安全技術、適應網絡安全新形勢，保證網站的安全，推動高校網站的健康發展。

　　網站安全形勢嚴峻

　　高校網站安全問題關系學校的公信力和影響力，直接影響著學校部分職能的行使，關乎學校廣大師生校友的切身利益。目前，高校網站的安全形勢比較嚴峻，主要表現在以下三個方面。

　　首先，網站“重建設、輕管理”，網站安全制度和組織保障不完善。當前高校網站的安全制度不夠完善，沒有成體系的、完整的網站安全管理制度，而且網站安全制度的制定、修訂、發布和執行沒有規范的流程，導致網站安全管理制度不受重視，制度不能順利執行。

　　高校對網站安全組織和人員方面的重視程度和投入還不夠，往往只有信息中心的一兩位工作人員在負責網站安全管理工作，不能保證全校網站安全管理的工作效率，也無法涵蓋所有部門的網站安全管理內容。缺少從管理決策、組織協調、執行落實等自上而下的安全組織保障體系。

　　其次，網站“重業務、輕安全”，網站安全防范意識不強。目前高校建設了學校主站、部門二級子站、學院研究機構網站等數百個網站，但是網站使用單位的網站管理者只重視網站的內容維護，而輕視網站安全方面存在的隱患。

　　同時，網站安全人員由于未經系統化的網絡安全技術培訓，導致其網站安全防范意識不強，不熟悉病毒防護、密碼保護和漏洞修復等網站安全操作，從而使其負責的網站系統很容易受到黑客攻擊，埋下非法訪問或信息泄露等網站安全隱患。

　　最后，網站“重建設、輕監測”，網站安全監測能力不強。在網站產生漏洞，甚至網站被掛馬或網頁內容被篡改等情況發生時，網站管理者往往不能第一時間發現，經常出現被動防護、屢遭攻擊篡改的情況。造成損失后，網站管理者才會意識到出現了網站安全問題。由此可見，高校缺少完善的網站安全監測體系，對高校各網站進行實時監測和統一防護，以實現網站監測預警、事前防御。

　　網站安全防護架構

　　結合目前網站建設、運營和安全管理的實際情況，高?？蓮陌踩芾?、安全技術、安全運營三個方面構建一個全方位的、可行的、高效的網站安全防護體系，總體架構如圖1所示。

圖1 高校網絡安全防護體系總體架構

　　網站安全管理體系

　　1.安全管理制度。在遵循國家政策法規和符合信息安全標準規范的基礎上，建立完善的網站安全管理規范體系。這一體系是保障網站安全的法律基礎，提出全面的安全管理要求，包括安全策略、管理制度、制定和發布以及評審和修訂；完善網站安全準入制度、網站登記備案制度、網站安全檢查制度、網站安全事件通報與處理制度；通過一系列的網站安全管理規范，明確各管理部門和人員的權利、責任和義務，為高校網站安全提供管理依據。

　　2.安全組織保障。為保障高校網站安全，需建立完善的網站安全組織體系，包括領導決策、組織協調、管理執行三個層次的安全組織體系（如圖2所示）。

圖2 高校網站安全組織保障體系

　　第一層依托高?，F有的網絡安全和信息化領導小組，加強高校網站與信息安全工作的統籌領導和重大安全事項的決策；

　　第二層信息中心是高校網絡與信息安全的常設機構，全面負責高校網站安全管理與組織協調工作；

　　第三層包括信息中心下屬的安全管理中心，為各院系/部處部門的網站安全提供技術支持和安全培訓，負責網站安全技術體系建設及運行管理。院系/部處的網站管理人員和安全聯絡人員負責本部的網站安全工作。安全中心的安全管理員定期將有檢測漏洞的網站報告通報給院系/部處的網站管理人員和安全聯絡人員，進行網站安全整改。

　　3.安全運維管理。網站安全運維管理包括網站服務器巡檢、服務監控、進程監控、異常登錄監測。

　　網站服務器巡檢一般一周或兩周一次，出具巡檢報告。巡檢內容包括網站系統服務器和Web服務器的CPU使用情況、內存使用情況、磁盤空間使用情況、Apache運行情況、日志文件情況、數據庫備份情況、文件備份情況、備機同步情況等。如有異常需及時進行處理。

　　監控網站系統的服務運行狀態，包括服務名稱、服務性能、服務狀態是否正常、所用端口、端口響應時間及變化趨勢等。展示指定服務器最新進程數據列表，顯示各進程對服務器資源的使用情況。系統每小時抓取一次服務器進程并與上一次數據進行對比，記錄進程的變化情況，用于分析和追溯服務器異常情況。

　　對網站后臺系統異地登錄進行監測和提醒、非白名單IP登錄提醒、非法賬號登錄提醒等，記錄異常登錄的IP地址、登錄方式、登錄時間、登錄地點等。

　　4.網站備案管理。網站備案管理按照“誰主管誰負責、誰建設誰負責”的原則，學校二級部門負責本部門所有網站的備案申請工作，填寫備案申請表，提交信息處進行備案。網站備案申請的內容包括申請單位、網站名稱、硬件設備位置等（如圖3所示）。

圖3 網站備案申請表示意

　　信息處負責審批網站的備案申請，分配和管理備案號，對已備案的網站進行監督和安全檢測。網站將備案號標注在網站底部。信息中心可以全面掌握學校所有的網站情況，沒有備案登記的系統不允許對外開放。通過網站備案管理，可以實現學校網站安全的統一防護和管理。

　　網站安全技術體系

　　1.物理安全。核心機房出入口安排專人管理，配置電子門禁系統，進出機房需填寫《核心機房進出登記表》；配備機房監控系統，對機房溫濕度、空調、UPS、門禁、消防和漏水檢測等基礎環境進行監控和報警。同時，在分?；虍惖亟⒕W站系統容災備份，以實現兩地網站系統的運行監視和快速切換恢復。

　　2.網絡安全。在網絡安全方面，安裝部署入侵檢測系統，實時檢測網絡通信；配備邊界防火墻，有效隔離內網和互聯網；對學校相關網站安裝SSL證書，保證網站數據傳輸的安全性；通過配置防火墻來啟用端口過濾、啟用IP地址過濾以阻止DDoS攻擊；通過網絡流量分析及時發現DDoS攻擊并采取措施。

　　3.應用安全。在應用安全方面，根據學校整體的網絡安全要求，部署Web應用防火墻，對學校網站進行Web防護、網頁保護、負載均衡等；部署網頁防篡改系統，對網站內部進行文件實時監控，一旦發現有對網頁進行修改、刪除等非法操作時，立即進行實時自動恢復；網站應用程序代碼安全方面，防范SQL注入、跨站腳本攻擊、文件上傳漏洞、系統信息泄露、不同權限賬戶之間存在越權訪問、跨站請求偽造、IIS目錄漏洞等。

　　4.數據安全。在數據安全方面，嚴格用戶訪問控制，例如不允許私自新建用戶，需要從學校的LDAP里同步用戶；配置要求用戶定期修改口令，開啟弱密碼檢測，提供登錄失敗處理功能；網站進行Session校驗，防止未經授權的人員非法登錄網站；建議使用BCrypt加密方式對系統用戶密碼進行加密存儲；完善網站數據備份策略，例如每日對網站數據庫文件備份，實時備份網站的圖片、附件、樣式表等信息，為數據的存儲備份和數據恢復提供安全保障。

　　網站安全運營體系

　　1.安全漏洞掃描。信息中心定期對學校的網站進行安全漏洞掃描，包括系統漏洞和Web漏洞的掃描。網站在上線前必須通過掃描系統進行安全性檢查。網站漏洞掃描后，將漏洞風險報告發送給網站建設單位，要求其修復高危和中危漏洞。網站整改完成后再次進行安全漏洞掃描，直到沒有中高危漏洞時才能上線提供對外服務，以確保網站的安全。

　　對于上線后的網站，每月定期進行安全掃描。信息中心負責對漏洞修復和整改情況進行復核，還可以通過設置安全檢測時間查詢一定時間段內漏洞掃描的結果，包括嚴重、高、中、低危漏洞數量的情況。如圖4所示，可查看對比每次安全檢測新增漏洞的風險級別和情況特征。對超過規定時間未完成漏洞修復的網站，信息中心將關閉網站外網訪問。

圖4 網站漏洞掃描結果對比情況

　　2.網站健康度檢測。如圖5所示，提供監測網站的健康度數值，以及網站存在的斷鏈、敏感詞、外部鏈接。掌握網站的健康情況與風險數值，通過掃描結果可以快速定位風險源鏈接。

圖5 網站健康度情況

　　通過斷鏈掃描監測，可以直觀顯示出當前已經過期或者不能訪問的頁面地址。不規范的劣質外部鏈接會給網站帶來風險，展示不屬于本網站或指向第三方網站的鏈接地址。

　　結合語義分析和預設敏感詞庫，自動識別涉政、涉限、暴力傾向、不健康色彩的文字。通過健康度掃描工具，可以快速查掃網站帶有敏感詞的文章鏈接，點擊鏈接可以快速定位到敏感詞，方便后臺管理員快速查找敏感詞源頭并對其快速修改，阻斷敏感源造成的負面影響。

　　3.網站熱力圖分析。網站熱力圖通過統計點擊流數據分析，圓型色斑顯示，以顏色變化展現訪客在頁面上的點擊分布情況；通過顏色的深淺，可以明顯看出用戶點擊了哪里，哪一區域點擊量高，哪一篇文章用戶閱讀得多，同時能直觀反映用戶對網頁上內容的點擊情況，為網站運營管理提供了直觀的參考模型。

　　4.網頁快照。系統會定時抓取運行網站的首頁樣式，對網頁進行備份，并存在自己的服務器里。通過網頁快照，搜索引擎將Spider系統當時所抓取并保存的網頁內容展現出來。如因突發事件導致網站無法訪問或者丟失數據時，可以通過網頁快照作為恢復網站以往版本的參考依據。

　　5.僵尸網站監控。信息中心定期對超過半年沒有更新的僵尸網站進行監控管理。系統提供半年內更新次數為0的網站列表。采用多維度統計數值，可以按半年內更新次數、周訪問量、月訪問量和年訪問量進行排序，為僵尸網站的監管提供數據依據。

　　6.態勢感知檢測。在信息中心建立態勢感知監測平臺，通過可視化威脅檢測，檢測出包括暴力破解、Web攻擊、異常行為、漏洞攻擊等網站安全風險。通過采集網站流量數據和安全防護設備日志信息，并進行數據處理和分析，提供態勢感知檢測威脅告警，實時為用戶呈現完整的攻擊態勢，進而為安全事件的處置決策提供依據。

　　如今，人工智能等信息技術的不斷應用，將為高校網站安全防護提供更深入的技術支持。在網站安全運營體系中，高校還可以納入諸如信息安全等級保護定級、備案、測評等內容，為高校網站安全提供全方位防護。

　　基金項目：對外經濟貿易大學2022年智慧校園建設專項課題(ZHXY202205)

　　來源：《中國教育網絡》2023年7月刊

　　作者：張福蒸、王義（對外經濟貿易大學網絡安全和信息化處）

　　責編：陳永杰

　　特別聲明：本站注明稿件來源為其他媒體的文/圖等稿件均為轉載稿，本站轉載出于非商業性的教育和科研之目的，并不意味著贊同其觀點或證實其內容的真實性。如轉載稿涉及版權等問題，請作者在兩周內速來電或來函聯系。

相關閱讀

CCERT2014年5月：高校網站安全問題多發管理缺失系主因2014/06/27
安全意識比較弱高校網站頻繁被“黑”怎么辦2011/11/14
高校網站安全的“矛”與“盾”(二)2011/07/15
高校網站安全的“矛”與“盾”(一)2011/06/17
高校門戶網站如何保障安全2011/06/13
報告稱：我國每個高校網站平均每天被攻擊113次2013/06/17
高校如何打造動態應用開放平臺？2022/11/10
一群兩治：構建高校網站業務群混合云2020/04/08

互聯網技術探究

　　一起關注互聯網發展、互聯網技術、互聯網體系結構……

教育信息化教學應用實踐共同體項目

　在教育部科技司領導下，中央電化教育館組織實施了教育信息化教學應用實踐共同體項目...

工作要點聚焦：教育信息化、網絡安全……都怎么干？

　　工作要點聚焦：教育信息化、網絡安全……都怎么干？

btа√天堂资源在线官网,а√天堂中文最新版在线下载,一人一狗卡了六个小时视频