前言：本站為你精心整理了高校網(wǎng)站安全管理探討范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：目前高校網(wǎng)站普遍存在著網(wǎng)站數(shù)量龐大、網(wǎng)站安全狀況差、對(duì)安全問(wèn)題不重視等等問(wèn)題，使網(wǎng)站安全成為高校網(wǎng)絡(luò)信息安全的短板。文章通過(guò)分析高校網(wǎng)站安全的現(xiàn)狀及產(chǎn)生的原因，提出通過(guò)構(gòu)建網(wǎng)站信息安全臺(tái)帳、建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制、實(shí)行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺(tái)、完善安全技術(shù)保障等方式對(duì)高校網(wǎng)站安全進(jìn)行管理，試圖為高校網(wǎng)站安全管理提供一些思路和方法。

關(guān)鍵詞：網(wǎng)站安全;高校網(wǎng)站;管理模式;網(wǎng)站群

1引言

隨著高校信息化程度的提高，網(wǎng)站作為信息交換和信息的重要工具，在高校的教學(xué)、科研、管理中扮演著越來(lái)越重要的角色[1]。高校除了學(xué)校中英文門戶網(wǎng)站外，各部處、各院系、重點(diǎn)實(shí)驗(yàn)室甚至各實(shí)驗(yàn)團(tuán)隊(duì)都有自己的網(wǎng)站,大大小小的網(wǎng)站少則幾十個(gè)多則幾百個(gè)。由于經(jīng)費(fèi)和人員的限制，大部分高校的二級(jí)網(wǎng)站都是由二級(jí)單位自行建設(shè)管理，通過(guò)虛擬主機(jī)或者主機(jī)托管的形式寄存在網(wǎng)絡(luò)中心。由于網(wǎng)站建設(shè)的入門技術(shù)門檻比較低，很多二級(jí)網(wǎng)站是委托外面的公司或者學(xué)生進(jìn)行建設(shè)，技術(shù)架構(gòu)五花八門，有些甚至弄臺(tái)服務(wù)器下載個(gè)開源的網(wǎng)站后臺(tái)就搭建了一個(gè)網(wǎng)站，網(wǎng)站開發(fā)水平參差不齊，同時(shí)也缺乏專業(yè)技術(shù)人員進(jìn)行維護(hù)，對(duì)安全漏洞無(wú)法進(jìn)行整改，導(dǎo)致網(wǎng)站安全事故頻發(fā)。本文通過(guò)華南理工大學(xué)網(wǎng)站安全管理的實(shí)踐及結(jié)合其他高校的網(wǎng)站安全管理的辦法，探討如何在目前復(fù)雜的安全形勢(shì)下對(duì)高校網(wǎng)站進(jìn)行安全管理。

2高校網(wǎng)站安全現(xiàn)狀

根據(jù)《2013中國(guó)高校網(wǎng)站安全檢測(cè)報(bào)告》顯示，國(guó)內(nèi)高校網(wǎng)站安全檢測(cè)平均成績(jī)僅為55分，約2/3的高校網(wǎng)站安全狀況不及格，存在網(wǎng)站被篡改、植入木馬病毒等安全風(fēng)險(xiǎn),中國(guó)高校網(wǎng)站安全普遍存在“網(wǎng)站建設(shè)和管理不統(tǒng)一、網(wǎng)站日常維護(hù)缺失、對(duì)于網(wǎng)站安全不重視、網(wǎng)站信息保護(hù)意識(shí)差、軟件系統(tǒng)漏洞、服務(wù)器漏洞”六大安全隱患。為黑客入侵提供了機(jī)會(huì)。據(jù)媒體報(bào)道，自2014年4月至2015年3月的12個(gè)月間，補(bǔ)天平臺(tái)上顯示的有效高校網(wǎng)站漏洞多達(dá)3495個(gè)，涉及高校網(wǎng)站1088個(gè)。其中，高危漏洞2611個(gè)，占74.7%；中危漏洞691個(gè)，占19.8%；低危漏洞193個(gè)，占5.5%。過(guò)去一年間，在被告知網(wǎng)站存在漏洞后，會(huì)修復(fù)漏洞的高校網(wǎng)站只有35個(gè)，僅186個(gè)漏洞被修復(fù)，96.8%的高校網(wǎng)站完全無(wú)視安全漏洞的存在，94.6%的高校網(wǎng)站安全漏洞未被修復(fù)。高校網(wǎng)站面臨的安全形勢(shì)非常嚴(yán)峻，隨著網(wǎng)站數(shù)量不斷增加，一方面安全漏洞頻出，另一方面卻漏洞卻長(zhǎng)期得不到修復(fù)，造成高校網(wǎng)站安全困境的原因究竟是什么，結(jié)合我們多方面的調(diào)查和研究大體分成以下幾方面：

1）網(wǎng)站建設(shè)和管理不統(tǒng)一。大部分的高校由于人員和經(jīng)費(fèi)問(wèn)題,二級(jí)網(wǎng)站建設(shè)都是各個(gè)學(xué)院二級(jí)單位各自負(fù)責(zé)建設(shè)，網(wǎng)站建設(shè)的技術(shù)和水平參差不齊,導(dǎo)致學(xué)校網(wǎng)站安全整體上管理困難。

2）網(wǎng)站維護(hù)技術(shù)力量缺失。由于大部分二級(jí)網(wǎng)站的網(wǎng)站維護(hù)人員基本都是進(jìn)行內(nèi)容維護(hù),對(duì)網(wǎng)站的服務(wù)器安全和系統(tǒng)漏洞等沒(méi)有技術(shù)力量進(jìn)行維護(hù),就算被告知有安全漏洞也不知道怎么去修復(fù)，特別是涉及程序代碼上的sql注入之類的高危漏洞，更是無(wú)從下手，導(dǎo)致高校的漏洞修復(fù)率極低。

3）對(duì)網(wǎng)站安全不重視。目前大部分網(wǎng)站主辦單位相關(guān)領(lǐng)導(dǎo)缺乏網(wǎng)絡(luò)和信息安全責(zé)任意識(shí)，對(duì)網(wǎng)站安全的重要性認(rèn)識(shí)不足，對(duì)網(wǎng)站安全漏洞的危害性也認(rèn)識(shí)不足，在沒(méi)有出安全事故前抱有僥幸的心理。

3高校網(wǎng)站安全管理

高校網(wǎng)站安全面臨著重大的挑戰(zhàn)，如何在現(xiàn)有情況下對(duì)高校網(wǎng)站安全進(jìn)行高效、統(tǒng)一的管理，經(jīng)過(guò)我們這幾年在高校網(wǎng)站安全管理的實(shí)踐并結(jié)合其他高校的經(jīng)驗(yàn)，從構(gòu)建網(wǎng)站信息安全臺(tái)帳、建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制、實(shí)行安全責(zé)任人制度、統(tǒng)一網(wǎng)站建設(shè)平臺(tái)、完善安全技術(shù)保障等五大方面對(duì)高校網(wǎng)站安全管理模式進(jìn)行探討，具體如下：

3.1實(shí)行網(wǎng)站信息登記制度

構(gòu)建網(wǎng)站信息安全臺(tái)帳信息安全臺(tái)帳是信息安全管理的基礎(chǔ),我們?cè)谧鼍W(wǎng)站安全管理的時(shí)候,首先需要了解學(xué)校到底有多少網(wǎng)站,分別歸屬于哪些單位管理和建設(shè),網(wǎng)站的用途,網(wǎng)站采用的技術(shù)架構(gòu),網(wǎng)站服務(wù)器的基本情況,網(wǎng)站管理員的情況等等,只有建立了網(wǎng)站信息安全臺(tái)帳,我們?cè)诰W(wǎng)站安全管理的時(shí)候才能有的放矢,在出現(xiàn)安全故障時(shí)才能夠快速聯(lián)系到網(wǎng)站的負(fù)責(zé)單位和負(fù)責(zé)人進(jìn)行相關(guān)處理，相關(guān)技術(shù)漏洞出現(xiàn)后可以及時(shí)通知進(jìn)行補(bǔ)丁修復(fù)。建立網(wǎng)站信息安全臺(tái)帳，是通過(guò)每年下發(fā)公文要求各單位自行申報(bào)自辦及下屬單位網(wǎng)站，這樣可以了解大部分網(wǎng)站的建設(shè)信息；另外對(duì)于新建網(wǎng)站，在申請(qǐng)開通校外訪問(wèn)端口和學(xué)校域名之前必須先進(jìn)行網(wǎng)站信息登記；

3.2建立網(wǎng)站安全準(zhǔn)入與退出機(jī)制

網(wǎng)站安全準(zhǔn)入是指學(xué)校單位在申請(qǐng)自建網(wǎng)站和網(wǎng)站的時(shí)候必須經(jīng)過(guò)學(xué)校的網(wǎng)站備案和安全檢測(cè)，確保只有安全性符合要求的網(wǎng)站才可入互聯(lián)網(wǎng)，從源頭就把存在安全問(wèn)題的網(wǎng)站拒之門外。網(wǎng)站歸檔退出是針對(duì)不再使用的網(wǎng)站或長(zhǎng)期無(wú)人管理維護(hù)的網(wǎng)站而建立的一種退出機(jī)制，其目的在于清退無(wú)用的網(wǎng)站，減少網(wǎng)站安全風(fēng)險(xiǎn)。同時(shí)對(duì)于有重大安全隱患的網(wǎng)站采取下線處理，等待整改通過(guò)后才允許上線。

3.3明確安全責(zé)任主體

實(shí)行安全責(zé)任人制度學(xué)校成立信息安全領(lǐng)導(dǎo)小組,由校領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),并任命各單位主要負(fù)責(zé)人是網(wǎng)絡(luò)與信息安全的第一責(zé)任人，負(fù)責(zé)整個(gè)單位的網(wǎng)絡(luò)和信息安全;明確網(wǎng)站“誰(shuí)主辦誰(shuí)負(fù)責(zé)”的責(zé)任制度，之前很多單位都對(duì)網(wǎng)站安全認(rèn)識(shí)不足或者認(rèn)為網(wǎng)站安全問(wèn)題應(yīng)該歸學(xué)校相關(guān)技術(shù)部門管，通過(guò)明確責(zé)任主體，讓各單位開始重視自建網(wǎng)站的安全問(wèn)題，推動(dòng)各級(jí)單位領(lǐng)導(dǎo)重視網(wǎng)站安全問(wèn)題，積極配合網(wǎng)站安全漏洞修復(fù)。

3.4提供統(tǒng)一網(wǎng)站建設(shè)平臺(tái)

減少安全風(fēng)險(xiǎn)高校早期的網(wǎng)站基本上是各部門委托公司或者找學(xué)生利用ASP、JSP等語(yǔ)言開發(fā)的動(dòng)態(tài)網(wǎng)站，由于網(wǎng)站管理維護(hù)跟不上，加上開發(fā)人員水平參差不齊，網(wǎng)站漏洞百出，經(jīng)常面臨被掛木馬、SQL注入、腳本漏洞攻擊等威脅。[4]在被通報(bào)的各類高校網(wǎng)站安全事故中大部分是一些二級(jí)單位子網(wǎng)站，高校主網(wǎng)站相對(duì)比較安全；遍布在學(xué)校各學(xué)院、部處、直屬單位甚至各實(shí)驗(yàn)室的大大小小幾十個(gè)甚至上百個(gè)網(wǎng)站，為高校的網(wǎng)站安全管理帶來(lái)眾多的安全隱患。通過(guò)網(wǎng)站群系統(tǒng)，初步實(shí)現(xiàn)高校網(wǎng)站的統(tǒng)一部署、分級(jí)管理、信息共享和專人維護(hù)，改善了原有網(wǎng)站建設(shè)中的管理無(wú)序、信息孤島、資源浪費(fèi)等現(xiàn)象。更為重要的是網(wǎng)站群系統(tǒng)作為學(xué)校信息基礎(chǔ)平臺(tái)是由有專業(yè)技術(shù)力量的信息辦或網(wǎng)絡(luò)中心進(jìn)行管理和維護(hù)；網(wǎng)站群系統(tǒng)作為校級(jí)重點(diǎn)安全防護(hù)系統(tǒng)，通過(guò)第三方的等級(jí)保護(hù)評(píng)測(cè)，定期安全巡檢等措施保護(hù)網(wǎng)站群系統(tǒng)自身的安全。避免了二級(jí)單位自建網(wǎng)站缺乏技術(shù)力量導(dǎo)致的安全困境。

3.5完善網(wǎng)站安全架構(gòu)和安全設(shè)備

為網(wǎng)站安全管理提供技術(shù)保障各類安全技術(shù)手段是高校網(wǎng)站安全策略的重要組成部分，通過(guò)完善網(wǎng)站安全架構(gòu)，購(gòu)買網(wǎng)站安全設(shè)備，為網(wǎng)站安全防護(hù)提供技術(shù)保障；在網(wǎng)站安全部署上一般通過(guò)網(wǎng)絡(luò)防火墻實(shí)行內(nèi)外網(wǎng)隔離方式，網(wǎng)站的管理和端分開部署，管理端部署在內(nèi)網(wǎng)，端部署在外網(wǎng)，的網(wǎng)站采用靜態(tài)化的方式，外網(wǎng)訪問(wèn)管理端需要使用VPN進(jìn)行連接；重要網(wǎng)站前端采用負(fù)載均衡設(shè)備，應(yīng)對(duì)大規(guī)模訪問(wèn)；實(shí)行外部存儲(chǔ)一天一備，并實(shí)行異地備份，以確保網(wǎng)站數(shù)據(jù)安全；核心的網(wǎng)站應(yīng)用外部署WAF(web應(yīng)用防火墻)進(jìn)行防護(hù),阻止網(wǎng)絡(luò)攻擊和sql注入；重要的靜態(tài)網(wǎng)站服務(wù)器通過(guò)采用強(qiáng)認(rèn)證的網(wǎng)頁(yè)防篡改系統(tǒng)進(jìn)行防護(hù),比如主頁(yè)服務(wù)器和網(wǎng)站群系統(tǒng)服務(wù)器等。

4結(jié)論

高校網(wǎng)站安全管理是一項(xiàng)長(zhǎng)期的艱巨的工作。在技術(shù)與管理的雙輪驅(qū)動(dòng)下，除了文中所述及點(diǎn)外我們還需要通過(guò)建立健全的組織體系、管理規(guī)章和責(zé)任制度，進(jìn)一步落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，增強(qiáng)安全預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)能力，提高高校網(wǎng)站整體安全防護(hù)水平。

參考文獻(xiàn)：

[1]張慶吉,曹連剛,趙玉秀.高校網(wǎng)站安全問(wèn)題分析及其對(duì)策[J].電子商務(wù),2010(6):58-59.

[2]360互聯(lián)網(wǎng)安全中心.2013年中國(guó)高校網(wǎng)站安全報(bào)告[EB/OL].北京：360互聯(lián)網(wǎng)安全中心.

[3]呂美敬,葉新恩,劉明剛.淺談高校網(wǎng)站群安全管理與對(duì)策分析[J].山東工業(yè)技術(shù),2016(9):130-131.

[4]楊建軍.基于網(wǎng)站安全的解決方案[J].計(jì)算機(jī)安全,2011(10):52-56.

作者：陳瑛 單位：華南理工大學(xué)