剔除二级网站安全隐患

文/张子蛟 高金峰 胡宏伟等

剔除二级网站安全隐患

文/张子蛟 高金峰 胡宏伟等

为了彻底消除校园网站群的“信息孤岛”，除了使二级网站内容管理系统与主网站群的后台数据库统一之外，还需要将二级网站的信息发布系统与学校的门户网站实现整合。

网站群安全问题频发

校园网的安全主要包含三个层面，第一是网络运行安全，第二是网站群的安全，第三是校园网用户计算机的安全。其中，网站群的安全问题最为突出。

一般来说，校园网网站群分主网站群和二级网站群。主网站群主要由学校门户网站、新闻网站等校级网站组成，一般由学校网络管理中心集中维护管理，安全问题不是很突出。二级网站群则不然。

每个高校的校园网上都运行有若干个二级网站，以郑州大学为例，目前建设有三百多个二级网站，包括院系、行政部门、党群机构、科研院所、教师个人主页、精品课程等。二级网站已成为学校网站群的重要组成部分和网络信息资源的重要提供者。

根据各高校信息化管理权限的分工，二级网站的建设和管理模式是：网络管理中心提供网络空间、技术指导和服务器管理，各二级网站由所属的单位和个人自己制作，自己管理维护。若干个二级网站共用一台服务器。如此一来，随着二级网站群的规模扩大和应用的日益丰富，在安全和管理方面就暴露出较大问题。

1.网站设计制作先天不足

各单位二级网站的设计制作渠道五花八门，有花钱找公司来做的，有花钱找个人做的，有找本校计算机专业学生来做的，也有自己做的。网站制作人员技术水平和责任心也参差不齐。

2.网站采用的技术不统一

各二级网站采用的动态内容实现技术种类繁多，常见的包括ASP、JSP、ASP.net、php、ISAPI等等。后台数据库有Access、SQL Server、MySQL、Oracle、Paradox、Sybase、Foxpro等。所用的信息发布和管理程序有自己开发的，更多的是从网上下载和改装的免费程序，注入式漏洞大量存在于网站的后台管理程序中。这些都给二级网站的运行埋下了安全隐患。

3.网站管理方面的问题

从网络管理中心的角度，不给予这些二级网站足够的权限，会影响其正常运行。给其足够的权限，服务器安全无法保证。由于多个网站共用同一台服务器，一个网站的牺牲，可能意味着这台服务器上所有网站的牺牲。网站本身在内存管理方面的缺陷也会停掉一台服务器。

4.“信息孤岛”问题

由于各个二级网站的设计是分别独立进行的，其信息维护和数据库也各自独立，因此，二级网站之间，学校主网站群与二级网站之间，形成了事实上的“信息孤岛”，信息无法有效流通，对整个学校整体上深入信息化形成制约。

5.二级网站被黑

近几年来，郑州大学发生了多起二级网站被黑掉的案例，攻击者有我校的学生，也有外部的人员；有单个网站的牺牲，也有整台服务器的牺牲。对此，我们也采取了一些措施，例如部分服务器视需要封掉fso权限、每个网站使用独立的AppPool、按照网站的技术特点分服务器、使用服务器反向代理、安装防火墙、禁止上载可执行文件等，由于网站先天不足，无法从根本上解决二级网站的安全问题。

6.出现“死网站”

随着二级网站的长期运行，网站的制作者，有的学生毕业了，有的公司倒闭了，有的教师岗位调动了。如此，由于大部分二级网站都缺少维护文档，部分二级网站成为“死网站”，网站无人维护，信息无人管理，内容长期不更新，管理员账号密码丢失等。

7.校园网“定时炸弹”

2009年12月份的一天下午，突然大量校园网用户反映无法正常访问我校网站。经过跟踪和调查，发现我校约有20%的用户安装了国内某免费安全软件，只要安装了该软件的计算机均不能访问我校的WWW3服务器群。该服务器群主要提供我校的新闻和公告服务，通过检查六台WWW3服务器，未发现异常。后经核实和分析，发现WWW3被该软件列入了黑名单，从而导致安装该软件的计算机拒绝访问W W W 3。

通过与该软件所属的公司联系，对方反映是我们的WWW3下的一个小网站的几个网页有恶意代码，因此将WWW3列入了黑名单。我们经过查实并迅速解决了该问题，然后要求该公司更新其黑名单库，但其答复说不能马上更新。鉴于这件事情对我校师生影响很大，我们连夜调整软件和服务器，放弃了WWW3，换为其他域名，才使问题得以解决。第二天，该公司发布了新的黑名单库，将W W W 3剔除了。

问题虽然解决了，先不讨论这件事情谁是谁非，但的确使我们出了一身冷汗：原来我们的校园网埋了颗“定时炸弹”！这意味着，不管出于什么样的原因，这个安全软件随时可以使我们的校园网络用户封掉我们的网站，随时解除我们校园网用户对我校网站的访问权。进一步，从技术上讲，安装该软件的计算机的信息也没有秘密和安全可言，软件的所有者可以随时查看、复制或删除其文档。并且，从技术上，我们还没找到很有效的办法处理这种情况。作为校园网络的管理者，对此感到非常被动和无力。

类似的“定时炸弹”在各个高校中都普遍存在，不知道什么时候会“爆炸”。在此写出来，供大家思考对策。

8.域名劫持

今年1月12日发生的百度域名被劫持事件影响深远。对各高校和教育科研网来说，在现有的DNS协议和体系下，这种危险性随时存在。

校园网网站群安全对策

为了从根本上解决二级网站群的诸多问题，特别是安全问题，我们从2009年起着手实施二级网站改造升级工程。

开发或引进一套功能丰富的网站内容管理系统，由网络管理中心集中维护管理，每个二级网站均作为该系统的一个用户，通过选择相应的网站模板，填写一整套表单，来实现自己二级网站的建设和管理。从访问者和网站管理者的角度，是个一个完全独立的网站。从网站内容管理系统和网管中心的角度，是一个用户的独立空间和网站实例。所有的二级网站使用统一的的后台管理程序和数据库，信息交换格式统一。所有二级网站的管理人面对的是网站的数据和信息，而非文件和软件，因此从根本上解决了网站的安全问题和“信息孤岛”问题。同时，各二级网站的管理员仅仅是内容的管理者，而非技术方面的管理者，对网站制作、网站维护等没有要求，只要是责任心强既可胜任此工作。

我们认为，实施该方案的关键有四个，详述如下。

1.网站内容管理系统的功能必须足够完善和灵活

使用户在建设和管理自己的网站时，与原来的独立网站模式相比，不会感到任何的不便。一个正常网站所需要的功能不能欠缺，例如计数器、网站Logo、留言簿、栏目定制、访问统计、应用系统登录、实名制网站论坛、站内搜索、友情链接等等。要能支持多种格式的内容，包括文字、表格、公式、图片、动画、音频、视频；并支持Word、Excel、PowerPoint、WPS、Html等格式的自动识别和转换；支持基于文件的上传和下载，并具备对这些文件进行恶意代码和病毒检测的能力。

2.网站模板和网页模板足够丰富

网站管理员只要愿意，能够通过网站模板、网页模板、栏目定制、风格选择、色彩选择、图片定制等手段，表达出完全不相同的网站，网站多样性不亚于老模式。由于网站模板和网页模板均为专业制作，因此从美观、界面、功能上应更优于分头制作的老网站。我们拟基于学校的整体网站风格，分门别类设计若干专用的二级网站模板。包括8个党群机构网站模板、8个行政机构网站模板、6个人文院系网站模板、6个理工院系网站模板、3个医科院系网站模板、2个综合院系网站模板、7个科研机构网站模板、10个个人主页网站、10个其它二级网站网站模板。每个网站模板均从栏目、布局、色彩、风格、图片上区别于其它模板，具有足够的差异性。

3.现有二级网站的内容集中转移

新的二级网站平台启用后，需要将现有三百多个网站的内容转移到新的二级网站平台中，这是一项工作量较大的工作。若由各二级网站的管理者完成此工作，实施难度较大，进度难以控制。特别是包含数据库的网站，需要技术人员转移其数据。因此，我们拟集中人力，对三百多个网站的内容和数据进行集中转移，全部完成后再将管理网站的账号和密码交给网站所属的单位和个人，进行正常的内容更新。

4.与学校的门户网站和统一身份验证系统整合

为了彻底消除校园网站群的“信息孤岛”，除了使二级网站内容管理系统与主网站群的后台数据库统一之外，还需要将二级网站的信息发布系统与学校的门户网站实现整合。二级网站的信息发布后，发布者可以根据需要，申请将其信息提交给学校，由学校相关部门审核后，发布到学校门户网站上。

二级网站内容管理系统与学校的统一身份验证系统整合后，可以实现信息发布的普遍化，即每位教职工都可以使用自己的账号申请发布信息，经过网站管理员的审核批准后即可发布到二级网站上。并可以实现信息的针对性发布，在发布时指定阅读对象，只有符合条件的教职工或学生才可阅读此信息。每个教职工和学生所看到的网站内容各不相同。各二级网站管理员的管理账号也使用统一身份验证系统中的账号，由网络管理中心统一管理。

总之，二级网站群的管理须从技术上集中，从内容上分散，才能彻底解决二级网站的安全问题。

（作者单位为郑州大学网络管理中心）

瑞典成全球信息化程度最高经济体

世界经济论坛3月25日发布报告称，北欧国家名列今年世界上信息化程度最高的经济体，瑞典则在这项名为“全球信息技术报告”的排名中位居首位，新加坡位于第二位，中国香港排名第八。

瑞典取代丹麦，坐上今年该报告的头把交椅，丹麦则下降到第三位。其他北欧国家均跻身前十，其中芬兰第六，挪威第十。新加坡进步明显，排名从去年的第四位，提高到今年的第二位。

中国香港同样排名大幅靠前，今年排名第八，而去年是第12位。

这个“信息化能力指数”显示各国运用信息通讯技术的能力水平，主要测算指标包括各国的技术水平、国民运用信息技术能力、信息技术使用普及度等。