浅谈高校网站群安全管理与对策分析

吕美敬　叶新恩　刘明刚

摘 要：随着高校信息化的发展和信息资源的不断丰富，越来越多的高校和政府部门引入了网站群系统。网站群系统作为网站集中管理的平台的，其功能性与安全性逐渐得到重视。本文针对当前网站安全形势，结合作者管理网站的工作经验，从现状分析、安全管理、技术保障、管理模式等四个方面对网站管理安全展开讨论。

关键词：高校网站群；网站安全；管理与维护

DOI：10.16640/j.cnki.37-1222/t.2016.09.114

1 高校网站安全现状分析

近年，随着高校信息化建设的发展以及严峻的网络安全形式，高校信息安全受到越来越多的关注。据媒体报道，自2014年4月至2015年3月的12个月间，补天漏洞响应平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个，在被告知网站存在漏洞后，修复漏洞的高校网站只有35个，仅186个漏洞被修复，96.8%的高校网站完全无视安全漏洞的存在，94.6%的高校网站安全漏洞未被修复。表1是2015年发生在高校的2015年主要安全事件。

从以上教育系统内频发的网络安全事件可以看出，网站管理人员技术欠缺是造成网站安全问题的一分部原因，但是最重要的原因是高校信息化建设过程中网络安全管理没有引起相关学校的重视，人员配置极不合理，信息安全建设经费匮乏。补天漏洞响应平台上的漏洞一般会提前告知，但是由于高校网站监管不足，缺乏相关的技术人员，漏洞长期不被修复，给了很多黑客可趁之机。

2 网站群安全管理

网站群是按照一定的隶属关系组织在一起，统一规划建设、统一管理、分开维护的网站集合。它摒弃了传统的网站分开建设、硬件成本大、维护难、安全防护困难的难题，受到越来越多的高校、政府及企事业单位的青睐。网站群安全管理包含网站统一建设、网站上线安全管理、服务器设置、账户安全设置及访问控制。

2.1 网站统一建设

我校有部分二级单位由于不清楚学校统一建设流程或其他特殊原因，与厂商进行合作进行二级网站自建，而高校在对这种自建网站进行漏洞扫描时发现，多数自建网站都存在漏洞较多、危险系数较高等问题。学校信息安全主管单位，应负责学校信息系统建设及二级网站建设相关工作，为保证系统、网站安全，我校网络信息中心、数字化校园建设办公室采取“集中建设、集中管理”的方式，即学校所有信息系统建设均由数字化校园建设办公室统筹协调，系统、网站建成之后内容管理由各用户单位负责，而系统、网站的统一部署、安全运行则由网络信息中心负责。

2.2 网站上线安全管理

对于由网络信息中心、数字化校园建设办公室统一建设的网站上线工作要遵循网络信息中心统一制定的网站上线流程。网站上线之前用户需先提交网站上线所需要的材料，包含域名变更申请表及网络对外服务申请表。对已申请的网站要先进行内网域名解析工作，并进行漏洞扫描，根据漏洞扫描的结果决定是否开放外网。若漏洞扫描的安全值低于规定的安全值，即开放外网访问服务，否则需要修复漏洞直到安全，方可开放外网访问服务。

2.3 服务器设置

为了提高网站的安全性，网站群系统使用双服务器布置，采用网站前端浏览和后台管理维护分离的部署方案，将网站群分离成管理机和发布机进行部署。发布机是一个web服务器，通过80端口供外网直接访问。发布机部署网站群发布端软件，可以快速的将管理机发布的内容同步到一台或多台发布机上。管理机使用的端口和发布机不同，用户通过内网或vpn访问管理机，实现网站系统维护和内容管理，并且外网无法直接访问，图1为服务器部署拓扑图。

2.4 账号安全设置

为了避免管理员账户密码过于简单被恶意利用，制定了详细的密码强度规则，密码必须包含字母、数字及特殊字符并且制定定期修改密码的维护计划。为防止他人对账户密码进行猜解，如果密码输错三次，则该账号将被锁定，锁定的账号必须通过网络信息中心网站群系统管理员验证身份方可解锁。

2.5 访问限制

为加强网站安全管理，网站群系统后台管理平台维护端口默认不对互联网直接开放，仅允许校内用户采用固定的IP地址或者通过VPN（虚拟专用网络）访问网站群系统后台发布系统。

3 硬件保障

在严峻的网络安全形式下，为保证学校系统、网站在技术层面不受攻击，高校负责学校网络安全的部门需采购相关的安全设备。

3.1 堡垒主机

堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，用户无需考虑其它主机的安全的目的。堡垒主机作為学校网络的外部检查结点，所有不必要的服务、协议、程序、以及网络端口都被删除或禁用。同时由于堡垒主机并不提供与内网信任主机之间的认证服务，因此即使堡垒主机被攻破，入侵者也无法利用堡垒主机为跳板共计内网，从而减少高校潜在攻击。

3.2 UTM防火墙

UTM（Unified Threat Management，统一威胁管理）防火墙指利用单一的硬件设备提供多种网络保护功能的安全设备设备，在防火墙的基础上集成了防毒墙、入侵检测、防垃圾邮件等功能。

3.3 WAF防火墙

WAF（Web Application Firewall，简称WAF）防火墙针对HTTP/HTTPS制定一系列的安全策略从而为web应用提供保护的硬件安全设备。所有托管的二级网站的访问均需通过WAF的内容简称和验证，并对非法请求语义实施阻断，以保证二级网站的安全性和合法性。

3.4 入侵检测设备

入侵检测设备（Intrusion Detection System，简称IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备，是一种积极主动的安全防护技术。不同于防火墙的防御作用，IDS 是一种监听设备，无需网络流量流经即可对网络的异常入侵以及误用入侵进行检测，是高校网络安全保障的重要手段。

3.5 入侵防御设备

入侵防御设备（Intrusion Prevention System，简称IPS）作为对防病毒软件和防火墙的补充设备，能够监视网络或网络设备的网络资料传输行为，并对不正常的或具有伤害性的网络资料传输行为进行及时阻断。

3.6 上网行为审计设备

上网行为审计设备指可以提供互联网用户控制、上网行为管理的硬件设备，主要功能包括网页访问过滤、网络应用控制、贷款浏览管理、信息收发审计、用户行为分析等。该设备专用于高校防止非法信息恶意传播，监控网络资源使用情况等方面。

4 管理模式

（1）学校主页和各二级单位网站，原则上均需要在学校管理的集中平台上统一建设。

（2）各二级单位及部门固定1～2个信息管理员管理网站后台，并采用白名单的形式访问网站后台，白名单里的人员以固定的校内允许的可信的IP地址访问站群管理后台。

（3）网站系统管理人员需具备一定的网站管理基础，高校应着重培养每个网站管理员的专业技术能力。

（4）健全网站管理办法，提高网站使用效率。网站作为学校及各单位宣传的门户网站，需要健全的管理办法，从网站内容、网站形式、后台管理等各方面进行规范。

（5）定期开展网站管理经验交流活动，提高网站管理素养。各单位网站管理员基本上都不是专门从事计算机行业的老师，对网站管理缺乏一定专业知识。定期的经验交流，不仅使老师方便处理日常网站管理中遇到的问题，互通有无，而且能增加一定的实践经验。

5 总结

目前，中央财经大学在学校各单位的支持、配合下，学校在信息安全建设方面取得了一定的成果，但距离国家出的安全建设要求仍“任重道远”，无论是对学校还是对各二级单位而言，仍需开展大量工作。学校需要及时加强对信息网站的备案和监管工作，要求每个網站都应有专门的技术人员管理并做好相关技术防护，定期进行安全评估及漏洞扫描工作，一旦发现网站漏洞便及时修补。同时做好网络信息安全人才的培养，建设一支健全、高效的网络安全运维团队。

参考文献：

[1]网络安全从防患做起[DB/OL].中国教育和科研计算机网CERNET.

[2]王薇.对于高校网站群建设与管理分析[J].电子技术与软件工程，2015（22）：38-39.

[3]忽海娜，欧阳锋.高校网站建设安全问题分析与对策[J].软件导刊，2014，13（11）：163-164.

[4]刘艳丽.高校网站群建设与管理探析--以洛阳师范学院为例[J]. 中国现代教育装备，2014（07）：19-20.

[5]马伟山，李冰，唐卫清.政府门户网站群建设框架的研究与设计[J].计算机与数字工程，2009（09）：139-142.

[6]许瑞平，崔永超.中小规模高校网站群建设与管理探讨[J].软件导刊. 教育技术，2014（05）：57-59.