管理視角下的網(wǎng)站群安全工作實踐

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了管理視角下的網(wǎng)站群安全工作實踐范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文從高校管理人員的視角，對網(wǎng)站群系統(tǒng)建設過程中的安全工作進行分析，可分為以下8個方面：網(wǎng)站群建設背景、認清高校網(wǎng)站安全工作的根本、系統(tǒng)建設依據(jù)與管理制度、預算與技術(shù)需求、安全技術(shù)防范、服務器部署、網(wǎng)站管理權(quán)限分配和校內(nèi)網(wǎng)站管理制度。通過對這8個方面進行概括性分析和總結(jié)，能夠使高校網(wǎng)站群的安全工作內(nèi)容更加清晰。

關(guān)鍵詞：高校網(wǎng)站群；網(wǎng)站群系統(tǒng)；網(wǎng)站群安全

引言

隨著信息技術(shù)和網(wǎng)絡的快速發(fā)展，網(wǎng)站安全問題得到越來越多的重視，眾多高校因缺少長期規(guī)劃，出現(xiàn)網(wǎng)站各自為政、信息孤立、資源浪費的情況，或因當前網(wǎng)站、網(wǎng)站群系統(tǒng)已運行多年，安全問題、審美問題和管理問題接踵而至。通過建設網(wǎng)站群系統(tǒng)可以解決大部分的問題，但是網(wǎng)站高度集中也給高校網(wǎng)站的安全性帶來了很大的挑戰(zhàn)。本文以廣東南華工商職業(yè)學院網(wǎng)站群的建設工作為例，對網(wǎng)站安全進行概括性分析，希望能夠為高校網(wǎng)站安全管理人員提供借鑒。

1網(wǎng)站群建設的背景

1.1已采取的措施

已采取的措施：清理雙非、僵尸網(wǎng)站，完成網(wǎng)站群系統(tǒng)的二級信息安全等級保護測評工作，將二級學院、部門各自建設的校外網(wǎng)站全部遷入校內(nèi)，統(tǒng)一使用學校域名、IP地址，并要求網(wǎng)站安全負責人簽署信息系統(tǒng)/網(wǎng)站安全協(xié)議書。

1.2仍無法滿足需求

采取以上措施后網(wǎng)站安全雖然可以得到一定的保障，但是各學院、部門的網(wǎng)站仍然存在無法統(tǒng)一管理的情況，不僅安全隱患仍然突出、數(shù)據(jù)無法共享，服務器的資源浪費也非常嚴重，或者原網(wǎng)站群系統(tǒng)已運行多年，因制作技術(shù)、建設模式與管理方式限制，已不能滿足學校日益增長的網(wǎng)站建設需求。如今高校智慧校園的建設正在加速發(fā)展，門戶網(wǎng)站作為學校對外宣傳的窗口，更應提前做好規(guī)劃，為建設智慧校園鋪好道路。

2認清高校網(wǎng)站安全工作的根本

2.1網(wǎng)站安全工作的根本

高校網(wǎng)絡信息安全工作的最根本任務是通過管理手段和技術(shù)手段降低安全風險[1]。首先，部署網(wǎng)站安全防護設備，通過技術(shù)手段阻隔大部分的安全風險；其次，做好網(wǎng)站安全管理和維護，通過管理手段來控制技術(shù)暫時解決不了的安全風險。

2.2頂層設計

通過頂層設計開展相關(guān)的網(wǎng)絡安全工作，如成立網(wǎng)絡安全與信息化建設領(lǐng)導小組、成立網(wǎng)絡安全專項工作小組等，由校長作為小組組長，各學校領(lǐng)導作為小組成員，親自帶領(lǐng)各學院、部門主動配合開展相關(guān)的網(wǎng)絡安全工作。只有校領(lǐng)導高度重視網(wǎng)站安全，才能順利開展網(wǎng)站安全工作。

3系統(tǒng)建設依據(jù)與管理制度

3.1建設依據(jù)與規(guī)范

網(wǎng)站群系統(tǒng)應依據(jù)《中華人民共和國網(wǎng)絡安全法》《信息系統(tǒng)安全等級保護基本要求》進行建設，將《中華人民共和國計算機信息系統(tǒng)安全保護條例》、國內(nèi)外相關(guān)的網(wǎng)絡信息安全標準作為建設規(guī)范[2]。

3.2安全管理制度

制定學校的網(wǎng)站安全管理制度、網(wǎng)絡安全突發(fā)事件應急預案，對網(wǎng)站群系統(tǒng)的安全日志保存時間、漏洞掃描、系統(tǒng)升級、密碼復雜度、密碼更新周期和備份周期等做出具體規(guī)定，并通過制度或規(guī)定來約束管理員的行為。

4預算與技術(shù)需求

4.1項目預算

制定項目預算的時候可以加入SSL安全證書部署、二級信息安全等級保護測評，并將其作為項目驗收條件，以確保項目安全落地。同時，要提前調(diào)研市場，根據(jù)學校具體需求確定SSL安全證書的域名與域名數(shù)量，單域名還是多域名，并分別調(diào)研它們當前的市場價值。

4.2技術(shù)需求

①網(wǎng)站群系統(tǒng)應采用B/S結(jié)構(gòu)設計、J2EE技術(shù)架構(gòu)，禁止使用Struts2相關(guān)技術(shù)架構(gòu)[3]。②應當支持快速處理常見的敏感信息，靜態(tài)頁面自動生成，審核過程全程可視化。③應內(nèi)置應用防火墻、入侵防護日志、網(wǎng)頁自動防篡改功能，可管理黑名單及白名單，能夠針對危險行為進行IP封禁。④應支持危險文件掃描，掃描服務器中包含特殊代碼的文件，并提供掃描日志。⑤平臺提供遠程診斷功能，具備獨立的遠程異地備份系統(tǒng)。⑥用戶可自定義備份計劃，定時或不定時對站點數(shù)據(jù)進行備份。⑦支持設置密碼強度規(guī)則，內(nèi)置應用防火墻、入侵防護日志。

5安全技術(shù)防范

5.1網(wǎng)站安全防護技術(shù)設備

網(wǎng)站安全防護技術(shù)設備應包括但不限于包過濾防火墻、IPS、堡壘機、VPN、云WAF防火墻，校園網(wǎng)邊界啟用防火墻，除特殊審批的地址外不對校外提供服務，校外只能通過VPN訪問校內(nèi)資源。

5.2防火墻開放端口

網(wǎng)站機服務器僅開放80端口，完成SSL安全證書部署工作啟用https協(xié)議后僅開放443端口。網(wǎng)站管理機服務器只允許校內(nèi)訪問，如部署移動端等服務需要對外開放訪問的，僅開放8080端口。

5.3運維與等保

服務器的部署、運維全部通過堡壘機進行，服務器的密碼一律不向校外提供，并保留運維審計日志與運維人員的操作錄像。因等保測評周期較長，在系統(tǒng)建設時期應同步開展二級信息安全等級保護測評工作，通過等保后再進行項目驗收工作。5.4支持IPv6訪問學校進行網(wǎng)絡扁平化改造后，網(wǎng)站需要支持IPv6訪問，IPv4的安全機制僅限于應用程序級，而IPv6通過IP的AH和ESP標記保證了分組的鑒權(quán)和私密特性，從而實現(xiàn)IP級的安全。

6服務器部署

6.1機部署

為保障網(wǎng)站群系統(tǒng)能夠安全、高效、穩(wěn)定地運行并具備高可擴展性，需要部署2臺較高性能的網(wǎng)站機服務器，提供前臺Web頁面的訪問服務保證負載能力，所有網(wǎng)站頁面通過靜態(tài)方式，開啟網(wǎng)頁防篡改功能，禁止使用動態(tài)組件。

6.2管理機部署

完整的部署方案需要提供3臺管理機服務器：第一臺管理機提供站點管理及資料維護服務，第二臺管理機作為備用服務器，采用冷備方式部署，第三臺作為遠程備份服務器，用于保存數(shù)據(jù)及對所有文件進行完整備份[4]。同時，網(wǎng)站群管理平臺本身要求具有站點恢復功能，子站不需要單獨備份，可直接使用系統(tǒng)備份文件實現(xiàn)抽取式恢復。

7網(wǎng)站管理權(quán)限分配

7.1落實責任

信息化部門通過技術(shù)防范保障學校的網(wǎng)絡安全，各二級學院、部門由專人對接，全權(quán)負責各自的網(wǎng)站，包括網(wǎng)站權(quán)限、網(wǎng)站二次建設、內(nèi)容管理和運維運營，權(quán)責分明。

7.2權(quán)限分配

網(wǎng)站權(quán)限包括網(wǎng)站的建設、內(nèi)容、管理、應用和內(nèi)容，其中的內(nèi)容部分又可具體分為各個欄目的文章編輯、審核，從而實現(xiàn)學校所有網(wǎng)站的信息管理、人員管理、分級審核和內(nèi)容[2]。系統(tǒng)審核過程全程可視化，可以查看被審核文章的當前審核狀態(tài)及處理人、處理意見等相關(guān)信息。

8校內(nèi)網(wǎng)站管理制度

8.1網(wǎng)站管理制度

學校宣傳部門制定并校內(nèi)網(wǎng)站管理制度，負責統(tǒng)一管理學校主頁的內(nèi)容更新并對所有以學校名義的新聞進行監(jiān)管，其余各部門明確部門網(wǎng)站管理人員和信息人員的職責[5]。

8.2鼓勵機制

一方面，在管理制度中加入年終考評機制，對各部門的新聞數(shù)量和內(nèi)容進行考評，考評結(jié)果納入年度目標考核內(nèi)容；另一方面，設立網(wǎng)站管理專項經(jīng)費，對網(wǎng)站管理與維護給予資金支持。

9結(jié)語

高校網(wǎng)站安全工作的根本是網(wǎng)站安全的風險管理和控制。雖然當前發(fā)展迅速的技術(shù)規(guī)范為網(wǎng)站帶來越來越多的安全保障，但必須了解一個客觀事實，漏洞和安全威脅是永遠存在的，一勞永逸的安全解決方案是不存在的。網(wǎng)站安全需要靠制度、技術(shù)、投入和管理來綜合進行保障，在制度完善、技術(shù)規(guī)范、部署了各類網(wǎng)站安全防護技術(shù)設備的前提下，那就只能通過加強管理來提高網(wǎng)站的安全防范水平，技術(shù)占三分，管理占七分。在未來高校的網(wǎng)站安全手段中，管理或許將會變得越來越重要。

參考文獻

[1]張巍,于廣輝,李先毅.管理視角下的高校網(wǎng)絡信息安全工作實踐[J].中國教育信息化,2018(5):81-83.

[2]馬健.高校網(wǎng)站群安全管理體系建設探索[J].科學技術(shù)創(chuàng)新,2017(35):85-86.

[3]李君.高職院校網(wǎng)站群建設與安全分析[J].智能計算機與應用,2014,4(1):40-44.

[4]張詠梅,賈艷梅,蒲在毅.高校站群系統(tǒng)建設與應用[J].網(wǎng)絡空間安全,2018,9(6):86-89.

[5]梁軒.淺談高等職業(yè)院校網(wǎng)站群系統(tǒng)建設的研究[J].電腦知識與技術(shù),2019,15(29):17-18,20.

作者：張珂卿 單位：廣東南華工商職業(yè)學院