管理視角下的網站群安全工作實踐

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了管理視角下的網站群安全工作實踐范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文從高校管理人員的視角，對網站群系統建設過程中的安全工作進行分析，可分為以下8個方面：網站群建設背景、認清高校網站安全工作的根本、系統建設依據與管理制度、預算與技術需求、安全技術防范、服務器部署、網站管理權限分配和校內網站管理制度。通過對這8個方面進行概括性分析和總結，能夠使高校網站群的安全工作內容更加清晰。

關鍵詞：高校網站群；網站群系統；網站群安全

引言

隨著信息技術和網絡的快速發展，網站安全問題得到越來越多的重視，眾多高校因缺少長期規劃，出現網站各自為政、信息孤立、資源浪費的情況，或因當前網站、網站群系統已運行多年，安全問題、審美問題和管理問題接踵而至。通過建設網站群系統可以解決大部分的問題，但是網站高度集中也給高校網站的安全性帶來了很大的挑戰。本文以廣東南華工商職業學院網站群的建設工作為例，對網站安全進行概括性分析，希望能夠為高校網站安全管理人員提供借鑒。

1網站群建設的背景

1.1已采取的措施

已采取的措施：清理雙非、僵尸網站，完成網站群系統的二級信息安全等級保護測評工作，將二級學院、部門各自建設的校外網站全部遷入校內，統一使用學校域名、IP地址，并要求網站安全負責人簽署信息系統/網站安全協議書。

1.2仍無法滿足需求

采取以上措施后網站安全雖然可以得到一定的保障，但是各學院、部門的網站仍然存在無法統一管理的情況，不僅安全隱患仍然突出、數據無法共享，服務器的資源浪費也非常嚴重，或者原網站群系統已運行多年，因制作技術、建設模式與管理方式限制，已不能滿足學校日益增長的網站建設需求。如今高校智慧校園的建設正在加速發展，門戶網站作為學校對外宣傳的窗口，更應提前做好規劃，為建設智慧校園鋪好道路。

2認清高校網站安全工作的根本

2.1網站安全工作的根本

高校網絡信息安全工作的最根本任務是通過管理手段和技術手段降低安全風險[1]。首先，部署網站安全防護設備，通過技術手段阻隔大部分的安全風險；其次，做好網站安全管理和維護，通過管理手段來控制技術暫時解決不了的安全風險。

2.2頂層設計

通過頂層設計開展相關的網絡安全工作，如成立網絡安全與信息化建設領導小組、成立網絡安全專項工作小組等，由校長作為小組組長，各學校領導作為小組成員，親自帶領各學院、部門主動配合開展相關的網絡安全工作。只有校領導高度重視網站安全，才能順利開展網站安全工作。

3系統建設依據與管理制度

3.1建設依據與規范

網站群系統應依據《中華人民共和國網絡安全法》《信息系統安全等級保護基本要求》進行建設，將《中華人民共和國計算機信息系統安全保護條例》、國內外相關的網絡信息安全標準作為建設規范[2]。

3.2安全管理制度

制定學校的網站安全管理制度、網絡安全突發事件應急預案，對網站群系統的安全日志保存時間、漏洞掃描、系統升級、密碼復雜度、密碼更新周期和備份周期等做出具體規定，并通過制度或規定來約束管理員的行為。

4預算與技術需求

4.1項目預算

制定項目預算的時候可以加入SSL安全證書部署、二級信息安全等級保護測評，并將其作為項目驗收條件，以確保項目安全落地。同時，要提前調研市場，根據學校具體需求確定SSL安全證書的域名與域名數量，單域名還是多域名，并分別調研它們當前的市場價值。

4.2技術需求

①網站群系統應采用B/S結構設計、J2EE技術架構，禁止使用Struts2相關技術架構[3]。②應當支持快速處理常見的敏感信息，靜態頁面自動生成，審核過程全程可視化。③應內置應用防火墻、入侵防護日志、網頁自動防篡改功能，可管理黑名單及白名單，能夠針對危險行為進行IP封禁。④應支持危險文件掃描，掃描服務器中包含特殊代碼的文件，并提供掃描日志。⑤平臺提供遠程診斷功能，具備獨立的遠程異地備份系統。⑥用戶可自定義備份計劃，定時或不定時對站點數據進行備份。⑦支持設置密碼強度規則，內置應用防火墻、入侵防護日志。

5安全技術防范

5.1網站安全防護技術設備

網站安全防護技術設備應包括但不限于包過濾防火墻、IPS、堡壘機、VPN、云WAF防火墻，校園網邊界啟用防火墻，除特殊審批的地址外不對校外提供服務，校外只能通過VPN訪問校內資源。

5.2防火墻開放端口

網站機服務器僅開放80端口，完成SSL安全證書部署工作啟用https協議后僅開放443端口。網站管理機服務器只允許校內訪問，如部署移動端等服務需要對外開放訪問的，僅開放8080端口。

5.3運維與等保

服務器的部署、運維全部通過堡壘機進行，服務器的密碼一律不向校外提供，并保留運維審計日志與運維人員的操作錄像。因等保測評周期較長，在系統建設時期應同步開展二級信息安全等級保護測評工作，通過等保后再進行項目驗收工作。5.4支持IPv6訪問學校進行網絡扁平化改造后，網站需要支持IPv6訪問，IPv4的安全機制僅限于應用程序級，而IPv6通過IP的AH和ESP標記保證了分組的鑒權和私密特性，從而實現IP級的安全。

6服務器部署

6.1機部署

為保障網站群系統能夠安全、高效、穩定地運行并具備高可擴展性，需要部署2臺較高性能的網站機服務器，提供前臺Web頁面的訪問服務保證負載能力，所有網站頁面通過靜態方式，開啟網頁防篡改功能，禁止使用動態組件。

6.2管理機部署

完整的部署方案需要提供3臺管理機服務器：第一臺管理機提供站點管理及資料維護服務，第二臺管理機作為備用服務器，采用冷備方式部署，第三臺作為遠程備份服務器，用于保存數據及對所有文件進行完整備份[4]。同時，網站群管理平臺本身要求具有站點恢復功能，子站不需要單獨備份，可直接使用系統備份文件實現抽取式恢復。

7網站管理權限分配

7.1落實責任

信息化部門通過技術防范保障學校的網絡安全，各二級學院、部門由專人對接，全權負責各自的網站，包括網站權限、網站二次建設、內容管理和運維運營，權責分明。

7.2權限分配

網站權限包括網站的建設、內容、管理、應用和內容，其中的內容部分又可具體分為各個欄目的文章編輯、審核，從而實現學校所有網站的信息管理、人員管理、分級審核和內容[2]。系統審核過程全程可視化，可以查看被審核文章的當前審核狀態及處理人、處理意見等相關信息。

8校內網站管理制度

8.1網站管理制度

學校宣傳部門制定并校內網站管理制度，負責統一管理學校主頁的內容更新并對所有以學校名義的新聞進行監管，其余各部門明確部門網站管理人員和信息人員的職責[5]。

8.2鼓勵機制

一方面，在管理制度中加入年終考評機制，對各部門的新聞數量和內容進行考評，考評結果納入年度目標考核內容；另一方面，設立網站管理專項經費，對網站管理與維護給予資金支持。

9結語

高校網站安全工作的根本是網站安全的風險管理和控制。雖然當前發展迅速的技術規范為網站帶來越來越多的安全保障，但必須了解一個客觀事實，漏洞和安全威脅是永遠存在的，一勞永逸的安全解決方案是不存在的。網站安全需要靠制度、技術、投入和管理來綜合進行保障，在制度完善、技術規范、部署了各類網站安全防護技術設備的前提下，那就只能通過加強管理來提高網站的安全防范水平，技術占三分，管理占七分。在未來高校的網站安全手段中，管理或許將會變得越來越重要。

參考文獻

[1]張巍,于廣輝,李先毅.管理視角下的高校網絡信息安全工作實踐[J].中國教育信息化,2018(5):81-83.

[2]馬健.高校網站群安全管理體系建設探索[J].科學技術創新,2017(35):85-86.

[3]李君.高職院校網站群建設與安全分析[J].智能計算機與應用,2014,4(1):40-44.

[4]張詠梅,賈艷梅,蒲在毅.高校站群系統建設與應用[J].網絡空間安全,2018,9(6):86-89.

[5]梁軒.淺談高等職業院校網站群系統建設的研究[J].電腦知識與技術,2019,15(29):17-18,20.

作者：張珂卿 單位：廣東南華工商職業學院