高校网站安全防护方案(共10篇)
高校网站安全防护方案 篇1
高校网站主要由高校门户网站及若干二级网站组成,二级网站主要是以院系、职能部门、研究所、精品课程、特色专业及各类活动为主题的二级网站。如果把高校门户网站比喻成高校网站的框架,那么高校二级网站就是网站的主体,因此二级网站建设的水平和内容丰富程度直接决定了高校网站的建设水平。
1 高校对二级网站的建设目的
随着校园网基础设施的不断完善和网络信息资源的开发利用,高校网站建设与发展倍受关注,它的主要功能就是信息传递以及信息交互反馈,通过它不仅架起了高校与外界网络信息沟通的桥梁,而且开辟了高校走向世界的快速道路。
高校二级网站的服务对象主要是校内广大教师、科技人员和学生以及国内外的用户,网站建设以本校教学和科研资源为核心,以体现学科和人才优势为重点,以反映高校教育改革和发展为内容,注重创新性和时效性,力求信息内容全方位、多视角和高浓缩,为用户提供方便快捷、优质高效的信息服务,实现网络信息资源共享。
目前高校信息化建设带动校园网站的建设工作,许多网站如雨后春笋般建成,高校除了建有对外的门户网站外还建有大量对内对外的二级网站,大致可分为院系工作宣传网站、职能部门工作网站、学生及思想政治教育网站以及教学、科研、财务等信息资源应用网站。这些网站在学校的教学、科研、宣传、校园文化等方面发挥了积极的作用。以苏州市职业大学为例,学校现有二级网站45个,其中职能部门工作网站21个,各院系工作网站12个,特色专业建设网站5个,精品课程5个,其他研究所2个,已明确的待建网站27个。总体来讲网站林立,欣欣向荣。
因此,充分发挥高校教育资源优势,开发利用好高校的信息资源,创建一批国内外有影响力的国内一流的高校网站,将为高校的信息化建设奠定基础。
2 高校对二级网站的需求分析
由于一些高校内部的二级网站各自相互独立开发,造成了二级网站之间风格不统一、信息无共享、服务器分散、资源浪费、安全性差等不足。因此研究开发一套适用于高校二级网站快速生成系统具有很大的实用价值,可有效地解决当前普通高校面对大量二级网站需求与建站难的现实矛盾。
高校在建设二级网站时应由一个部门进行统一管理与建设,而这个部门可以首先针对高校二级网站的共同需求开发一套建站母版,再由它快速生成各个二级网站,这样可以有较地解决以下几个常见问题:
1)规范二级网站的页面与内容的显示效果,可使风格保持一致;
2)提高二级网站的建站速度,有效降低人力、物力与财力的投入;
3)定期统一升级,不断增强网站功能、提高网站安全性;
一个高校的二级网站往往会达到几十个甚至上百个之多,但分析其功能基本是以信息发布为主,因此围绕如何能够快速创建一个信息发布网站也就成为了研究的关键。除此以外,高校二级网站需要实现服务器及操作系统统一,网站开发技术统一,数据库统一,数据交换标准统一,可大幅度降低网站开发难度,院系及职能部门不需专业人员就可根据自身需要完成网站建设,这就需要强大的后台管理平台和友好界面,同时要有能提供信息维护、新闻添加、及管理员分级审核功能。除此以外各个分站点之间可以进行有效的信息、数据交流和共享,提高整个学校的资源利用率,有效地解决各部门力量不足,人员不稳定,网站交互性差等问题。因此针对高校二级网站独特需求需要专门进行研究与分析。经过多年的网站建设经验与用户的意见反馈积累,二级网站需要实现的最基本的功能如下:
1)开发本系统是为了能够快速生成通用的二级网站,以下是对系统的基本需求:
(1)方便、快捷的多级栏目管理,前台栏目的显示效果可在后台设定;
(2)实现完善的信息发布管理,使用“所见即所得”的编辑方式,给管理人员提供良好的操作平台;
(3)后台采用多角色多用户模式,对信息进行录入与审核管理;
(4)实现站点信息与页面布局的分离;
(5)实现页面的自动生成和管理,实现页面元素的自动添加与修改;
(6)在系统正常运行时实现外观的快速切换;
(7)提供良好的可扩展能力,为以后功能的添加提供有力的保障手段。
2)通过分析提出如下需求总结:
(1)在系统管理方面要求
A.提供用户角色管理,栏目权限管理。系统可设定多名管理员、审核员、录入员,一名管理员可管理多个栏目,一个栏目可以被多名管理员管理。
B.提供系统日志管理,记录管理用户访问信息。只能清除两天前的所有日志,防止非法人员登录后清除记录;
(2)在系统功能方面要求
A.具有良好的维护性和扩展性:网站信息管理系统在以后的使用过程中一定会提出新的需求,增加、修改功能模块。因此系统在设计前就要考虑到,当前的架构对系统的扩展不应当造成障碍;
B.信息显示方面:能提供多种信息显示模块,例如信息发布模块、静态网页生成模块、友情链接模块、图片信息模块、搜索模块等。此外,对于授权用户,访问某模块时,由其所在角色对该模块使用权来获得访问该模块的权限。
C.信息发布方面:实现信息上传、信息审核、信息发布等一套规范合理的信息管理流程。同时能设定信息的类型,如校内信息或校外信息。
D.页面编辑方面:支持页面自动添加和生成,自动切换页面格局。同时,系统还需要根据页面之间的关系生成和维护站点系统菜单。
(3)在数据管理方面,要求:
A.实现几乎完全的数据驱动,所有文本类型信息均以良好的结构化形式保存在数据库中,所有页面设置和网站信息也保存在数据库中,方便网站管理。
B.图片文件和视频等多媒体文件上传到服务器特定的目录下,进行集中管理。
C.不同页面的模板文件,即系统中的“皮肤”以文件形式保存在自设目录下,后台可查看、修改、调用这些文件,以方便管理员操作,使快速生成新的二级网站功能成为可能。
3 高校二级网站设计方案
系统可选用ASP.NET技术开发,采用Visual C#作为开发语言。网页页面效果主要通过三个部分组成:结构、表现和行为,整个系统按照三层体系结构(表现层,业务逻辑层,数据访问层)模式并结合SQL Server数据库设计与实现。
为了简化网站的规划、制作及维护,系统在开发时将使用层叠样式表技术(DIV+CSS)来展示Web文档,从而大量的减少网站的开发时间,同时节省硬盘空间和带宽。这里使用层叠样式表(CSS)技术使得网页的灵活性增加,后期页面效果更改只需通过修改样式表的定义就能使网页呈现完全不同的外观。
系统以三层体系结构模式进行设计与开发,使项目结构更清楚,分工更明确,有利于后期的维护和升级。通过对二级网站的需求分析将系统分为六个功能模块来现实,它们分别是:系统管理模块,信息管理模块,网站生成管理模块,用户管理模块,模板管理模块,其它管理模块等,每个功能模块再由若干个子功能模块组成。
为了减少服务器的资源消耗,加快页面访问速度,减小给数据库带来的压力,目前较为经济有效的方法就是将动态页面生成静态网页的方式来实现,也可以说是使用存储空间换取访问速度。动态页面生成静态网页的主要思路是将网站的动态信息和彼此之间的关系存入数据库,根据特定的规则和模版生成网站静态页面,以静态页面的形式发布,完成网站的自动生成。如图1所示静态网页生成原理。
3 结束语
本文对高校二级网站的建设方案进行了较为深入的研究,完成了系统的需求分析、总体设计方案,实现了系统的模块开发与架构。由于规范了模板的设计,使二级网站风格得到统一;由于采用了三层体系结构及统一的后台管理模块,使后期升级与维护方便快捷;由于免去了二级网站重复开发、专业技术人员管理、硬件设备重复投资等,节省了大量人力、物力与财力。
为了适应高校的发展需求,以后还将进一步实现WEB智能缓存机制、对工作流的支持、以及对网站集群管理的支持等。
参考文献
[1]陶立方.基于校园网的高校学报网站建设的必要性和可行性[J].洛阳大学学报,2003,18(4):75-78.
[2]杨波,程建霞,张红,等.高校学报网站的功能定位[J].编辑学报,2004,16(2):130-131.
[3]邵挺.关于高校网站建设的思考[J].青年记者,2008,14:109.
[4]陈红红.高校网站管理问题分析及解决方案[J].西北成人教育学报,2009.02:42.
高校网站安全防护方案 篇2
a)b)c)系统提供用户身份的唯一性标识功能
可设置如输入2次错误后要输入验证码,5次错误后就锁定账户30分钟 系统限制密码长度在8位以上,复杂度必须包含字母、数字和字符3种。
2)访问控制
a)b)c)
1、由管理员配置访问控制策略并授权,无默认用户。
2、各种角色的帐户权限不同,管理员根据实际需要授予其合适的权限。
3、访问控制的覆盖范围包括用户、功能项及相关操作。分为不同的部门和不同的用户,不同部门的权限不一样。
3)安全审计
a)b)
1、启安全审计功能,,对应用网站操作、模板操作和系统运行进行审计。审计记录可覆盖到每个用户
3、审计记录包括:ID、发生时间、操作人、描述、操作
4)软件容错
a)b)
1、应用系统输入框中未拒绝不正确的格式输入;
3、应用系统对文件上传设置白名单,严格禁止asp、jsp、aspx、php、exe、vbs、com等类型的后缀文件上传。
5)资源控制
高校网站安全防护方案 篇3
关键词:校园 网络 文化 管理
网络成为了高校师生获取知识、进行交流的重要渠道,并对广大师生的学习、生活乃至思想观念产生深刻的影响。同时,网上良莠不齐的信息增加了青年学生辨别真伪的难度,容易产生某些思想的混乱,影响高校和社会的稳定。加强学校网络文化建设与管理,净化网络育人环境,非常之必要。目前,很多高校开办了自己的官方网站。高校对外网站是学校对外宣传、开展教科研活动、进行教学交流、呈现学校资源的网络平台,是展示学院形象和学校教育的重要窗口。学院主页及部门网页的内容和编辑不仅反映了学校的水平和形象,也将影响到学校的招生、就业,科研项目的争取等关系发展的重大事项。利用好、建设好、管理好校园网站,是高校网络文化建设的主要途径之一。要把校园网站建设成为传播主旋律的主渠道,信息发布安全是第一要务,主要就是要加强制度建设和信息员队伍的建设。
1 制定严格的对外网站信息发布管理办法
高校加强对外网站管理的制度建设的核心内容是制定严格的《网站信息发布管理办法》,主要应包含以下规定:①网站信息的发布必须遵守国际、国内有关法律的规定。不得发布与宪法和法律相悖、危害国家安全和利益的、宣扬封建迷信、侮辱诽谤他人的、破坏学校安定团结、有损学校形象等有关法律、法规禁止的信息内容。②高校网站信息发布的管理部门是党委宣传部,各系部也要成立部门的网站管理小组,配备部门的网站信息员。网站信息员名单需报学校备案。③网上信息发布采取责任追究制度,信息发布工作坚持“谁发布谁负责”的原则,网站信息员对本部门网站信息发布的安全性、准确性负责。登录密码和帐号一般应由网站信息工作小组组长和信息员掌握,不得向他人泄漏。④学校党委宣传部负责学校外网主页内容的审查和更新,负责各部门网页内容的审查和备案,负责校园网络信息安全的监控、负责校园网络突发事件的预防和处理、网络舆论情报的搜集与反馈等。⑤各系、各部门定期在校园网上充实更新部门网页,充分利用网站宣传学校,提升学校的知名度和美誉度。各部门发布的信息内容必须由网站信息小组组长确认,并交学校党委宣传部审核、备案后方可发布。⑥任何部门未经申请同意,不得私设部门网站,发布各种信息,更不准将个人网站链接到学校网站。
2 高度重视网站信息员队伍建设
建立一支高素质的网站信息员队伍是用积极、健康的思想文化占领网络阵地、进一步净化校园网络环境的重要手段,也是加快和谐校园建设的一项重要任务。
2.1 信息员的选任条件和要求 ①具有较高的思想政治素质,有较强的政治敏感性和政治鉴别力,能较好地把握正确的舆论导向,有较高的政策理论水平,具有一定的思想政治工作经验或学生教育管理经验。②了解掌握高等教育法律法规,熟悉高等教育政策和学校的基本情况,具有较强的工作责任心,富有社会责任感、正义感,热心服务高等教育的改革和发展。③熟悉网络基本操作技术,了解网络传播特点和规律,善于运用网络语言,知识面广,有较强的文字功底。
2.2 信息员的职责义务 努力充分挖掘本系部信息题材,弘扬本系部正面舆论,利用学校网站传播平台和技术支持,把校园网建设成为立德树人的新阵地,师生精神文化活动的新空间,校园文化和服务的新平台。
①信息员要充分调动本系部教师、学生提供有价值信息线索的积极性,尤其是学生干部的积极性,对系部、师生中出现的新闻信息要及时报道,写成通讯发送到学校网站上。②信息员要及时关注关于学院和本系部的网上舆论信息。经常查询关于学校和本系部的网上评论,重大问题要及时向宣传部报告。③信息员要主动介入校园BBS和校外一些网站的交互式栏目(论坛、贴吧、说吧、留言板等),在网上就师生关注的热点问题、难点问题参与评论,积极跟帖。还可以通过创建贴吧,QQ群,播客、在论坛上发表文章等形式,用生动活泼的语言,塑造学校和各系部的正面形象。④对于突发事件,信息员要及时引导网上舆论,维护正面声音,最大程度消除各种负面影响,维护学校稳定。信息员要加强对学生思想动态和活动情况的调查了解,对校园网上表达正能量的信息,要予以保留和支持,加强正面引导力度。对未经证实的信息和各种制造恐慌、影响稳定的谣言,要认真核实、及时澄清、公开辟谣。⑤信息员要不断加强政治理论、高等教育法律法规、政策以及网络技术等方面的学习,努力提高理论素养、政策水平和业务水平,以高度的政治责任感和历史使命感,按照“加强网络文化建设和管理,营造良好网络环境”的要求努力创造文明健康、积极向上的校园网络文化。
2.3 加强信息员队伍建设的组织领导 要不断加强信息员队伍建设的组织领导。党委宣传部定期召开会议,听取网上舆情引导工作汇报,及时解决网络评论工作中出现的问题。党委宣传部负责信息员队伍的人员选拔、业务培训、工作考核、实绩奖励。不断完善网络信息员培训和学习机制,特别是要在如何有效地提高舆情引导能力,消除负面影响等方面加强培训,不断提高信息员政治业务素质、网上舆论引导能力和计算机网络应用水平。
参考文献:
[1]李欣.高校校园网络安全探索[J].中国现代教育装备,2007(01).
[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社,2006.
[3]黄昌富.网络不安全因素[J].信息网络安全.2004(08).
[4]郝英杰.高校绿色网络建设管理新思路[J].中国高等教育,2010(01).
高校网站安全问题分析 篇4
随着信息技术的不断发展, 校园网建设已成为高校信息化建设的重要组成部分。当前, 很多高校已建成了校园网站群, 包括学校门户网站、二级部门 (院系) 网站和专题网站等, 运行了OA系统、新闻发布系统、教务管理系统、科研管理系统、学工管理系统、设备管理系统、图书管理系统、校园一卡通系统等。高校网站已成为教学、科研、管理和服务的重要平台。然而, 由于网站开发人员技术水平参差不齐, 导致大多网站虽界面美观但安全性不高, 存在很多安全隐患。一旦网站被黑客入侵, 可能会造成网页被篡改、隐私数据被窃取、业务中断等, 甚至可能被植入木马造成不良影响。
1 高校网站安全问题
1.1 网站程序漏洞
高校部门、院系及分支机构众多, 每所高校一般至少有几十个网站, 甚至有成百上千个。这些网站不少是由在校学生或老师制作的, 也有一些是委托公司定制的。由于一些网站制作者缺乏网络安全知识和技术, 网站开发程序存在一定漏洞, 导致网站面临各种安全威胁[1]。例如, 有的缺乏必要的安全设计, 甚至没有有效的验证机制;有的网站使用各类小程序或交互技术, 这些小程序本身就存在安全漏洞;还有网站使用的是现有的开源CMS源程序, 使用者只是作了界面上的修改, 对其中的数据库路径和数据库名称没有作任何修改, 这些都很容易被黑客利用。常见的攻击方式有:SQL注入攻击、跨站脚本攻击、上传Webshell、DoS攻击等。
1.2 网站服务器操作系统、Web服务器软件漏洞
网络服务器常用的操作系统有Windows Server、Unix、Linux等, 无论是哪种操作系统, 都可能存在漏洞。如果不及时安装、升级补丁, 系统存在的漏洞就会很多, 安全隐患也很大。此外, 还存在服务器配置漏洞, 如打开不必要的服务端口、使用缺省用户名和密码等[2]。同时, 网站运行环境所需的Web服务器软件也可能存在漏洞, 常用的Web服务器软件如Apache、MySQL等若版本过低, 就会存在一定漏洞。
1.3 网站文件夹权限设置不合理
网站程序包括多种类型的文件, 有静态网页、动态网页、数据库文件等, 有的文件或文件夹只允许用户读取, 有的允许用户读写, 这些都需要网站管理员进行相应的设置。若管理员对Web服务器操作系统或Web应用程序配置不当, 就可能导致网站数据被下载或篡改。
1.4 缺少网络安全设备
一些高校由于经费不足或者是对网络安全不够重视, 没有配备网络安全检测或防护设备。虽然大部分高校网络出口都配备了防火墙, 但是很多攻击行为可以绕过防火墙。由于网站正常运行需要开放Web访问端口, 所以攻击者可针对Web层进行渗透, 从而获取网站敏感信息, 进行SQL注入攻击、跨站脚本攻击等。
1.5 日常管理维护不到位
网络服务器日常使用中, 有些网站管理员安全意识淡薄, 对服务器超级用户密码、网站后台账号密码或FTP密码等设置过于简单, 很容易被破解。此外, 由于网站管理员本身技术水平有限, 对网站安全防范技术不了解, 没有对站点进行相应的安全配置和日常安全检查, 疏于管理, 容易发生网站被黑客入侵的现象。
2 高校网站安全防护策略
2.1 网站程序编写
要避免网站程序漏洞, 网站制作之初就应从严要求。例如, 在编写程序代码时, 要对用户输入数据进行验证, 规范数据的大小、类型和字符串, 要限制API函数对系统资源的使用, 还要对Web服务器资源进行限制, 防止服务遭攻击。除自主开发, 也可以购买专业的网站管理系统, 可获得及时的维护和升级服务, 提高网站安全性。
2.2 网站服务器安全设置
及时更新操作系统安全补丁。在安装系统服务时, 只安装必需的网络服务, 只开放必需的网络端口, 其它不用的端口可以暂时关闭。在服务器配置方面, 为每个账户设置最小的管理权限, 为不同的安全等级设置不同访问的账户[3]。同时, 修改管理员Administrator用户名并设置复杂的密码, 禁用Guest用户, 关闭磁盘共享和远程登录功能等。另外, 需要安装杀毒软件, 经常查杀病毒和木马。对Web服务器软件可能存在的漏洞, 一方面要及时更新最新版本的软件;另一方面要针对漏洞安装补丁, 进行相应的配置, 做好预防工作。
2.3 网站文件夹权限设置
IIS是由微软公司提供的基于Microsoft Windows运行的互联网基本服务。在IIS中, 应删除默认站点和默认站点目录, 创建自己的网站, 以增强网站的安全性。同时, 配合操作系统NTFS权限来设置网站目录和文件访问权限。如果是静态网页所在目录, 可给予读的权限;如果是动态网页所在目录, 可给予脚本资源访问权限;如果是数据库文件所在目录, 可给予读写的权限。另外, 删除IIS中不必要的脚本映射, 启用网站日志记录, 为日后网站安全分析提供依据。
2.4 安装硬件防火墙、入侵检测系统、Web应用防火墙
在校园网安全建设中, 要重视网络安全设备配置, 通过硬件防火墙、入侵检测系统、Web应用防火墙[4]等构筑网络安全防护体系。硬件防火墙是保障内网安全的一道重要屏障。它能在Internet与Intranet之间建立起一个安全网关, 从而保护内部网免受非法用户入侵。硬件防火墙的安全性和稳定性直接关系到整个内网的安全。因此, 日常例行检查对于保证硬件防火墙的安全非常重要。
入侵检测系统 (IDS) 可对网络传输进行即时监视, 在发现可疑传输时发出警报或者主动采取措施。IDS可以监控整个子网, 包括来自外部的数据以及内部终端之间传输的数据。将IDS安装在访问网站服务器必经的链路上, 并做好相应的配置, 一旦发现安全威胁, 它可发出警报或采取主动反应措施。
Web应用防火墙 (WAF) 通过执行一系列针对HT-TP/HTTPS的安全策略来为Web应用提供专门保护。WAF是集Web防护、网页保护、负载均衡、应用交付于一体的Web整体安全防护设备, 它集成全新的安全理念与先进的创新架构, 保障用户核心应用与业务持续稳定运行。
2.5 网站日常管理维护
除技术层面的安全防护外, 网站日常管理维护也是必不可少的环节。首先, 在人员配置方面, 需要安排专业技术人员从事网站日常管理维护工作, 负责网络、网站服务器、网络安全设备等方面的管理;其次, 制定相应的规章制度, 责任到人, 管理到位, 建立安全应急响应及处置预案等;最后, 要经常对网站管理人员进行培训, 提高安全防范意识和技术水平, 采用多种备份方式定期备份系统和网站数据, 以便在出现问题时能及时恢复[5]。
3 结语
高校网站覆盖面广, 出现安全问题, 将对日常教学、管理造成不良影响。应重视网站面临的各种安全问题, 加强校园网安全建设。只有合理地运用各种安全防护策略, 加强网络专业人才队伍培养, 提高自身的安全防范意识和技术水平, 才能保障网站的正常稳定运行。
参考文献
[1]朱朝阳, 王厚奎.高校门户网站Web安全问题分析及解决思路[J].大学教育, 2012, (1) :27-28.
[2]宋斗超.高校网站的安全问题及应对策略探究[J].福建电脑, 2013, 29 (6) :89-90.
[3]王丽莎.高校网站安全问题分析及防护对策研究[J].上海海关学院学报, 2012, 33 (3) :110-112, 126.
[4]郑州.浅析教育系统网站安全威胁与应对策略[J].中国教育信息化:基础教育, 2012 (7) :73-76.
高校网站安全防护方案 篇5
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施; 安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
高校网站安全防范措施研究 篇6
随着教育信息化的发展,几乎所有高校都建立了校园网门户网站及若干二级网站(各院系及职能部门网站)。高校网站在教学、科研、管理、宣传、校园文化建设等方面发挥了重要作用。目前,高校网站建设和管理安全意识比较薄弱,容易遭受网络攻击,在网站建设、安全管理方面存在一些不容忽视的问题。
1 高校网站运行现状分析
高校网站作为对外服务的窗口,是高校最主要的宣传互动平台之一,同时也是了解高校权威信息的主渠道。高校网站一般由学校门户网站及二级部门网站构成。由于网站建设的时间、技术、资金投入以及开发网站时使用的操作系统、开发语言以及规范性都参差不齐,致使高校网站类型迥异,管理维护难度大。
一般高校门户网站和二级部门网站分属于不同的部门维护,其中很大一部分网站由老师、学生或委托他人开发、管理和维护,管理人员也是临时指派不固定。而多数管理人员通常只会简单的计算机操作,普遍缺少网络安全知识和安全技术,安全意识淡薄。网络安全攻防需要具备网络、编程、系统命令以及操作系统底层等全方面的知识,而高校主要作为网站系统的应用者,基本上没有专门的安全攻防人员来负责网站安全,因此,对网站只能进行被动的管理,无法发现网站在运行过程中存在的安全隐患,很难做到事前防御。
2 高校网站安全面临的主要问题
高校网站安全面临的问题众多,既有客观上的,也有主观上的,既有显现的,也有潜在的,既有自身的,也有外在的,其中的主要问题可以概括为如下几点。
2.1 网站程序漏洞
各高校都是有多个部门以及二级学院所组成,因此高校网站数量也相对较多,但是其中一大部分是由教师和学生共同制作完成的,在相应技术和知识方面还存在一定的欠缺,使得在程序编写过程中存在较多的漏洞。例如,有的缺乏必要的安全设计,甚至没有有效的验证机制;有的网站使用各类小程序或交互技术,这些小程序本身就存在安全漏洞;还有网站使用的是现有的开源CMS源程序,使用者只是作了界面上的修改,对其中的数据库路径和数据库名称没有作任何修改,这些都很容易被黑客利用。常见的攻击方式有:SQL注入攻击、跨站脚本攻击、上传Webshell、Dos攻击等。
2.2 网站服务器操作系统、Web服务器软件漏洞
网络服务器常用的操作系统有Windows Server、Unix、Linux等,无论是哪种操作系统,都可能存在漏洞。如果不及时安装、升级补丁,系统存在的漏洞就会很多,安全隐患也很大。此外,还存在服务器配置漏洞,如打开不必要的服务端口、使用缺省用户名和密码等。同时,网站运行环境所需的Web服务器软件也可能存在漏洞,常用的Web服务器软件如Apache、My SQL等若版本过低,就会存在一定漏洞。
2.3 网站文件夹权限设置不合理
网站程序包括多种类型的文件,有静态网页、动态网页、数据库文件等,有的文件或文件夹只允许用户读取,有的允许用户读写,这些都需要网站管理员进行相应的设置。若管理员对Web服务器操作系统或Web应用程序配置不当,就可能导致网站数据被下载或篡改。
2.4 缺少网络安全设备
一些高校由于经费不足或者是对网络安全不够重视,没有配备网络安全检测或防护设备。虽然大部分高校网络出口都配备了防火墙,但是很多攻击行为可以绕过防火墙。由于网站正常运行需要开放Web访问端口,所以攻击者可针对Web层进行渗透,从而获取网站敏感信息,进行SQL注入攻击、跨站脚本攻击等。
2.5 日常管理维护不到位
网络服务器日常使用中,有些网站管理员安全意识淡薄,对服务器超级用户密码、网站后台账号密码或FTP密码等设置过于简单,很容易被破解。此外,由于网站管理员本身技术水平有限,对网站安全防范技术不了解,没有对站点进行相应的安全配置和日常安全检查,疏于管理,容易发生网站被黑客入侵的现象。
3 高校网站安全防范措施
3.1 网站程序编写
要避免网站程序漏洞,网站制作之初就应从严要求。例如,在编写程序代码时,要对用户输入数据进行验证,规范数据的大小、类型和字符串,要限制API函数对系统资源的使用,还要对Web服务器资源进行限制,防止服务遭攻击。除自主开发,也可以购买专业的网站管理系统,可获得及时的维护和升级服务,提高网站安全性。
3.2 服务器安全设置
及时更新操作系统安全补丁。在安装系统服务时,只安装必需的网络服务,只开放必需的网络端口,其它不用的端口可以暂时关闭。在服务器配置方面,为每个账户设置最小的管理权限,为不同的安全等级设置不同访问的账户。同时,修改管理员Administrator用户名并设置复杂的密码,禁用Guest用户,关闭磁盘共享和远程登录功能等。另外,需要安装杀毒软件,经常查杀病毒和木马。对Web服务器软件可能存在的漏洞,一方面要及时更新最新版本的软件;另一方面要针对漏洞安装补丁,进行相应的配置,做好预防工作。
3.3 网站文件夹权限设置
IIS是由微软公司提供的基于Microsoft Windows运行的互联网基本服务。在IIS中,应删除默认站点和默认站点目录,创建自己的网站,以增强网站的安全性。同时,配合操作系统NTFS权限来设置网站目录和文件访问权限。如果是静态网页所在目录,可给予读的权限;如果是动态网页所在目录,可给予脚本资源访问权限;如果是数据库文件所在目录,可给予读写的权限。另外,删除IIS中不必要的脚本映射,启用网站日志记录,为日后网站安全分析提供依据。
3.4 安装硬件防火墙、入侵检测系统、Web应用防火墙
在校园网安全建设中,要重视网络安全设备配置,通过硬件防火墙、入侵检测系统、Web应用防火墙等构筑网络安全防护体系。硬件防火墙是保障内网安全的一道重要屏障。它能在Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户入侵。硬件防火墙的安全性和稳定性直接关系到整个内网的安全。因此,日常例行检查对于保证硬件防火墙的安全非常重要。
3.5 网站日常管理维护
除技术层面的安全防护外,网站日常管理维护也是必不可少的环节。首先,在人员配置方面,需要安排专业技术人员从事网站日常管理维护工作,负责网络、网站服务器、网络安全设备等方面的管理;其次,制定相应的规章制度,责任到人,管理到位,建立安全应急响应及处置预案等;最后,要经常对网站管理人员进行培训,提高安全防范意识和技术水平,采用多种备份方式定期备份系统和网站数据,以便在出现问题时能及时恢复。
4 结论
网站的安全是整体的、动态的,因此需要制定全方位的网站安全策略来保障高校网站的安全。构建高校网站安全体系不仅要用到各种网络安全技术,还需要建立完善的网站安全管理制度,培养专门的网站管理人才,并在组织、人员和经费上确保各项管理制度得以全面落实,只有这样,才能有效地实现高校网站安全、可靠、稳定地运行。
参考文献
[1]赵磊.高校网站建设安全问题分析与对策[J].软件,2015.
[2]忽海娜,欧阳锋.高校网站建设安全问题分析与对策[J].软件导刊,2014.
[3]王丽莎.高校网站安全问题分析及防护对策研究[J].上海海关学院学报,2012.
高校网站安全防范措施探析 篇7
用卡尔·萨根“魔鬼出没的世界”,这句话来形容高校网站目前所处的恶劣安全环境是再合适不过了。针对高校网站所承载的各类应用的特点,目前比较典型的攻击总结如下:
(1)跨站脚本。
跨站脚本漏洞的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介。跨站脚本的危害:攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。
(2)信息泄漏。
信息泄漏是攻击者通过应用系统部署时没有将注释去掉、应用系统部署时没有正确地配置服务器程序等方式获得应用系统某些敏感信息的攻击技巧,通常是利用程序员遗留在代码中的注释或者服务器程序的错误信息。信息泄露的危害:远程攻击者可以利用漏洞获得敏感信息,有利于攻击者进一步的攻击。
(3)SQ注入。
SQ注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧。SQ注入是应用系统中最常见,同时也是危害最大的一类弱点。导致SQ注入的基本原因是由于应用程序对用户的输入没有进行安全性检查,从而使得用户可以自行输入SQ查询语句,对数据库中的信息进行浏览、查询、更新。基于SQ注入的攻击方法多种多样,而且有很多变形,这也是传统工具难以发现和定位的。SQ注入的危害:利用SQ注入漏洞可以构成对Web服务器的直接攻击,还可能用于网页挂马,导致机密数据泄漏如电子商务网站的客户信息;服务器被控制;后台数据库执行非授权的查询、修改、删除;泄露认证相关的敏感信息,导致攻击者控制Web应用;网站数据的恶意破坏。
(4)越权攻击。
越权攻击是由于应用系统对权限没有严格识别,导致用户文件权限过滤不严格,而导致的攻击。
(5)DDoS攻击。
DDoS(DistributedDenia of Service)攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。
2 高校网站整体安全保障
围绕高校网站所承载的业务特点以及面临的典型威胁,在对最新安全形势深入研究的基础上,推出了高校网站安全保障解决方案。该方案的特点是:
(1)以高校网站面临的威胁风险作为设计的核心。
以高校网站所面临的风险为核心,从风险预警、风险防护、风险处理、应急保障、风险管理、积极主动等方面实现高校网站安全风险全流程控制。
(2)全面。
高校网站安全保障方案的另一个特点是全面:着眼点是高校网站全生命周期的安全保障,涵盖了网站运行的各个阶段,而不仅仅单纯从检测、防护等角度考虑。
(3)被动防御与主动溯源相结合。
以往的方案是从被动防护的角度来设计的,而该方案在有效检测和防护的同时,也从主动的角度,增强了对网站安全事件追踪溯源的能力。
3 方案的组成
(1)检测与发现——风险预警。
目前对网站新漏洞、网页被挂马等状况,绝大多数网站建设和运维者并不能及时察觉。可在前阶段分析的基础上,围绕具体业务类采用针对性比较强的Web安全自动化检测工具,定期或不定期的对网站安全状态进行检测和评估,不但可以提高对安全隐患及现有安全问题准确、深层次的预警发现,而且自动检查工具的使用也可以降低维护管理和人力成本。
高校网站安全问题的检测与发现设计可分为从预警检测和事后检测两方面。预警检测目的是利用现有的安全技术,提供一种准确、实用、可行的预警手段,注重防患于未然,事后检测是对发生问题的网页进行问题定位、影响评估。
通过对Web服务器的多种项目(包括潜在的危险文件/CGI,以及多个服务器版本上的特定问题等)进行全面的测试,还可以对Web服务器、应用服务器、数据库服务器的配置检查,确保服务器的配置正确,对后台数据库进行安全基线审计,对一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversa)、身份验证页上的弱口令长度等进行技术层面的验证,有效地防止网页篡改、网页挂马等安全事件的发生。
对于有特殊需求的用户,还设计了灵活的编辑接口,对Web扫描的策略进行增加或者编辑,满足特定的要求。
(2)防护与阻击——风险防护。
除了采用信息系统传统的防护技术对网站的基础设施进行必要的防护外,针对Web应用攻击还应采用专门的机制,对来自Web应用程序客户端的各类请求进行内容检测和验证,提供细粒度应用层DDoS攻击防护功能,确保其安全性与合法性,对非法的请求予以实时阻断,有效防止HT-TP及HTTPS应用下各类安全威胁,如SQ注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障高校网站各类Web应用的高可用性和可靠性。
对各类网站站点进行有效防护,降低攻击的影响,确保业务系统的连续性和可用性,降低网站安全风险,维护网站公信度。对其进行有效检测、防护。
(3)安全恢复——风险处理。
如果高校网站出现安全问题,必须在最短时间内在不影响正常业务应用的前提下进行网站问题的恢复和解决,国内外发生的一些重大案例都表明对网站进行监控并在必要时提供恢复措施是非常必要的。
网站实时监控与自动恢复技术解决了WWW服务器网页文件被破坏后的自动恢复问题,它的保护对象是网站的文件或目录(也可以扩展到其他的文件和目录),从而保证它们的内容、属主、时间等属性不被非法修改;被保护对象不被非法删除;没有文件或目录被非法添加到被保护目录中。这项技术采用的方法是实时对网页文件的内容进行一致性检查,一旦发现有上述的非法情况发生,就使用备份进行自动恢复并及时报警和记录日志。
(4)运维监控——风险管理。
除了通过各类技术设备实现高校网站的检测、防护、恢复等方面的安全保障外,该平台主要解决网站运维阶段的安全预警和监控,为客户站点提供7*24小时不间断网站安全实时监控,帮助客户随时掌控Web应用的安全状况,在网站出现风险情况后在第一时间通过邮件、短信方式通知用户。
(5)溯源取证——积极主动。
在安全形势日益严重的今天,以往对针对高校网站的攻击行为仅采用防护和阻击的方法已经远远不够了,在现有的保障体系上一定要保证有足够的对攻击源、攻击路径、攻击行为的回溯能力,保证对恶意攻击行为的威慑和取证,为必要时通过法律维护高校权益打下良好基础。该网站保障方案提供了对攻击行为的深入分析,对攻击现场进行还原,并对典型攻击行为具备路径回溯能力,实现对严重危害高校网站的安全事件的场景还原、攻击溯源、信息取证。
4 结语
通过对高校网站进行预警检测、安全防护、安全恢复、运维监控、追踪溯源等环节的安全建设,并在运维阶段加强信息安全管理,可有效保障高校网站的信息安全,满足国家、行业主管机构的监管要求;保证重大事件(高考、招生)期间的网站安全;维护高校的形象和声誉;提高高校网站的安全运维效率。
摘要:高校网站已积聚了教育信息化建设中大量的信息资源,成为高校成熟的业务展示和应用平台。但不得不承认,在大力进行高校网站业务建设的同时,各高校在系统安全保障的建设上出现了严重缺失。
关键词:高校网站,漏洞,网络安全
参考文献
[1]石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,2009.
高校网站群的建设和方案浅谈 篇8
关键词:网站群,高校,信息共享
0 引言
随网络技术、电子信息技术的不断发展,高校早在本世纪初就启动了数字化校园建设。目前,各个高校的基础网络已基本建成,越来越多的高校正逐渐把建设重点从基础网络转向基于智能化、个性化的服务性质软件。高校为了有效地促进与社会的信息交流及共享软件建设的成果,它们中的绝大多数都已在互联网上建立了自己的门户网站,从而为之提供了良好的支撑性平台及安全入口。但随着高校网站数量的不断增加以及网站内容的丰富,如何有效地组织和管理这些网站以及海量的信息内容,充分的实现网站间的数据共享以及同步,已逐步成为不少高校领导及信息主管所关心的问题。本文就如何有效地统一组织和管理高校内各个网站,来浅谈一些个人的看法,并引出网站群建设的概念。
1 高校当前“一群网站”所带来的问题
1.1 网站各自为政
虽然高校的一群网站在部署时运行各网站的机器放在一个机房里,利用率稍高一点的,将多个网站放在一台服务器中运行,但排除其中人为干预的因素,无论从管理、美工编排、数据共享等角度来看,它们就是一个个没有任何关联的网站,且各自为政。高校的各个二级网站具有不同的信息分类和展示风格,就连网站结构也都是按照其具体特点来组织的。因此,容易给人一种凌乱的感觉。而作为学校主页,也只是以简单链接的方式将这些网站松散地组织起来。且它们没有一个统一的数据标准,各网站的数据库之间也都是绝对独立的。
1.2 运维成本高,不利于可持续发展
各网站的风格以及管理的界面和模式也都五花八门,因此各个网站在不同的时期由不同的人员开发或维护,个体差异很大。造成了网站的运营及维护对技术的依赖性越来越强,信息发布也往往都要由技术人员来完成,普通人员无法胜任。相关技术人员离职的情况下,系统维护困难,因为该原因而将网站卷土重来的,在当下的各大高校里也已经不是个案了。从而,很大程度上提高了网站的运维成本,也背离了IT技术的发展趋势,不利于高校网站的可持续发展。
1.3 信息“孤岛效应”强,缺乏行之有效的共享和管理模式
由于各网站在建设之初就没有进行统一的规划,造成了站点间数据交换和同步十分的困难,且它们自身也都是较为封闭的系统。例如:学校主页是一个独立的系统,由校办或者宣传部直接管理其内容。各二级学院和职能部门的二级网站又是数个独立的系统。因此,学校在发布信息时,往往都是资讯在各个二级网站上发布一次后,再上报到学校,对审核通过的信息再发布一遍。这种资讯发布的方式既麻烦,因为需要发两次,而且信息通过人工报送的方式采集,也难以保证其及时性和准确性。随着高校内网上资源的日益丰富,难以实现更高层次的信息处理,从而最大化地挖掘资源价值。同时,由于信息不能够进行有效的共享和管理,也在一定程度上影响了高校网络系统的运行效率。
2 网站群概念的引出
粗浅地分析了下“一群网站”的问题所在,下面我们再来看下什么叫“网站群”。不同于前者,它是指通过统一标准、统一规范,统一规划建立在统一技术构架基础之上,按照一定的隶属关系组织在一起,既可以统一管理,也可以独立管理自成体系,基于特定权限共享呈送的网站集合。近几年来,它正逐步地登上了电子政务的舞台,成为电子政务的主要组成部分。而对于早于电子政务的建设而目前又在某些方面落后于之的高校数字化校园,可以充分借鉴电子政务中的网站群建设模式。
3 网站群在国内的研究和发展的情况
目前在国内,政府门户网站的建设如火如荼,起始于2001年,最早由国家商务部应用的网站群建设模式目前已经成为政府门户网站建设的主要模式。2009年10月22日,“第四届中国网站群建设运营大会”召开。会议由中国社科院信息化研究中心秘书长姜奇平主持,全国网站群主管领导、运营管理人员、电子政务厂商代表及行业知名媒体共250余人参与了本次会议的讨论。
商务部信息化司处长赵秀芬指出:(1)网站群建设必须统一领导、统一规划;(2)网站群建设要有合理的体系架构;(3)网站群建设要有简单易用的发布系统;(4)站群建设要有全方位的考评体系。
会上还讨论了网站群的发展趋势:网站群风格的设计将规范化,统一进行网站群规划,统一网站群的页面风格,形成网站群的整体。网站群内部系统将趋于生态化,各子网站可以达到共生、共荣、共赢的状态,信息共享,和谐相处。网站群内部工作将协同化,对网站功能进行协同,对内部业务进行协作。网站群服务资源将集成化,对网站的信息服务、信息资源和服务对象全部进行整合。
2009年10月底,中科院网站群建成并正式开始投入使用。其下融入了270余个子网站。新的信息发布平台在技术上的最大特点,就是采取信息同步、基础资源库共建共享、资源分类导航等原则,使得中国科学院网站群中的主站与子站、子站与子站之间形成了一个有机整体,为实现发布信息、传播知识、服务大众的目标提供技术支撑。同时,新平台实现了中国科学院院属各单位以统一的标准规范面向社会公众提供信息发布与信息资源的共享服务,并加强了移动性、宽带化和视频化等方面的技术创新应用。
4 高校网站群的设计方案举例
结合政府网站群的设计理念和高校现在的“一群网站”中的业务功能,将高校网站群设计成门户网站为中心,同时以部门网站、应用为基础支撑的若干子站形成的网站集合是一种行之有效的方案,该网站集合是一个规范的网站群体系,其整体架构如图1所示。另外,它的建设具有如下意义:
4.1提供一整套至上而下统一的数据规范标准,同时,彻底消除之前通过手工方式或第三方工具如FTP、邮件等方式进行的数据交换行为。逻辑上,网站群下的所有子集都隶属于同一个系统的设计,为这一需求能够实现提供了充分条件。
4.2统一规划、统一设计是这一网站群设计的第二大特点,因此可最大程度地利用高校现有的硬件资源。另外,由于各子集系统的管理平台也是统一设计的,因此可将各子集的系统管理者集中在一起培训,从而为数字化校园可持续发展作保证。同时也杜绝了校内信息系统低水平重复建设带来的信息化建设资金浪费。
4.3网站群下的各个子集系统逻辑上是相互独立的,同时又具有一套统一的用户管理和权限管理,因此能很好地解决“高校目前大量的数据资源处在既希望进行数据共享,又希望有特定的权限体系进行控制”的问题。
4.4信息资源具有统一的组织分类及统一的目录结构体系是网站群又一大特点。基于这点可以轻松地实现信息跨网站群子集搜索,从而准确地定位信息。比如,一个计算机系的同学只要通过本系的二级网站中搜索功能就能找到学生处或者其他各个系部二级网站以及学校主页中他感兴趣的新闻和信息。同时,由于在较新的平台上规划和设计,丰富了数字化教学资源的展现方式。从而教师与教师、教师与学生、学生与学生之间的交流有了全新的方式,不再受到传统课堂的制约。不论在教室、寝室还是在家里,都能共享和一起讨论。
5 结束语
综上,网站群是网站进化的必然形态,是提升网站管理与绩效的有效手段。随着网站数量增多和服务纷纷上网,二级学院和部门之间的网站协同需求愈加强烈,使得高校网站建设从“一群网站”走向“网站群体系”成为必然的趋势。对高校来说,网站群正在成为我国高校数字化校园新阶段的重要特征,是提升数字化校园应用水平的主要平台。同时,我们也应该看到,尚未完全发展起来的以校园网站群为主要特点的第二代数字化校园具有后发优势,必将使学校成为向世界展示教学、科研、管理水平的一个窗口,在未来社会信息化中发挥举足轻重的作用!
参考文献
[1]郭清顺.数字化校园建设的门户设计研究[J].开放教育研究,2002:39(5):9-11.
[2]沈培华,蒋东兴,王映雪等.清华大学数字校园建设规划建议书[R],THDC-001,北京:清华大学计算中心,2000.
[3]王萍,李其均.基于门户框架的资源整合系统的设计和实现[J].计算机应用研究2005,(6):162-164.
高校网站安全管理技术探讨 篇9
关键词:高校网站,安全问题,安全技术,管理制度
1高校网站构成及运行特点
1.1网站数量多、类型繁杂
高校网站一般由学校门户网站及二级部门网站构成, 网站数量逐年增多, 开发网站语言和数据库也不同, 语言多数使用Asp, 也有使用net和PHP的, 数据库有使用Access, 也有使用SQL Server和Mysql的, 从而使得高校网站类型各异。
1.2网站人员管理变动频繁、网络知识不足
部门网站绝大部分由二级部门自行或委托他人开发、管理和维护, 管理人员大部分是临时指派的并经常变化, 普遍缺少网络安全知识和安全技术, 安全意识淡薄。
1.3网站容量大、集中备份困难
随着网站运行时间的延续, 网站容量不断加大, 如果没有专门的设备和技术, 集中备份难度很大。
1.4隶属不同部门、管理难度大
高校网站 (包括二级部门网站) 分别隶属于各部门, 网站制作、内容更新、功能升级由各部门指定人员或委托他人进行, 管理比较分散。
2高校网站安全面临的主要问题
2.1网络攻击
高校是一个青年学子相对集中的地方, 很多年轻人比较好奇或者冲动, 在取得一定专业基础的情况下, 很容易心血来潮, 结果就在有意识或者在朦胧状态下实施一些网络入侵行为。有时甚至造成严重后果, 触犯法律法规。同时也有少量的外部攻击, 有选择地破坏网站信息的有效性和完整性, 或伪装为合法用户进入网站并占用大量资源、修改网站数据、破坏系统。
2.2病毒感染和恶意软件
网站在管理过程中, 各部门网站管理人员, 在本地机器上利用网站后台管理模块向网站服务器上传大量的图片和文件, 移动存储设备经常被使用, 增加了病毒和恶意软件传播的途径。
2.3网站系统漏洞及网站软件后门
系统都有自己的漏洞, 每种软件都有自己后门, 一旦被扫描到, 网站都会成为薄弱环节和被攻击的对象。大部分网站入侵事件都与系统漏洞和软件的后门有关。
2.4安全意识薄弱, 缺乏有效管理
安全意识淡薄, 缺乏有效管理则是主观上存在的安全问题, 是对网站安全的重要性认识不足而造成的, 完全可以避免。这些问题主要表现在:网站服务器不安装安全软件和防火墙;服务器网络配置不当, 安全级别设置过低;系统软件或网络应用软件不及时升级, 存在明显的安全漏洞;随意在网站服务器上登录不安全网站或使用不安全的软件等。
3高校网站安全管理措施
3.1完善管理制度、加强网站安全管理
网站安全离不开管理, 制定健全的管理制度是网站安全的重要前提。网站安全管理制度应该包括下面一些主要内容:服务器运行和升级管理制度;密码口令管理和应用程序管理制度;病毒防治管理制度;网站上传文件管理制度;安全培训制度等。只有把网站安全管理制度与安全管理技术手段结合起来, 网站的安全性才有保障。
3.2建立专业的网站信息安全管理队伍
建立一支专业的队伍是网站安全的重要保障。通过专业队伍的专业管理, 提高使用者的安全意识和规范意识, 让不安全因素降低到最低程度。
3.3根据实际情况, 采用安全的网络通信协议
TCP/IP作为Internet使用的标准协议集, 是黑客实施网络攻击的重点目标。TCP/IP协议是目前使用最广泛的网络互联协议, 但TCP/IP协议组本身存在着一些安全性问题, 如IP欺骗和DNS欺骗, TCP/IP协议族中各种协议自身的安全性问题很容易导致由此而引起的攻击。入侵者通常通过各种手段对目标主机进行端口扫描, 以确定开放的端口号, 进而得知目标主机提供的服务, 就此推断系统可能存在的漏洞, 并利用这些漏洞进行攻击。因此为安全起见, 应只打开有用的端口, 如web服务所需的80端口、ftp所用的20和21端口等, 而其它不用的端口都应关闭。
3.4对现有网站进行安全分析与检查
由于网站开发人员不同, 安全意识和编程水平差异也较大, 各网站应用程序的安全漏洞也不同, 这也是网站安全问题的主要来源。因此, 网站应用程序代码在运行前应由专业人员对程序的安全进行检查分析或利用专业安全测试工具进行安全测试, 尽量减少安全隐患。
3.5加强高校网站防篡改措施, 制定应急方案
网站页面被篡改严重损坏高校形象, 影响信息传递, 出现恶意信息发布, 导致木马病毒传播, 造成泄密等事故发生, 所以加强院校重要网站防篡改措施也是当前保护网站信息安全的一项重要工作。首先要合理设计网站程序并编写安全代码, 设置复杂的管理员密码, 设置合适的网站权限;其次要做好应急方案, 并通过管理落实相关的措施, 制定可行有效的应急工作流程, 对出现的事故能从容及时和有效的处理。
参考文献
[1]李俊宇.信息安全技术基础[M].北京:冶金工业出版社, 2004.
高校网站安全防护方案 篇10
在信息化和网络化飞速发展的今天,基本上所有的高校都进行了学校网站建设,通过网站建设更好的将学校的教学、科研、管理进行公开,让更多的人了解高校的发展状况,更好的宣传本校教学精神和校园文化。但是在高校的网站建设过程中出现了安全意识淡薄的现象,导致网站建设中出现了很多的安全问题,影响了高校网站的运行安全,这些问题的解决在高校网站建设中已经非常迫切。
1 高校网站建设的意义
高校的网站是每个高校的独有logo,是对外对内的重要信息窗口,高校利用这个窗口进行学校的宣传工作,高校网站的出现打破了时间和空间的限制,让不同地方的人在不同的时间都可以通过网站对学校进行全面的了解,将学校的教育理念和教学风采利用这种方式展现在人们面前。
校园网站除了能够对外进行宣传之外,还可以在进行教育资源的分配。信息资源是庞大的,通过互联网的联通学校将具备更多的教学资源,在信息不断的发展过程中,学校的教学资源也将逐步得到增长,对于一些偏远地区,经济水平发展相对落后,师资力量相对薄弱,通过校园网站这些学校就可以拥有同等的教学资源,让学生享受同等的教学机会,不会因为经济、交通等原因导致学生受到不公平的教育。所以高校的网站教育除了进行资源共享实现教育公平之外,还可以帮助高校培养出更多社会主义建设的人才,为社会发展和特色社会主义建设做贡献。
高校网站是最好的教学平台,通过和各种教育网站的链接,让老师的教学更加便利,老师可以通过对网络中各种教学资源的整合,做出更加精美的课件,制作更加全面的教学计划,提升教学效率,降低教学成本。不管是老师还是学生还可以利用学校网站进行跨地域交流,让更多的人在这个平台上进行交流,让高校网站成为一个“思想开放、兼容并包”的舞台。
高校网站建设可以实现个性化教学,和传统的教学方式不同,这种教学可以更好的实现资源共享,让不同年龄、不同性格的学生接受不同的教学,让老师通过学校网站和学生之间实现更好的互动,老师在互动的过程中因材施教,学生在学习的过程中积极思考,充分挖掘自己的潜力,让学生获得更广阔的教育空间。
2 高校网站建设现状和存在的安全问题
目前,我国的高校网站建设还处于初始阶段,很多的大学虽然都建立了自己的学校网站,但是在建设的过程中还存在很多的问题。
2.1 高校网站建设现状
目前,很多的学校网站都是由学校的主网页和各个二级学院的网页组合而成,在网站的维护和管理中都是网络管理中心负责,二级学院的则是由本院自行负责,这种建设和管理中缺乏统一的管理和规划,导致了网站建设质量不高。
2.1.1 信息不能共享
由于在建设的过程中各个二级学院的计划和标准不统一,所以各个二级学院之间缺少信息交流,将各自的网站孤立发展,资源的统一利用效率低,资源的共享程度低。另外,学校在管理的过程中通过购买各种管理信息系统,如:学籍管理系统、学习管理系统等等。但是这些信息系统之间没有采用统一的管理标准各个系统之间处于独立的状态,这种情况增加了信息共享的难度,导致了信息资源的浪费。
2.1.2 网站制作水平参差不齐
各个高校的二级网站基本上靠学生制作为主,但是学生的能力终究是有限的,对于一些网站的制作还只是保持在能制作的基础上,网站的建设水平一般,而且这种网站制作存在很多的安全隐患,维护起来比较麻烦。
2.1.3 投入产出不成比例
现在高校的二级网站都是由各个二级学院自己投资开发建设,然后托管于网络信息管理中心,但是二级学院在开发网站的过程中采用的技术却不相同,有的采用HLML静态网页制作技术,有的采用NET和PHP动态网页制作技术,不同的制作技术之间的成本也是不同的,在维护的过程中需要耗费更大的成本去维护。而且在投入高成本进行制作之后,不一定能够符合相关的专业风格和审美要求,对于学校的整体形象造成了不利影响。
2.1.4 管理难度大
管理难度主要体现在各个二级网站的管理维护中,由于各个二级学院的网站制作方式不同,平时也没有专人进行网站维护管理,所以在二级学院的网站维护管理中面临很多难题。另外很多的二级网站开发技术比较落后,在网站建设中留有很多的漏洞,安全性较差,若是遭受黑客攻击服务器极易陷入瘫痪。
2.2 高校网站建设中存在的安全问题
2.2.1 网站存在安全漏洞
各个高校在制作网页的过程中考虑到网站的实用性,对网站设计的安全性设计欠缺考虑,还有很多设计人员是因为技术问题在网站建设中留下了漏洞,病毒或者黑客通过对数据库的侵入,就可以获得学校的敏感信息,影响整个网站的正常运行和使用。
2.2.2 网站运行维护缺乏持续性和安全性
二级学院在网站的运行中没有设定专人进行定期维护,甚至将网站交给学生干部进行使用,导致了管理信息的泄露,给网站带来了安全隐患。或者是在网站建设之初会进行专人维护,但是随着时间的延长,这种维护就被搁置,造成了网站中出现很多漏洞和病毒。有些设置了专业管理人员的网络服务器,在使用的过程中由于维护人员的安全意识不够,服务器的超级用户密码、网站后台账号密码等设置过于简单,很容易被破解,或者是维护人员的技术有限,没有对站点的相配套安全设置进行检查,导致了网站被攻击或者病毒入侵。
2.2.3 对网站安全建设重视不够
由于学校网站并不像政府网站中存在很多的机密,即使是遭到黑客入侵,病毒感染也不会出现特别大的损失,所以学校网站的安全性没有得到重视,二级学院的网站安全性就更差了。
2.2.4 网站程序存在安全漏洞
高校由于二级学院和各部门较多,所以网站数量也较多,很多的网站都是学生或者老师制作的,但是由于他们缺乏基本的网络安全知识,在网站程序的开发中肯定会存在一定的漏洞。例如,在设计的过程中没有设置相应的验证机制;还有的网站使用的是现有的开源CMS源程序,使用者只是进行了部分修改,数据库的路径和名称都没有改变,这点很容易受到SQL注入攻击、跨站脚本攻击等。
2.2.5 网站服务器操作系统和软件存在漏洞
现在的网络服务器操作系统主要有Windows Server、Linux等,这些操作系统都存在漏洞,在使用的时候不定时的进行升级和安装补丁,系统的漏洞就会越来越多。打开不必要的服务器端口和使用缺省用户名密码都是服务器配置中存在的漏洞。另外,网站运行所需的服务器软件也会存在漏洞,当使用的软件版本过低时就会存在一定的漏洞。
2.2.6 网站文件夹权限设置失当
网站程序中含有很多的文件夹,部分文件夹只允许用户读取,还有部分允许用户读写,这些文件夹在运行管理的过程中都需要放在合适的位置,若是管理过程中没有对网站文件夹进行权限设置,web服务器操作系统或者web应用程序配置不当,就有可能导致网站数据被下载篡改。
2.2.7 缺少网络安全设备
有些高校往往因为经费不足,或是对网络安全工作重视程度不够,网络安全设备尚不健全,甚至部分高校没有网络安全设备。在网络安全方面,很多高校只是通过网络防火墙设置来进行保护,但是现在的网络攻击可以绕过防火墙进行直接攻击,直接对Web进行渗透攻击,所以网站的安全就没有很好的保障。
3 高校网站建设安全问题的应对策略
3.1 高校网站建设安全管理策略
高校网站建设的安全问题不仅仅是技术问题,还是管理问题,所以在进行高校网站安全建设的时候要加强管理建设,制定明确的管理计划,确定明确的管理目标,对网站建设的相关人员和制度进行管理,才能确保高校网站的安全。
3.1.1 建设专业的管理团队
网站管理员是高校网站建设和维护的中坚力量,所以在选择管理人员的时候不仅仅要选择专业技术过硬的人员,还要选择具备责任心的人员,对选择的网站管理员要进行定期的培训,加强管理员的业务素质,提高管理人员的安全意识。
3.1.2 实现业务管理的智能化
随着高校的网站建设发展,信息技术是网站建设中不可或缺的重要技术,在高校的网站建设中管理体系应该朝着多元化和智能化方向发展,对管理系统进行信息化改革,网站建设中要充分的整合现在已有的资源,再经过分析和重新建设,形成一个高效智能化的管理模式,更好的进行网站管理工作。
3.1.3 加大管理投入
高校在进行网站安全建设的过程中要充分的调动社会各界力量,让他们为学校的网站建设提供技术指导,通过财政拨款、社会捐赠和银行贷款的方式进行网站建设资金筹集,或者是在网站的建设中引入市场化机制。
3.1.4 管理系统高度集成
校园网站是由网络系统集成和信息系统集成两大部分构成的。网络系统集成是在网络建设中根据用户的实际需求,采用系统集成的办法,将网络干线、服务器和防火墙等等组合在一起,形成一个安全可靠的计算机网络整体。信息系统集成是通过结构化的综合布线系统和计算机技术将各个设备和信息联接到一起,形成统一协调的管理系统,让各个部门之间形成良好的信息交流和共享。
3.2 高校网站建设安全技术策略
3.2.1 编写网络程序
要想防止网站程序漏洞的发生,就要严格控制初始阶段的网站制作,编写的程序代码必须经用户输入数据验证,同时对数据的字符串、类型和大小进行规范,对API函数和Web服务器资源予以限制,避免攻击服务器.
3.2.2 进行网站服务器的安全设置
网站服务器要及时的进行系统升级和补丁安装,系统安装中只需要安装必要的网络服务,开放必要的端口,服务器配置方面,通过密码设置限制访问权限,同时管理人员需要对Administrator用户名的密码进行加密,防止因为密码过于简单被破解。[3]另外,还要安装杀毒软件,定期进行病毒查杀和木马检测,做好安全防范工作。
3.2.3 网站文件夹的权限设置
Microsoft Windows系统运行的基本服务就是IIS,在应用的时候,必须将IIS中的默认站点目录删除,在进行目录的自主创建,除此之外来要借助操作系统的NTFS权限设置文件的访问权限和站点目录,将读取目录的权利在静态网页中给予,将脚本资源访问权利在动态网页中给予.
3.2.4 安装防火墙、入侵检测系统
在校园网站建设中要重视相配套的安全设施建设,比如:防火墙、入侵检测系统。[4]通过这些系统软件的安装构筑安全防线。防火墙是在Internet和Intranet之间建立一个安全屏障,保护电脑不被非法用户入侵。入侵检测系统可以对对网络传输进行即时监控,对于发现的可疑传输做出预警。入侵检查系统可以监控整个系统,在访问服务器的关键位置进行监控,一旦发现危险可以第一时间做出反应。
3.2.5 建立完善的备份体系
除了对网络应用程序中存在的漏洞进行预防,对传输数据进行检测,对病毒木马等危险源进行查杀之外还要做好备份工作,防止网站出现问题数据丢失,虽然现在的网路防火墙、入侵检测技术非常强大,但是病毒和黑客的攻击也越来越厉害,所以为了避免文件在网站故障中丢失要做好备份工作。
3.2.6 网站建设和安全管理技术
将整个校园的网站建设包括各个二级学院的网站建设纳入统一规划、部署中,运用有效的服务器防护技术,确保高校网站的安全、有效运行。
(1)利用网站群技术,统一建设校园网
网站群可以统一规划建设校园的各个网站,实现各个网站之间的信息资源共享,将高校的各个网站按照一定的关系组织在一起,在统一规划的基础上实现各自管理。网站群是建立在一定的技术基础上的,利用网站群可以实现网站的分级管理和分级维护,使各个网站之间形成良好的契合,保持信息的有效性和特定权限信息的畅通。NEWCAPEC-CMSGROUP网站群就是一个很好的管理平台,这个网站群可以具备网站创建、信息发布、网站管理和内容维护多重功能,可以在这一个平台上建立学校的所有网站,包括各个学院的二级网站,通过这个平台的利用可以很好的实现教学资源整合和利用,确保网站建设的质量和安全。
(2)采用内外分离的3层网站群系统结构
校园网络存在的安全漏洞可以利用网站群系统结构,采用内网和外网想分离的3层网站群系统结构。将网站群管理和制作服务器作为建设、管理、维护的动态服务器,当用户提出请求时,可以将请求转到反向代理服务器,在通过负载分担技术发布到服务器,服务器将处理结果经过上述路线反馈给用户,反向代理服务器其实就是一个Web服务器,但是这个服务器是虚拟的,当代理服务器遭到攻击时,不会对信息资源形成威胁,可以保证高校的网站安全。
在外网布置两台基于Haproxy技术的反向代理服务器,可以提供负载均衡,还可以采用Keepalived技术提升服务的高可用性。Keepalived技术主要是检测服务器的状态,当反向代理服务器出现故障,就可以立马被检测到,这台服务器将停止工作,另一台服务器接替工作,不需要人工去实现这两个服务器的交接,只需要人工去维修出现故障的服务器。这种内外网相分离的3层系统结构不仅可以保护发布服务器的安全,还可以提高负载的均衡性,保证用户的网站访问速度。
4 结语
【高校网站安全防护方案】推荐阅读:
高校二级网站10-16
高校主题网站05-16
高校档案网站05-31
高校院系网站07-02
高校网站管理07-03
高校党建网站10-07
高校校园网站建设08-20
高校英文网站队伍建设05-18
通用高校专业网站建设06-23
高校门户网站效果分析08-09