前言:想要寫出一篇引人入勝的文章?我們特意為您整理了管理視角下的網(wǎng)站群安全工作實踐范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:本文從高校管理人員的視角,對網(wǎng)站群系統(tǒng)建設(shè)過程中的安全工作進(jìn)行分析,可分為以下8個方面:網(wǎng)站群建設(shè)背景、認(rèn)清高校網(wǎng)站安全工作的根本、系統(tǒng)建設(shè)依據(jù)與管理制度、預(yù)算與技術(shù)需求、安全技術(shù)防范、服務(wù)器部署、網(wǎng)站管理權(quán)限分配和校內(nèi)網(wǎng)站管理制度。通過對這8個方面進(jìn)行概括性分析和總結(jié),能夠使高校網(wǎng)站群的安全工作內(nèi)容更加清晰。
關(guān)鍵詞:高校網(wǎng)站群;網(wǎng)站群系統(tǒng);網(wǎng)站群安全
引言
隨著信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)站安全問題得到越來越多的重視,眾多高校因缺少長期規(guī)劃,出現(xiàn)網(wǎng)站各自為政、信息孤立、資源浪費的情況,或因當(dāng)前網(wǎng)站、網(wǎng)站群系統(tǒng)已運行多年,安全問題、審美問題和管理問題接踵而至。通過建設(shè)網(wǎng)站群系統(tǒng)可以解決大部分的問題,但是網(wǎng)站高度集中也給高校網(wǎng)站的安全性帶來了很大的挑戰(zhàn)。本文以廣東南華工商職業(yè)學(xué)院網(wǎng)站群的建設(shè)工作為例,對網(wǎng)站安全進(jìn)行概括性分析,希望能夠為高校網(wǎng)站安全管理人員提供借鑒。
1網(wǎng)站群建設(shè)的背景
1.1已采取的措施
已采取的措施:清理雙非、僵尸網(wǎng)站,完成網(wǎng)站群系統(tǒng)的二級信息安全等級保護(hù)測評工作,將二級學(xué)院、部門各自建設(shè)的校外網(wǎng)站全部遷入校內(nèi),統(tǒng)一使用學(xué)校域名、IP地址,并要求網(wǎng)站安全負(fù)責(zé)人簽署信息系統(tǒng)/網(wǎng)站安全協(xié)議書。
1.2仍無法滿足需求
采取以上措施后網(wǎng)站安全雖然可以得到一定的保障,但是各學(xué)院、部門的網(wǎng)站仍然存在無法統(tǒng)一管理的情況,不僅安全隱患仍然突出、數(shù)據(jù)無法共享,服務(wù)器的資源浪費也非常嚴(yán)重,或者原網(wǎng)站群系統(tǒng)已運行多年,因制作技術(shù)、建設(shè)模式與管理方式限制,已不能滿足學(xué)校日益增長的網(wǎng)站建設(shè)需求。如今高校智慧校園的建設(shè)正在加速發(fā)展,門戶網(wǎng)站作為學(xué)校對外宣傳的窗口,更應(yīng)提前做好規(guī)劃,為建設(shè)智慧校園鋪好道路。
2認(rèn)清高校網(wǎng)站安全工作的根本
2.1網(wǎng)站安全工作的根本
高校網(wǎng)絡(luò)信息安全工作的最根本任務(wù)是通過管理手段和技術(shù)手段降低安全風(fēng)險[1]。首先,部署網(wǎng)站安全防護(hù)設(shè)備,通過技術(shù)手段阻隔大部分的安全風(fēng)險;其次,做好網(wǎng)站安全管理和維護(hù),通過管理手段來控制技術(shù)暫時解決不了的安全風(fēng)險。
2.2頂層設(shè)計
通過頂層設(shè)計開展相關(guān)的網(wǎng)絡(luò)安全工作,如成立網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組、成立網(wǎng)絡(luò)安全專項工作小組等,由校長作為小組組長,各學(xué)校領(lǐng)導(dǎo)作為小組成員,親自帶領(lǐng)各學(xué)院、部門主動配合開展相關(guān)的網(wǎng)絡(luò)安全工作。只有校領(lǐng)導(dǎo)高度重視網(wǎng)站安全,才能順利開展網(wǎng)站安全工作。
3系統(tǒng)建設(shè)依據(jù)與管理制度
3.1建設(shè)依據(jù)與規(guī)范
網(wǎng)站群系統(tǒng)應(yīng)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息系統(tǒng)安全等級保護(hù)基本要求》進(jìn)行建設(shè),將《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、國內(nèi)外相關(guān)的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)作為建設(shè)規(guī)范[2]。
3.2安全管理制度
制定學(xué)校的網(wǎng)站安全管理制度、網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案,對網(wǎng)站群系統(tǒng)的安全日志保存時間、漏洞掃描、系統(tǒng)升級、密碼復(fù)雜度、密碼更新周期和備份周期等做出具體規(guī)定,并通過制度或規(guī)定來約束管理員的行為。
4預(yù)算與技術(shù)需求
4.1項目預(yù)算
制定項目預(yù)算的時候可以加入SSL安全證書部署、二級信息安全等級保護(hù)測評,并將其作為項目驗收條件,以確保項目安全落地。同時,要提前調(diào)研市場,根據(jù)學(xué)校具體需求確定SSL安全證書的域名與域名數(shù)量,單域名還是多域名,并分別調(diào)研它們當(dāng)前的市場價值。
4.2技術(shù)需求
①網(wǎng)站群系統(tǒng)應(yīng)采用B/S結(jié)構(gòu)設(shè)計、J2EE技術(shù)架構(gòu),禁止使用Struts2相關(guān)技術(shù)架構(gòu)[3]。②應(yīng)當(dāng)支持快速處理常見的敏感信息,靜態(tài)頁面自動生成,審核過程全程可視化。③應(yīng)內(nèi)置應(yīng)用防火墻、入侵防護(hù)日志、網(wǎng)頁自動防篡改功能,可管理黑名單及白名單,能夠針對危險行為進(jìn)行IP封禁。④應(yīng)支持危險文件掃描,掃描服務(wù)器中包含特殊代碼的文件,并提供掃描日志。⑤平臺提供遠(yuǎn)程診斷功能,具備獨立的遠(yuǎn)程異地備份系統(tǒng)。⑥用戶可自定義備份計劃,定時或不定時對站點數(shù)據(jù)進(jìn)行備份。⑦支持設(shè)置密碼強(qiáng)度規(guī)則,內(nèi)置應(yīng)用防火墻、入侵防護(hù)日志。
5安全技術(shù)防范
5.1網(wǎng)站安全防護(hù)技術(shù)設(shè)備
網(wǎng)站安全防護(hù)技術(shù)設(shè)備應(yīng)包括但不限于包過濾防火墻、IPS、堡壘機(jī)、VPN、云WAF防火墻,校園網(wǎng)邊界啟用防火墻,除特殊審批的地址外不對校外提供服務(wù),校外只能通過VPN訪問校內(nèi)資源。
5.2防火墻開放端口
網(wǎng)站機(jī)服務(wù)器僅開放80端口,完成SSL安全證書部署工作啟用https協(xié)議后僅開放443端口。網(wǎng)站管理機(jī)服務(wù)器只允許校內(nèi)訪問,如部署移動端等服務(wù)需要對外開放訪問的,僅開放8080端口。
5.3運維與等保
服務(wù)器的部署、運維全部通過堡壘機(jī)進(jìn)行,服務(wù)器的密碼一律不向校外提供,并保留運維審計日志與運維人員的操作錄像。因等保測評周期較長,在系統(tǒng)建設(shè)時期應(yīng)同步開展二級信息安全等級保護(hù)測評工作,通過等保后再進(jìn)行項目驗收工作。5.4支持IPv6訪問學(xué)校進(jìn)行網(wǎng)絡(luò)扁平化改造后,網(wǎng)站需要支持IPv6訪問,IPv4的安全機(jī)制僅限于應(yīng)用程序級,而IPv6通過IP的AH和ESP標(biāo)記保證了分組的鑒權(quán)和私密特性,從而實現(xiàn)IP級的安全。
6服務(wù)器部署
6.1機(jī)部署
為保障網(wǎng)站群系統(tǒng)能夠安全、高效、穩(wěn)定地運行并具備高可擴(kuò)展性,需要部署2臺較高性能的網(wǎng)站機(jī)服務(wù)器,提供前臺Web頁面的訪問服務(wù)保證負(fù)載能力,所有網(wǎng)站頁面通過靜態(tài)方式,開啟網(wǎng)頁防篡改功能,禁止使用動態(tài)組件。
6.2管理機(jī)部署
完整的部署方案需要提供3臺管理機(jī)服務(wù)器:第一臺管理機(jī)提供站點管理及資料維護(hù)服務(wù),第二臺管理機(jī)作為備用服務(wù)器,采用冷備方式部署,第三臺作為遠(yuǎn)程備份服務(wù)器,用于保存數(shù)據(jù)及對所有文件進(jìn)行完整備份[4]。同時,網(wǎng)站群管理平臺本身要求具有站點恢復(fù)功能,子站不需要單獨備份,可直接使用系統(tǒng)備份文件實現(xiàn)抽取式恢復(fù)。
7網(wǎng)站管理權(quán)限分配
7.1落實責(zé)任
信息化部門通過技術(shù)防范保障學(xué)校的網(wǎng)絡(luò)安全,各二級學(xué)院、部門由專人對接,全權(quán)負(fù)責(zé)各自的網(wǎng)站,包括網(wǎng)站權(quán)限、網(wǎng)站二次建設(shè)、內(nèi)容管理和運維運營,權(quán)責(zé)分明。
7.2權(quán)限分配
網(wǎng)站權(quán)限包括網(wǎng)站的建設(shè)、內(nèi)容、管理、應(yīng)用和內(nèi)容,其中的內(nèi)容部分又可具體分為各個欄目的文章編輯、審核,從而實現(xiàn)學(xué)校所有網(wǎng)站的信息管理、人員管理、分級審核和內(nèi)容[2]。系統(tǒng)審核過程全程可視化,可以查看被審核文章的當(dāng)前審核狀態(tài)及處理人、處理意見等相關(guān)信息。
8校內(nèi)網(wǎng)站管理制度
8.1網(wǎng)站管理制度
學(xué)校宣傳部門制定并校內(nèi)網(wǎng)站管理制度,負(fù)責(zé)統(tǒng)一管理學(xué)校主頁的內(nèi)容更新并對所有以學(xué)校名義的新聞進(jìn)行監(jiān)管,其余各部門明確部門網(wǎng)站管理人員和信息人員的職責(zé)[5]。
8.2鼓勵機(jī)制
一方面,在管理制度中加入年終考評機(jī)制,對各部門的新聞數(shù)量和內(nèi)容進(jìn)行考評,考評結(jié)果納入年度目標(biāo)考核內(nèi)容;另一方面,設(shè)立網(wǎng)站管理專項經(jīng)費,對網(wǎng)站管理與維護(hù)給予資金支持。
9結(jié)語
高校網(wǎng)站安全工作的根本是網(wǎng)站安全的風(fēng)險管理和控制。雖然當(dāng)前發(fā)展迅速的技術(shù)規(guī)范為網(wǎng)站帶來越來越多的安全保障,但必須了解一個客觀事實,漏洞和安全威脅是永遠(yuǎn)存在的,一勞永逸的安全解決方案是不存在的。網(wǎng)站安全需要靠制度、技術(shù)、投入和管理來綜合進(jìn)行保障,在制度完善、技術(shù)規(guī)范、部署了各類網(wǎng)站安全防護(hù)技術(shù)設(shè)備的前提下,那就只能通過加強(qiáng)管理來提高網(wǎng)站的安全防范水平,技術(shù)占三分,管理占七分。在未來高校的網(wǎng)站安全手段中,管理或許將會變得越來越重要。
參考文獻(xiàn)
[1]張巍,于廣輝,李先毅.管理視角下的高校網(wǎng)絡(luò)信息安全工作實踐[J].中國教育信息化,2018(5):81-83.
[2]馬健.高校網(wǎng)站群安全管理體系建設(shè)探索[J].科學(xué)技術(shù)創(chuàng)新,2017(35):85-86.
[3]李君.高職院校網(wǎng)站群建設(shè)與安全分析[J].智能計算機(jī)與應(yīng)用,2014,4(1):40-44.
[4]張詠梅,賈艷梅,蒲在毅.高校站群系統(tǒng)建設(shè)與應(yīng)用[J].網(wǎng)絡(luò)空間安全,2018,9(6):86-89.
[5]梁軒.淺談高等職業(yè)院校網(wǎng)站群系統(tǒng)建設(shè)的研究[J].電腦知識與技術(shù),2019,15(29):17-18,20.
作者:張珂卿 單位:廣東南華工商職業(yè)學(xué)院