公务员期刊网 论文中心 正文

管理视角下的网站群安全工作实践

前言:想要写出一篇引人入胜的文章?我们特意为您整理了管理视角下的网站群安全工作实践范文,希望能给你带来灵感和参考,敬请阅读。

管理视角下的网站群安全工作实践

摘要:本文从高校管理人员的视角,对网站群系统建设过程中的安全工作进行分析,可分为以下8个方面:网站群建设背景、认清高校网站安全工作的根本、系统建设依据与管理制度、预算与技术需求、安全技术防范、服务器部署、网站管理权限分配和校内网站管理制度。通过对这8个方面进行概括性分析和总结,能够使高校网站群的安全工作内容更加清晰。

关键词:高校网站群;网站群系统;网站群安全

引言

随着信息技术和网络的快速发展,网站安全问题得到越来越多的重视,众多高校因缺少长期规划,出现网站各自为政、信息孤立、资源浪费的情况,或因当前网站、网站群系统已运行多年,安全问题、审美问题和管理问题接踵而至。通过建设网站群系统可以解决大部分的问题,但是网站高度集中也给高校网站的安全性带来了很大的挑战。本文以广东南华工商职业学院网站群的建设工作为例,对网站安全进行概括性分析,希望能够为高校网站安全管理人员提供借鉴。

1网站群建设的背景

1.1已采取的措施

已采取的措施:清理双非、僵尸网站,完成网站群系统的二级信息安全等级保护测评工作,将二级学院、部门各自建设的校外网站全部迁入校内,统一使用学校域名、IP地址,并要求网站安全负责人签署信息系统/网站安全协议书。

1.2仍无法满足需求

采取以上措施后网站安全虽然可以得到一定的保障,但是各学院、部门的网站仍然存在无法统一管理的情况,不仅安全隐患仍然突出、数据无法共享,服务器的资源浪费也非常严重,或者原网站群系统已运行多年,因制作技术、建设模式与管理方式限制,已不能满足学校日益增长的网站建设需求。如今高校智慧校园的建设正在加速发展,门户网站作为学校对外宣传的窗口,更应提前做好规划,为建设智慧校园铺好道路。

2认清高校网站安全工作的根本

2.1网站安全工作的根本

高校网络信息安全工作的最根本任务是通过管理手段和技术手段降低安全风险[1]。首先,部署网站安全防护设备,通过技术手段阻隔大部分的安全风险;其次,做好网站安全管理和维护,通过管理手段来控制技术暂时解决不了的安全风险。

2.2顶层设计

通过顶层设计开展相关的网络安全工作,如成立网络安全与信息化建设领导小组、成立网络安全专项工作小组等,由校长作为小组组长,各学校领导作为小组成员,亲自带领各学院、部门主动配合开展相关的网络安全工作。只有校领导高度重视网站安全,才能顺利开展网站安全工作。

3系统建设依据与管理制度

3.1建设依据与规范

网站群系统应依据《中华人民共和国网络安全法》《信息系统安全等级保护基本要求》进行建设,将《中华人民共和国计算机信息系统安全保护条例》、国内外相关的网络信息安全标准作为建设规范[2]。

3.2安全管理制度

制定学校的网站安全管理制度、网络安全突发事件应急预案,对网站群系统的安全日志保存时间、漏洞扫描、系统升级、密码复杂度、密码更新周期和备份周期等做出具体规定,并通过制度或规定来约束管理员的行为。

4预算与技术需求

4.1项目预算

制定项目预算的时候可以加入SSL安全证书部署、二级信息安全等级保护测评,并将其作为项目验收条件,以确保项目安全落地。同时,要提前调研市场,根据学校具体需求确定SSL安全证书的域名与域名数量,单域名还是多域名,并分别调研它们当前的市场价值。

4.2技术需求

①网站群系统应采用B/S结构设计、J2EE技术架构,禁止使用Struts2相关技术架构[3]。②应当支持快速处理常见的敏感信息,静态页面自动生成,审核过程全程可视化。③应内置应用防火墙、入侵防护日志、网页自动防篡改功能,可管理黑名单及白名单,能够针对危险行为进行IP封禁。④应支持危险文件扫描,扫描服务器中包含特殊代码的文件,并提供扫描日志。⑤平台提供远程诊断功能,具备独立的远程异地备份系统。⑥用户可自定义备份计划,定时或不定时对站点数据进行备份。⑦支持设置密码强度规则,内置应用防火墙、入侵防护日志。

5安全技术防范

5.1网站安全防护技术设备

网站安全防护技术设备应包括但不限于包过滤防火墙、IPS、堡垒机、VPN、云WAF防火墙,校园网边界启用防火墙,除特殊审批的地址外不对校外提供服务,校外只能通过VPN访问校内资源。

5.2防火墙开放端口

网站机服务器仅开放80端口,完成SSL安全证书部署工作启用https协议后仅开放443端口。网站管理机服务器只允许校内访问,如部署移动端等服务需要对外开放访问的,仅开放8080端口。

5.3运维与等保

服务器的部署、运维全部通过堡垒机进行,服务器的密码一律不向校外提供,并保留运维审计日志与运维人员的操作录像。因等保测评周期较长,在系统建设时期应同步开展二级信息安全等级保护测评工作,通过等保后再进行项目验收工作。5.4支持IPv6访问学校进行网络扁平化改造后,网站需要支持IPv6访问,IPv4的安全机制仅限于应用程序级,而IPv6通过IP的AH和ESP标记保证了分组的鉴权和私密特性,从而实现IP级的安全。

6服务器部署

6.1机部署

为保障网站群系统能够安全、高效、稳定地运行并具备高可扩展性,需要部署2台较高性能的网站机服务器,提供前台Web页面的访问服务保证负载能力,所有网站页面通过静态方式,开启网页防篡改功能,禁止使用动态组件。

6.2管理机部署

完整的部署方案需要提供3台管理机服务器:第一台管理机提供站点管理及资料维护服务,第二台管理机作为备用服务器,采用冷备方式部署,第三台作为远程备份服务器,用于保存数据及对所有文件进行完整备份[4]。同时,网站群管理平台本身要求具有站点恢复功能,子站不需要单独备份,可直接使用系统备份文件实现抽取式恢复。

7网站管理权限分配

7.1落实责任

信息化部门通过技术防范保障学校的网络安全,各二级学院、部门由专人对接,全权负责各自的网站,包括网站权限、网站二次建设、内容管理和运维运营,权责分明。

7.2权限分配

网站权限包括网站的建设、内容、管理、应用和内容,其中的内容部分又可具体分为各个栏目的文章编辑、审核,从而实现学校所有网站的信息管理、人员管理、分级审核和内容[2]。系统审核过程全程可视化,可以查看被审核文章的当前审核状态及处理人、处理意见等相关信息。

8校内网站管理制度

8.1网站管理制度

学校宣传部门制定并校内网站管理制度,负责统一管理学校主页的内容更新并对所有以学校名义的新闻进行监管,其余各部门明确部门网站管理人员和信息人员的职责[5]。

8.2鼓励机制

一方面,在管理制度中加入年终考评机制,对各部门的新闻数量和内容进行考评,考评结果纳入年度目标考核内容;另一方面,设立网站管理专项经费,对网站管理与维护给予资金支持。

9结语

高校网站安全工作的根本是网站安全的风险管理和控制。虽然当前发展迅速的技术规范为网站带来越来越多的安全保障,但必须了解一个客观事实,漏洞和安全威胁是永远存在的,一劳永逸的安全解决方案是不存在的。网站安全需要靠制度、技术、投入和管理来综合进行保障,在制度完善、技术规范、部署了各类网站安全防护技术设备的前提下,那就只能通过加强管理来提高网站的安全防范水平,技术占三分,管理占七分。在未来高校的网站安全手段中,管理或许将会变得越来越重要。

参考文献

[1]张巍,于广辉,李先毅.管理视角下的高校网络信息安全工作实践[J].中国教育信息化,2018(5):81-83.

[2]马健.高校网站群安全管理体系建设探索[J].科学技术创新,2017(35):85-86.

[3]李君.高职院校网站群建设与安全分析[J].智能计算机与应用,2014,4(1):40-44.

[4]张咏梅,贾艳梅,蒲在毅.高校站群系统建设与应用[J].网络空间安全,2018,9(6):86-89.

[5]梁轩.浅谈高等职业院校网站群系统建设的研究[J].电脑知识与技术,2019,15(29):17-18,20.

作者:张珂卿 单位:广东南华工商职业学院