目前,在高校內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中,基于Web和數(shù)據(jù)庫結(jié)合的B/S架構(gòu)應(yīng)用已經(jīng)得到廣泛應(yīng)用,與此同時,越來越多的Web系統(tǒng)也因為存在安全隱患而頻繁遭受到各種攻擊。學(xué)校及其各院系部處中心的Web網(wǎng)站是各部門對外的窗口和形象,尤其如招生就業(yè)、政策數(shù)據(jù)決策研究等具有社會影響的網(wǎng)站,應(yīng)該采取必要的信息安全保護措施。
由于針對Web系統(tǒng)前端,防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備已被廣泛部署,網(wǎng)絡(luò)訪問控制策略設(shè)置也頗為嚴(yán)格,黑客已經(jīng)難以通過傳統(tǒng)網(wǎng)絡(luò)層攻擊方式(查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞)來攻擊網(wǎng)站;然而,隨著Web應(yīng)用技術(shù)的深入普及,Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越快,基于Web漏洞的攻擊更容易被利用,已經(jīng)成為黑客首選。
? 高校網(wǎng)站運維方面存在的主要問題
1.缺乏專業(yè)、系統(tǒng)的網(wǎng)站建設(shè)運維體系
? 高校網(wǎng)站建設(shè)水平參差不齊,網(wǎng)站的建設(shè)運維也比較混亂。建站系統(tǒng)不同,網(wǎng)站維護人員流動性高,由學(xué)生建設(shè)的,也有專門的網(wǎng)站建設(shè)廠商來建設(shè)的,采用的系統(tǒng)也不是很專業(yè),有的系統(tǒng)本身就帶有漏洞。網(wǎng)站的安全防護和日常運維各自為政,難成體系。
2.網(wǎng)站多,站點數(shù)量龐大
? 一般來說,高校網(wǎng)站少則幾百個,多則上千個,站點數(shù)量龐大,有序安全的管理顯得尤為重要,這也是高校區(qū)別于其他行業(yè)需要對網(wǎng)站建設(shè)運維格外關(guān)注的主要原因之一。
?? 3.運行分散
?? 各個部門、學(xué)術(shù)機構(gòu)的運行環(huán)境不同,有統(tǒng)一托管的,有采用云服務(wù)的,還有自建機房,甚至有的直接放置于自己的辦公室。分散的環(huán)境不利于管理,但是短期內(nèi)卻無法統(tǒng)一。
? 4.內(nèi)容維護缺乏有效監(jiān)管
很多高校網(wǎng)站的論壇隨意建立,無人管理,內(nèi)容監(jiān)管混亂。
高校網(wǎng)站群安全防護原則
?? 遵循相關(guān)政策標(biāo)準(zhǔn)及法規(guī)要求
近年來,隨著高校信息安全事故頻頻見諸報端,國家對高校信息及網(wǎng)絡(luò)安全尤其重視。為加強高校信息安全防護,國家出臺了信息安全等保要求,高校信息安全需達到信息安全等保三級要求。高校網(wǎng)站安全設(shè)計要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求,符合國家對高校信息安全系統(tǒng)的等級保護技術(shù)規(guī)范與管理要求_博達高校網(wǎng)站群管理平臺。
? 對信息安全進行均衡全面的保護
? 如果要提升整個系統(tǒng)的整體安全水平,那么就勢必要從系統(tǒng)當(dāng)中最為薄弱的環(huán)節(jié)入手加以保護。因此,充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設(shè)計信息安全系統(tǒng)的必要前提條件。
? 技術(shù)和制度建設(shè)雙管齊下
信息安全保障體系是一個復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此,必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
高校網(wǎng)站群安全防護具體應(yīng)對方法
1.加強事前防范,進行安全風(fēng)險識別
?? 據(jù)了解,學(xué)校管理網(wǎng)站總數(shù)超過50個時,應(yīng)在校園網(wǎng)絡(luò)部署Web遠程安全掃描系統(tǒng);如果校內(nèi)服務(wù)器數(shù)超過50臺,則應(yīng)部署服務(wù)器掃描系統(tǒng)。服務(wù)器掃描系統(tǒng)針對服務(wù)器漏洞進行探測掃描,Web遠程安全掃描系統(tǒng)主要針對Web頁面(掛馬、暗鏈等)進行掃描。
掃描結(jié)果可以提前展示信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞,檢查系統(tǒng)存在的弱口令,收集系統(tǒng)不必要開放的賬號、服務(wù)、端口,形成整體安全風(fēng)險報告,幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題,及時進行修補。全面滿足重大時期緊急安全檢查工作的需求和有效應(yīng)對等級保護測評。
?? 2.部署web應(yīng)用防火墻???
學(xué)校如果有三級(含)以上網(wǎng)站系統(tǒng),或者集中網(wǎng)站的總數(shù)超過30個,應(yīng)在信息系統(tǒng)前端部署Web應(yīng)用防火墻(也稱為WAF),WAF這一防御系統(tǒng)能夠保護各網(wǎng)站W(wǎng)eb服務(wù)器免受應(yīng)用級入侵,它彌補了網(wǎng)絡(luò)防火墻、IPS這類安全設(shè)備對Web應(yīng)用攻擊防護能力不足的問題,可及時發(fā)現(xiàn)網(wǎng)站可能發(fā)生的頁面篡改等安全事件,保證Web服務(wù)器的安全運營。
3.防止網(wǎng)頁內(nèi)容篡改
各個高?;径加凶约旱闹黜摚撁鎯?nèi)容被篡改是高校網(wǎng)站經(jīng)常會面臨的攻擊行為。網(wǎng)頁內(nèi)容的改變包括:文字、圖片或者正常字母組成的標(biāo)語,變換范圍可能是小局部,這些很難靠機器全部識別,但對高校形象造成不良影響,所以應(yīng)具有保證網(wǎng)頁內(nèi)容安全的措施:安裝網(wǎng)頁防篡改系統(tǒng)或者購買遠程實時監(jiān)控的服務(wù)。
?? 4.加強網(wǎng)站安全管理制度建設(shè)
高校網(wǎng)站群安全管理制度應(yīng)包括網(wǎng)站的建設(shè)、維護、備案、應(yīng)急等方面,制度由學(xué)校發(fā)布并由信息安全部門監(jiān)督執(zhí)行。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法,是具體有可操作性,且必須得到有效推行和實施的制度。制定嚴(yán)格的制定與發(fā)布流程、方式和范圍等。定期對安全管理制度進行評審和修訂,修訂不足及進行改進。
?? 利用管理制度以及學(xué)校安全管理中心進行系統(tǒng)統(tǒng)一、高效的運維管理。包括:環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理,安全事件處置、應(yīng)急預(yù)案管理等,使系統(tǒng)始終處于相應(yīng)的安全狀態(tài)中。
?