目前,在高校內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中,基于Web和數(shù)據(jù)庫(kù)結(jié)合的B/S架構(gòu)應(yīng)用已經(jīng)得到廣泛應(yīng)用,與此同時(shí),越來(lái)越多的Web系統(tǒng)也因?yàn)榇嬖诎踩[患而頻繁遭受到各種攻擊。學(xué)校及其各院系部處中心的Web網(wǎng)站是各部門(mén)對(duì)外的窗口和形象,尤其如招生就業(yè)、政策數(shù)據(jù)決策研究等具有社會(huì)影響的網(wǎng)站,應(yīng)該采取必要的信息安全保護(hù)措施。
由于針對(duì)Web系統(tǒng)前端,防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備已被廣泛部署,網(wǎng)絡(luò)訪問(wèn)控制策略設(shè)置也頗為嚴(yán)格,黑客已經(jīng)難以通過(guò)傳統(tǒng)網(wǎng)絡(luò)層攻擊方式(查找并攻擊操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞)來(lái)攻擊網(wǎng)站;然而,隨著Web應(yīng)用技術(shù)的深入普及,Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來(lái)越快,基于Web漏洞的攻擊更容易被利用,已經(jīng)成為黑客首選。
? 高校網(wǎng)站運(yùn)維方面存在的主要問(wèn)題
1.缺乏專(zhuān)業(yè)、系統(tǒng)的網(wǎng)站建設(shè)運(yùn)維體系
? 高校網(wǎng)站建設(shè)水平參差不齊,網(wǎng)站的建設(shè)運(yùn)維也比較混亂。建站系統(tǒng)不同,網(wǎng)站維護(hù)人員流動(dòng)性高,由學(xué)生建設(shè)的,也有專(zhuān)門(mén)的網(wǎng)站建設(shè)廠商來(lái)建設(shè)的,采用的系統(tǒng)也不是很專(zhuān)業(yè),有的系統(tǒng)本身就帶有漏洞。網(wǎng)站的安全防護(hù)和日常運(yùn)維各自為政,難成體系。
2.網(wǎng)站多,站點(diǎn)數(shù)量龐大
? 一般來(lái)說(shuō),高校網(wǎng)站少則幾百個(gè),多則上千個(gè),站點(diǎn)數(shù)量龐大,有序安全的管理顯得尤為重要,這也是高校區(qū)別于其他行業(yè)需要對(duì)網(wǎng)站建設(shè)運(yùn)維格外關(guān)注的主要原因之一。
?? 3.運(yùn)行分散
?? 各個(gè)部門(mén)、學(xué)術(shù)機(jī)構(gòu)的運(yùn)行環(huán)境不同,有統(tǒng)一托管的,有采用云服務(wù)的,還有自建機(jī)房,甚至有的直接放置于自己的辦公室。分散的環(huán)境不利于管理,但是短期內(nèi)卻無(wú)法統(tǒng)一。
? 4.內(nèi)容維護(hù)缺乏有效監(jiān)管
很多高校網(wǎng)站的論壇隨意建立,無(wú)人管理,內(nèi)容監(jiān)管混亂。
高校網(wǎng)站群安全防護(hù)原則
?? 遵循相關(guān)政策標(biāo)準(zhǔn)及法規(guī)要求
近年來(lái),隨著高校信息安全事故頻頻見(jiàn)諸報(bào)端,國(guó)家對(duì)高校信息及網(wǎng)絡(luò)安全尤其重視。為加強(qiáng)高校信息安全防護(hù),國(guó)家出臺(tái)了信息安全等保要求,高校信息安全需達(dá)到信息安全等保三級(jí)要求。高校網(wǎng)站安全設(shè)計(jì)要符合國(guó)家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求,符合國(guó)家對(duì)高校信息安全系統(tǒng)的等級(jí)保護(hù)技術(shù)規(guī)范與管理要求_博達(dá)高校網(wǎng)站群管理平臺(tái)。
? 對(duì)信息安全進(jìn)行均衡全面的保護(hù)
? 如果要提升整個(gè)系統(tǒng)的整體安全水平,那么就勢(shì)必要從系統(tǒng)當(dāng)中最為薄弱的環(huán)節(jié)入手加以保護(hù)。因此,充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析,評(píng)估和檢測(cè)(包括模擬攻擊)是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。
? 技術(shù)和制度建設(shè)雙管齊下
信息安全保障體系是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
高校網(wǎng)站群安全防護(hù)具體應(yīng)對(duì)方法
1.加強(qiáng)事前防范,進(jìn)行安全風(fēng)險(xiǎn)識(shí)別
?? 據(jù)了解,學(xué)校管理網(wǎng)站總數(shù)超過(guò)50個(gè)時(shí),應(yīng)在校園網(wǎng)絡(luò)部署Web遠(yuǎn)程安全掃描系統(tǒng);如果校內(nèi)服務(wù)器數(shù)超過(guò)50臺(tái),則應(yīng)部署服務(wù)器掃描系統(tǒng)。服務(wù)器掃描系統(tǒng)針對(duì)服務(wù)器漏洞進(jìn)行探測(cè)掃描,Web遠(yuǎn)程安全掃描系統(tǒng)主要針對(duì)Web頁(yè)面(掛馬、暗鏈等)進(jìn)行掃描。
掃描結(jié)果可以提前展示信息系統(tǒng)存在的安全漏洞、安全配置問(wèn)題、應(yīng)用系統(tǒng)安全漏洞,檢查系統(tǒng)存在的弱口令,收集系統(tǒng)不必要開(kāi)放的賬號(hào)、服務(wù)、端口,形成整體安全風(fēng)險(xiǎn)報(bào)告,幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問(wèn)題,及時(shí)進(jìn)行修補(bǔ)。全面滿(mǎn)足重大時(shí)期緊急安全檢查工作的需求和有效應(yīng)對(duì)等級(jí)保護(hù)測(cè)評(píng)。
?? 2.部署web應(yīng)用防火墻???
學(xué)校如果有三級(jí)(含)以上網(wǎng)站系統(tǒng),或者集中網(wǎng)站的總數(shù)超過(guò)30個(gè),應(yīng)在信息系統(tǒng)前端部署Web應(yīng)用防火墻(也稱(chēng)為WAF),WAF這一防御系統(tǒng)能夠保護(hù)各網(wǎng)站W(wǎng)eb服務(wù)器免受應(yīng)用級(jí)入侵,它彌補(bǔ)了網(wǎng)絡(luò)防火墻、IPS這類(lèi)安全設(shè)備對(duì)Web應(yīng)用攻擊防護(hù)能力不足的問(wèn)題,可及時(shí)發(fā)現(xiàn)網(wǎng)站可能發(fā)生的頁(yè)面篡改等安全事件,保證Web服務(wù)器的安全運(yùn)營(yíng)。
3.防止網(wǎng)頁(yè)內(nèi)容篡改
各個(gè)高校基本都有自己的主頁(yè),頁(yè)面內(nèi)容被篡改是高校網(wǎng)站經(jīng)常會(huì)面臨的攻擊行為。網(wǎng)頁(yè)內(nèi)容的改變包括:文字、圖片或者正常字母組成的標(biāo)語(yǔ),變換范圍可能是小局部,這些很難靠機(jī)器全部識(shí)別,但對(duì)高校形象造成不良影響,所以應(yīng)具有保證網(wǎng)頁(yè)內(nèi)容安全的措施:安裝網(wǎng)頁(yè)防篡改系統(tǒng)或者購(gòu)買(mǎi)遠(yuǎn)程實(shí)時(shí)監(jiān)控的服務(wù)。
?? 4.加強(qiáng)網(wǎng)站安全管理制度建設(shè)
高校網(wǎng)站群安全管理制度應(yīng)包括網(wǎng)站的建設(shè)、維護(hù)、備案、應(yīng)急等方面,制度由學(xué)校發(fā)布并由信息安全部門(mén)監(jiān)督執(zhí)行。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法,是具體有可操作性,且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的制定與發(fā)布流程、方式和范圍等。定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂,修訂不足及進(jìn)行改進(jìn)。
?? 利用管理制度以及學(xué)校安全管理中心進(jìn)行系統(tǒng)統(tǒng)一、高效的運(yùn)維管理。包括:環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理,安全事件處置、應(yīng)急預(yù)案管理等,使系統(tǒng)始終處于相應(yīng)的安全狀態(tài)中。
?