网站运维方面存在的主要问题
1.缺乏专业、系统的网站建设运维体系
高校网站建设水平参差不齐,网站的建设运维也比较混乱。建站系统不同,网站维护人员流动性高,由学生建设的,也有专门的网站建设厂商来建设的,采用的系统也不是很专业,有的系统本身就带有漏洞。网站的安全防护和日常运维各自为政,难成体系。
2.网站多,站点数量庞大
一般来说,高校网站少则几百个,多则上千个,站点数量庞大,有序安全的管理显得尤为重要,这也是高校区别于其他行业需要对网站建设运维格外关注的主要原因之一。
3.运行分散
各个部门、学术机构的运行环境不同,有统一托管的,有采用云服务的,还有自建机房,甚至有的直接放置于自己的办公室。分散的环境不利于管理,但是短期内却无法统一。
4.内容维护缺乏有效监管
很多高校网站的论坛随意建立,无人管理,内容监管混乱。
网站群安全防护原则
遵循相关政策标准及法规要求
近年来,随着高校信息安全事故频频见诸报端,国家对高校信息及网络安全尤其重视。为加强高校信息安全防护,国家出台了信息安全等保要求,高校信息安全需达到信息安全等保三级要求。高校网站安全设计要符合国家有关标准、法规要求,符合国家对高校信息安全系统的等级保护技术规范与管理要求。
对信息安全进行均衡全面的保护
如果要提升整个系统的整体安全水平,那么就势必要从系统当中最为薄弱的环节入手加以保护。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。
技术和制度建设双管齐下
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
安全防护具体应对方法
1.加强事前防范,进行安全风险识别
据了解,学校管理网站总数超过50个时,应在校园网络部署Web远程安全扫描系统;如果校内服务器数超过50台,则应部署服务器扫描系统。服务器扫描系统针对服务器漏洞进行探测扫描,Web远程安全扫描系统主要针对Web页面(挂马、暗链等)进行扫描。
扫描结果可以提前展示信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。全面满足重大时期紧急安全检查工作的需求和有效应对等级保护测评。
2.部署web应用防火墙
学校如果有三级(含)以上网站系统,或者集中网站的总数超过30个,应在信息系统前端部署Web应用防火墙(也称为WAF),WAF这一防御系统能够保护各网站Web服务器免受应用级入侵,它弥补了网络防火墙、IPS这类安全设备对Web应用攻击防护能力不足的问题,可及时发现网站可能发生的页面篡改等安全事件,保证Web服务器的安全运营。
3.防止网页内容篡改
各个高校基本都有自己的主页,页面内容被篡改是高校网站经常会面临的攻击行为。网页内容的改变包括:文字、图片或者正常字母组成的标语,变换范围可能是小局部,这些很难靠机器全部识别,但对高校形象造成不良影响,所以应具有保证网页内容安全的措施:安装网页防篡改系统或者购买远程实时监控的服务。
4.加强网站安全管理制度建设
高校网站群安全管理制度应包括网站的建设、维护、备案、应急等方面,制度由学校发布并由信息安全部门监督执行。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具体有可操作性,且必须得到有效推行和实施的制度。制定严格的制定与发布流程、方式和范围等。定期对安全管理制度进行评审和修订,修订不足及进行改进。