漳州校区教育技术办吴飞杰.pptVIP

* 漳州校区教育技术办 吴飞杰 一、网络安全包括哪些方面 信息安全 发布到网站的信息 目前主要有两种形式： 信息员发邮件给管理员，管理员统一发布到网站（推荐） 信息员自行登录系统并发布信息 无论采用哪种形式都必须要有一个审核的步骤。目前各个单位采用的网站系统五花八门，用户系统存在各种各样的漏洞，建议统一采用第一种方式发布信息。 病毒流行新趋势：很多网站管理系统的后台编辑器都是支持html的，有些病毒在感染网站管理员的个人电脑后会利用在线编辑器，自动在发布的信息中加入病毒代码，从而造成病毒的更广泛传播。这从一个侧面反应出做好个人电脑防毒工作的重要性 交互式信息 什么是交互式信息 普通用户自行发布到网站前台的信息。有交互式功能的网站包括论坛、BBS、聊天室、留言板、博客(Blog)、维客（Wiki）、带有共享功能的网络硬盘（WebDisk）等。 特别注意：很多网站系统默认都带有留言、评论模块，很容易被忽视，必须禁用。推荐使用在线发送邮件的方式和用户互动。 学校关于交互式信息管理的规定 特别强调：论坛类子网站、博客托管（BSP）和主页空间提供不宜过于随便。要严格遵守学校规定，经校党委宣传部批准并向校网络中心备案后才能上线。只要是冠以厦门大学校名、或者使用厦大域名、厦大校园网络的网站都在此约束之下。 网站安全 没有一个网站是绝对安全的，只有相对安全，技术一直在发展，漏洞在所难免。网站管理员的任务是把安全风险降低到最低限度，减小被入侵的概率。 网站程序安全 网站的程序和Windows一样要打补丁。网络技术的发展日新月异，网站系统的功能越来越强大，各种各样的漏洞也层出不穷。现在没有漏洞并不代表以后也没有问题。 网站密码安全 网站的密码要和管理员的私人密码不同，并且必须是“强壮”的 使用相同密码造成密码泄露的案例： 网站管理员在某论坛注册一个帐号，所使用的密码和网站密码相同，不法分子从其他渠道得知管理员在论坛上的帐号，并非法入侵了该论坛，获得所有用户的密码（包括该管理员），从而得到网站密码 安全的密码策略： 一个健壮的密码必须由字母、数字和特殊字符组成，并且字母不能组成常见单词、缩略词或拼音组合，数字不能连续。 常见的弱密码： 123456 asdfg admin Zzxq zhangzhou 一个健壮的密码范例：qPzm@#!xnOw 网站被入侵后的可能表现 首页被篡改 建立警告页面 文件被删除 在网页中加入木马代码 二、网站的规范化管理 网站建成后的安全检测 很多单位的网站是请学生建设的，通常是使用从网络下载的免费程序。如果选择不当，很容易产生漏洞，所以有必要在验收时进行全面的安全检测。 网站的权限分配 网站的管理权限大致可划分为超级管理员和普通管理员，超级管理员的权限最大，其数目应该严格控制，只在需要的时候使用。普通管理员虽然权限较低，但也应该做到专人专用，尽量避免多人共同使用一个帐号。 网站信息的审核和发布 发布到网上的信息需要由分管领导把关。涉及版权问题的内容务必限制校内IP访问。切勿把教育网内的资源（如FTP账号密码等公布到公众网络可以访问到的页面） 注意：网页上的非教育网链接应注意其有效性，尽可能避免对此类网站做链接：近期外校出现内部网站上正常链接中的非教育网网站因域名过期被境外抢注，且被发布有害信息的情况，造成严重不良影响。如果是属于本单位在公众网注册的域名，要切实保证其有效期，以防过期后被别有用心者抢注。 网站管理员的交接 参考厦门大学单位网站管理员交接工作须知 /1/1_2005_4.htm 针对漳州校区学生管理员流动性大的特点，网站管理员的交接工作更应该重视，特提出以下注意事项： 网站的移交工作应该在大二学生回本部前全部完成，最好能有一个过渡期，由老管理员带新管理员逐渐熟悉网站的管理。 交接时由新管理员当场修改管理员密码，老管理员回本部后不再插手网站事务。 办理交接手续时需交接双方和分管领导同时在场完成。 下载厦门大学单位网站管理员工作交接登记表（/4/webmaster.doc）并认真填写，最后存档。 其他注意事项 设立网站工作日志 很多网站是由学生团队维护的，团队里面又有技术、采编的分工，建议设一个专门的日记本（纸质），以日志形式记录网站建设、维护过程中发生的事件和注意事项、备注等。 网站的各种文档、表格归档保存 网站说明书、历届网站管理员资料、网站管理员工作交接登记表等。 建立网站内部通讯录 出现问题时可以随时找到相关负责人，尤其是技术管理员，要有24小时联系方式。 不要轻易改版 很多管理员在接手后很喜欢对网站做彻底的重建，这个习惯是危险的，老版本的网站程序经过很长时间的考验，证明可能是安全的，轻易的重建或许会产生新的漏洞。在原有程序没有太大问题的情况下，应尽量只对前台界面的美