关于如何做好高校网站安全管理工作思考.docx

关于如何做好高校网站安全管理工作的思考刘振昌（南开大学信息化建设与管理办公室，天津 300071）引言近年来，随着高校信息化建设的快速发展，以及传统业务系统由C/S架构向B/S架构的转变，存在于高校中的网站及信息系统数量越来越多。在这些网站和信息系统（以下简称为“网站”）给学校师生的工作、学习、生活等方面带来便利的同时，存在于其中的网站安全问题也愈加明显。主页被篡改，挂马，信息泄漏等问题时时刻刻威胁着高校网站的安全，而作为高校网站安全的管理者，如何才能有效地应对这些威胁，是我们大家共同面临的问题，也是我们一直关注的话题。今天，针对这个话题，我先谈一下对如何做好高校网站安全管理工作的体会和思考，一方面，希望能通过我的思考给高校网站安全管理工作带来些许帮助；另一方面，期望以此来抛砖引玉，让更多的兄弟院校分享各自在网站安全管理工作方面的经验。构建全面的高校网站安全管理体系高校网站安全管理工作不是管理某一个网站或某几个网站的安全，而是要管理高校中数百甚至上千个网站的安全。管理高校中所有网站安全的方法和管理某几个网站安全的方法应该是有区别的，因此，为管理好高校中所有网站的安全，我们首先要结合高校的实际情况，从对高校网站安全进行管理的不同维度，以及网站存活的整个生命周期考虑，构建一个全面的，适合高校的网站安全管理体系。我理解的高校的网站安全管理体系建设模型如图1所示。图1 高校网站安全管理体系建设模型图1所示的这个模型借鉴了WPDRRC信息安全模型（WPDRRC信息安全模型是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型）。在这个网站安全管理体系建设模型中，共有三大要素和六个环节，三大要素是人员保障、管理策略、安全技术，六个环节是预警、保护、检测、响应、恢复、反击，这些均体现在高校网站安全管理体系建设的整个安全管理运维过程中。下面我对这个高校网站安全管理体系建设模型中的各个组成元素做一下简单的介绍。人员保障。人员保障中包含机构建设和人员管理两项。①机构建设。首先一个学校要有明确的负责学校网站安全管理的部门，否则无法开展网站安全管理工作。这个一般在高校的校发文件会有明确的说明，但不同学校负责的部门也不一样，我们学校是信息化办负责，有的学校则是宣传部或图书馆负责。②人员管理，包括专职人员和教育培训。信息化办下属信息科工作人员是负责信息安全的技术人员，学校各二级院系部处设置有专门负责信息安全的责任人和联络员；信息化办的技术人员参加上级单位组织的信息安全培训，同时，负责对校内二级院系部处负责信息安全的工作人员进行信息安全培训。管理策略。管理策略的制定是经过全面考虑，站在学校的高度，从顶层进行规划设计的，对管理学校网站安全具有指导意义。在制定该管理策略时，要从横向和纵向两方面分别进行考虑。横向策略中包括范围分类和最小化原则。范围分类是指对网站的可访问范围进行分类，根据高校实际情况可分为：内部访问、校园网访问、互联网访问；最小化原则是指从用户的基本需求出发，在最小范围内满足用户对网站的管理和使用需求。通过范围分类和最小化原则的组合使用可对学校的网站运行情况有一个直观的了解。通过对网站进行访问范围分类，同时与最小化原则组合应用，我们可以对网站的访问范围和端口开放情况进行精细化管理，从而有效控制安全风险的开放范围，避免由于对外开放权限过大而导致所面临的安全威胁过大的现象发生。纵向策略是从网站的生命周期出发，围绕安全准入、定期安检、年审退出而制定的安全管理规则。规则中要明确网站在入网前要进行安全评估，评估合格方可入网；对于已经入网的网站，要定期进行安全检查，检查出安全问题的，要进行锁定修复，修复完成后方可解锁；对于不再使用的网站，通过每年的年审工作可以发现，如果确属无人管理，便可以进行退出处理，从而避免产生僵尸网站。安全技术。网站安全管理防护技术种类很多，根据攻击发生的时间前后，可以将安全防护技术做一下分类，分别是：被攻击前技术防范、被攻击中技术防护、被攻击后技术恢复。被攻击前：①对网站进行安全自评估，发现安全漏洞后及时修复；②部署安全防护设备，下发安全防护策略。被攻击时：①使用防火墙、WAF、IPS等安全设备进行防护；②应变响应，根据攻击方式不同调整安全防护策略以达到最好的防护效果。被攻击后：①使用备份数据第一时间将被攻击网站恢复，尽量减少服务中断时间。②通过相关日志或安全审计设备查找具体漏洞和攻击者来源，及时做出相应保护措施。安全运维。高校网站安全管理并非一朝一夕之功，也非用一些安全设备或一些安全防护策略就能够完完全全解决掉的事情，而是一个需要持续不断进行运维的动态过程。因此，预警、保护、检测、响应、恢复和反击等六个环节要贯穿于整个运维过程中。总体说明在高校网站安全管理体系的建设中，人员保障是核心，管理策略是桥梁，安全技术