文/王宇姜开达温占考等

一份全面的网站安全保障指南

文/王宇1姜开达2温占考1等

高校网站现状

高等院校通过网站面向互联网发布信息的起步很早，由于各高等院校在人员投入、技术水平、组织形式上都有很多自身特点，因此所属门户网站和二级网站的规划、设计、建设和运维的机制和模式也不尽相同：

1.门户网站多由学校整体规划和设计后，由专门部门负责建设和运维。

2.二级网站的规划多由二级部门自主发起或学校统一要求；运维多由二级部门自行负责，在软硬件环境方面部分学校提供各类型虚拟机的服务托管和基于网站群系统的统一运维，在信息发布管理方面部分学校制定了信息审核和备案制度。

3.门户网站与二级网站多各自拥有独立的域名地址通过网络链接关联，也有大部分学校将两者运行在同一套网站群系统上。

遵循信息安全“技术与管理并重”、“建设与运维并重”、“重视攻防实战”等原则，网站安全保障需要关注管理制度与技术手段在网站整个生命周期内的贯彻和实施，建设“管理与技术贯穿网站全生命周期”的网站安全保障体系。

网站技术架构体系

参考上海市地方标准《政府网站安全保障指南》DB31/T825-2014中架构安全相关内容，我们结合网络和信息技术现状概括高等院校网站安全保障相关的网站技术架构体系，参见图1所示。

网站基础设施，包括物理环境（供电、机房、人员管控等）、网站架构与边界（网络设备、安全设备、存储设备等）、服务器（操作系统、支持软件等）、网站系统平台（Web应用服务、数据库、中间件等）；网站业务系统，网站应用程序（源代码、页面程序、脚本程序等）和网站管理平台；网站数据，包括网站的业务数据和系统数据。

网站安全保障指南

网站安全保障中的管理和技术同等重要，安全管理是有效实施安全技术的基本保障，安全技术是保障网站安全的核心手段。结合高等院校网站管理的组织结构和制度要求，从网站的规划、设计、建设和运维等生命周期阶段的相关技术内容出发，梳理网站安全保障相关的实施建议和技术要点。接下来，先结合网站管理组织架构梳理宏观层次上的管理要求，再结合网站技术架构体系和网站生命周期整理网站安全保障具体的技术要点。

管理要求

信息管理部门在技术支撑部门配合下，需要在学校层面制定和实施网站安全保障相关管理责任和管理制度。

在管理责任方面，本着“谁主管、谁负责，谁运营、谁负责”的原则制定网站安全管理责任制，明确学校层面网站安全保障管理组织架构，确定学校整体和二级部门的网站安全保障工作的负责领导，确定二级部门信息安全联系人员（负责本部门网站安全保障的各项工作，以及与学校信息管理部门、技术支撑部门的协调）；明确校内网站的信息审核、保密审查、运行维护、应用管理等业务的部门和人员；此外，学校层面要建立培训考核和奖惩机制，保障网站安全相关经费支持。

图1 高等院校网站安全保障相关的网站技术架构体系

在管理制度方面，首先要从学校层面制定网站安全保障的相关制度，然后要重点明确学校相关的域名和网站信息的集中审批与备案要求，最后制定信息安全等级保护的相关管理制度。

1.网站安全保障相关制度。制定网站安全保障工作的总体方针和安全策略；制定网站建设（软件开发、产品采购等）、网站运维（网络安全、系统安全、备份恢复、事件管理等）、网站内容安全、网站应急预案（总体预案、子预案、演练计划等）等方面的安全管理制度；通过建立配置基线、操作流程、记录表单等方式，确保各项安全管理制度的有效执行，并及时修订完善各项安全管理制度。

2. 域名管理。

3.网站信息管理。制定学校相关网站信息的备案管理制度，结合信息安全等级保护管理要求，对已发布和新发布的网站要进行网站信息的备案，并要求只有通过技术支撑部门的安全测评后才能对外提供信息发布，对于网站的代码更新和版本升级等需要主动更新网站信息和进行安全测评。

4.安全测评管理。根据信息安全等级保护管理制度，确定学校各类网站的信息安全保护等级，进行安全测评和安全评估，并根据保护等级定期组织网站测评工作，发现安全隐患及时督促相关校内部门整改和复测。

技术要点

网站安全保障相关的技术内容相当广泛，涉及到信息安全的方方面面，从网络安全到主机安全，从代码安全到网站部署，从身份鉴别到安全审计，从安全监控到应急响应，从信息审核到外包服务管理等，很多方面都贯穿网站生命周期的多个阶段，也是需要网站安全责任主体与学校技术支撑部门紧密配合才能具体实施。在网站技术架构体系的基础上，对网站安全保障相关的技术要点进行梳理。

1.架构安全。贯穿网站的规划、设计、建设和运维。

应保障网站运行的相关供电、机房、人员管控等物理环境安全要求；应根据网站相关服务器的功能划分不同的安全区域，并采用虚拟局域网划分、访问控制列表、软硬件防火墙等隔离措施；操作系统和网站系统平台部署应禁用不必要的服务组件、应用插件、注册表项、端口等，卸载与网站运行无关的应用程序，保证网站相关的系统补丁及时更新；应部署网页防篡改软件或设备，对网站所有静态、动态页面进行监控和保护；应对拒绝服务攻击，应按需采取调整系统配置、部署防拒绝服务攻击设备、通过运营商进行流量清洗等措施；应保证足够的网络带宽、Web应用服务的并发处理能力。

2.代码安全。贯穿网站的规划、设计、建设和运维。

在网站设计和开发阶段，应遵循包括输入输出处理规范、信息提示规范、数据访问规范等的代码安全编写规范；应在网站正式运行前、网站改版或重大变更后，对代码安全性进行测试；在网站运维阶段，建议至少每年进行一次代码安全性测试。

3.网站部署。主要在网站的建设和运维中应用。

网站应用程序应独立部署在物理主机或虚拟主机上；同一网站系统的网站应用程序应与后台数据库管理系统分别部署在不同的物理主机或虚拟主机上；对于共用后台数据库管理系统的，应将网站数据库实例与其他无关应用的实例进行安全隔离；网站应用程序应存放在独立的目录中，合理设置访问权限和执行权限；杜绝使用位于境外或者不在学校管理范围内的物理主机或虚拟主机；对涉及学校核心业务数据和个人信息处理的网站，应对指定的重要数据采取加密方式进行传输，并在数据库中进行加密存储。

4.入侵及恶意代码防护。主要在网站的建设和运维中应用，也可以在网站设计过程中考虑加入相关防护功能。

应加强对端口扫描、拒绝服务、网络蠕虫、SQL注入、跨站脚本等网络攻击行为的检测和阻断；网络边界（互联网边界、安全域边界）应部署防火墙，建议进一步采用入侵防护网关、入侵检测网关、恶意木马检测网关、防病毒网关等安全设备并设置边界防护策略；应对服务器、管理终端实行统一的恶意代码防范机制，及时更新恶意代码特种库和实时对恶意代码进行检测和清除；针对网站应用程序的漏洞，建议优先采取修改代码方式进行漏洞修补，建议部署Web应用防火墙硬件或软件系统。

5.身份鉴别。主要在网站的设计、建设和运维中应用。

应建立服务器操作系统、网站系统平台、网站管理平台各个层面的身份鉴别机制，应对口令强度和更换周期、登录超时、登录次数等进行设置，至少采用两种及以上的鉴别技术；应及时修改操作系统默认管理员的账户名和口令，删除多余和过期的账户；应建立操作员、管理员、审计员三类网站管理角色。

6.访问控制。主要在网站的设计、建设和运维中应用。

对网络边界应通过防火墙等设备设置安全策略，限制可访问的端口和网络协议；对服务器操作系统应设置系统级别安全策略，控制对各类资源的访问，并根据用户角色分配权限，关闭不必要的网络端口；对网站系统平台应启用安全策略，限制用户访问网站配置文件和数据库等重要资源；对访问网站相关服务器的管理终端应限制其IP地址及访问权限，禁止连接外部网络；在进行网站远程维护管理时应使用具有加密协议的登录控制模块，及时删除多余和过期的远程维护账户；建议通过防火墙或网站系统平台配置实现限制访问网站的单个IP地址的最大网络流量和连接数。

7.安全审计。主要在网站的设计、建设和运维中应用。

应对网络设备、安全设备、服务器操作系统、数据库、网站管理平台等的操作行为进行安全设计，可以通过实现安全审计相关的网站管理模块和部署堡垒机等安全审计专业的软硬件来实施；应每月对审计记录进行统计和分析，生成审计报表后对审计记录进行保存和备份；应通过对网站访问日志中的攻击事件的审计分析，确认攻击危害性并实施相应的防控措施。

8.数据备份与恢复。主要在网站的运维中应用。

应每周至少对网站数据库进行一次全备份，每天进行一次差异备份，每年至少进行一次数据库备份的恢复测试以保证备份文件可用；应每天对Web应用服务日志、网站访问日志进行一次备份，每月对其他系统日志进行一次备份，并合理设置日志文件的存放空间和保存期限（180天）；对网站基础设施和应用系统层面的配置文件、审计记录等系统数据，在系统上线和配置发生变更时进行一次备份；建议利用异地容灾中心等资源对数据实现异地备份。

9.安全监控。主要在网站的运维中应用。

应通过本地或远程的监控平台，设定监控频度和状态阀值，监控网站的安全性和可用性，对异常情况及时报警，并将历史监控数据定期分析归档；安全性监控内容应包含页面篡改、网站挂马、域名劫持、关键词分析等，可用性监控应包含网站连通、业务功能、系统资源、响应时间、下载速度等。

10.安全检测。主要在网站的建设和运维中应用。

应通过本地安全检查和风险评估，确保安全设备、服务器操作系统、网站系统平台的配置安全；应每月至少进行一次包含网站服务器操作系统、网站系统平台、网站页面漏洞等方面的网站安全扫描；应每年至少对网站系统进行一次渗透性测试；注意在扫描和测试前，应对数据库和网站应用程序进行备份，在扫描和测试后，要结合检测结果对网站系统进行安全加固，对安全隐患可能已造成的入侵进行确认和修复；应定期对网站管理后台、管理终端进行漏洞扫描和安全加固。

11.应急响应。主要在网站的运维中应用。

学校层面要建立相应的网站安全应急响应团队，确保人员和资金等的资源保障，制定各级网站安全应急预案，针对网站相关的各类信息安全事件，明确事件级别和启动条件以及应急处置和系统恢复的流程、时限和权限；在发生网站瘫痪、网页篡改或挂马、分布式拒绝服务攻击、域名劫持、信息泄露等重大信息安全事件时，要立即启动应急预案，并在规定时限内报告上级主管部门；应每年至少进行一次网站应急响应演练，在应急响应演练或安全事件处理后及时修订和完善应急预案。

12.信息审核。主要在网站的设计、建设和运维中应用。

应建立信息发布审核和保密审查制度，确定负责信息编辑、审核、发布的人员，明确审核审查流程，并保存日志信息；应采取技术手段辅助进行网站发布信息过滤，确保信息内容的准确性、真实性和严肃性；信息发布审查过程中，要充分考虑信息间的关联性，防止由于数据汇聚泄漏国家秘密或内部敏感信息；对涉及学校重要业务数据和个人信息的处理流程，要遵守相应的保护原则和处理要求；应加强网站链接管理，定期进行断链扫描和错链人工检查，确保链接的有效性和适用性。

13.外包服务管理。贯穿网站的规划、设计、建设和运维。

对需要进行信息技术服务外包的网站，应选择具备相当资质的服务提供商，签订服务合同和保密协议，在服务合同中应明确安全责任、服务内容、服务方式、服务级别及违约责任等，保密协议中应明确保密内容、知悉范围、保密期限、保密义务及违约责任等；对外采购云服务托管的网站，数据中心应设在境内，并明确相关各方的安全责任；应对服务外包业务中涉及的机制、人员、流程、工具等要素进行管控；应禁止对网站内容审核等核心业务进行外包，网站内容编辑和发布业务确需要外包的应严格管控。

（作者单位：1为东北大学网络中心；2为上海交通大学）