学校网站建设与管理的区域性思考
2016-06-24周伟
周伟
【摘 要】浦东新区“校校通”工程形成了近700家联网单位的浦东教育城域网,网内几乎所有学校都建起了学校网站和教学应用等信息化平台,为浦东教育的发展提供了有力的信息化支撑,然而随着网络与信息安全威胁的日益严重,学校网站面临着极大的安全挑战。笔者长期从事区域教育信息化建设规划和运维管理工作,针对网络与信息安全现状,对学校网站建设和管理方面进行了全新思考与探索。
【关键词】学校网站;网站建设与管理;教育城域网
【中图分类号】G434 【文献标识码】A
【论文编号】1671-7384(2016)06-0075-03
2001年,浦东新区开始建设校校通工程,到目前为止,已经形成了有近700家联网单位的浦东教育城域网,网内几乎所有学校都建起了学校网站和教学应用等信息化平台,为浦东教育的发展提供了有力的信息化支撑,然而随着信息技术的不断发展,网络与信息安全威胁日益严重,学校网站正面临着极大的安全挑战。
浦东教育城域网与学校网站
浦东教育城域网是依托电信光纤线路组建的区域性网络,示范性高中和部分教育机构万兆接入,公办中小学及少部分幼儿园千兆接入,大部分幼儿园以百兆接入,互联网总出口带宽达到5G,是目前上海市较为先进、高速、大型的区级教育城域网(也称浦东教育专网)。网内现有浦东教育门户网站、学前教育网、浦东教师研修社区、浦东教育云等一系列教育教学网站与应用平台,为广大教师和学生开展教育教学活动提供了良好的信息化环境。另外,全区下属的近700家教育机构(包括职校、中小学、幼儿园、教育中介机构等)都联入了浦东教育城域网,如图1所示。作为学校校园网对外展示的重要平台——学校网站已经成为浦东教育城域网的重要信息发布平台,每天数以千计的信息及时地向教师学生、社会公众、家长发布教育相关资讯,是浦东教育城域网的重要组成部分。
浦东学校网站建设与管理现状分析
2015年9月,浦东新区教育局办公室与浦东教育信息中心共同组织开展了浦东教育专网联网单位网络与信息安全检查工作,从学校自查反馈和抽查情况两方面可以比较准确地了解到目前浦东学校网站建设与管理的现状。
1.学校网站主机服务器运行维护情况
在反馈的200个学校网站中,除去3家单位此项内容空白外,约78%的网站主机服务器运行维护采用学校自行管理的方式,21%左右的网站主机服务器运行维护采用委托第三方管理的方式,另还有1家单位采用的是自行管理与部分服务委托管理相结合的方式,如图2所示。由此可见,目前学校网站服务器主要以学校自行管理为主。
2.网站安全漏洞情况
在学校提交的自查表中,区教育信息中心随机选择了28所学校网站作为抽检样本,通过专业网站安全漏洞扫描工具检测,结果发现有22家单位门户网站存在安全高危风险漏洞,约占抽检数的79%,如表1所示。
3.学校网站安全技术防护情况
据反馈情况显示,在网站入侵检测手段方面,几乎没有学校安装类似的设施设备;在Web应用防护方面,只有约29%的学校网站已安装网页防纂改系统,绝大多数学校还是采用人工监看的方式;网站防病毒系统方面,大多数学校网站主机没有安全商业的防病毒系统,大部分学校安装了免费的防病毒系统,如360安全卫士。由此可见,学校网站安全技术防护水平明显不足。
4.网站安全检测需求情况
如表2所示,有71%的学校单位期望有专业机构对学校网站进行安全检测并提供评测报告。学校对学校网站安全状况是不甚了解的。
5.浦东学校初步建立了网站安全的相关制度
从自查情况看,各单位在信息安全工作管理中均安排有分管领导和技术保障人员,其中220家单位已制定信息安全管理应急处理预案,所占百分比约为89%。约91%的单位表示在重大活动及节假日期间会制定网站安全保障方案和突发事件应急预案;约有192家联网单位制定了网站内容发布审核制度;由此表明,各联网单位已经逐渐重视网络与信息安全工作。
浦东学校网站存在的问题
网站建设与管理是一个长期的过程,也是一项专业性较强的工作。对于网站的建设与开发,现在越来越多的学校选择第三方公司产品,这是好现象。但是学校往往只注重网站开发时的一次性投入,却忽视网站管理的长期投入,由此产生了诸多网站安全问题。
1.学校网站安全技术防范水平不足,网站程序存在较严重安全漏洞
调查显示,目前浦东学校网站几乎没有入侵检测设备、没有Web应用防护手段、没有网页防纂改手段、没有商业防病毒系统等,而且大部分学校都是由学校自行管理网站服务器的。本次抽检出79%的网站存在高危安全漏洞,可以看出网络技术不断发展,学校网站安全加固也需要不断更新,不能一劳永逸,学校网站的安全技术防护水平严重不足,安全形势十分严峻。
2.学校网络与信息安全意识不强,网站安全管理制度流于形式
虽然调查结果表示学校都已建立网站安全相关管理制度,但是从79%的网站存在高危安全漏洞的抽查结果来看,这些管理制度大多流于形式,从中也可以看出学校在网络与信息安全方面意识不强,网络与信息安全技术防护投入不足,没有将网站安全工作落到实处。
3.学校网站建设与管理缺乏专业化管理人员
区教育信息中心早在2013年即开始定期对全区学校门户网站进行安全漏洞的检测工作。这次被抽查的存在高危安全漏洞的学校网站中有相当一部分网站在此前的检测中已经发现了同样的安全漏洞,并且已经告知学校,但很多学校不能及时修补漏洞。究其原因,除了上述两个因素外,学校缺乏专业化管理人员也是主因。由于学校网管员没有相应的编制岗位,许多学校网管员由信息科技教师兼任,而学校实行绩效工资后,考虑实际情况,信息科技教师更愿意注重教学工作,不愿意往这个没有“名份”的网管员上靠拢,学校网络管理工作渐渐成为人人避之的“烫手山芋”。
今后浦东学校网站建设与管理的方向与建议
综上所述,学校网站建设与管理的好坏主要由技术、人和管理三个因素决定。根据笔者十多年从事教育信息化工作的经验来看,目前学校网站存在的这些问题短时间内学校要求整改还存在着诸多困难。主要原因:首先,学校网站虽然对互联网开放,但是对外信息发布量不是很大,主要用户是家长和教师,学校的核心业务没有在学校网站上体现。说白了,没有学校网站,学校教学活动照样开展。其次,仅仅为了网站的安全,要配置相关的设施设备,从“经济”上来说也不划算。再次,学校网站目前普遍存在高危安全漏洞,但还没有发生安全事件,表面上看网站还是正常的,这也是学校领导层没有足够重视的主要原因之一。至于专业化管理人员的问题,网管员没有编制岗位,短时间内根本不可能解决。
作为浦东教育城域网运行维护管理部门——教育信息中心现在也面临着巨大的挑战。虽然学校网站部署在学校内,根据“谁管理谁负责,谁运行谁负责”的原则,学校要对学校网站安全负责,但是毕竟学校网站是整个城域网的组成部分,学校网站的安全与否直接关系到浦东教育网安全与稳定。要同时解决学校网站存在的三大问题,笔者提出今后浦东学校网站建设与管理的方向与建议:建立基于云计算的学校网站群建设与管理体系。
1.技术发展的考虑
目前,信息技术发展日新月异,云计算、大数据更是时下最热门的技术词汇,各种解决方案纷纷落地变为现实。云计算和大数据相辅相成已经成为信息技术变革各个行业的大方向。云计算技术可以实现IT资源的自动化管理和配置,降低IT管理的复杂性,提高IT资源利用效率。原先,校校通工程建设时,每所学校配置了三台服务器用于发布学校网站和应用系统,但是没有配置相关安全技术防护设备。如果按照硬件六年使用期限的话,目前学校网站服务器早已超龄“服役”了。如果接下来区域统筹配置学校设施设备,强烈建议采用云计算的方式配置,区域数据中心建立云计算学校网站群。从经济角度考量,这样可以大大减少服务器数量的配置,也无需每所学校配置安全防护设备,通过数据中心统一配置防护手段,大大减少政府财政投入经费。这样从根本上解决了学校缺乏网站安全技术防范手段的问题。另外,利用网站群技术,统一程序编码,便于统一修补安全漏洞,从而保障网站本身的安全。
2.专业化管理的考虑
利用云计算的学校网站群建设和管理思路,也可以彻底解决学校无专业人员的困境。网站安全的保障,对于管理员的专业化水平提出了很高的要求,目前学校网管员绝大部分是不能胜任这个角色的。云计算是集中化部署,可以依托区域专业机构统一部署网络与信息安全策略,学校无需考虑技术问题,只需专注于网站的内容建设,大大减轻学校技术管理负担。
基于云计算的网站群建设与管理模式,是要摒弃原先的一校一服务器、分散部署于学校的传统做法,由区域统一集中部署,采用云计算技术,自动调配各校使用IT资源,弹性使用,大大提高IT资源使用效率。但是,采用这种模式,需要协调好各校已有网站与应用系统的数据对接问题,进一步加强区域技术服务支持力量,这需要区域教育管理部门做好顶层设计与规划。相信通过基于云计算的网站群建设与管理,能够很好地解决目前学校网站面临的安全威胁。