引言： 学校门户网站已成为宣传学校新手段新方法，可以代表学校形象,网站各种安全隐患常常被一些不法分子利用,因此，必须充分认识加强信息安全体系建设的重要性和紧迫性，高度重视网站的信息安全管理工作。

互联网技术迅猛发展，带动教育信息化快速前行，学校均通过建立自己的门户网站，用于展示校园文化、教师风采、学生风貌、教育理念等，成为学校对外宣传、形象展示和沟通交流的平台，实现学校对外联系的信息化和网络化，从而提升学校对外形象，提高软实力，增强综合竞争力。

门户网站安全管理的重要性

学校门户网站已成为宣传学校新手段新方法，可以代表学校形象，具有其他商务网站无法比拟的严肃性和权威性。由于网站建立在完全开放的互联网上，各种安全隐患常常被一些不法分子利用，学校越有名受不法分子利用的可能性就越大，其对网站进行恶意操作，如网页被篡改、被上传病毒、挂木马、论坛发布不当言论等，导致安全事件，造成门户网站无法正常工作，严重影响学校相关工作的顺利进行，从而影响到学校的形象。政府网站和金融行业网站仍然是不法分子攻击的重点目标，学校网站也出现多次被攻击现象，安全漏洞是重要信息系统遭遇攻击的主要内因。因此，必须充分认识加强信息安全体系建设的重要性和紧迫性，高度重视网站的信息安全管理工作。

信息系统安全等级保护制度

近年来，我国对信息系统实施信息系统安全等级保护制度，为网站信息安全管理提供了一套切实可行的办法。信息安全等级保护制度是开展信息安全工作的基本方法,促进信息化、维护国家信息安全。

信息和信息系统的安全保护等级共分五级： 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。中小学门户网站一般定级为二级，对于二级标准，国家有着严格的建设标准，中小学门户网站管理者应该严格按照信息安全等级保护制度所规定的级别进行建设与管理，执行国家法律法规要求。

学校门户网站信息安全管理现状

学校门户网站的管理者是重网站发布信息内容，轻信息安全管理，主要表现在五个方面：

1.网站存放的软硬件环境不符合安全要求

学校管理者目前对学校门户网站有深刻认识，但对信息安全管理却大大滞后于网站内容管理。网站存放的软硬件不达标，机房无法满足防盗窃、防破坏、防雷击、防火、防水、防潮、温湿度控制、电力供应要求。网站存放的操作系统及网站软件存有漏洞，系统访问策略设置容易造成网站受到攻击。

2.网站安全管理制度欠缺

就本地区学校调查，多数学校对信息安全管理制度建立空缺，或者所建立的安全管理制度没有实质的可操作性，只是为应付检查所设立，对制度的制定与发布流程、方式和范围均没有详实表述，制度制定完成后没有任何后续工作，而是直接束之高阁。

3.网站安全管理机构形同虚设

学校管理者建立的信息安全管理机构只是一个机构，按规定配备了安全管理岗位人员，但岗位人员对岗位安全管理职责无论是理论知识还是实践经验都欠缺，有的岗位人员只是一个挂名，无法真实的履行自己的工作职责。同时，学校管理人员发生变动后，管理机构的人员仍旧为以前人员，没有进行及时变更，造成空窗期。

4.网站管理人员管理放纵

针对网站进行操作人员没有专门指定，随意授权人员进行操作，操作没有正式记录与操作工作流程，知晓网站相关操作密码就可以进行各种权限操作，造成多种人员轻易就操作到网站内核及所在的物理设备。

5.网站运维管理空白

学校门户网站建成投入使用后，只有少数人员对网站内容进行不定期管理，而网站其他的环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等都没有。当受到攻击后，无法及时进行有序处理，通常手忙脚乱状态。

完善学校门户网站信息安全管理体系

信息系统安全等级保护制度已经确立了一套完整的信息安全管理体系，它依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。每一级别均有针对自己的基本安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大方面。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几方面提出，二者为不可分割两部分。学校门户网站应该严格按照等级保护所提出的五个级别进行准确定级，获得相关部门批准后，严格落实等级保护所确认的级别标准要求，完善学校门户网站的信息安全管理体系。网站的管理者应该重点强化关注六个方面：

1.网站存放的物理环境

网站存放的物理环境，机房出入应该专人负责，控制、鉴别和记录进入人员；机房满足防盗窃、防破坏、防雷击、防火、防水、防潮、温湿度控制、电力供应。网络结构安全，设备满足业务能力，带宽满足业务，网络边界部署访问控制设备，建立访问控制列表。网络设备具有防护能力。操作系统和数据库系统有身份识别，依据安全策略控制用户对资源的访问，限制默认用户的访问权限，删除多余、过期账户。具有入侵防范和恶意代码防范功能。对登录用户进行身份鉴别，提供访问控制功能控制用户组/用户对系统功能和用户数据的访问，采用给定通信会话方式保护通信完整，具有软件容错功能。能够检测到重要用户数据在传输过程中完整性受到破坏，就对重要信息进行备份和恢复。

2.安全管理制度方面

安全管理制度应在信息安全领导机构总体负责下统一制定，制定过程中要进行论证和审定，内容满足基本技术要求和基本管理要求，涵盖物理、网络、主机系统、数据、应用、管理等多个方面。同时，制度的制定要做到具有切实可行的可操作性。发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时，可以按照制度进行操作，结束后要对安全管理制度进行重新审定，对需要改进的制度进行修订。

3.安全管理机构方面

学校门户网站投入运行前，要设立指导和管理信息安全工作专门机构，机构人员要由单位主管领导委任或授权人员担任。通过正式文件明确安全管理机构的职责，不能出现只有机构而无人落实具体工作的情况。机构内部设立安全管理各个方面的负责人，如系统管理员、网络管理员、安全管理员等岗位，明确岗位职责分工。学校人员短缺可以进行部分岗位交叉兼任。严管安全管理机构内部的审批权限，重视管理制度的制定和发布、人员的配备与培训、产品的采购等。组织定期对网站信息系统进行安全检查，留存安全检查报告、检查过程记录、审计分析报告、安全检查表格等必备的书面材料。

4.人员安全管理方面

录用人员时，要对人员的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，录用后与其签署相关协议，明确说明工作职责，确保录用的安全管理和技术人员有能力完成工作职责。人员离岗时，及时终止其所有访问权限，收回工作门禁卡，交接所负责的资产，必要时要求离职人员承诺相关保密义务，及时更换所掌握密码。其次，定期对各个岗位人员进行安全技能及安全知识的考核，对违背安全策略和规定的人员有明确的惩戒措施并落实到位。再次，定期开展人员安全意识教育和培训，预先制定教育培训计划并抓好落实。对外部人员访问采取合理的管理措施并要求保密。

5.系统建设管理方面

网站建设初期就要有安全方案设计，由专门部门及专门人员对门户网站的安全建设进行总体规划，制定近期和远期的安全建设工作计划，根据门户网站确定的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施。同时，根据门户网站确定的级别要求，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等，在制定过程中要组织有关部门和安全技术专家对其进行论证和审定，并根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略等配套文件。在产品采购上，指定专门部门负责产品的采购，产品选择应优先选择通过国家认定的安全产品。

6.系统运行维护管理方面

严格按照建立时制定的安全策略，对服务器进行正确配置，按操作规程对服务器进行操作，对软硬件维护制度化管理，建立服务器的操作日志，定期检查管理情况。监控网站服务器的各项资源指标，如 CPU、内存、硬盘等使用情况，明确门户网站所涉及内容由谁负责运行维护，专人保管系统运行所产生的各类文档。网络安全专人负责，定期查看维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作。按照国家相关管理部门规定，划分安全事件种类，按对网站的影响程度划分等级，发现安全线索和可疑事件时要求及时报告，使安全事件的报告和响应处理过程制度化、文档化。制定有针对性的应急预案，内容覆盖什么时候启动预案、应急处理流程、系统恢复流程和事后评估内容，对网站相关的管理人员进行应急预案培训，成立应急预案小组，并不定期对应急预案进行演练。