“互联网+”背景下的高校网站安全保障体系构建*
2017-08-16季益龙程松泉
季益龙,程松泉
(1.浙江师范大学 信息化办公室,浙江 金华 321004;2.浙江师范大学 教师教育学院,浙江 金华 321004)
“互联网+”背景下的高校网站安全保障体系构建*
季益龙1,程松泉2
(1.浙江师范大学 信息化办公室,浙江 金华 321004;2.浙江师范大学 教师教育学院,浙江 金华 321004)
随着教育信息化工作的不断深入,高校网站安全也越来越受到重视。文章针对当前高校网站安全严峻形势,提出高校网站安全所面临的几种安全威胁,并阐明造成相关问题的原因。以“互联网+”为理念,以人员组织为核心,以技术防护为手段,以管理规范为依据,构建了一整套符合信息安全等级保护要求的高校网站安全保障体系。经过一年多的实践证明,该安全保障体系是有效可行的,能显著提高管理人员的安全意识,保障高校网站的实体安全、运行安全和数据安全。
互联网+;高校网站安全;保障体系
“互联网+”成为当前我国的一个战略发展方向,云计算、大数据、物联网、移动互联网等新的信息技术不断涌入到教育领域,也促进了教育行业的重大变革。然而,网络与信息安全仍然是教育信息化过程中最大的威胁,所面临的安全问题更加复杂,其后果也更加严重。2015年可谓是安全沦陷元年,XGhost事件导致苹果手机AppStore上超过3000个应用感染恶意代码,携程网由于员工误操作导致长达几十个小时的宕机,多所高校门户网站及信息系统被黑客攻击,某单位研究生报名系统存在安全漏洞导致数万名考生信息泄露。这一年无论从宏观还是微观上,面临的网络与信息安全形势不容乐观,但是也看到了一些新的变化和特点,各国都在大力加强网络与信息安全的顶层设计,美国颁布了40多份与网络安全有关的文件,德国与法国建立欧洲独立互联网,加强数据和信息安全,日本也出台《网络安全战略》,提出“网络安全立国”。2014年,中央网络安全和信息化领导小组成立,统筹协调涉及经济、政治、社会及教育等多个领域的网络与信息安全重大问题,研究制定网络安全与信息化发展的宏观战略。2015年,《中华人民共和国网络安全法 (草案)》公开发布征求意见,这是中国第一部网络安全法律。
教育信息化是国家信息化的重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳定推进和教育事业改革发展。当前高校教育信息化是一个庞大复杂的系统,在支撑高校业务运营、发展的同时,门户网站和信息系统面临的信息安全威胁也在不断增长,被发现的脆弱性或弱点越来越多,信息安全风险日益突出,成为高校面临的重要的、急需解决的问题之一。教育部门对网络信息安全高度重视,自2015年以来,颁布并下发多份网络安全文件。教育部办公厅关于印发《2016年教育信息化工作要点》的通知明确提出提升教育行业信息技术安全保障能力的重要任务:按照分级管理、逐级负责的原则,健全信息技术安全通报机制,完善信息技术安全工作管理信息系统,加强对信息技术安全工作的统筹管理。[1]
一、高校网站安全现状的分析
在当下的互联网时代,高等教育面临着前所未有的新形势、新挑战。[2]过去的高校信息化建设,更多地强调系统和应用集成,而忽视了网络和信息安全的建设。根据360补天漏洞响应平台的数据可得,自2014年6月至2015年5月的一年时间内,补天平台上显示的有效高校网站高危漏洞多达上千个,涉及高校网站1088个。[3]其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。按照漏洞数量排名前三的漏洞类型分别为跨站脚本漏洞、SQL注入漏洞和信息泄露漏洞。
高校网站包括高校门户网站、二级院系网站、直属部门网站、学术研究机构网站、各类业务信息系统等网站,由于高考、招生、就业等敏感时期,聚集了大量的学生、教师、家长及社会人士访问流量,也因为网站安全性差、经济利用驱使、学校群体特殊性等原因,引起黑客的关注,使高校网站被攻击次数逐年增加,网站安全事故频发。高校网站安全面临的主要安全威胁有以下几种:
1.网页被挂马、篡改
入侵者通过恶意扫描获得服务器或网站的安全漏洞,并利用常见的跨站攻击、SQL注入、植入木马等攻击手段,获取服务器的最大权限,恶意篡改网页代码。网页信息被篡改后,搜索引擎或安全平台对网站进行常规检测发现挂马情况,会提示安全风险,导致正常用户访问时出现拦截情况,对学校的名誉造成不良影响。其中,网站篡改主要有黑链黑词、搜索引擎劫持、网页恶意篡改三个类型。
2.流量攻击,无法访问
入侵者通过DNS解析即可得到网站的真实服务器,通过借助代理服务器模拟多个正常用户不停地对网站进行访问请求,发起DDoS攻击或者CC攻击很容易就使网站陷入瘫痪,无法对外提供服务。高校网站在招生、考试、就业等敏感时期经常遭受黑客的流量攻击,导致学校大量网站不能正常访问,业务工作受到极大影响。
3.信息被窃取、泄露
入侵者篡改了数据库里的学生成绩、考试内容或考试答案等信息,将会给高校录取和学生毕业带来极大麻烦,而一旦重要网站或系统被攻陷,学生、教师的大量个人信息、教学信息或科研信息将会直接被黑客利用进行诈骗或贩卖,师生的各种信息遭受泄露,社会危害性极大。
高校网站安全存在问题的原因有很多,既有主观原因,也有客观原因。主要包括以下四点:一是主管领导重视不够,安全意识欠缺,人力、财力及物力投入不足;二是网站安全责任主体不明确,业务部门只负责系统建设和使用,不关心安全工作,推卸责任;三是网站系统及服务器安全漏洞多,尤其是二级网站建设管理分散,管控难度大,防护不够,容易遭受攻击;四是安全监控体系不健全,政府部门对高校的网站安全监控力度不足,安全监控机制不完善,网络安全建设明显滞后于信息化建设。
二、高校网站安全保障体系的构建
网络与信息安全威胁是普遍存在的,但其风险是可以控制乃至规避的。[4]高校网站数量巨大,且面临的安全威胁种类众多,没有一种技术或一种方法能够消除网站中所有的安全隐患,只能从不同视角和层次来保障高校网站安全。[5]针对日益严峻的高校网站安全问题,基于多年的网站安全建设和安全维护工作中的实践经验,构建了一整套符合信息安全等级保护要求的高校网站安全保障体系。
1.人员组织体系
安全管理最薄弱的地方就是人,加强相关人员的责任观念、安全意识和技术技能,能够使各种管理制度得到最佳的落实。[6]人员组织体系是保障网络与信息安全的关键环节,结合高校网站的自身特点和实际情况,需要建立完整的人员组织体系、安全培训体系和安全责任机制。一是建立包括管理决策、组织协调、工作执行三个层次的人员组织体系,具体如图1所示。信息化领导小组负责高校网络与信息安全工作的领导和重大事项的决策;信息化办公室是高校网络与信息安全的常设机构,全面负责高校网络与信息安全管理与组织协调工作;信息化技术中心是高校网络与信息安全的技术支持机构,负责执行网络与信息安全技术体系建设及运行管理;院系、部门网络安全主管与网络安全联络人是信息化技术中心的协同机构,负责本单位院系的信息安全工作,负责执行信息化办公室部署的信息安全有关工作。二是建立网络与信息安全教育培训制度,高校网站安全管理人员与各院系、部门安全联络人员是高校网站安全建设和维护的核心力量,必须通过定期的安全培训、知识讲座和学术交流,使其掌握专业的网站安全建设和防护技术,提升网站安全管理队伍的防范意识、专业技术和防护水平。三是健全人员奖惩制度,各层次人员按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则切实落实网络与信息安全责任。[7]并通过专业扫描设备对高校二级院系及部门网站进行安全检测和评估,建立二级网站及部门信息安全指标体系,制定相应的奖惩机制,不断提升高校网站的安全意识和防护水平。
图1 高校网站安全的三层人员组织体系
2.技术防护体系
网站安全保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析发现主要分为四个层级:[8]预警层次在需求调研、平台选型、日常维护等方面都会涉及网站安全的预警,它的主要功能是发现问题、记录问题和预警问题;检测层次是在开发阶段、测试阶段及网站上线后的运行阶段进行信息安全检测,它发现网站服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补;保护层次针对网站运行阶段,以及网站下线后的数据保存、归档、销毁等阶段,它是对网站运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等;响应层次针对网站运行期间的安全事件影响及安全问题处理阶段,它是对网站安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。技术防范体系是保障网站信息安全的有力措施,是根据不同层级和不同阶段利用相应的安全防护技术建立的技术防护体系,具体安全产品及功能如表1所示。
技术防护体系建设可以规划为三期:一期建设要解决当前面临最迫切的安全问题,力求快速提升高校网络基础防护能力;二期建设将从多个角度进行安全评估和审计,提升高校网络的风险预警能力;三期让已经建设的安全手段发挥协同防护作用,使整个网络信息安全建设体系化,达到网络信息安全总体建设目标。
3.管理规范体系
规范化是制度化的最高形式,是一种非常有效、严谨的管理方式,是以文件法规形式进行贯彻、实施和监督的一种过程要求。[9]完善的管理规范体系是保障网站安全的法律基础,是通过建立标准规范来约束用户行为的制度,实现的过程就是规范管理的过程。[10]网络与信息系统同硬件产品一样具有生命周期,需要随着需求不断发展而更新。[11]依据系统生命周期的准入、备案、检查、运行、退出等五个不同阶段,制定与之对应的管理规范体系,主要包括网站安全准入制度、网站登记备案制度、网站安全检查制度、网站安全事件通报与处理制度、网站归档退出制度。网站的生命周期层面和制度保障要求之间不是相互孤立的,而是相互关联、密不可分的。图2描述了每个系统生命周期阶段的特征,并说明了管理规范制度如何对这些阶段提供支持。该体系是一个顺序、循环和动态的过程,在网站建设与维护的每个阶段都会有相应的管理规范相对应,通过完整的网站安全管理规范,明确各方面的权利、责任和义务,加强主管部门监管。
管理规范制度应该贯穿于网站系统生命周期的全过程之中,能够在每一个开发阶段尽可能地避免和消除安全隐患。在准入阶段要对即将上线的网站进行安全评估,评估合格方可上线;在备案阶段要对学校所有网站进行备案登记,以防止在网上从事非法活动,打击不良互联网信息的传播;在检查阶段要不断进行风险评估以确定系统安全措施的有效性,确保安全保障目标始终如一得以坚持;在运行阶段要对安全事件进行及时通报和处理,最大程度降低安全损失;在退出阶段要对不合格网站采取网站归档退出机制,及时清退无用网站,减少安全风险。
网站安全准入制度是指院系或部门申请新建网站的安全准入流程,对即将上线的网站进行安全漏洞扫描检测,对网站代码进行白盒扫描测试,确保上线程序中不存在严重的安全漏洞,对可能存在的安全问题提前做出准备。若安全评估合格后,配置好域名允许该网站的外网访问;若评估不合格,则由用户自行修复网站安全漏洞,确保应用本身的安全、运行环境的安全、数据的安全之后方可上线。
网站登记备案制度是对学校所有网站及信息系统集中或分散到信息化办公室进行登记备案,备案的系统进行统一部署、统一防护,不备案的系统不允许对外开放,可以及时掌握学校所有网站和信息系统的总数,实现安全事件的快速处置。具体备案的内容包括申请单位、网站名称、单位负责人、网站负责人、信息安全管理员、网站制作人、网站类别、网站制作程序语言、网站域名、网站空间大小、网站主要栏目、单位审核意见、信息化办公室审批意见、党委宣传部审批意见。
网站安全检查制度包括定期、专项和抽检。定期检查是指每年两次全校网站安全检查,发现安全隐患由信息化办公室向存在风险的院系或部门发送安全风险整改报告,在限期内不能完成整改的网站将被限制为校内访问或强制关闭;专项检查是指在特定时期集中对某类安全隐患进行全面、重点的检查活动,专项安全检查具有较强的针对性,便于找出问题、查原因、消除安全隐患;抽检是应对上级管理部门的安全检查要求对学校中某些重点网站进行抽查评估。
网站安全事件通报与处理制度是指发生重大信息安全事件时网站安全管理员第一时间向信息化领导小组汇报信息安全事故,并书面撰写通报及处理报告。通报的内容主要包括事件发生时间、服务器地址、安全事件经过、处理方式、处理人等。同时,信息化办公室应及时采取相对应的安全措施,将信息安全事件迅速汇报给当地网警,必要时应立即阻断外网连接,进行实时保护,协助有关部门调查取证和系统恢复等工作,将有关违法事件移交公安单位处理,并及时修复安全漏洞,防止进一步传播,将安全事件的影响降到最低。
网站归档退出制度一方面是对安全检测之后发现不合格网站,通知其整改后由于各种原因没有实际整改的网站,则关闭外网访问,对不合格网站进行归档退出处理;另一方面是针对一些常年不使用的、没有必要的或无人管理的网站,信息化办公室发布年审通知要求各学院及部门核对网站信息,是否要求对外访问,对于没有上交年审材料的网站采取关闭外网访问权限,并对退出网站进行备份和归档。
三、小结
高校网站安全保障体系的建设是一个不断完善、循环和动态的过程。全方位、多层次、高效率的网站安全保障体系是以“互联网+”为理念,以人员组织为核心,以技术防护为手段,以管理规范为依据。经过一年多在浙江师范大学的实践,该体系能有效掌握网站安全运行状态,预防敏感涉密信息外泄,显著提高管理人员的安全意识,保障高校网站的实体安全、运行安全和数据安全,为高校整体网络与信息安全策略的制定提供权威可靠的支持。
[1]教育部办公厅关于印发《2016年教育信息化工作要点》的通知 [EB/OL].http://www.moe.gov.cn/srcsite/A16/s3342/201602/t20160219_229804.html.
[2]吴旻瑜,刘欢,任友群.“互联网+”校园:高校智慧校园建设的新阶段[J].远程教育杂志,2015(4):8-13.
[3]360补天漏洞响应平台.2014年中国高校网站安全检测报告[EB/OL].http://loudong.360.cn.
[4]刘振昌,陈诗明,焦宝臣等.高校网站安全管理模式的探索与实践[J].华东师范大学学报(自然科学版),2015(s1):224-231.
[5]张庆吉,曹连刚,赵玉秀.高校网站安全问题分析及其对策[J].电子商务,2010(6):58-59.
[6]赖建华.高校网站安全纵深防御体系研究[J].情报探索,2013(12):109-114.
[7]陈锋,刘德辉,张怡,苏金树.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展,2011(6):945-954.
[8]王燕,张新刚.数字化校园Web应用典型安全威胁及其防护[J].实验室研究与探索,2012(11):189-193.
[9]吴海燕,戚丽.校园数据中心网络安全防范体系研究[J].实验室技术与管理,2004(3):91-95.
[10]张迎,宁玉文,高冬怀,杨洪刚.高校网站信息安全威胁与对策探析[J].中国教育信息化,2010(9):28-30.
[11]马费成,夏永红.网络信息的生命周期实证研究[J].情报理论与实践,2009(6):1-7.
(编辑:王天鹏)
G40-058
A
1673-8454(2017)15-0093-04
本文受浙江师范大学2015年度辅导员科研项目“移动互联网时代高校学生工作的创新探究——以微信为例”(ZC315016019)资助。