马健++金涛伟

摘要：随着“互联网+”时代的到来，高校网站群系统安全风险问题逐渐凸显。本文作者针对网站群系统存在的安全风险从安全漏洞、病毒防护、安全配置等方面指出高校网站群系统存在的安全风险，并有针对性的提出了应对策略，希望能够探讨解决一些安全问题。

关键词：网站群；安全风险；安全应对策略

中图分类号：TP393.092 文献标识码：A 文章编号：1007-9416（2017）10-0189-02

由于高校各级单位部门众多，网站数量日渐增多，越来越多的高校应用网站群系统构建学校网站。网站群系统的应用，一方面解决了以往高校网站建设存在的问题，但另一方面由于其高度集成性，也将高校网站的安全性问题推到了新的高度。

1 网站群系统安全风险分析

为改变以往网站重复建设、数据无法共享、监管难度大等问题，许多高校根据“统一标准、统一规范、统筹规划、分步实施”的原则，采用网站群系统构建以学校门户网站为主站，其他部门单位为子站的网站群体系，但也带来了一定的安全风险，主要包括以下几个方面：

1.1 安全漏洞

安全漏洞是指硬件、软件、协议在具体实现或系统安全策略上的缺陷，从而可使攻击者能在未授权的情况下访问或破坏计算机系统[1]。安全漏洞主要包括：

（1）服务器系统与配置漏洞。目前，高校网站群系统服务器上操作系统一般是Linux、Unix、Windows Server等，这些系统本身就有安全漏洞，会成为攻击者可利用的突破点，从而发起对网站群系统服务器的攻击。例如2017年5月12日在全球爆发的勒索病毒，就是利用了操作系统本身的漏洞对学校、医院等部门服务器发起攻击，导致相关机构的日常业务无法开展。此外，部署在服务器上的Apache Tomcat、MySQL、SQL Server等也具有潜在可被攻击的漏洞。如被攻击者利用，会导致网站权限被非法获取，数据被篡改或者被泄露。在服务器配置方面，如未关闭不必要的端口，也存在被攻击的风险。（2）应用程序漏洞。虽然高校网站群系统提供了多种类型的組件，例如留言板、计数器等。但高校日常业务众多，有些需求无法通过这些功能组件实现。因此，需要网站管理员自行编制代码，例如使用Javascript语言编制脚本应用程序。由于开发者技术水平不同，这些脚本程序安全性无法保障，对网站群系统的安全构成极大威胁。

1.2 计算机病毒感染

高校网站群系统在使用过程中，需要各级管理员上传文章、图片、附件等。在这个过程中，会使用移动硬盘、U盘、存储卡等，容易感染计算机病毒，丢失重要数据文件或网页被篡改等。

1.3 安全配置不到位

高校网站群系统作为全校网站核心系统，自带安全防范功能，需要网站管理员熟悉并启动服务。例如后台登录IP限制，非法行为禁止登陆等。如网站群管理员对这些功能不熟悉，会导致配置不到位，导致埋下安全隐患。

2 网站群系统安全风险应对策略

高校实施网站群系统，需要在物理安全、网络安全、系统安全、应用安全四个方面加强安全措施[2]。具体的安全策略如下：

2.1 物理安全策略

物理安全是网站群系统安全的前提条件。物理安全也称实体安全，是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件设备的安全[3]。网站群系统服务器应部署在符合国家标准的机房，通过机房门禁系统对出入人员进行监控。应使用独立机柜，配置多路冗余电源及机房环境监控装置，如机房温度过高或断电等，将自动发送短信给机房值班人员。

2.2 网络安全策略

（1）网站群安全技术架构模型。高校网站群安全技术架构模型采用管理服务器、网页防篡改服务器、Web发布服务器和反向代理服务器四层架构，如图1所示。反向代理服务器的设置，将用户的访问请求转到反向代理服务器，由反向代理服务器将请求转发到Web发布服务器，从而隐藏Web发布服务器。一旦有攻击者对Web发布服务器发起攻击，那么只能攻击到反向代理服务器，不会引起网站数据破坏，增强了安全性。此外，通过将安全审计系统、Web应用防火墙、入侵检测系统部署在网站群系统外部，增强了网站群系统应对网络风险的能力。

（2）入侵检测系统。入侵检测系统（Intrusion Detection System），简称IDS，实时检测外网或内网的入侵事件并进行响应。在网站群系统实施部署过程中，应将入侵检测系统部署在外网防火墙之后的主干网络上，用于实时检测任何破坏网站群系统数据的行为，并对该行为进行约束。

（3）Web应用防火墙。Web应用防火墙（Web Application Firewall），简称WAF，是通过一系列针对HTTP/HTTPS的安全策略为Web应用提供专门保护[4]。与传统防火墙不同，WAF部署在网络中的应用层，可对Web应用程序的访问请求实施安全检测，只有符合WAF安全规则，才可访问网站群系统，否则将阻断非法访问请求。

（4）网页防篡改系统。网页防篡改系统是一种针对网站的保护软件，只保护网站最重要的内容，也就是网站群系统上的大量网页[5]。高校网站群系统可以通过部署该系统检测网站群系统内部的网页、图片、电子文档、音视频等文件，如文件发生了规则外的改变，将启动自动恢复功能。网页防篡改系统运用事件触发、核心内嵌、文件过滤驱动等技术检测网页、图片、电子文档、数据库等文件是否被非法修改或破坏。

（5）安全审计系统。安全审计系统遵照既定的安全策略，通过记录网站、信息系统上的用户活动信息，发现系统存在的漏洞或网络入侵行为。网站群系统作为高校网站核心服务系统，安全性的提升不仅限于传统防火墙、Web应用防火墙、入侵检测系统等，还需要做到对各类用户活动的可查与可控。安全审计系统的部署，将会对网站群上各种活动行为进行记录，及早发现非法行为，确保网站群系统安全。endprint

2.3 系统安全

（1）系统升级与漏洞扫描。高校网站群系统服务器系统一般是Linux、Windows Server操作系统，这些系统本身有漏洞，必须定期扫描系统漏洞并及时修复。同时，要安装系统升级包，严防网络攻击行为。定期与第三方评估机构合作，对网站群系统进行漏洞扫描，主动发现网站群系统中的SQL注入、跨站脚本等安全问题。（2）端口管理。服务器端口经常成为网络攻击和入侵的途径，必须关闭不常用或者无用的端口，减少网站群系统暴露在网络中的端口数量。在网站群系统前端，通过使用反向代理服务器的方式，让外网防火墙仅仅开放反向代理服务器的端口，大幅度降低网络攻击者入侵的可能。（3）计算机病毒防护。高校网站群系统必须部署服务器版杀毒软件，实现对网站群系统各网站的病毒监控与预警，制定升级病毒库计划，确保病毒库时刻保持最新。对各级管理员要进行管理权限限制，用户操作要有日志记录。

2.4 应用安全

（1）權限控制。高校网站群系统通过统一身份模式管理权限，实现跨多个网站的单点登录。通过分级授权，为各级网站管理员授予不同权限，设置可管理的站点、栏目、文章等。系统用户角色分为系统管理员、站点管理员、栏目管理员、普通用户等，可根据上述角色划分不同权限。（2）登录密码防破解。高校网站群系统应具备登录密码防破解功能，如连续3次以上输入密码有误，系统自动锁定账号，在设定的锁定时间内无法登录。如反复多次输入密码有误，系统永久锁定该账号。（3）IP地址访问控制。高校网站群系统通过设置IP地址或IP地址段，限制访问管理后台。例如设定只能在内网指定的IP地址或IP地址段访问管理后台，或在校外使用VPN访问，防止他人窃取管理员密码后直接登陆网站群管理后台，增强了系统安全性。

3 结语

应用高校网站群系统时，要对其安全风险进行全面分析，探索研究符合本校实际情况的网站群安全策略，制定符合本校实际情况的网站群系统安全管理制度，将信息安全工作落到实处，确保学校网站群安全、可靠、稳定地运行。

参考文献

[1]张庆吉，曹连刚，赵玉秀.高校网站安全问题分析及其对策[J].电子商务，2010，（6）：58-59.

[2]罗南.高校网站群建设中信息安全保障的探索[J].电脑知识与技术，2015，（26）：83-84.

[3]黄虹.基于等级保护的网络物理安全建设[J].信息网络安全，2010，（1）：226-228.

[4]黄晓华.高校网站安全问题分析[J].软件导刊，2014，（8）：130-131.

[5]姚滢.网页防篡改系统的研究与设计方案[J].计算机安全，2010，（9）：61.endprint