摘 要：随着信息技术的不断发展与更新，网站应用越来越广。高校网站是学校形象的体现，一旦发生安全事故，不仅会有损学校的名誉，还有可能造成重大损失。文章针对当前高校网站的现状进行分析，提出构建体系化的校园网站安全防护策略，以提升网站的安全性。

关键词：高校网站;安全防护;策略

近年来，随着互联网技术的高速发展，攻击网站的技术手段也在不断升级，导致网站安全事件层出不穷。高校中如学校主页、招生就业、科研管理、教务、学工等网站与应用系统是学校的名片与形象，对学校发展举足轻重，一旦遭到攻击，将有损学校的名誉，甚至可能造成重大损失。然而，当前一些高校对网站安全的重视程度不高，安全防护措施不到位，因此有必要探讨构建体系化的高校网站安全防护策略。

1 现状分析

1.1 网站众多

网络技术的发展使得网站应用需求日益凸显，高校行政和院系部门众多，网站需求多样，并且随着办学规模的扩大，网站数量快速增长。从门户网站、行政部门网站、院系部门网站、科研机构网站、学生制作的网站到各类应用系统，高校的网站数量有上百个到近千个不等。

1.2 管理难度大

高校的网站来自不同部门，建设目的、建设人员、开发时期、使用技术不同，支撑网站的操作系统和数据库版本也不同，且存放位置零散，缺乏统一的管理与规划[1]。由于存在数量多、技术参差不齐、生命周期不同、责权不清、专业人员配置不足等问题，加之没有一种技术或方法能够消除网站中所有的安全隐患，造成了高校网站管理防护不到位，容易遭受攻击。

1.3 安全意识薄弱

一些高校由于对网站安全不够重视，人力、物力及财力投入不足，网络设备陈旧，甚至没有配备网站安全检测与防护设备，加之缺乏安全管理制度[2]，管理人员安全意识不强，日常维护不到位，导致网站被挂马或篡改，出现流量攻击、甚至信息被窃取等问题。

2 网站安全防护体系化构建策略

高校网站安全管理，应从源头开始，在其生命周期内，开展全方位、多维度的体系化防护。首先，应梳理出所有的在线网站，明确其基本信息和管理归属并进行备案登记;其次，按照安全管理制度对其执行上线管理、运行管控以及退出机制。

2.1 网站安全管理制度

完善网站安全管理制度，有利于规范、制约和协调网站安全管理。网站与应用系统在生命周期内各个时期对安全管理的要求不同，因此在制定网站安全管理制度时，应依据建设、备案、上线、运行与维护、退出等各阶段，制定相应的管理制度[3]。如网站安全建设规范、网站备案登记制度、网站安全上线管理制度、网站安全运行制度，网站安全维护制度、网站退出归档制度等。所有的制度规范应由信息安全小组起草并由学校审批发布。网站安全管理制度应明确组织职责，且具有可操作性，其实施、运作应贯穿于网站和应用系统的全生命周期中。

2.2 网站梳理与备案

高校网站数量众多、建设单位不一、建设时期不同、采用技术多樣，因此安全管理的第一步是全方位梳理网站信息。通过从网络设备、业务应用、服务端口等多维度进行全面审查，汇总高校网站资产基本信息。资产状态梳理包括记录在线网站使用情况，对不在线网站，确认不再使用后，做退出和归档处理。设备梳理包括对设备类型、品牌、型号、操作系统版本进行详细分类，为后续快速定位设备系统漏洞提供数据支撑。业务应用梳理则是关注业务所属类型、制作者、开发框架、开发语言、中间件、域名等信息，方便快速定位Web应用漏洞。服务端口梳理包括常用端口、非标准端口、不合规端口，整改或关闭非标、不合规端口以减少攻击目标，对常用端口进行监控管理。口令梳理包括记录网络设备及服务器口令、业务系统口令、数据库口令，为弱口令治理提供依据。

对网站信息进行梳理后，则对学校所有网站进行备案登记，进行统一部署、统一防护，切实落实网站安全管理责任。在网站和应用系统的生命周期内，真正落实“谁主管谁负责、谁运维谁负责、谁使用谁负责”。备案内容包括但不限于网站名称、域名、网站建设单位、单位负责人、启用时间、开发语言、是否含有数据库及数据库类型、应用服务器IP、操作系统类型、是否通过安全监测等。

2.3 网站安全管理

网站安全管理应做到事前开展风险评估、事中运行防护与维护、事发应急响应、生命周期结束归档。

2.3.1 网站风险评估

校内所有网站在上线前，必须通过扫描系统进行合规性与安全性检查，包括但不限于系统漏洞、中间件漏洞、Web漏洞、端口与弱口令扫描等。安全管理员通过漏洞扫描，输出安全风险报告。信息安全管理部门将风险报告发送网站建设单位，要求其修复和整改不合规网站，待整改完成后再次进行安全扫描。通过不断进行风险评估，确保网站自身安全、运行环境安全、数据安全都合规后，网站才允许配置域名并提供对外服务。

2.3.2 在线防护和监控

网站运行阶段，应加强网络安全设备防护、网站服务器系统安全防护，配备Web应用防火墙加固，以确保网站得到有效的安全防护和监控预警。

在网络安全防护上，配备边界防火墙、入侵防护系统（Intrusion Prevention System，IPS）。防火墙可以有效隔离内网和互联网。通过防火墙的安全策略，可以有效阻止非法访问、限制外部只能访问允许端口、控制出入网络的信息流。IPS具有海量攻击特征库，能够专门深入网络数据内部，查找所认识的攻击代码特征，即时中断或隔离一些非正常的网络数据传输行为。

在服务器安全防护上，启动防火墙软件，关闭Telnet，FTP等功能，以减少被攻击的可能性。账号管理方面，关闭非必要账号，管理员密码设置有一定复杂度，并实施定期改密策略。操作系统上应安装防病毒软件，定期查杀病毒并更新系统和防病毒软件的补丁。

在應用系统的安全防护上，考虑在应服务器前端部署Web应用防火墙（Web Application Firewall，WAF），WAF工作在应用层，通过对Web应用进行访问控制、内容校验，并提供Web应用加固工具，从而实现对网站的有效防护。

2.3.3 应急响应

校园网站一旦发生安全事故，会对学校的声誉造成极其严重的负面影响。因此，必须明确各部门职责分工，成立“应急工作小组”，制定网站安全事件应急预案，以应对安全事故的发生。一旦学校网站出现了网络攻击、信息破坏，应立即触发安全应急响应服务。网络管理人员应将被攻击网站或系统进行网络隔离，保护现场。应急工作小组尽快通知相关人员收集信息，对网站或系统所出现的情况进行分析和有效排查，追查攻击来源。同时组织人员对网站或系统进行恢复与重建，确保网站尽快正常运行，将安全损失降到最低。应急工作小组视情况严重的，应立刻向上级机关汇报并向公安部门报警。

2.3.4 网站运维管理

网站运维包括例行维护、安全检查以及数据备份。例行维护是每周检查网站及服务器的工作状态，定期更新系统和网站的补丁;安全检查包括定期检查与专项检查。定期检查为每月一次的漏洞扫描，信息安全管理部门，对存在安全隐患的网站进行下线处理，并向网站所属部门发送高危或中危风险报告，责令整改。在整改期内完成整改的网站，经重新漏扫评估合规后，再做上线处理。专项检查是在特定时期有针对性地对某类安全隐患进行重点检查，以消除安全隐患;数据备份则是定期（如每周）对所有在线网站进行全量或增量、本地或异地的数据备份，以便出现问题时能快速恢复最近版本。

2.3.5 退出机制

网站退出机制分为永久退出与临时退出两种情况，一种是对于常年不使用或无人管理的网站，信息安全管理部门发布通知到各级部门后，无反馈结果的则做永久退出处理，对其关闭外网权限，进行备份与归档。另一种则是在例行安全检测之后发现存在安全隐患或已经发生重大安全事故的网站，立刻下线并通知相关部门进行整改，称之为临时退出，但若有拒不整改的网站，则转入永久退出。

3 结语

随着信息技术的高速发展，高校网站面临的安全威胁也在不断增长，建立一套有制度、有检测、有防护、有响应且全方位、多角度的高校网站安全防护体系，能够保障网站和应用系统在全生命周期内得到动态安全防护，从而校园网站的安全运行，为教育教学和科研管理等工作的正常开展提供有力支持。

基金项目：江苏省现代教育技术研究智慧校园专项课题;项目名称：智慧校园数据中心建设方案研究;项目编号：66923。

作者简介：胡进娟（1982— ），女，江苏南京人，工程师，硕士;研究方向：校园网络，数据中心，云计算，网络安全。

[参考文献]

[1]仝素梅.高校网站建设安全问题分析及应对策略[J].网络安全技术与应用，2015（1）：132-133.

[2]林维锵.高校网站的安全分析及应对策略研究[J].网络安全技术与应用，2019（10）：93-95.

[3]季益龙，程松泉.“互联网+”背景下的高校网站安全保障体系构建[J].中国教育信息化，2017（15）：93-96.

Research on the systematic construction strategy of website

security protection in colleges and universities

Hu Jinjuan

（Information Office of Jiangsu Second Normal University， Nanjing 210013， China）

Abstract：With the continuous development and update of information technology， website is more and more widely used. Website is the image of the university. Once a safety accident occurs， it will not only damage the reputation of the university， but also cause great losses. Based on the analysis of the current situation of university website， this paper puts forward a systematic security strategy of university website to improve the security of the website.

Key words：university website; safety protection; strategy