◆林维锵

高校网站的安全分析及应对策略研究

◆林维锵

（广东开放大学 广东 510091）

本文通过对高校网站安全风险的分析和探讨，以某大学网站安全管理为例，提出了实用性较强的安全防护对策，以保障高校网站信息的安全，供相关读者参考。

网站安全；安全威胁；安全防护

网站是高校对外信息发布、提供服务的重要窗口。随着智慧校园建设推进，高校的门户、二级部门、专题、教学和应用系统等各种网站数量剧增，但由于缺乏统一规划管理，普遍存在安全性差、管理混乱、信息泄露、维护不到位、内容缺乏有效监管等安全问题。当前互联网安全形势严峻，高校网站因存在安全隐患多，是境外黑客组织攻击的重点目标，导致近年来高校网站被黑、学生个人敏感信息泄露等情况常有发生，而《网络安全法》的第二十一条和第五十九条在法律层面明确提出对网站所有者的运营安全要求和惩罚规定，最新的等保2.0更是对网站安全提出更高的要求，如何做好网站安全防护工作，对高校非常的重要。本文以某高校多年网络安全管理案例为基础，分析了高校网站目前的主要安全问题，并提出了一些可行性较强的网站安全防护策略。

1 高校网站的主要安全问题分析

1.1 网站系统存在安全漏洞

高校的部门、院系及分支机构众多，加上每年推出的各种专题和应用系统网站，大部分高校一般至少有上百个网站，甚至有几百上千个，这其中不少网站是由缺乏专业安全意识的人员开发制作的，加上部分网站的管理人员缺乏安全专业技能，导致大部分网站系统存在安全漏洞。这些网站系统安全漏洞主要可分为应用和主机两个层面的漏洞。

（1）网站应用程序漏洞

除了学校的门户网站和部分重要应用系统网站外，高校很多二级部门、专题和早期的网站大多是由在校学生或老师制作的，或是委托一些小公司定制，由于部分网站开发人员缺乏专业安全知识和技术，所开发的网站应用程序存在一定漏洞，例如：有的缺乏必要安全设计，甚至没有基本的有效验证机制；有的使用网上开源的网站内容管理程序，只是作了页面上的修改，没有对数据库、上传等重要配置进行修改，容易被攻击；还有的使用网上公开各类小程序或组件，有些小程序或组件本身就存在安全漏洞，极易被黑客利用。基于相关数据统计及经验积累得知，目前大部分高校网站存在漏洞主要有：SQL注入漏洞，也是目前高校网站存在的最主要漏洞，攻击者通过向网站提交的特殊构造SQL查询语句，获取数据库中的敏感信息，从而实现越权，获得系统控制权；跨站脚本漏洞，攻击者通过伪造请求，在用户提交表单过程中恶意嵌入代码，实现修改用户的数据和执行特定任务的目的；上传漏洞，攻击者利用应用程序存在安全缺陷上传恶意代码，实现对网站的完全控制。

（2）服务器操作系统及Web应用中间件漏洞

网站服务器操作系统主要有Windows Server、Linux、CentOS、Unix等，这些操作系统的厂商都定期推出补丁程序修补存在漏洞，高校服务器因管理人员安全意识不足未能及时安装升级补丁，或是非Windows类操作系统因补丁修补相对复杂导致升级滞后，大部分网站服务器一般存在较多系统漏洞。同时，目前网站应用运行环境所需的中间件软件也可能存在漏洞，如IIS、Apache、nigix、PHP、MySQL、SSL等若部署版本过低，一般也存在漏洞。此外，有些服务器还存在安全配置的不严密也容易受到攻击，如权限设置不严谨，管理员账号密码为弱口令空，系统及重要目录的读写权限设备过低等。

1.2 网站有效安全防护设备的缺失

高校校园网出口或数据中心出口基本都配备了防火墙，可对网站进行IP端口层面的保护，但因管理或技术原因，很多时候防火墙的配置策略不够细致，特别是有些网站没有使用标准TCP端口时，容易就对整个IP进行了放行，没有充分发挥防火墙作用。另外，即使对端口进行了严密的管理，但上述网站应用程序漏洞和中间件漏洞是利用正常对外开放的端口进行攻击，一般的防火墙无法对这种攻击进行防护；同时，一般防火墙也无法对IP层的攻击进行有识别，避免DDoS、syn flood、icmp洪水等攻击，保证网站的可用性。

1.3 管理维护不到位

高校内设机构众多，除了信息化部门、教务处等少数部门具有一定的安全管理能力外，大部分部门的网站管理人员技术水平有限，安全意识淡薄，所负责的网站系统缺乏有效的安全配置、数据备份和日常检查，存在缺乏日志记录和弱口令等严重安全隐患，容易被黑客入侵和事后无法追溯。另外，因高校经常需要制作一些临时性网站，如专题、评审、报名等，这些网站具有时效性，但大多事后没有关闭，照常开放，导致长期无人管理，变成危险的僵尸网站，根据公安网警部门通报，这类网站最容易受到黑客入侵。

1.4 安全管理制度缺乏

高校信息化管理部门大多面临任务繁重和人力资源不足的困境，只能把有限的资源投入在智慧应用系统建设上，导致网络安全体系的建设不完善，缺乏有效的校园网安全管理制度，即使有相应制度，也是年代过久，无法适应当前安全形势。有些高校制定了相应的规则制度，但因缺乏足够的人手和完善安全设备进行支撑，无法得到有效执行，也未能发挥预期效果和作用。

2 高校网站安全防护策略研究

2.1 统一建设、规范漏洞管理

（1）采用网站群建设实现统一建设和集中管理

网站群是指统一规划、集中部署、统一标准，建立在统一技术构架基础上，既可以统一管理，又可以分级管理、分级维护、耦合程度高，信息可以实现基于特定权限共享呈送的网站集合[1]。随着智慧校园建设的深入，以及新形势下对网络安全的高要求，传统制作网站的方式已不适应高校要求，应先对所有网站进行备案、梳理和归类后，可应采取网站群建站的方式，以学校门户网站为中心，二级部门、专题等网站为子网站，对全校的各网站资源进行有效整合。对于新建的二级部门、专题、评审等网站必须基于高安全性的学校网站群进行建站，实现统一建设和规范管理。

（2）做好漏洞的规范管理

对于无法整合到学校网站群的网站，以及部分应用系统网站，需严格做好漏洞管理工作。对于操作系统及Web应用中间件的漏洞，补丁数量众多的Windows server系统可通过部署WSUS服务实现漏洞补丁的自动修复；漏洞相对较少的Linux等系统可通过在做好备份情况下进行手工升级修补，在兼顾系统可用性和安全性的同时，采用有效的技术手段，将漏洞对系统带来的影响降低。对于网站应用程序漏洞，新建网站需在程序开发阶段，严格按照代码安全开发规范，采取敏感字符过滤、安全验证、不使用网上公开源代码等措施，提升新建网站程序安全性；对已有网站，条件允许的则进行代码补漏，否则需停止直接对互联网开放。对于向互联网开放的网站，必须做好漏洞管理，否则可能被黑客入侵或受到上级管理部门的安全通报。

2.2 部署有效的安全防护措施

（1）Web应用防火墙

目前高校网站的最大威胁是来自于Web应用层的攻击，传统的防火墙无法对这些攻击无法进行防护。Web应用防火墙可以对HTTP和HTTPS等协议进行深入分析，在提供Web应用实时、高效、深度检测防御的同时，实现关键字检查、DDoS攻击防御、注入攻击防御、挂马检测、漏洞防御等功能。Web应用防火墙一般采用透明桥接方式部署，不需对网络拓扑结构及应用系统进行任何修改，具有部署方便、防护效果较好的特点，目前开始得到广泛应用。Web应用防火墙基本上是采用规则匹配技术进行防护，需针对不同应用网站程序配置相应的安全策略，并按照从严原则，方能有效发挥防护效果。

（2）网站防篡改系统

网站防篡改系统能有效防止网页内容被非授权修改，目前主流产品是通过底层文件驱动保护技术，在用户访问网站时，只有经过安全检测后的合法请求被响应，Web站点在进行网页文件请求时，防篡改系统也会开始工作，对访问网页进行实时规则检查，若有网页的篡改及删除等操作则进行拦截，并输出详细日志，合法的请求被通过后，最终返回给用户。部署网站防篡改系统时需考虑与网站管理程序（CMS）无缝结合，且不需要做较大修改，以便于管理和实施。

（3）SSL VPN

SSL VPN是一种采用SSL （Security Socket Layer）协议来实现远程接入的一种VPN技术，与传统的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通，安装浏览器的机器在通过权限审核后可访问内部资源，不需安装专用软件和复杂配置。对于一些包含内容敏感的高校网站，如OA、工资、人事等网站，以及一些必须对校外开放但安全性存在问题又难以整改的网站，可将其发布在SSL VPN中。

（4）做好网站等级保护工作

网站的建设需实行安全等级保护制度，信息化管理部门按照国家有关管理规范、技术标准协助建设部门确定信息系统的安全保护等级。对新建、改建、扩建的网站系统，必须在规划、设计阶段确定信息系统的安全保护等级，并同步建设符合该安全保护等级要求的信息安全设施。涉及大量人员、财务、教学、物资的重要信息系统均应通过等保测评，取得信息系统等级保护备案证书才可对外提供服务。

2.3 加强网站日常管理维护

（1）明确网站系统的管理维护要求

所有网站需安排和配置专门管理人员和安全管理人员从事网站的日常维护工作，并对其工作要求进行规划，如：要求定期做好漏洞修补工作，网站访问日志需进行记录并保存6个月以上，采用多种方式对系统及数据进行备份，定期对服务器及网站的运行状况进行检查等，做到责任要落实到人。

（2）定期对网站系统进行扫描等安全检查

网站建设完成后，信息化管理部门应对全校已经备案的网站进行定期的漏洞、木马扫描及渗透测试，并将结果反馈给相关部门。对存在问题的网站，要求整改，并限制其使用，待符合要求后方可重新上线。

（3）合理控制网站的服务范围和开放时段

根据网站的服务对象，不需对外提供服务和不宜对外公开的网站或栏目，限制在校园网内访问，若校园网外师生需使用，可通过发布在SSL VPN进行访问。对于部分应用系统网站，可根据其服务对象的使用规律，只在特定时间段开放，如工作日的8-17点或每天的7-22点等。通过合理控制网站开放范围和时段，可有效减低网站被入侵的风险。

2.4 制定完善的管理制度并有效执行

三分技术七分管理的原则同样适用于高校网站安全管理工作，为使各种防护措施有效落地，须制定完善的网站安全管理制度。制度应分为常规管理、应急处理和定期评估等几方面制度。常规管理制度应覆盖网站的制作规划要求、内容审核机制、安全配置规范、管理人员培训要求、日常管理维护要求等各方面；应急处理制度应包括网站的应急预案、网站数据备份及恢复指引等；定期评估方面应建立定期扫描、定时测评、随时抽查等网站检查制度。同时，为使制度有效得到执行，应成立学校层面的多级安全管理机构，人员包括校领导、中层干部、信息化部门及各二级部门的技术人员，并制定具体的工作职责，以及详细规定各网站安全管理人员的考核办法，使网站安全管理工作落到实处。

3 结束语

网络攻击技术不断发展进步，高校网站面临的威胁也在不断变化，为保障网站的安全稳定运行和避免重要信息泄露，应不断提升网站安全防护应用技术，增强维护人员的管理及技术水平，并根据学校的实际情况，研究制定完善的管理制度和有效落地，才能充分发挥网站在校园智慧化中窗口作用。

[1]张庆来.张军.甘肃省政府网站群建设研究[J].信息技术与信息化，2018，（6）：136-140.

[2]王宇.易秀双.王兴伟.迈向深水区：高校网络安全治理的现状、实践和挑战[J].中国教育网络，2018，（5）：30-32.

[3]黄晓华. 高校网站安全问题分析[J].软件导刊，2014，（8）：130-131.

[4]车路.张焕远.夏亚东.李义勇.高校二级网站安全威胁与对策研究[J].信息安全与技术，2014（2）：40-43．