學校網站建設與管理的區域性思考

周偉

【摘 要】浦東新區“校校通”工程形成了近700家聯網單位的浦東教育城域網，網內幾乎所有學校都建起了學校網站和教學應用等信息化平臺，為浦東教育的發展提供了有力的信息化支撐，然而隨著網絡與信息安全威脅的日益嚴重，學校網站面臨著極大的安全挑戰。筆者長期從事區域教育信息化建設規劃和運維管理工作，針對網絡與信息安全現狀，對學校網站建設和管理方面進行了全新思考與探索。

【關鍵詞】學校網站；網站建設與管理；教育城域網

【中圖分類號】G434 【文獻標識碼】A

【論文編號】1671-7384（2016）06-0075-03

2001年，浦東新區開始建設校校通工程，到目前為止，已經形成了有近700家聯網單位的浦東教育城域網，網內幾乎所有學校都建起了學校網站和教學應用等信息化平臺，為浦東教育的發展提供了有力的信息化支撐，然而隨著信息技術的不斷發展，網絡與信息安全威脅日益嚴重，學校網站正面臨著極大的安全挑戰。

浦東教育城域網與學校網站

浦東教育城域網是依托電信光纖線路組建的區域性網絡，示范性高中和部分教育機構萬兆接入，公辦中小學及少部分幼兒園千兆接入，大部分幼兒園以百兆接入，互聯網總出口帶寬達到5G，是目前上海市較為先進、高速、大型的區級教育城域網（也稱浦東教育專網）。網內現有浦東教育門戶網站、學前教育網、浦東教師研修社區、浦東教育云等一系列教育教學網站與應用平臺，為廣大教師和學生開展教育教學活動提供了良好的信息化環境。另外，全區下屬的近700家教育機構（包括職校、中小學、幼兒園、教育中介機構等）都聯入了浦東教育城域網，如圖1所示。作為學校校園網對外展示的重要平臺——學校網站已經成為浦東教育城域網的重要信息發布平臺，每天數以千計的信息及時地向教師學生、社會公眾、家長發布教育相關資訊，是浦東教育城域網的重要組成部分。

浦東學校網站建設與管理現狀分析

2015年9月，浦東新區教育局辦公室與浦東教育信息中心共同組織開展了浦東教育專網聯網單位網絡與信息安全檢查工作，從學校自查反饋和抽查情況兩方面可以比較準確地了解到目前浦東學校網站建設與管理的現狀。

1.學校網站主機服務器運行維護情況

在反饋的200個學校網站中，除去3家單位此項內容空白外，約78%的網站主機服務器運行維護采用學校自行管理的方式，21%左右的網站主機服務器運行維護采用委托第三方管理的方式，另還有1家單位采用的是自行管理與部分服務委托管理相結合的方式，如圖2所示。由此可見，目前學校網站服務器主要以學校自行管理為主。

2.網站安全漏洞情況

在學校提交的自查表中，區教育信息中心隨機選擇了28所學校網站作為抽檢樣本，通過專業網站安全漏洞掃描工具檢測，結果發現有22家單位門戶網站存在安全高危風險漏洞，約占抽檢數的79%，如表1所示。

3.學校網站安全技術防護情況

據反饋情況顯示，在網站入侵檢測手段方面，幾乎沒有學校安裝類似的設施設備；在Web應用防護方面，只有約29%的學校網站已安裝網頁防纂改系統，絕大多數學校還是采用人工監看的方式；網站防病毒系統方面，大多數學校網站主機沒有安全商業的防病毒系統，大部分學校安裝了免費的防病毒系統，如360安全衛士。由此可見，學校網站安全技術防護水平明顯不足。

4.網站安全檢測需求情況

如表2所示，有71%的學校單位期望有專業機構對學校網站進行安全檢測并提供評測報告。學校對學校網站安全狀況是不甚了解的。

5.浦東學校初步建立了網站安全的相關制度

從自查情況看，各單位在信息安全工作管理中均安排有分管領導和技術保障人員，其中220家單位已制定信息安全管理應急處理預案，所占百分比約為89%。約91%的單位表示在重大活動及節假日期間會制定網站安全保障方案和突發事件應急預案；約有192家聯網單位制定了網站內容發布審核制度；由此表明，各聯網單位已經逐漸重視網絡與信息安全工作。

浦東學校網站存在的問題

網站建設與管理是一個長期的過程，也是一項專業性較強的工作。對于網站的建設與開發，現在越來越多的學校選擇第三方公司產品，這是好現象。但是學校往往只注重網站開發時的一次性投入，卻忽視網站管理的長期投入，由此產生了諸多網站安全問題。

1.學校網站安全技術防范水平不足，網站程序存在較嚴重安全漏洞

調查顯示，目前浦東學校網站幾乎沒有入侵檢測設備、沒有Web應用防護手段、沒有網頁防纂改手段、沒有商業防病毒系統等，而且大部分學校都是由學校自行管理網站服務器的。本次抽檢出79%的網站存在高危安全漏洞，可以看出網絡技術不斷發展，學校網站安全加固也需要不斷更新，不能一勞永逸，學校網站的安全技術防護水平嚴重不足，安全形勢十分嚴峻。

2.學校網絡與信息安全意識不強，網站安全管理制度流于形式

雖然調查結果表示學校都已建立網站安全相關管理制度，但是從79%的網站存在高危安全漏洞的抽查結果來看，這些管理制度大多流于形式，從中也可以看出學校在網絡與信息安全方面意識不強，網絡與信息安全技術防護投入不足，沒有將網站安全工作落到實處。

3.學校網站建設與管理缺乏專業化管理人員

區教育信息中心早在2013年即開始定期對全區學校門戶網站進行安全漏洞的檢測工作。這次被抽查的存在高危安全漏洞的學校網站中有相當一部分網站在此前的檢測中已經發現了同樣的安全漏洞，并且已經告知學校，但很多學校不能及時修補漏洞。究其原因，除了上述兩個因素外，學校缺乏專業化管理人員也是主因。由于學校網管員沒有相應的編制崗位，許多學校網管員由信息科技教師兼任，而學校實行績效工資后，考慮實際情況，信息科技教師更愿意注重教學工作，不愿意往這個沒有“名份”的網管員上靠攏，學校網絡管理工作漸漸成為人人避之的“燙手山芋”。

今后浦東學校網站建設與管理的方向與建議

綜上所述，學校網站建設與管理的好壞主要由技術、人和管理三個因素決定。根據筆者十多年從事教育信息化工作的經驗來看，目前學校網站存在的這些問題短時間內學校要求整改還存在著諸多困難。主要原因：首先，學校網站雖然對互聯網開放，但是對外信息發布量不是很大，主要用戶是家長和教師，學校的核心業務沒有在學校網站上體現。說白了，沒有學校網站，學校教學活動照樣開展。其次，僅僅為了網站的安全，要配置相關的設施設備，從“經濟”上來說也不劃算。再次，學校網站目前普遍存在高危安全漏洞，但還沒有發生安全事件，表面上看網站還是正常的，這也是學校領導層沒有足夠重視的主要原因之一。至于專業化管理人員的問題，網管員沒有編制崗位，短時間內根本不可能解決。

作為浦東教育城域網運行維護管理部門——教育信息中心現在也面臨著巨大的挑戰。雖然學校網站部署在學校內，根據“誰管理誰負責，誰運行誰負責”的原則，學校要對學校網站安全負責，但是畢竟學校網站是整個城域網的組成部分，學校網站的安全與否直接關系到浦東教育網安全與穩定。要同時解決學校網站存在的三大問題，筆者提出今后浦東學校網站建設與管理的方向與建議：建立基于云計算的學校網站群建設與管理體系。

1.技術發展的考慮

目前，信息技術發展日新月異，云計算、大數據更是時下最熱門的技術詞匯，各種解決方案紛紛落地變為現實。云計算和大數據相輔相成已經成為信息技術變革各個行業的大方向。云計算技術可以實現IT資源的自動化管理和配置，降低IT管理的復雜性，提高IT資源利用效率。原先，校校通工程建設時，每所學校配置了三臺服務器用于發布學校網站和應用系統，但是沒有配置相關安全技術防護設備。如果按照硬件六年使用期限的話，目前學校網站服務器早已超齡“服役”了。如果接下來區域統籌配置學校設施設備，強烈建議采用云計算的方式配置，區域數據中心建立云計算學校網站群。從經濟角度考量，這樣可以大大減少服務器數量的配置，也無需每所學校配置安全防護設備，通過數據中心統一配置防護手段，大大減少政府財政投入經費。這樣從根本上解決了學校缺乏網站安全技術防范手段的問題。另外，利用網站群技術，統一程序編碼，便于統一修補安全漏洞，從而保障網站本身的安全。

2.專業化管理的考慮

利用云計算的學校網站群建設和管理思路，也可以徹底解決學校無專業人員的困境。網站安全的保障，對于管理員的專業化水平提出了很高的要求，目前學校網管員絕大部分是不能勝任這個角色的。云計算是集中化部署，可以依托區域專業機構統一部署網絡與信息安全策略，學校無需考慮技術問題，只需專注于網站的內容建設，大大減輕學校技術管理負擔。

基于云計算的網站群建設與管理模式，是要摒棄原先的一校一服務器、分散部署于學校的傳統做法，由區域統一集中部署，采用云計算技術，自動調配各校使用IT資源，彈性使用，大大提高IT資源使用效率。但是，采用這種模式，需要協調好各校已有網站與應用系統的數據對接問題，進一步加強區域技術服務支持力量，這需要區域教育管理部門做好頂層設計與規劃。相信通過基于云計算的網站群建設與管理，能夠很好地解決目前學校網站面臨的安全威脅。