高校網站群系統安全風險與應對策略探討

馬健++金濤偉

摘要：隨著“互聯網+”時代的到來，高校網站群系統安全風險問題逐漸凸顯。本文作者針對網站群系統存在的安全風險從安全漏洞、病毒防護、安全配置等方面指出高校網站群系統存在的安全風險，并有針對性的提出了應對策略，希望能夠探討解決一些安全問題。

關鍵詞：網站群；安全風險；安全應對策略

中圖分類號：TP393.092 文獻標識碼：A 文章編號：1007-9416（2017）10-0189-02

由于高校各級單位部門眾多，網站數量日漸增多，越來越多的高校應用網站群系統構建學校網站。網站群系統的應用，一方面解決了以往高校網站建設存在的問題，但另一方面由于其高度集成性，也將高校網站的安全性問題推到了新的高度。

1 網站群系統安全風險分析

為改變以往網站重復建設、數據無法共享、監管難度大等問題，許多高校根據“統一標準、統一規范、統籌規劃、分步實施”的原則，采用網站群系統構建以學校門戶網站為主站，其他部門單位為子站的網站群體系，但也帶來了一定的安全風險，主要包括以下幾個方面：

1.1 安全漏洞

安全漏洞是指硬件、軟件、協議在具體實現或系統安全策略上的缺陷，從而可使攻擊者能在未授權的情況下訪問或破壞計算機系統[1]。安全漏洞主要包括：

（1）服務器系統與配置漏洞。目前，高校網站群系統服務器上操作系統一般是Linux、Unix、Windows Server等，這些系統本身就有安全漏洞，會成為攻擊者可利用的突破點，從而發起對網站群系統服務器的攻擊。例如2017年5月12日在全球爆發的勒索病毒，就是利用了操作系統本身的漏洞對學校、醫院等部門服務器發起攻擊，導致相關機構的日常業務無法開展。此外，部署在服務器上的Apache Tomcat、MySQL、SQL Server等也具有潛在可被攻擊的漏洞。如被攻擊者利用，會導致網站權限被非法獲取，數據被篡改或者被泄露。在服務器配置方面，如未關閉不必要的端口，也存在被攻擊的風險。（2）應用程序漏洞。雖然高校網站群系統提供了多種類型的組件，例如留言板、計數器等。但高校日常業務眾多，有些需求無法通過這些功能組件實現。因此，需要網站管理員自行編制代碼，例如使用Javascript語言編制腳本應用程序。由于開發者技術水平不同，這些腳本程序安全性無法保障，對網站群系統的安全構成極大威脅。

1.2 計算機病毒感染

高校網站群系統在使用過程中，需要各級管理員上傳文章、圖片、附件等。在這個過程中，會使用移動硬盤、U盤、存儲卡等，容易感染計算機病毒，丟失重要數據文件或網頁被篡改等。

1.3 安全配置不到位

高校網站群系統作為全校網站核心系統，自帶安全防范功能，需要網站管理員熟悉并啟動服務。例如后臺登錄IP限制，非法行為禁止登陸等。如網站群管理員對這些功能不熟悉，會導致配置不到位，導致埋下安全隱患。

2 網站群系統安全風險應對策略

高校實施網站群系統，需要在物理安全、網絡安全、系統安全、應用安全四個方面加強安全措施[2]。具體的安全策略如下：

2.1 物理安全策略

物理安全是網站群系統安全的前提條件。物理安全也稱實體安全，是指包括環境、設備和記錄介質在內的所有支持信息系統運行的硬件設備的安全[3]。網站群系統服務器應部署在符合國家標準的機房，通過機房門禁系統對出入人員進行監控。應使用獨立機柜，配置多路冗余電源及機房環境監控裝置，如機房溫度過高或斷電等，將自動發送短信給機房值班人員。

2.2 網絡安全策略

（1）網站群安全技術架構模型。高校網站群安全技術架構模型采用管理服務器、網頁防篡改服務器、Web發布服務器和反向代理服務器四層架構，如圖1所示。反向代理服務器的設置，將用戶的訪問請求轉到反向代理服務器，由反向代理服務器將請求轉發到Web發布服務器，從而隱藏Web發布服務器。一旦有攻擊者對Web發布服務器發起攻擊，那么只能攻擊到反向代理服務器，不會引起網站數據破壞，增強了安全性。此外，通過將安全審計系統、Web應用防火墻、入侵檢測系統部署在網站群系統外部，增強了網站群系統應對網絡風險的能力。

（2）入侵檢測系統。入侵檢測系統（Intrusion Detection System），簡稱IDS，實時檢測外網或內網的入侵事件并進行響應。在網站群系統實施部署過程中，應將入侵檢測系統部署在外網防火墻之后的主干網絡上，用于實時檢測任何破壞網站群系統數據的行為，并對該行為進行約束。

（3）Web應用防火墻。Web應用防火墻（Web Application Firewall），簡稱WAF，是通過一系列針對HTTP/HTTPS的安全策略為Web應用提供專門保護[4]。與傳統防火墻不同，WAF部署在網絡中的應用層，可對Web應用程序的訪問請求實施安全檢測，只有符合WAF安全規則，才可訪問網站群系統，否則將阻斷非法訪問請求。

（4）網頁防篡改系統。網頁防篡改系統是一種針對網站的保護軟件，只保護網站最重要的內容，也就是網站群系統上的大量網頁[5]。高校網站群系統可以通過部署該系統檢測網站群系統內部的網頁、圖片、電子文檔、音視頻等文件，如文件發生了規則外的改變，將啟動自動恢復功能。網頁防篡改系統運用事件觸發、核心內嵌、文件過濾驅動等技術檢測網頁、圖片、電子文檔、數據庫等文件是否被非法修改或破壞。

（5）安全審計系統。安全審計系統遵照既定的安全策略，通過記錄網站、信息系統上的用戶活動信息，發現系統存在的漏洞或網絡入侵行為。網站群系統作為高校網站核心服務系統，安全性的提升不僅限于傳統防火墻、Web應用防火墻、入侵檢測系統等，還需要做到對各類用戶活動的可查與可控。安全審計系統的部署，將會對網站群上各種活動行為進行記錄，及早發現非法行為，確保網站群系統安全。endprint

2.3 系統安全

（1）系統升級與漏洞掃描。高校網站群系統服務器系統一般是Linux、Windows Server操作系統，這些系統本身有漏洞，必須定期掃描系統漏洞并及時修復。同時，要安裝系統升級包，嚴防網絡攻擊行為。定期與第三方評估機構合作，對網站群系統進行漏洞掃描，主動發現網站群系統中的SQL注入、跨站腳本等安全問題。（2）端口管理。服務器端口經常成為網絡攻擊和入侵的途徑，必須關閉不常用或者無用的端口，減少網站群系統暴露在網絡中的端口數量。在網站群系統前端，通過使用反向代理服務器的方式，讓外網防火墻僅僅開放反向代理服務器的端口，大幅度降低網絡攻擊者入侵的可能。（3）計算機病毒防護。高校網站群系統必須部署服務器版殺毒軟件，實現對網站群系統各網站的病毒監控與預警，制定升級病毒庫計劃，確保病毒庫時刻保持最新。對各級管理員要進行管理權限限制，用戶操作要有日志記錄。

2.4 應用安全

（1）權限控制。高校網站群系統通過統一身份模式管理權限，實現跨多個網站的單點登錄。通過分級授權，為各級網站管理員授予不同權限，設置可管理的站點、欄目、文章等。系統用戶角色分為系統管理員、站點管理員、欄目管理員、普通用戶等，可根據上述角色劃分不同權限。（2）登錄密碼防破解。高校網站群系統應具備登錄密碼防破解功能，如連續3次以上輸入密碼有誤，系統自動鎖定賬號，在設定的鎖定時間內無法登錄。如反復多次輸入密碼有誤，系統永久鎖定該賬號。（3）IP地址訪問控制。高校網站群系統通過設置IP地址或IP地址段，限制訪問管理后臺。例如設定只能在內網指定的IP地址或IP地址段訪問管理后臺，或在校外使用VPN訪問，防止他人竊取管理員密碼后直接登陸網站群管理后臺，增強了系統安全性。

3 結語

應用高校網站群系統時，要對其安全風險進行全面分析，探索研究符合本校實際情況的網站群安全策略，制定符合本校實際情況的網站群系統安全管理制度，將信息安全工作落到實處，確保學校網站群安全、可靠、穩定地運行。

參考文獻

[1]張慶吉，曹連剛，趙玉秀.高校網站安全問題分析及其對策[J].電子商務，2010，（6）：58-59.

[2]羅南.高校網站群建設中信息安全保障的探索[J].電腦知識與技術，2015，（26）：83-84.

[3]黃虹.基于等級保護的網絡物理安全建設[J].信息網絡安全，2010，（1）：226-228.

[4]黃曉華.高校網站安全問題分析[J].軟件導刊，2014，（8）：130-131.

[5]姚瀅.網頁防篡改系統的研究與設計方案[J].計算機安全，2010，（9）：61.endprint