2022年《北京教育信息化“十四五”规划》中提出“健全防护体系,提升教育系统网络安全保障能力”,从落实法律法规、加快技术应用、提升网络安全监测、健全数据安全、开展网络安全宣传教育和培训几个方面对学校的网站安全提出了具体要求。高校网站作为高校信息化建设的重要组成部分和最直接的成果展示,其安全防护非常重要。
随着高校主站、部处院系网站、学术研究机构网站建设规模逐渐增大,网站统一监管难度增大,安全防护难度也随之增大,网站安全事故频发。网站能否给公众提供信息展示且满足信息安全的要求,直接影响着高校的社会形象和招生、就业、宣传等工作。目前,急需研究如何精细化网站安全管理手段、利用各类安全技术、适应网络安全新形势,保证网站的安全,推动高校网站的健康发展。
网站安全形势严峻
高校网站安全问题关系学校的公信力和影响力,直接影响着学校部分职能的行使,关乎学校广大师生校友的切身利益。目前,高校网站的安全形势比较严峻,主要表现在以下三个方面。
首先,网站“重建设、轻管理”,网站安全制度和组织保障不完善。当前高校网站的安全制度不够完善,没有成体系的、完整的网站安全管理制度,而且网站安全制度的制定、修订、发布和执行没有规范的流程,导致网站安全管理制度不受重视,制度不能顺利执行。
高校对网站安全组织和人员方面的重视程度和投入还不够,往往只有信息中心的一两位工作人员在负责网站安全管理工作,不能保证全校网站安全管理的工作效率,也无法涵盖所有部门的网站安全管理内容。缺少从管理决策、组织协调、执行落实等自上而下的安全组织保障体系。
其次,网站“重业务、轻安全”,网站安全防范意识不强。目前高校建设了学校主站、部门二级子站、学院研究机构网站等数百个网站,但是网站使用单位的网站管理者只重视网站的内容维护,而轻视网站安全方面存在的隐患。
同时,网站安全人员由于未经系统化的网络安全技术培训,导致其网站安全防范意识不强,不熟悉病毒防护、密码保护和漏洞修复等网站安全操作,从而使其负责的网站系统很容易受到黑客攻击,埋下非法访问或信息泄露等网站安全隐患。
最后,网站“重建设、轻监测”,网站安全监测能力不强。在网站产生漏洞,甚至网站被挂马或网页内容被篡改等情况发生时,网站管理者往往不能第一时间发现,经常出现被动防护、屡遭攻击篡改的情况。造成损失后,网站管理者才会意识到出现了网站安全问题。由此可见,高校缺少完善的网站安全监测体系,对高校各网站进行实时监测和统一防护,以实现网站监测预警、事前防御。
网站安全防护架构
结合目前网站建设、运营和安全管理的实际情况,高校可从安全管理、安全技术、安全运营三个方面构建一个全方位的、可行的、高效的网站安全防护体系。
网站安全管理体系
1.安全管理制度。在遵循国家政策法规和符合信息安全标准规范的基础上,建立完善的网站安全管理规范体系。这一体系是保障网站安全的法律基础,提出全面的安全管理要求,包括安全策略、管理制度、制定和发布以及评审和修订;完善网站安全准入制度、网站登记备案制度、网站安全检查制度、网站安全事件通报与处理制度;通过一系列的网站安全管理规范,明确各管理部门和人员的权利、责任和义务,为高校网站安全提供管理依据。
2.安全组织保障。为保障高校网站安全,需建立完善的网站安全组织体系,包括领导决策、组织协调、管理执行三个层次的安全组织体系。
第一层依托高校现有的网络安全和信息化领导小组,加强高校网站与信息安全工作的统筹领导和重大安全事项的决策;
第二层信息中心是高校网络与信息安全的常设机构,全面负责高校网站安全管理与组织协调工作;
第三层包括信息中心下属的安全管理中心,为各院系/部处部门的网站安全提供技术支持和安全培训,负责网站安全技术体系建设及运行管理。院系/部处的网站管理人员和安全联络人员负责本部的网站安全工作。安全中心的安全管理员定期将有检测漏洞的网站报告通报给院系/部处的网站管理人员和安全联络人员,进行网站安全整改。
3.安全运维管理。网站安全运维管理包括网站服务器巡检、服务监控、进程监控、异常登录监测。
网站服务器巡检一般一周或两周一次,出具巡检报告。巡检内容包括网站系统服务器和Web服务器的CPU使用情况、内存使用情况、磁盘空间使用情况、Apache运行情况、日志文件情况、数据库备份情况、文件备份情况、备机同步情况等。如有异常需及时进行处理。
监控网站系统的服务运行状态,包括服务名称、服务性能、服务状态是否正常、所用端口、端口响应时间及变化趋势等。展示指定服务器最新进程数据列表,显示各进程对服务器资源的使用情况。系统每小时抓取一次服务器进程并与上一次数据进行对比,记录进程的变化情况,用于分析和追溯服务器异常情况。
对网站后台系统异地登录进行监测和提醒、非白名单IP登录提醒、非法账号登录提醒等,记录异常登录的IP地址、登录方式、登录时间、登录地点等。
4.网站备案管理。网站备案管理按照“谁主管谁负责、谁建设谁负责”的原则,学校二级部门负责本部门所有网站的备案申请工作,填写备案申请表,提交信息处进行备案。网站备案申请的内容包括申请单位、网站名称、硬件设备位置等。
信息处负责审批网站的备案申请,分配和管理备案号,对已备案的网站进行监督和安全检测。网站将备案号标注在网站底部。信息中心可以全面掌握学校所有的网站情况,没有备案登记的系统不允许对外开放。通过网站备案管理,可以实现学校网站安全的统一防护和管理。
网站安全技术体系
1.物理安全。核心机房出入口安排专人管理,配置电子门禁系统,进出机房需填写《核心机房进出登记表》;配备机房监控系统,对机房温湿度、空调、UPS、门禁、消防和漏水检测等基础环境进行监控和报警。同时,在分校或异地建立网站系统容灾备份,以实现两地网站系统的运行监视和快速切换恢复。
2.网络安全。在网络安全方面,安装部署入侵检测系统,实时检测网络通信;配备边界防火墙,有效隔离内网和互联网;对学校相关网站安装SSL证书,保证网站数据传输的安全性;通过配置防火墙来启用端口过滤、启用IP地址过滤以阻止DDoS攻击;通过网络流量分析及时发现DDoS攻击并采取措施。
3.应用安全。在应用安全方面,根据学校整体的网络安全要求,部署Web应用防火墙,对学校网站进行Web防护、网页保护、负载均衡等;部署网页防篡改系统,对网站内部进行文件实时监控,一旦发现有对网页进行修改、删除等非法操作时,立即进行实时自动恢复;网站应用程序代码安全方面,防范SQL注入、跨站脚本攻击、文件上传漏洞、系统信息泄露、不同权限账户之间存在越权访问、跨站请求伪造、IIS目录漏洞等。
4.数据安全。在数据安全方面,严格用户访问控制,例如不允许私自新建用户,需要从学校的LDAP里同步用户;配置要求用户定期修改口令,开启弱密码检测,提供登录失败处理功能;网站进行Session校验,防止未经授权的人员非法登录网站;建议使用BCrypt加密方式对系统用户密码进行加密存储;完善网站数据备份策略,例如每日对网站数据库文件备份,实时备份网站的图片、附件、样式表等信息,为数据的存储备份和数据恢复提供安全保障。
网站安全运营体系
1.安全漏洞扫描。信息中心定期对学校的网站进行安全漏洞扫描,包括系统漏洞和Web漏洞的扫描。网站在上线前必须通过扫描系统进行安全性检查。网站漏洞扫描后,将漏洞风险报告发送给网站建设单位,要求其修复高危和中危漏洞。网站整改完成后再次进行安全漏洞扫描,直到没有中高危漏洞时才能上线提供对外服务,以确保网站的安全。
对于上线后的网站,每月定期进行安全扫描。信息中心负责对漏洞修复和整改情况进行复核,还可以通过设置安全检测时间查询一定时间段内漏洞扫描的结果,包括严重、高、中、低危漏洞数量的情况。如图4所示,可查看对比每次安全检测新增漏洞的风险级别和情况特征。对超过规定时间未完成漏洞修复的网站,信息中心将关闭网站外网访问。
2.网站健康度检测。如图5所示,提供监测网站的健康度数值,以及网站存在的断链、敏感词、外部链接。掌握网站的健康情况与风险数值,通过扫描结果可以快速定位风险源链接。
通过断链扫描监测,可以直观显示出当前已经过期或者不能访问的页面地址。不规范的劣质外部链接会给网站带来风险,展示不属于本网站或指向第三方网站的链接地址。
结合语义分析和预设敏感词库,自动识别涉政、涉限、暴力倾向、不健康色彩的文字。通过健康度扫描工具,可以快速查扫网站带有敏感词的文章链接,点击链接可以快速定位到敏感词,方便后台管理员快速查找敏感词源头并对其快速修改,阻断敏感源造成的负面影响。
3.网站热力图分析。网站热力图通过统计点击流数据分析,圆型色斑显示,以颜色变化展现访客在页面上的点击分布情况;通过颜色的深浅,可以明显看出用户点击了哪里,哪一区域点击量高,哪一篇文章用户阅读得多,同时能直观反映用户对网页上内容的点击情况,为网站运营管理提供了直观的参考模型。
4.网页快照。系统会定时抓取运行网站的首页样式,对网页进行备份,并存在自己的服务器里。通过网页快照,搜索引擎将Spider系统当时所抓取并保存的网页内容展现出来。如因突发事件导致网站无法访问或者丢失数据时,可以通过网页快照作为恢复网站以往版本的参考依据。
5.僵尸网站监控。信息中心定期对超过半年没有更新的僵尸网站进行监控管理。系统提供半年内更新次数为0的网站列表。采用多维度统计数值,可以按半年内更新次数、周访问量、月访问量和年访问量进行排序,为僵尸网站的监管提供数据依据。
6.态势感知检测。在信息中心建立态势感知监测平台,通过可视化威胁检测,检测出包括暴力破解、Web攻击、异常行为、漏洞攻击等网站安全风险。通过采集网站流量数据和安全防护设备日志信息,并进行数据处理和分析,提供态势感知检测威胁告警,实时为用户呈现完整的攻击态势,进而为安全事件的处置决策提供依据。
如今,人工智能等信息技术的不断应用,将为高校网站安全防护提供更深入的技术支持。在网站安全运营体系中,高校还可以纳入诸如信息安全等级保护定级、备案、测评等内容,为高校网站安全提供全方位防护。