高校网站安全管理模式的探索与实践

刘振昌， 陈诗明， 焦宝臣， 张四海， 唐柏权，颜伟荣， 杨 阳， 于名飞， 商秀俊

（南开大学信息化建设与管理办公室，天津300071）

0 引 言

近年来，随着全球信息化进程快速进行，为适应当前信息时代的发展，更好地做好高校对外宣传工作，越来越多的高校网站如雨后春笋般地建设起来．然而，在这些网站给人们的工作、生活带来便捷的同时，与之相关的诸多安全与管理方面的问题往往都被这些网站的建设与管理者们忽略了．

根据360网站卫士数据显示：中国每个高校网站平均每天被黑客攻击113次（包含扫描等行为），高校网站被黑客入侵后通常受到的侵害有挂马、网站前台和后台被篡改、网站数据库被“拖库”、被篡改、网页被挂马、服务器被控制成为“肉鸡”等．其中以网站篡改最为多见，比例占一半以上［1］．

另据360互联网安全中心发布的《2013年中国高校网站安全检测报告》显示：中国高校网站安全普遍存在“网站建设和管理不统一、网站日常维护缺失、对于网站安全不重视、网站信息保护意识差、软件系统漏洞、服务器漏洞”6大安全隐患［2］．

透过以上报告我们不难看出，随着全社会对信息网络的依赖不断加剧，漏洞日益成为信息安全的无形杀手，由漏洞滋生的各种信息安全问题，对教育行业信息安全造成了极大的危害［3］，因此，高校网站的安全性问题亟需引起重视．

1 高校网站安全管理存在的问题及原因

很多高校网站都有被黑客攻击并篡改页面的情况发生，南开大学也不例外．2012年，我校某学院下属的一个实验室网站被境外黑客攻击并篡改了主页面．此事件发生后，引起我校信息安全管理部门的高度重视和深思，并由此深刻认识到我校在网站安全管理上存在的欠缺．

南开大学在近些年来建设了很多网站，除了学校主页外，校内各个院系部处、实验室、课题组以及一部分教师个人都建起了网站．随着网站数量逐渐增多，网站运行时间不断增长，存在于这些网站安全与管理方面的问题逐渐浮出水面，主要体现在：

（1）校园网站安全事件时有发生．经常发现有部门网站主页被恶意篡改、被挂马的情况．

（2）网站安全事件发生后，管理员响应被动．若处理不及时，极易对社会造成不良影响，危害极大．

（3）网站建设完成后无人管理．有些网站建成后十年如一日，内容不更新，服务器更无人维护，这样的网站存在很大的安全隐患，从某种角度来讲，已经失去了存在的意义．

透过上面这些现象，我们仔细思考一下，其实产生上述问题是有其深层次的原因的，本文作者通过调查研究发现，原因主要归结为下面5点：

（1）很多单位为了节约经费，都是依靠自己的技术力量（很多是在校学生）各自建立、维护各自的网站，网站安全性难以得到保障．

（2）多数单位都没有专门负责网站管理的老师，有很多老师都身兼多职，对部门网站管理投入的精力少之又少．

（3）即使有些单位配备了专门负责网站管理的老师，也大多只是对网站信息进行维护，发布通知公告之类的，懂技术的尤其是懂网络安全技术的老师很少．

（4）网络及网站安全类设备价格昂贵，而且一般部门都没有专项经费用于此处，因此难以做到让每一个部门都配备．

（5）网站的建设与管理都由各单位自己负责，缺乏对全校网站安全的统一管理．

高校中网站数量众多，且地理位置比较分散，通常是分布于校内各个院系部处乃至课题组的．那么该如何有效地管理好这些网站呢？

2 高校网站安全管理模式的探索与实践

网络安全威胁是客观存在的，但其风险是可以控制乃至规避的［4］．本文作者在南开大学从事信息化建设与管理工作，多年来对本校网站安全管理模式进行过数次改革与探索，从中初步总结了一些管理经验，在此抛砖引玉，与各位同仁共同探讨，期望能给大家带来帮助．

本文作者认为：若要对高校网站安全进行高效、统一的管理，首先要结合高校实际情况，对高校网站安全管理模式进行顶层设计；其次，建立或完善高校网站安全管理制度，明确全校网站安全由校信息化建设与管理部门统一管理；然后，运用技术手段确保网站安全管理制度能够高效执行；最后，为用户提供稳定、安全、可靠的网站运行环境．下面就对上述四个步骤进行详细说明．

2．1 高校网站安全管理模式顶层设计

信息化建设与管理办公室（以下简称信息化办）是南开大学信息化建设与管理的执行部门，信息化建设与领导小组（信息化组）是校一级的信息化建设与管理的最高决策小组．

以往南开大学网站建设通常由各院系部处等部门自己独立完成，信息化办提供公网IP、域名或网站空间等基础服务，是不负责网站安全问题的．这就导致了上述问题和弊病．为此，我们需要重新对我校网站安全管理模式进行顶层设计．

（1）设计原则：本着可行性强、流程简化、实见成效的原则．

（2）设计思路：网站建设依然由各部门自己来完成，网站建成后的安全问题由信息化办进行统一监管，发现安全问题先对网站的访问范围进行限制，然后通知网站负责人及管理员及时修复网站漏洞．

（3）实施方案：南开大学下属的院系部处等部门众多，所建立的网站数量也比较多，大约300余个，若由信息化办独自管理是不可能完成的．为此，我们对网站安全管理模式进行了顶层设计．顶层设计实施方案从网站安全准入、网站归档退出、网站安全审查三个方面展开，网站安全管理则由信息化办的管理员主导，与各单位专门负责信息化的信息联络员和网站管理员等三方协作共同完成．

（a）网站安全准入．是指用户申请新建网站的安全准入流程，本流程的目的是确保只有安全性符合要求的网站才可入互联网，从源头就把存在安全问题的网站拒之门外．网站安全准入流程图如图1所示，用户申请入网需要填写《网站登记表》，由单位领导签字、盖单位公章后提交到信息化办，信息化办初步审核《网站登记表》的信息后上报至我校信息化组审核，信息化组审核后，信息化办将网站信息登记进入南开大学网站安全审查系统进行安全评估，评估合格后，开放该网站的外网访问．若经评估后网站安全不合格，则由用户修补网站漏洞，直至完全修复漏洞后才能开放网站的外网访问．

（b）网站归档退出．是针对不在使用的网站或长期无人管理维护的网站而建立的一种退出机制，其目的在于清退无用的网站，减少网站安全风险．网站归档退出是通过年审工作来完成的，网站归档退出流程图如图2所示，信息化办首先通过网站发布网站年审通知，各单位信息联络员看到通知后核对本单位网站信息，核对完成后，打印年审材料，由领导签字，盖单位章后按期提交给信息化办．信息化办审核各单位提交的年审材料，归档各单位不再使用的网站信息并更新南开大学网站安全审查系统中的网站信息．若二级单位没有按期提交年审材料，则暂且关闭其网站的外网访问权限直至其补交年审材料．对未按期进行年审的网站可以视为无人管理的网站，直接对其进行归档退出操作．

图1 网站安全准入流程图

图2 网站归档退出流程图

图3 网站安全审查流程图

2．2 建立或完善高校网站安全管理制度

通过顶层设计确定完网站安全管理的实施方案后，接下来就要形成相应的网站安全管理制度，使用规章制度来指导校内各单位配合完成网站安全管理的工作．

我校信息化建设与管理领导小组经过组织会议研究，最终做出决定：由信息化建设与管理办公室统一管理学校网络建设，全面负责网站安全．随后，信息化办根据我校网站建设与管理情况，制定发布了《南开大学网站建设与管理规定》，规定明确要求：“校内各单位网站的建设实行准入制，建设单位向信息化办提交书面申请，由信息化办提交学校信息化建设领导小组批准后建立．各单位党政一把手作为本单位网站的责任主体，负责网站建设和管理工作，并指定至少一名网络信息员负责具体工作．单位负责人和信息员名单须报学校信息化办备案，并签订网站建设与管理安全目标责任书．”

《南开大学网站建设与管理规定》制度的发布，充分体现了我校领导对校园网站建设与管理工作的高度重视以及对信息化建设与管理部门能够把此项工作做好的期望．高校网站安全管理制度的完善或建立确立了信息化办在全面管理校内网站安全的主导地位，是保证能够高效管理校内网站安全的重要环节．

2．3 以技术手段辅助网站安全管理制度的执行

为保障我校《南开大学网站建设与管理规定》制度的执行，我们信息化办要做的具体工作主要包括：统计并掌握校内所有网站的最新信息；对校内网站进行安全评估，了解全部网站的安全情况；通过调整校园网出口防火墙策略对存在高风险漏洞的网站进行访问控制；通知存在高危漏洞网站的负责人及管理员对网站进行漏洞修复．

以上工作涉及到统计网站信息、使用漏洞扫描设备对网站进行安全评估、使用校园网出口的防火墙设备限制网站的访问范围、通过邮件系统和短信平台系统给网站负责人和管理员发送通知等四项工作，我校院系部处等部门众多，网站数量更多，若由技术支撑人员人工去管理维护这些网站显然是很困难的．为此，我们群策群力，自主开发了南开大学网站安全审查系统，用于实现对我校网站安全的统一管理．

综上所述，我们可以得出结论：在汉代的律、令体系中，皇帝敕令的地位低于国家立法机关正式制定、颁布的成文法律。在汉代，皇帝的敕令要想上升为法律，必须经过严格的立法程序。要先使其获准立法，进入立法计划，即“具为令”，然后交由大臣操作“著为令”。有限皇权在汉代立法领域中有显著的体现，反映了这一时期立法理念的进步，对于法律反映民意，维护社会稳定和繁荣做出了积极贡献。

限于篇幅，本文重点讨论高校网站安全管理模式，对网站安全审查系统仅作简要介绍．网站安全审查系统整体架构图如图4所示．系统主要由统一身份认证、网站安全评估、通知告警、新闻发布、网站信息管理、校园网出口访问控制等6个部分组成．

（1）统一身份认证模块：系统使用南开大学统一身份认证账号进行登录．

（2）网站安全评估模块：系统调用外部漏洞扫描设备对远程网站进行安全评估．

（3）通知告警模块：系统调用外部邮件系统和短信平台给网站负责人和管理员发送告警通知．

（4）新闻发布模块：用于公布展示系统通知、校内网站整体安全情况、网站安全检查报告等内容．

（5）网站信息管理模块：用于统计南开大学校内网站的详细信息，包括域名、IP地址、存放地、所属单位、负责人信息、管理员等．

（6）校园网出口访问控制模块：用于系统调用校园网出口处防火墙设备对网站进行访问控制．

图4 网站安全审查系统整体架构图

南开大学网站安全审查系统首页面如图5所示．首页中设置了登录区、菜单导航区、新闻公告类展示区、全年网站安全趋势、校网站安全现状、网站信息统计区等6个区域，全面展示了我校网络安全态势以及走向．

截至发稿时的统计，南开大学网站安全审查系统中共登记网站数量为305个，网站安全合规率为64．76%，因存在高危安全漏洞而锁定在校内访问的网站数量为90个．

2．4 为用户提供稳定、安全、可靠的网站运行环境

对于信息化办的网站管理员来说，通过2．1－2．3的步骤完全可以把存在安全漏洞的网站控制在学校内部，达到有效减少网站安全事件发生的目的．但若从用户的角度考虑，他们真正需要的只是一个稳定、安全、可靠的能够发布自己单位相关信息的网站，而不想负责维护网站服务器、网站源代码、修补网站漏洞等工作．用户的需求就是我们信息化办努力的方向，为了解决这个矛盾，也为了保障全校的网站有一个安全的运行环境，信息化办为用户提供了网站群平台和免费虚拟机两套方案供用户选择．

图5 南开大学网站安全审查系统首页

其中，网站群平台是一种敏捷型的网站建设工具，网站建设周期短，而且只要保证网站群平台的安全，平台下的网站基本上就不会存在安全性问题，网站群平台由信息化办维护，用户只需要维护自己的网站信息即可，方便快捷．这种方案的优点是建站快捷，便于管理，免去了普通用户维护服务器的烦恼．但是网站群平台只适用于制作宣传、新闻类别的网站，不适宜做带有业务系统的网站．

为弥补网站群平台不适宜做业务系统的不足，我们还提供虚拟机服务，虚拟机集群部署在信息化办机房，外围使用IPS、防火墙等安全设备进行防护，虚拟机预装操作系统，用户可以根据自己的需求配置网站运行环境，这样虚拟机安全性能够得到良好的保护．

3 结束语

本文针对当前网站安全形势，立足于高校信息化建设的实际需要，分析了高校在网站安全管理上存在的问题，并阐明造成相关问题的原因．随后，依据作者多年来的工作经验，从顶层设计、制度建立、技术保障、正确引导等四个方面展开对高校网站安全管理模式的探索与实践．构建了一整套适用于高校网站安全管理的技术方案，为高校教育教学的顺利开展提供了较安全的网站环境，为推进高校信息化建设提供了良好的环境保证．

该网站安全管理模式在南开大学已实行两年时间，该模式的实行使我们信息化办能够全面掌握校内网站的信息，实时查看网站的安全情况，有效控制存在安全漏洞网站的访问范围，并及时通知网站负责人和管理员对网站进行漏洞修复．该模式在我校的实行达到了有效减少网站安全事件发生的预期目的，成效显著．

［1］ 360互联网安全中心．2013年中国网站安全报告［EB／OL］．北京：360互联网安全中心．［2014－10－20］．http：／／zt．360．cn／report／．

［2］ 360互联网安全中心．2013年中国高校网站安全检测报告［EB／OL］．北京：360互联网安全中心．［2014－10－20］．http：／／zt．360．cn／report／．

［3］ 吴世忠，刘晖，郭涛，等．信息安全漏洞分析基础［M］．北京：科学出版社，2013．

［4］ 王春元，杨善林，刘拥军．信息网络安全事件监测与响应平台设计［C］．湖南：全国计算机安全学术交流会论文集（第二十二卷），2007．