网络安全新形势下的高职院校网站群保障体系构建

徐 鹂

浙江医药高等专科学校图书信息中心， 浙江 宁波 315100

网络安全新形势下的高职院校网站群保障体系构建

徐 鹂

浙江医药高等专科学校图书信息中心， 浙江 宁波 315100

网站群作为高职院校业务展示和信息应用的公共平台，其网络安全防范能力是避免安全事件发生的关键。目前，网络信息安全已提升到国家战略层面，高职院校应转变网站群建设思路，并在确保开发代码安全的基础上，从技术架构和安全防范两个方面，构建网站群保障体系，减少安全隐患。

网络安全；网站群；技术架构；服务管理

根据《2012年中国互联网安全报告》和《2013年中国高校网站安全检测报告》显示，高校网站挂马、网页篡改、DDoS攻击、窃取资料、篡改数据事件屡有发生。网站群作为基于HTTP协议的Web应用，其所涵盖的信息大多是未经加密的明文，信息获取门槛较低，具有如SQL注入、跨站脚本攻击、命令注入等安全隐患，容易成为黑客窃取资料和篡改数据的重要目标。

高职院校在数字化校园建设中，存在起步较晚，资金投入有限，网络安全基础设施有待完善，技术人员配备不足，安全防范经验欠缺，管理服务意识薄弱等现象，容易发生网络安全事件。在网络安全的新形势下，高职院校应该加强网络安全分析，从技术架构、安全防范角度构建网站群的保障体系，并将网站群建设从内容建设转变为：加强网站群安全分析能力，建立体系化的安全部署和运维管理，提升网络信息安全防护能力，提高服务保障及管理水平。

1 网站群的网络安全因素分析

以往，软件漏洞和后门被认为是网站群的主要网络安全问题，对于常规的Web攻击手段，我们可以在软件开发流程上做好防范措施。但是，网络安全具有相对性，在现阶段，我们有必要对网站群开展网络安全因素分析，以解决安全管理漏洞、内外部攻击、缺乏统一安全防护体系等问题，从而实现各个层次的安全防护。

我们知道，网站群是由软硬件设备构成的网络应用系统，网站群的安全属于网络安全范畴。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能连续、可靠、正常地运行，网络服务不中断。它主要包含网络设备安全、网络信息安全、网络软件安全，具有保密性、完整性、可用性、可控性和可审查性等特性[1]。

Gartner公司提出网络安全的内涵包括：信息安全，是网络安全的最重要内涵；信息技术(IT)安全，包括关键核心技术、信息基础设施、相关硬件软件技术等的安全；运作技术(OT)安全，包括法规、标准、制度、管理等方面；物理安全，指与技术无关的安全[2]。

在信息系统安全等级保护体系中，信息系统安全主要指物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、系统建设管理及系统运维管理。按照信息安全系统分层的观点，安全机制主要分为九层：基础设施实体安全、平台安全、数据安全、应用安全、管理安全、授权与审计安全、安全防范体系、安全服务及安全技术[3]。

综合来说，就网站群的安全技术架构和安全防范而言，物理安全是网站群安全的前提；网络拓扑结构设计对网络群安全具有直接影响；系统安全要求对网站群操作系统进行安全配置，加强登录过程的认证，确保用户的合法性，并严格限制登录者的操作权限；应用系统需要通过技术手段确保数据传输的保密性；通过容灾备份系统来保障数据完整性；建设网站群服务管理体系，最大程度降低管理风险。

2 网站群安全技术架构

从安全技术架构来说，网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例，目前已建有MIS+S(基本信息安全保障)系统架构，随着硬件驱动已转变为应用驱动，网络信息基础设施和服务都有了大幅度的提升，能够从物理安全、网络安全、系统安全、应用安全四个环节，打造网站群安全防范技术体系，实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控，应用分析等目标(如图1所示)。

图1 网站群安全防范技术体系

2.1 动态防御

以往，我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护，防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下，需要加固原有的网络拓扑结构，增加应用防护系统、统一防恶意代码软件、网络管理系统，与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系，才能将绝大多数攻击阻止在到达攻击目标之前，或攻击者在突破第一道防线后，延缓或阻断其到达攻击目标，最终提升网站群系统的物理安全、网络安全和应用安全。

我们将网站群系统所在区域从原DMZ区划分出来，与其他Web应用一起规划为安全级别较高的Web Server服务区域。同时，在该区域部署统一恶意代码防范管理系统，建立安全的病毒防护措施。在核心交换和Web Server服务区域间，通过串联部署方式，增加一台WAF(应用防护系统)，起到防护Web应用、漏洞检测作用，确保网站群在内的Web应用完整性(如图2所示)。同时，开启硬件防火墙上的网站防篡改、IPS功能、日志功能，建立攻击监控体系，实时检测出绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源，等)。网站群系统管理员在统一恶意代码防范管理平台上，对网站群主机进行远程控制。包括：远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等，以有效阻隔外来病毒入侵及内部病毒清除，有效保障系统安全。

图2 动态防御拓扑图

众所周知，网络攻击也可以来自于局域网内部，如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范，通常采取的应对方法有：为内网终端安装病毒防护软件、加强用户病毒查杀意识，在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段，我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时，利用上网行为管理设备，对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施，针对内网攻击事件查看分析用户行为记录并定位，并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》，等)，提高局域网内部的综合防范能力，减少内网攻击事件的发生。

2.2 主机安全

主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是，由于网站群系统应用的重要性和网络安全的复杂性，为提高主机安全能力，还需要构建主机集群环境，以保障网站群系统的持续运行。

目前，高职院校为提高数据中心的利用率和采购运行成本，通常会采用服务器虚拟化软件规划虚拟数据中心[4]。在该环境中，统一存储设备部署在后端，为物理服务器(虚拟主机)提供空间资源，并为前端虚拟机提供数据存储资源；数台高性能服务器作为虚拟主机，随时划分前端虚拟机，并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力，满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备，在降低采购成本的同时，提高了网站群主机的灵活性、冗余保障和容灾迁移能力，保障网站群主机操作系统的安全需求(如图3所示)。

图3 主机安全

为了减少网站群所在虚拟主机(物理服务器)的单点故障，实现网站群系统的不间断运行，我们利用vSphere集群功能，在虚拟数据中心内，配置HA(high availability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下，将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。

图4 vSphere集群界面图

2.3 备份和恢复

数据资料是整个网站群系统运作的核心，建立良好的备份和恢复机制，可以在应用系统遭受攻击时，尽快地恢复数据和系统服务。以往，为降低备份容灾成本，会采用纯软件模式，通过编辑脚本文件，连接两台热备服务器，将数据实时复制到另一台服务器上，如果一台服务器出现故障，可以及时切换到另一台服务器，避免了磁盘阵列的单点故障。

在网络安全的新形势下，为实现应用数据及业务存储系统的完整性和可靠性，我们在网络拓朴的DMZ区域，接入存储备份一体机(浙江医药高等专科学校采用Symantec BE3600)，构建高可用性的存储备份环境。利用其存储空间及备份管理系统，实现有效的异地备份[5]，为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略，选择合适的备份频率，采用完全备份、增量备份、差分备份或按需备份的组合方式，确保及时恢复失败的网站群虚拟机，快速恢复丢失的应用程序服务，全面提升网站群的数据安全及备份恢复能力，避免在各种极端情况下造成的重大损失和恶劣影响。

2.4 安全审计

网站群要达到可控性与可审查性，就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节，审计范围要覆盖到主机上的每个操作系统用户和数据库用户，审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件，及时发现非法入侵行为[6]。

我们在图2的基础上，以旁路方式部署了一台审计设备，并接入核心交换(如图5所示)。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统，从网络运行维护、数据库安全及系统安全审计等方面，采集所有网站群的数据库访问行为记录，收集客观、实时的分析数据。一旦发生网站群网络信息安全事件，系统管理员可根据网站群用户对数据库系统的所有操作信息，进行准确快速定位，并排除安全隐患。此外，为确保安全审计，还应要求网站群开发人员去除或隐藏程序中的删除日志功能。

图5 部署审计设备框图

2.5 安全测试与配置

由于网络安全不是绝对的，因此，在建立技术防范体系后，我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求[7]，对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性，从而确保信息发布和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境，相关配置如下：

2.5.1 身份鉴别 良好的身份认证体系可防止攻击者假冒合法用户。为此，须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别，操作系统和数据库系统管理用户身份标识应具有不易冒用的特点，并确保用户名具有惟一性。因此，我们做了相关配置：

编辑操作系统文件etc/login.defs文件，应达到密码定期更换要求。如：

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数

PASS_MIN_DAYS 0 #新建用户的密码最短使用天数

PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

PASS_MIN_LEN 6 #最小密码长度6

编辑操作系统文件/etc/pam.d/system-auth文件，应达到密码复杂度要求，如：

password requisite pam_cracklib.so minlen=6 dcr- edit=2 ocredit=2 #限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数

编辑操作系统文件etc/pam.d/system-auth文件，采取结束会话、限制非法登录次数和自动退出等措施，实现登录失败处理功能。如：

auth required pam_tally.so onerr=fail deny=6 un- lock_time=300 #设置密码连续错误6次锁定，锁定时间300 s。

对于数据库的身份鉴别，我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。

对于网站群系统，后台管理用户密码复杂度设置高级别，对密码的长度、大小写、特殊字符都方面都要做要求，同时设置口令有效期。

2.5.2 访问控制 访问控制更侧重于管理层面，要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件，实现权限分离，责任分离。如：依据安全策略控制用户对资源的访问；实现操作系统和数据库系统用户权限期的分离；限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。

此外，我们对网站群的角色权限进行细分，做到权限相互制约。如超级管理员具有所有功能的操作权限，二级网站管理员只能具有自己站点的操作权限，审计员只能查看安全日志。

2.5.3 入侵防范 做好入侵防范措施。在操作系统方面，我们遵循最小安装的原则，仅安装需要的组件和应用程序，使得端口和服务实现最小化；通过对安全漏洞的周期检查，设置升级服务器等方式保持系统补丁及时得到更新，从而使绝大多数攻击无效。

2.5.4 资源控制 系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置，示例如下：

对于操作系统，编辑/etc/ssh/sshd_config文件，如：

AllowUsers*@172.16.20.*#仅允许管理员所在172.16.20.0/24网段所有用户通过ssh访问(IP改为实际管理机地址)。

此外，根据安全策略，编辑/etc/profile文件，设置登录终端的操作超时锁定。如：

TMOUT=600 #无操作600 s后自动退出

看了这一条，读者通过逻辑思维必然会觉得“原来鹅鼻山就是秦望山！秦始皇是登上鹅鼻山‘以望南海’的！”但再一想又不对了：大越不会有两座秦望山，前一条说山在县东南四十里，入城者已经难以看到它，现在搬到县西南七十里，使涉境者更难见到了。

在数据库中，通过建立/修改profile，以确保数据库系统超时断开，如：

create/alter profile profile_name limit

Idle_time 10

分配profile给用户

alter user username_name profile profile_name

2.5.5 数据完整性和保密性 主要指建立通信保密措施，如：在条件许可下，将明文的HTTP方式更改为HTTPS加密方式进行管理；在对服务器进行远程管理时，采取必要措施(如VPN、PUTTY工具)，防止鉴别信息在网络传输中被窃听。

2.6 安全监控

网站群投入使用后，我们在策略基础上，通过部署在DMZ区域中的网络管理系统，实时监控网站群虚拟机的可用性和性能，收集并实时监控网站群系统的运行指标，以便及时了解应用的运行状况，并能进行相应的控制，保障业务的时效性。

监控的数据主要指网站群主机运行时的系统环境信息，如CPU利用率、内存的使用情况、IO情况、磁盘剩余空间、网络吞吐量、心跳检测、请求响应时间、数据库处理、系统负载量，等。发现异常时，开发和运维人员能在用户还未察觉前处理完故障，将损失降到最低。

网站群的部分业务子站，比如招生、就业、教务，具有访问频繁、某一时段流量大的特点。为了确保网站群的稳定性，我们开展了网站分析工作，主要有在线日志分析、性能优化以及常见的故障排查。对于在线运行系统，网站群管理员可针对服务器操作系统日志文件进行分析，如access.log，示例如下：

分析访问量排名前10的IP地址，找到恶意攻击行为(如HTTP flood，也称为CC攻击)的来源。如：more access.log|cut-f1-d""|sort|uniq-c|sort-k1-n-r|head-10。

页面的响应时间是用户应用体验感的重要因素。通过找到响应慢的页面，向开发人员提出性能优化建议。如：more access.log|sort-k2-n-r|head-10。

调查400和500的请求占比情况，根据返回值判定是否有恶意攻击者在进行扫描(如图6所示)。

图6 统计404和500请求占比

在系统上线运行前，通过自动化的测试工具，如开源工具ab(ApacheBench)、图形化展示工具(如Apa- che JMeter)，模拟多种正常、峰值以及异常负载的条件，对系统的各项指标进行测试，以确定系统在各种负载下性能指标的变化，为网站群上线提供重要的参考依据，并发现系统潜在的一些瓶颈和问题。

3 网站群安全防范措施

单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出，还归结于学校对网站安全不重视，网站信息保护意识差，网站日常维护缺失，等。我们只能通过大量实践，在网络安全实战对抗中不断完善，明确责任和义务，建立管理制度和安全制度。管理是网络安全的重要部分，在对网站群部署进行有效的安全风险(安全威胁)识别和评估后，我们还围绕技术层面、组织层面、管理层面、服务层面，完善网站群安全防范措施(如图7所示)。

图7 网站群安全防范措施

建立学校、部门两级运行维护的组织体系，按集中建站、分级管理、制度约束、服务保障的原则，通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略)，形成制度约束机制，确保网站群在高效、安全、有序的体系下运作。

理顺管理体制与职责，构建主站和子站间的垂直管理体系，制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息发布等环节，全面做好网站群安全管理工作。

通过提升服务管理水平，构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论，从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手，根据学校技术、政策和资源等实际环境，加强安全服务管理，确保网站群服务水平。并参考信息安全服务体系，从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面，加强安全服务[8]。

4 网站群保障体系构建效果

在网站群项目建设前期，我们通过对原有网站及其系统、应用、数据等方面进行安全分析，找出了学校在网络信息安全因素中的薄弱环节，在后续的网站群部署方案中增加了需要改进和优化的细节，保证了网站群系统的成功实施。

在实施过程中，我们充分利用学校的网络信息基础设施，通过动态防御、主机安全、备份恢复、安全审计环节的实施，促进了该校数据中心的硬件整合优化，既减少了重复投资、有效降低了学校资金不足的影响，又提高了已有软硬件的利用率，并为今后打造高效低耗的绿色数据中心奠定基础。

有序开展网站群系统建设也是一次锻炼信息技术人员的机会。经过测试配置、监控、分析等一系列规范化操作训练，提高了该校信息技术人员在系统部署、性能优化方面的技能、加强了安全监管意识，不仅是一次很好的网络安全防范实战练习，也有效地提高了现有信息技术人员的工作效率，在一定程度上缓

解了学校信息技术人员紧缺的实际困难。

通过安全防范措施的实施，形成了学校网站群的常态化组织体系和工作机制。通过出台学校网站群管理办法、健全体制机制、明确责任归属、强化了网站群二级网站负责人及信息员的安全责任意识，有利于打造健康向上的校园舆情环境，共同维护学校网站群系统安全。

通过网站群系统建设的实践，我们认为，在网络安全问题日益复杂的形势下，高职院校有必要在扬长避短、整合优化的原则下，构建符合学校情况的网站群保障体系。通过网站群保障体系的建设，为高职院校打造了一个具有安全性、可扩充性和易管理性的网站信息环境，有利于提升高职院校网络信息安全防范技术能力，最终促进高职院校教育信息化的良性建设和发展。

[1]百度百科.网站群[EB/OL].http://baike.baidu.com/

[2]网络安全宣传周.倪光南：自主可控是增强网络安全的前提[EB/OL].http://news.xinhuanet.com/politics/2014-11/27/c_1113430069.htm,2014-11-27

[3]柳纯录.信息系统项目管理师教程[M].北京：清华大学出版社，2014:539-543，569

[4]舒尔茨.绿色虚拟数据中心[M].北京：人民邮电出版社,2010:113-122

[5]张冬.大话存储-网络存储系统原理精解与最佳实践[M].北京：清华大学出版社,2008：379-391

[6]柳纯录.信息系统项目管理师教程[M].北京：清华大学出版社,2014:631-639

[7]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息安全技术信息系统安全等级保护基本要求[M].北京：中国标准出版社，2008:7-14

[8]焦婧，陈瑛，王晓霞.高校校园网站群服务管理体系的构建与实践-以北京联合大学为例[D].上海：中国高等教育学会教育信息化分会第十二次学术年会论文集，2014:212-218

Construction of the security system of higher vocational collegewebsite group in the new situation of network security

XuLi

LibraryandInformationCenter,ZhejiangPharmaceuticalCollege,Ningbo315100,China

The website group is a public platform of higher vocational colleges to display business and information application. And network security capability is the key to avoiding security events. At present, network information security has been elevated to the national strategic level. Therefore, higher vocational colleges must change the concept about website group construction and construct website group security system to reduce security risks regarding technological framework and security precaution based on ensuring code security.

network security; website group; technological framework; service management

2014年浙江省教育科学规划研究课题“信息技术发展与教育改革背景下的数据中心规划发展研究”(2014SCG073)

2014-12-25

徐鹂(1977-)，女，浙江衢州人，硕士，实验师，主要研究方向：教育信息化。

G434

A

1004-5287(2015)03-0279-06

：10.13566/j.cnki.cmet.cn61-1317/g4.201503012