网站群在校园网站安全管理中的应用

2020-11-25 20:54王宇翔
无线互联科技 2020年22期
关键词:管理员统一网络安全

佀 洁,王宇翔,高 垣

(西北大学 网络和数据中心,陕西 西安 710127)

0 引言

信息化时代,网络安全问题关系着广大人民群众的切身利益,成了国家安全的重要组成部分,而网站安全是高校网络安全的首要任务。

网站作为校内最早的信息化表现形式,是涉及面最广的信息化应用[1]。如今,网站早已不单单是一个简单的信息发布系统,它承载着学校各个党群系统、行政机构、院系单位、科研单位等部门线上办事服务的需求,成了学校发布权威信息、提供线上服务和开展互动交流的重要渠道。网站在给学校教学、科研、宣传和生活上带来无限可能的同时,也给我们提出了网络安全要求。2017年6月1日,国家《网络安全法》正式生效,这标志着我国维护网络与信息安全的工作进入一个新的阶段。网络安全已经成为一个不可小觑的重大问题,是国家安全的重要组成部分,而网站安全更是高校网络安全的首要任务。网站的安全问题关系到学校的公信力和影响力,直接影响到学校部分职能是否能够有效行使,关系到学校网络安全和广大师生校友等的个人利益。

1 高校网站安全现状

高校网站安全问题形势异常严峻,主要原因在于以下3点。

(1)网站重业务而轻安全,安全漏洞和隐患突出,安全责任落实困难。学校大部分网站采用外包开发模式,网站开发测试验收上线时往往缺乏必要的网站安全性审查,管理者只重视了网站的内容,而轻视了网站安全方面存在的隐患。同时,网站使用单位往往在网络安全管理方面并不具备专业性,没有专业的技术人员对网站安全进行定期维护。大部分网站存在漏洞,高危漏洞占比高,漏洞修复率偏低,网站存在着重大的安全隐患。以上都从侧面反映了学校网站管理普遍存在“重上线、轻管理;重功能,轻安全;重收益,轻保护”的发展思维,这为网站的安全带来了巨大的隐患,不容忽视。

(2)网站数目大,单个网站规模小,网站较为分散,网站总体的安全管理和防护能力差。二级网站的开发建设通常是由单位自筹建设,不是基于开源的内容管理系统开发就是外包给一些小的互联网企业,因此,二级网站的规模通常比较小,网站安全管理和防护能力较差。而且,各单位的各个子网站往往分散在各自机房的独立服务器上,不仅如此,每个网站大都采用相互独立的一套网站管理系统。在这种分散运行管理的网站运行模式下,为了保证网站安全,需要重复购置相关硬件和软件,安全管理成本大,所以基本上安全防护能力严重缺失。

(3)大部分网站没有进行网站监测,网站安全监测能力不强,不具备及时应急处置的能力。在网站产生新漏洞,甚至网站被挂马或网页内容被篡改等情况发生时,管理者并不能第一时间察觉,往往是已经造成一定的损失后,才意识到出现了网站安全问题。

因此,结合实际情况,为了从根本上解决网站“有人建、没人管,有人用、没人防”以及被动防护、屡遭攻击篡改等突出问题,应将分散的小网站归并到统一的网站管理系统中,实行统一管理、统一防护以及统一检测。

2 网站群管理平台的引入

对于以往网站存在的普遍问题,引入网站群,将站群系统和应用安全一体化,达到一站式安全管理。经过数据迁移与网页模板迁移等环节,把学校原有的网站都迁移到站群管理平台中,实现站点与应用的统一防护,从事前/事中/事后3个维度着手,建立完善的应用事件管理机制,为业务正常运行保驾护航。

2.1 统一管理

学校采用通用的站群平台统一建设、运维及安全保障,明确安全职责。将精力集中投入到平台整体的安全防护上,只需保障平台的安全而无需对各个网站投入更多的精力。网站群的建设,同时也基本消除了技术门槛,功能的模块化、操作的可视化,使得网站开发人员无须太多编程能力就可以快速完成网站建设,也无须考虑开发过程中的安全问题。

系统提供全站的统计功能,可统计系统中不同终端(手机/Pad/PC)的访问记录,包含站点访问量、站点栏目数量、站点/站群文章数、站群在线管理员等[2]。提供完整的站群数据统计分析功能,对站点的过期状态、空间大小、使用状况、用户数、栏目数、模板数、采集数、子站点数、网站联系人及信息维护数等,进行统一监管,方便管理员对各部门网站的管理考核。

访问日志统计对所有的访问者信息进行统计,并且可以在网站上进行显示,可以方便地看到访问人群都是来自哪个地区,哪个时区是访问高峰期,哪些页面的访问量比较大,针对这些信息我们可以高效地分析网站,优化网站,及时发现问题,做到实时监控,将一些不安全的因素及时排除。

2.2 统一防护

从安全防护层面去做管理,平台化整合原本分散部署在不同服务器上的网站,采用集预防、评估、响应、加固于一体的方案,统一防护,保证校内网站业务的正常运行。从一定程度上解决学校网站建设中存在的一系列问题,比如,缺乏统一的规划管理、信息资源分散引起的信息孤岛、运维成本高、网站易被攻击、敏感信息泄漏等。

站群在安全设置方面可以提供IP规则管理、账号安全管理、管理员IP限定、敏感字设置、脚本过滤及附件检查等功能。以危险文件为例来说,服务器在执行了危险文件中的代码后会打开可以进行危险操作的通道,攻击者通过这些通道可以获得服务器的敏感技术信息或者获得服务器的控制权。通过危险文件入侵比一般的入侵更具有隐蔽性和攻击性。

站群的引入,在系统层面提供危险文件扫描功能,只需一键点击扫描即可对站群系统进行扫描,便于及时发现隐患。危险文件的存在给服务器带来严重的安全威胁,经常扫描可以帮助管理员及时发现危险文件,定位危险文件,给系统漏洞修复工作提供信息参考,使服务器能够稳定、安全地运行。

2.3 统一扩展

网站群管理平台能够提供完整的接口规范以及针对第三方系统的Web service、API接口支持。支持模块化应用开发[3],有良好的扩展性,也允许扩充新的功能模块,能够方便集成不同系统的数据至本系统中,以适应未来发展。随着时间的推移,若有新的业务需求,也可进行适当的二次开发实来支撑特殊需求,具有较强的可维护性和扩展性。

2.4 统一权限

网站群管理平台的管理员由学校信息化部门专人担当,具有平台的超级管理权限,负责平台其他人员权限的分配,负责将开发完的网站配置发布。网站管理员仅有管理平台中相关网站的管理权限,必须是校内在职教工,必须通过学校统一身份认证登录[4]。

网站群管理平台具有统一管理、分级维护的功能,具备多级权限功能,最高权限对整个网站的信息具有全方位的信息管理能力,并且对下级管理员具有授权和限制能力。整个系统可以按不同角色进行权限分配,可以按不同组织结构进行分类管理。

超级管理员拥有最高权限,可以分配不同角色不同权限的用户,其下的用户还可以在授权情况下继续分配角色权限。权限的分配可以按业务流程分、按栏目分、按单位组织结构分等,权限可以细化至栏目,可以做到粒度非常细致地划分权限。

系统对主站与高级子站点的维护功能提供详细的权限设置,可根据每个用户工作的分工不同设置不同的权限,更好地支持多人共同维护一个站点,更好地保证网站内容的安全。可与统一身份认证系统进行集成。

2.5 统一备份

在虚拟化平台中使用专门的虚拟化备份软件定期对服务器进行备份,当服务器出现故障时,可快速恢复服务器主机。同时建立备份服务器,可通过网站群平台将平台中各网站备份到备份服务器中,当单独某个网站出现故障时可通过备份服务器快速恢复此网站。

同时在校园网、数据中心也启用了相应的安全措施,来辅助保证网站群平台安全。比如数据中心虚拟化平台启用了高可用机制;数据中心部署统一的虚拟化安全防护系统,集中处理杀毒、防火墙、日志审查等安全问题;部署WAF在应用层做进一步的Web防护。

2.6 统一数据

站群的引入实现了与其他应用系统的协同,比如与学校中心数据库同步用户数据;与校园门户协同,集成单点登录等。同时还解决了校内很多数据分散的问题,给学校大数据分析和师生用户行为分析创造了一定的先决条件,只有拥有了持续增长的校园数据,才能通过技术和算法去创造价值,为学校未来发展提供信息化支持。

3 结语

学校未来会全面推进网站群管理平台的建设,逐步实现集群化管理,提高网站管理和服务质量。在网站安全层面遵循“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,按照国家网络安全法律政策和信息安全等级保护的要求,建立并落实好安全管理制度,整体建设对网站群的安全防护技术措施,加强身份鉴别、访问控制、安全审计、数据备份,落实网站防攻击、防篡改、防挂马等关键技术防范措施,提高网站抵御攻击破坏的能力。同时,将分散的软硬件进行集中部署和管理,可以有效减少网站建设的低水平重复投资。

高校网站作为高校信息化建设的重要组成部分和最直接的成果展示,与信息化建设一样都是长期的任务,只有不断地更新技术、建立适应形势的管理制度才能保证网站的安全,推动高校网站建设的健康发展。

猜你喜欢
管理员统一网络安全
坚持严管和厚爱相统一的着力点
我是图书管理员
我是图书管理员
碑和帖的统一,心和形的统一,人和艺的统一
可疑的管理员
统一数量再比较
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
坚持“四纳入” 实施“四统一”