淺談高校網(wǎng)站群安全等級保護關(guān)鍵技術(shù)

儲效付

摘要：本文淺析了高校網(wǎng)站群安全等級保護規(guī)范和常見的web安全攻擊方式，結(jié)合網(wǎng)站群等級保護經(jīng)驗，通過安全管理制度、軟件防護、硬件防護三個層面對高校網(wǎng)站群安全等級保護的關(guān)鍵技術(shù)進行了探討，以期為高校網(wǎng)站群安全等級保護工作提供借鑒。

關(guān)鍵詞：網(wǎng)站群;安全等級保護;關(guān)鍵技術(shù)

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1007-9416（2019）03-0207-01

自《中華人民共和國網(wǎng)絡(luò)安全法》正式實施以來，高校越來越重視校內(nèi)網(wǎng)站的安全性[1]。目前，網(wǎng)站群管理平臺依靠其高安全性、統(tǒng)一管理、統(tǒng)一技術(shù)架構(gòu)、信息互融互通的優(yōu)勢，成為多數(shù)高校進行網(wǎng)站建設(shè)的主力平臺[2]。為進一步提高網(wǎng)站群平臺安全等級，本文以中華人民共和國公安部信息安全技術(shù)網(wǎng)絡(luò)安全等級保護要求為基準(zhǔn)，簡要闡述網(wǎng)站群平臺在等級保護認證中的幾點關(guān)鍵技術(shù)。

1 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級標(biāo)準(zhǔn)

定級是開展信息系統(tǒng)安全等級保護的出發(fā)點，也是在逐步尋找受保護信息系統(tǒng)存在最大風(fēng)險的過程[3]。信息安全技術(shù)網(wǎng)絡(luò)安全等級保護從對公民、法人、組織、國家、社會秩序和公共利益的角度，將信息系統(tǒng)劃分為五個等級保護的要求;從一級保護到五級保護的要求越來越高，影響也越來越大。高校對自己信息系統(tǒng)的等級劃分應(yīng)依照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》要求的流程進行定級。本文僅針對高校網(wǎng)站群平臺做到第三級別的安全要求（以下簡稱“三級等?！保┻M行關(guān)鍵技術(shù)的探討。

2 常見web攻擊類型

常見的web攻擊方式主要來自軟件、硬件和網(wǎng)站發(fā)文權(quán)限管理三個方面，如表1所示。在軟件層次上，常見的攻擊形式有xss注入，sql注入、跨站請求偽造（CSRF）文件上傳、保護密碼、賬號管理、認證授權(quán)、DDoS攻擊[4]。除軟件層面的攻擊外，存放網(wǎng)站群的機房服務(wù)器的物理性破壞同樣也應(yīng)首到重視，如選擇機房位置時應(yīng)注意防雨防潮;應(yīng)安排定期的巡檢并且強化防盜竊、防破壞、溫度濕度控制、火災(zāi)預(yù)警裝備的配置等;需要在一定程度上重視備用電源的配置，以防止臨時性停電引起的服務(wù)器無法訪問。在網(wǎng)站軟硬件正常運行的情況下，日常發(fā)文權(quán)限管理不善也可能會提高網(wǎng)站安全風(fēng)險，如：未經(jīng)部門領(lǐng)導(dǎo)同意的授權(quán)、授權(quán)給學(xué)生管理、已離任管理員未能及時刪除等。

3 網(wǎng)站群等級保護關(guān)鍵技術(shù)

針對web常見威脅網(wǎng)站安全性的攻擊方式，高校網(wǎng)站群的安全建設(shè)應(yīng)從管理制度、軟件防護、硬件防護三個層面進行深化。

良好的安全管理制度可以有效的保證日常網(wǎng)站群的安全性，同時也能對網(wǎng)站群安全問題做出及時的響應(yīng)。因此，高校應(yīng)設(shè)立由校領(lǐng)導(dǎo)直接負責(zé)的網(wǎng)絡(luò)信息安全管理機構(gòu)，制定詳細的安全管理制度，健全安全管理人員體系;及時制定近遠期的安全工作計劃，對安全管理人員進行分級授權(quán)，同時要保證各級人員的及時溝通;聘請信息安全專家作為安全顧問，指導(dǎo)網(wǎng)站群安全工作、安全規(guī)劃和安全評審。

在軟件層面，是否具有身份鑒別、訪問控制、采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性、資源控制、備份和恢復(fù)等功能是考量網(wǎng)站群是否達到三級等保的重要指標(biāo)。另外，網(wǎng)站群的靜態(tài)頁面分離技術(shù)、后臺限定校內(nèi)IP訪問方式可以很好的抵抗sql注入、xss注入等軟件層次的攻擊。對網(wǎng)站群上的每個站點增加https中的SSL加密協(xié)議，可以保證網(wǎng)站文件在傳輸過程中的安全性。另外，針對軟件層面的攻擊，可以聘請專業(yè)的安防公司定期對網(wǎng)站群進行漏洞掃描，針對掃描出的漏洞進行及時修復(fù);在進行掃描時，需要注意降低掃描的頻率或設(shè)置夜間掃描，以防由于掃描造成的鏈路堵塞，而影響正常的用戶訪問。

在硬件層面引入堡壘機、日志審計系統(tǒng)、負載均衡設(shè)備，可以更好的保證網(wǎng)站鏈路的暢通性和安全事故后的原因倒查。堡壘機可以將登陸服務(wù)器的用戶信息、系統(tǒng)狀態(tài)、操作行為記錄下來，并將登錄網(wǎng)站群服務(wù)器的權(quán)限限定在特定的IP上，從而在服務(wù)器層面提升安全性。日志審計系統(tǒng)對用戶訪問行為、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等進行監(jiān)控，可以快速定位用戶行為導(dǎo)致的安全事件。負載均衡設(shè)備可以擴展服務(wù)器的帶寬、增加吞吐量、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力，對抵抗常見的DDoS攻擊具有較好效果[5]。

4 結(jié)語

本文從安全管理制度、軟件、硬件三個層面探討了高校網(wǎng)站群安全等級保護的一些關(guān)鍵技術(shù)，在一定程度上可以很好的提升網(wǎng)站群安全等級，但是面對層出不窮的web攻擊方式，如爬蟲攻擊引起的數(shù)據(jù)泄露等問題，仍需進一步研究。

參考文獻

[1] 莊君明.大數(shù)據(jù)背景下的高校網(wǎng)站群安全管理體系研究[J].福建電腦，2017（11）：50-51.

[2] 李存軍.基于云服務(wù)的教育網(wǎng)站群設(shè)計探討[J].中國電化教育，2014，5（328）：121-124.

[3] 周大勇.基于等級保護的校園網(wǎng)絡(luò)安全規(guī)劃設(shè)計方案[J].福建電腦，2019，35（3）：126-128.

[4] 徳丸浩.Web應(yīng)用安全權(quán)威指南[M].人民郵電出版社：北京：2014：1-378.

[5] 陳崗.服務(wù)器集群中的負載均衡策略研究[J].電腦知識與技術(shù)，2019，15（8）：9-10.

Talking about Key Technologies of Safety Grade Protection

of Website Groups in Colleges and Universities

CHU Xiao-fu

（Information Technology Center of Zhejiang University，Hangzhou Zhejiang? 310028）

Abstract：This article analyses the level of protection in university web groups and common way of attacking the web security.It also combines the experience of web group security to explore the key technique through the aspects of secure management system，Software defend and hardware defend，which aims to provide reference of the level of protection in university web group security.

Key words：web groups;safety level protection;key technology