您好, 访客   登录/注册

浅谈高校网站群安全等级保护关键技术

来源:用户上传      作者:

  摘要:本文淺析了高校网站群安全等级保护规范和常见的web安全攻击方式,结合网站群等级保护经验,通过安全管理制度、软件防护、硬件防护三个层面对高校网站群安全等级保护的关键技术进行了探讨,以期为高校网站群安全等级保护工作提供借鉴。
  关键词:网站群;安全等级保护;关键技术
  中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2019)03-0207-01
  自《中华人民共和国网络安全法》正式实施以来,高校越来越重视校内网站的安全性[1]。目前,网站群管理平台依靠其高安全性、统一管理、统一技术架构、信息互融互通的优势,成为多数高校进行网站建设的主力平台[2]。为进一步提高网站群平台安全等级,本文以中华人民共和国公安部信息安全技术网络安全等级保护要求为基准,简要阐述网站群平台在等级保护认证中的几点关键技术。
  1 信息安全技术网络安全等级保护定级标准
  定级是开展信息系统安全等级保护的出发点,也是在逐步寻找受保护信息系统存在最大风险的过程[3]。信息安全技术网络安全等级保护从对公民、法人、组织、国家、社会秩序和公共利益的角度,将信息系统划分为五个等级保护的要求;从一级保护到五级保护的要求越来越高,影响也越来越大。高校对自己信息系统的等级划分应依照《信息安全技术网络安全等级保护定级指南》要求的流程进行定级。本文仅针对高校网站群平台做到第三级别的安全要求(以下简称“三级等保”)进行关键技术的探讨。
  2 常见web攻击类型
  常见的web攻击方式主要来自软件、硬件和网站发文权限管理三个方面,如表1所示。在软件层次上,常见的攻击形式有xss注入,sql注入、跨站请求伪造(CSRF)文件上传、保护密码、账号管理、认证授权、DDoS攻击[4]。除软件层面的攻击外,存放网站群的机房服务器的物理性破坏同样也应首到重视,如选择机房位置时应注意防雨防潮;应安排定期的巡检并且强化防盗窃、防破坏、温度湿度控制、火灾预警装备的配置等;需要在一定程度上重视备用电源的配置,以防止临时性停电引起的服务器无法访问。在网站软硬件正常运行的情况下,日常发文权限管理不善也可能会提高网站安全风险,如:未经部门领导同意的授权、授权给学生管理、已离任管理员未能及时删除等。
  3 网站群等级保护关键技术
  针对web常见威胁网站安全性的攻击方式,高校网站群的安全建设应从管理制度、软件防护、硬件防护三个层面进行深化。
  良好的安全管理制度可以有效的保证日常网站群的安全性,同时也能对网站群安全问题做出及时的响应。因此,高校应设立由校领导直接负责的网络信息安全管理机构,制定详细的安全管理制度,健全安全管理人员体系;及时制定近远期的安全工作计划,对安全管理人员进行分级授权,同时要保证各级人员的及时沟通;聘请信息安全专家作为安全顾问,指导网站群安全工作、安全规划和安全评审。
  在软件层面,是否具有身份鉴别、访问控制、采用密码技术保证通信过程中数据的完整性、资源控制、备份和恢复等功能是考量网站群是否达到三级等保的重要指标。另外,网站群的静态页面分离技术、后台限定校内IP访问方式可以很好的抵抗sql注入、xss注入等软件层次的攻击。对网站群上的每个站点增加https中的SSL加密协议,可以保证网站文件在传输过程中的安全性。另外,针对软件层面的攻击,可以聘请专业的安防公司定期对网站群进行漏洞扫描,针对扫描出的漏洞进行及时修复;在进行扫描时,需要注意降低扫描的频率或设置夜间扫描,以防由于扫描造成的链路堵塞,而影响正常的用户访问。
  在硬件层面引入堡垒机、日志审计系统、负载均衡设备,可以更好的保证网站链路的畅通性和安全事故后的原因倒查。堡垒机可以将登陆服务器的用户信息、系统状态、操作行为记录下来,并将登录网站群服务器的权限限定在特定的IP上,从而在服务器层面提升安全性。日志审计系统对用户访问行为、系统运行日志、系统运行状态等进行监控,可以快速定位用户行为导致的安全事件。负载均衡设备可以扩展服务器的带宽、增加吞吐量、加强网络数据处理能力,对抵抗常见的DDoS攻击具有较好效果[5]。
  4 结语
  本文从安全管理制度、软件、硬件三个层面探讨了高校网站群安全等级保护的一些关键技术,在一定程度上可以很好的提升网站群安全等级,但是面对层出不穷的web攻击方式,如爬虫攻击引起的数据泄露等问题,仍需进一步研究。
  参考文献
  [1] 庄君明.大数据背景下的高校网站群安全管理体系研究[J].福建电脑,2017(11):50-51.
  [2] 李存军.基于云服务的教育网站群设计探讨[J].中国电化教育,2014,5(328):121-124.
  [3] 周大勇.基于等级保护的校园网络安全规划设计方案[J].福建电脑,2019,35(3):126-128.
  [4] 徳丸浩.Web应用安全权威指南[M].人民邮电出版社:北京:2014:1-378.
  [5] 陈岗.服务器集群中的负载均衡策略研究[J].电脑知识与技术,2019,15(8):9-10.
  Talking about Key Technologies of Safety Grade Protection
  of Website Groups in Colleges and Universities
  CHU Xiao-fu
  (Information Technology Center of Zhejiang University,Hangzhou Zhejiang  310028)
  Abstract:This article analyses the level of protection in university web groups and common way of attacking the web security.It also combines the experience of web group security to explore the key technique through the aspects of secure management system,Software defend and hardware defend,which aims to provide reference of the level of protection in university web group security.
  Key words:web groups;safety level protection;key technology
转载注明来源:https://www.xzbu.com/8/view-14817088.htm