目前,二级网站的建设和管理存在很多问题。大多数学校二级网站由各单位自行建设,缺乏统一规划与指导。绝大多数单位都自行购买PC级服务器,甚至采用一般计算机代替服务器,一方面造成资源重复,另一方面造成网站所需的硬件环境不能完全满足,降低网站访问的可靠性。大部分院部处都没有专职网站开发维护人员,开发制作力量较弱,网站信息维护困难。二级网站多以Windows 2003 Server作为服务器系统,采用ASP或ASP.NET技术,由于Windows系统本身存在安全漏洞较多,易受黑客及病毒攻击。而且大量采用免费源代码进行二次开发的网站,其程序漏洞也会导致SQL注入式攻击频繁发生。
安全部署措施
作为一台在网络上提供服务的服务器来说,其安全性无疑是至关重要的。在前文中提到,目前对于校园二级网站的安全威胁大部分来自于两个方面:服务器操作系统的安全漏洞与网站开发程序的程序漏洞。这里的安全部署主要指服务器操作系统的安全部署。
安全部署大致可分为三级进行实施。
基于系统级别的安全部署
1.RAID方式。如果服务器配置硬盘数大于1并配有RAID卡,则须通过RAID方式建立磁盘阵列,提高数据可靠性和容错能力。因为二级网站基本不是双机模式,所以一定要保证可靠性,RAID是有必要的。
2.用户和口令管理。定期检查操作系统用户情况,禁用来宾、远程协助用户和任何可疑用户。Windows操作系统通过系统管理,Linux通过userconf管理工具,对用户和用户口令进行统一管理。
3.操作系统补丁。及时修补操作系统漏洞。Windows操作系统安装最新的SP,Linux安装最新的update,并跟踪Windows的补丁和Linux的patch发布,及时修补操作系统漏洞。管理员可利用一些第三方软件跟踪补丁的发布情况,例如360安全卫士、瑞星漏洞检测工具等。
4.防火墙和杀毒软件。安装防火墙和杀毒软件。防火墙是保证系统安全的重要因素,其基本工作原理是数据分组过滤,拒绝非法数据分组到达服务器系统。Windows 2003 Server中自带了Internet连接防火墙(ICF),而Linux也自带了iptables,它们都能在一定程度上保护服务器系统免受攻击。如果使用Windows操作系统,建议在打开自带ICF的同时,再使用第三方防火墙,例如BlackICE、诺顿安全特警等。
基于服务级别的安全部署
1.关闭一切不必要服务和端口。增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序,并且关闭不需要的服务和端口。Windows操作系统可以通过服务管理器管理操作系统内的服务。Linux的服务则是以脚本方式来运行,通常保存在“/etc/rc.d/init.d”目录下,通过该脚本对服务进行控制。
关闭一切不必要的端口,这无疑是提高系统安全性的重要措施。系统中所开放的端口并不一定会被“黑客”们所利用,但从安全规则和标准上来说,少开一个端口就可以减少一分隐患,为系统提供更好的安全性能。
2.目录文件权限设置。为了控制服务器上用户的权限,同时也为了预防入侵和溢出,正确设置目录和文件的访问权限非常重要。Windows操作系统的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone组)是完全开放的,管理员需要根据应用需求进行权限重设。对于Linux操作系统,可以设置读取、写入和执行权限,建议存放网站文件的路径,只开放读取或者读取和写入权限,删除执行权限。
3.远程管理安全部署。当前Windows操作系统使用较多的使用MMC控制台或命令行进行远程控制。对于不需要进行远程控制的服务器,最安全的策略莫过于关闭远程控制。而Linux操作系统建议开启SSH服务,禁用Telnet连接。关闭root直接登录操作系统,通过其他用户进行跳转操作,甚至对SSH的客户机进行IP限制。
其他安全设置
1.创建健全的审计和日志策略。任何一个完善的系统都需要一个日志来记录系统的运行情况,以便对系统的各个方面进行测试和监控。Windows和Linux也不例外,它们拥有较为完备的日志记录系统来记录整个系统中各类事件的状况。
通常创建的日志类型有:应用日志、安全日志、目录服务日志、文件复制服务(File Replication Service)日志和DNS服务器日志。这些日志Windows都可以通过事件查看器(Event Viewer)临测,而Linux的日志通常放在“/var/log/”目录下。系统管理员需要定期对日志进行分析,以判断一些潜在的威胁。
2.进行基线备份。配置完成服务器后,创建一个0/full级别的机器和系统状态备份。对系统应定期进行基线备份,在对服务器的主要软件和操作系统进行升级后,也应当对系统进行基线备份,以便当系统出现异常时,能及时恢复。
还可以借助第三方软件来强化服务器的安全策略,例如网页放篡改系统等,它可完全保护Web网站不发送被篡改内容并进行自动恢复。
规范管理制度
二级网站的建设思路是,规范管理制度,加强安全防范,鼓励百花齐放,丰富校园资源。在鼓励建设的同时,严格管理,规范制度是指引二级网站良性发展的关键。管理的主要原则就是要实行统一审核管理、各级责权明确、共同检查维护。
校内二级单位如果要建立二级网站,需要先将网站基本信息、内容规划、以及域名申请提交相关部门审核。二级网站申请域名格式须统一,一律以学校域名为后缀。审核通过后开通域名,并统一备案。由学校信息中心负责在校园网主页上完成该网站的相关链接和设置发布。
二级网站须指定一名责任人,负责本单位网站的管理工作。该责任人要对其二级网站中发布的信息的真实性、准确性、安全性负责。网站的管理权限下放,由专人专职负责,保证信息的及时性正确完整,各级管理员对其管理内容负责。
信息中心系统管理员负责对服务器进行日常检查和维护,保证服务器硬件和操作系统的健康,而二级网站的维护人员对网站信息和程序进行更新,在统一的制度下共同维护二级网站。
对重要的二级网站应制定网站应急处置预案,预防和遏制网站突发事件的发生,减轻和消除突发事件造成的危害和影响。
综上所述,规范化二级网站管理制度,保证网站的正常运行,才能使其充分发挥作用,更好的为学校的教学、科研、管理工作提供服务。
(作者单位为电子科技大学信息中心)
来源:《中国教育网络》2009年9月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。