高校网站安全一直被人们诟病,通过高校网站泄露出的学生信息进而引发的诈骗事件数不胜数。网站安全是高校信息安全面临的新问题,也是急待解决的问题,也是需要在网站的全生命周期都需要考虑的问题。
网站建设方和管理方往往不一致,网站日常安全维护缺失,高校网站重功能实现、轻日常安全维护,一些已公布的安全漏洞长期得不到修复等等,是高校网站出现安全问题的主要原因。
要加强高校网站建设,最主要的是从以下几个方式入手:
网站登记备案
网站登记备案是网站安全管理的起点和基础,登记备案有助于帮助高校掌握网站数量,确定网站的安全责任主体单位,梳理网站的业务和管理信息等。高校网站存在数量大、建设和运行模式多样的特点,我们可将其安全责任细分为主管安全责任、开发安全责任、运行安全责任和使用安全责任,在网站的建设和运行中承担的角色不同,安全责任也不一样。网站建设的发起单位是网站的主管部门,一般是业务部门,承担主管安全责任;网站的开发单位对网站的代码安全负责,承担开发安全责任;网站的运行部门对网站的运行环境的安全负责,承担运行安全责任;网站的使用单位对网站发布的内容安全负责,承担使用安全责任。在网站登记备案实际工作中,能够确定主管单位的网站,建议将主管单位定位网站登记备案的责任主体单位,否则可选择网站的运行单位作为网站登记备案的责任主体单位。在高校,网站的主管单位往往是学校的二级单位,在实际工作中,一些高校在二级单位设置了信息安全联系人和信息安全主管,使得网站的备案主体单位能够切实担负起网站的主管安全责任,取得了良好的效果。
网站独立开发建设
现在有些高校为了节省成本,采用网上线有模板进行开发嵌套。由于模板都是开源下载,因此不法者可以针对模板进行漏洞开发,之后在互联网上进行撒网式的覆盖,若有应用相同模板的高校网站,就会被突破,从而造成网站内部信息泄露。最好的解决办法就是独立自主的进行开发,但这样通常需要消耗人力与专业人员。一种较为有效的解决办法是找当地的网站建设服务商进行外包合作,对方处于本地就可以更方便的进行沟通与后期维护,比如北京地区的找飞沐,青岛地区的就找像新锐这样的青岛网站建设服务商比较合适。
网站安全准入检查
网站安全准入检查的目的是查找并消除软件中存在的安全缺陷,通过对OWASP提出的Web应用程序的十大安全漏洞的分析,我们发现,网站安全漏洞可以分为两类,第一类为应用架构、逻辑方面的缺陷导致的安全漏洞,如失效的访问控制、失效的session管理等,对于这类安全缺陷的发现必须通过人工测试判断才能实现。第二类为应用编码不严谨导致的安全缺陷,如缓冲区溢出、非法输入等,这类缺陷既可以通过人工检查的方法实现,也可以通过自动化的测试工具,如黑盒扫描和白盒扫描的方法来实现。高校应综合采用自动化检查与人工检查相结合的策略,综合采用审查网站的整体设计架构、代码分析、黑盒扫描、渗透测试等多种方法对网站进行上线前的安全检测。
网站安全漏洞跟踪处理
自上世纪90年代起自被关注以来,信息安全漏洞数量、种类一直在不断发展,安全漏洞报告平台的类型也在不断丰富,特别是进入“互联网+”后,除了传统的如CNVD这样的以通报成熟软硬件系统漏洞为主的平台外,还出现了像补天这样的以通报企事业单位信息系统安全漏洞为主的、所谓衔接“白帽子”与企业的安全漏洞平台。高校应有专门的安全管理员负责漏洞的跟踪工作,跟踪的安全漏洞平台既应包括国家信息安全漏洞平台这样的官方平台,也应包括像360补天、教育行业安全漏洞信息平台这样的民间平台。管理员通过定期查看或者获得推送的方式获取漏洞的最新信息,从中筛选出与学校信息系统相关的漏洞信息,并对漏洞信息进行验证,排除误报。来自教育部、公安部门的安全通告、风险提示单等也应纳入此体系,漏洞信息应经过验证后进行后续流程。安全管理员对漏洞的危险等级进行评估,确定漏洞的危险等级,对不同等级的漏洞采取不同的处置措施。
网站定期安全检测
在系统运行阶段,安全管理员应进行网站安全扫描,及时发现网站的安全漏洞,并及时将漏洞信息通告给网站的安全责任单位,由安全责任单位负责组织安全漏洞的修复工作。需要说明的是,从检测技术上来说,网站定期安全检测和网站上线安全检测使用的技术是类似的,只是在网站安全生命周期中的位置有差异。
网站安全事件监控
没有绝对的安全,也没有办法杜绝安全事件的发生,根据纵深防御的原则,高校还应建立网站安全事件监控机制,作为网站安全生命周期中的最后一道防线,定期对网站进行挂马、暗链、篡改等安全事件的监控,并及时处理安全事件。
上述这些做好,就可以保证高校网站的信息安全。如果觉得人力等成本过高,进行网站建设到后期维护一整套的外包服务是最适合的。像本文中推荐的一样,找本地的服务商是最好的选择。
