高校网站现状
高等院校通过网站面向互联网发布信息的起步很早,由于各高等院校在人员投入、技术水平、组织形式上都有很多自身特点,因此所属门户网站和二级网站的规划、设计、建设和运维的机制和模式也不尽相同:
1.门户网站多由学校整体规划和设计后,由专门部门负责建设和运维。
2.二级网站的规划多由二级部门自主发起或学校统一要求;运维多由二级部门自行负责,在软硬件环境方面部分学校提供各类型虚拟机的服务托管和基于网站群系统的统一运维,在信息发布管理方面部分学校制定了信息审核和备案制度。
3.门户网站与二级网站多各自拥有独立的域名地址通过网络链接关联,也有大部分学校将两者运行在同一套网站群系统上。
遵循信息安全“技术与管理并重”、“建设与运维并重”、“重视攻防实战”等原则,网站安全保障需要关注管理制度与技术手段在网站整个生命周期内的贯彻和实施,建设“管理与技术贯穿网站全生命周期”的网站安全保障体系。
网站技术架构体系
参考上海市地方标准《政府网站安全保障指南》DB31/T825-2014中架构安全相关内容,我们结合网络和信息技术现状概括高等院校网站安全保障相关的网站技术架构体系,参见图1所示。
网站基础设施,包括物理环境(供电、机房、人员管控等)、网站架构与边界(网络设备、安全设备、存储设备等)、服务器(操作系统、支持软件等)、网站系统平台(Web应用服务、数据库、中间件等);网站业务系统,网站应用程序(源代码、页面程序、脚本程序等)和网站管理平台;网站数据,包括网站的业务数据和系统数据。
网站安全保障指南
网站安全保障中的管理和技术同等重要,安全管理是有效实施安全技术的基本保障,安全技术是保障网站安全的核心手段。结合高等院校网站管理的组织结构和制度要求,从网站的规划、设计、建设和运维等生命周期阶段的相关技术内容出发,梳理网站安全保障相关的实施建议和技术要点。接下来,先结合网站管理组织架构梳理宏观层次上的管理要求,再结合网站技术架构体系和网站生命周期整理网站安全保障具体的技术要点。
管理要求
信息管理部门在技术支撑部门配合下,需要在学校层面制定和实施网站安全保障相关管理责任和管理制度。
在管理责任方面,本着“谁主管、谁负责,谁运营、谁负责”的原则制定网站安全管理责任制,明确学校层面网站安全保障管理组织架构,确定学校整体和二级部门的网站安全保障工作的负责领导,确定二级部门信息安全联系人员(负责本部门网站安全保障的各项工作,以及与学校信息管理部门、技术支撑部门的协调);明确校内网站的信息审核、保密审查、运行维护、应用管理等业务的部门和人员;此外,学校层面要建立培训考核和奖惩机制,保障网站安全相关经费支持。在管理制度方面,首先要从学校层面制定网站安全保障的相关制度,然后要重点明确学校相关的域名和网站信息的集中审批与备案要求,最后制定信息安全等级保护的相关管理制度。
1.网站安全保障相关制度。制定网站安全保障工作的总体方针和安全策略;制定网站建设(软件开发、产品采购等)、网站运维(网络安全、系统安全、备份恢复、事件管理等)、网站内容安全、网站应急预案(总体预案、子预案、演练计划等)等方面的安全管理制度;通过建立配置基线、操作流程、记录表单等方式,确保各项安全管理制度的有效执行,并及时修订完善各项安全管理制度。
2.域名管理。
3.网站信息管理。制定学校相关网站信息的备案管理制度,结合信息安全等级保护管理要求,对已发布和新发布的网站要进行网站信息的备案,并要求只有通过技术支撑部门的安全测评后才能对外提供信息发布,对于网站的代码更新和版本升级等需要主动更新网站信息和进行安全测评。
4.安全测评管理。根据信息安全等级保护管理制度,确定学校各类网站的信息安全保护等级,进行安全测评和安全评估,并根据保护等级定期组织网站测评工作,发现安全隐患及时督促相关校内部门整改和复测。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。