中国人民大学：摸排校园网站清理安全隐患―中国教育和科研计算机网CERNET

中国人民大学：摸排校园网站清理安全隐患

　　收回所有关停网站的域名解析和IP地址，未在校内备案的网站不再支持其ICP注册（需要向工信部申请完成），这样就保证了所有在册网站都是健康、活跃并有负责人的。

　　高校网站众多，当前大家都在讨论如何使用技术手段进行防护，但是到目前为止极少有高校清楚自己有多少个网站，有多少台服务器，更别提能够物尽其用和安全维护到位了，因此有必要探讨如何摸清家底。

　　高校网站的常见问题

　　在清理网站前，中国人民大学网站建设没有一个统一的规范要求，经年积累形成了开办随意、运维不规范、技术和策略层面管理不到位的局面，这些因素使得我校一直无法完成整体上的安全策略和防护。下面这些情况基本上绝大多数高校都存在：

　　1.网站域名使用不清

　　中国人民大学目前刚刚完成网站摸底工作。由于历史遗留问题，在清理前，注册域名706个，其中可以联系到人员的198个，找不到人的208个；可以Ping通的域名406个（说明还活跃），不同的域名300个（可能是僵尸网站）；在域名管理中有备案的197个，未备案的509个。这种情况下，通过域名对网站进行安全监测比较困难。

　　2.网站服务器应用

　　不明各个院系部处中心的服务器存放位置不清晰，有的在校内托管机房，有的使用虚拟服务器，有的使用校外公有云，有的干脆运行在办公室。另外，我们曾发现一个学院为了做信息安全实验向社会开放钓鱼网站，有一些负面影响。

　　3.安全应急不及时

　　隐藏的网站众多，一旦被黑客攻击，找不到所有者或维护人，只能借助网络部门查找相应网络，影响应急前期的响应时间，后期整改时往往发现开发人是学生且已经毕业，导致无从下手。

　　4.网站类型无法分清

　　网站开办的随意性大，个人做的网站以学校的名义面向社会，影响不好。同时存在大量的不再使用却未注销的“死”网站，还发现了一些已经被黑客入侵的僵尸网站。

　　厘清校属网站的方法

　　学校是个特殊的环境，一方面管理和技术的实施不能影响正常的教学科研，另一方面，学院部处相对于具有教辅职能的信息技术中心是强势部门，不可蛮干。因此，厘清全校的网站需要采取行之有效的方法策略，实施路线如图1所述。

　　1.建立网站审核机制

　　首先，建立网站的审核流程和流程中的处理角色，整个流程通过数字校园完成，中国人民大学是通过“微人大”的服务功能在网上完成填报和审核，填报的申请表包括：申请人信息（姓名、职工号、联系方式等）、单位性质、网站名称、网站用途、域名和IP、接入和托管、服务器存放位置、ICP和等级保护备案号、24小时畅通紧急联络电话、论坛有无等字段。我校通过“微人大”填报后自动进入流转，首先需要本部门主管（比如学院院长）批示，后自动流转由学校办公室、宣传部和信息技术中心分别审核。此外，信息技术中心要有专人答疑和处理。

　　2.发文和再发文

　　考虑到信息技术中心的教学支持辅助角色，应联合学校办公室和具有网站审核义务的党宣部门联合发文，这样效果更好。联合发文中应要求3个月内备案并给出未备案网站的处理方式，联合发文后网络安全人员应主动联系并敦促院系网站备案，3个月到期后，未备案网站不能马上关闭处理，要有1年的缓冲期。间隔1年后，信息技术中心再发文强调，给出1个月的截止时间点，到期强制关闭。表1是中国人民大学发文和实际效果情况。

　　3.未备案网站

　　关停此时关停的未备案网站会影响到学院活动，但是不会有不利的反馈，只要是正常的系统，各部门都会积极备案，僵尸网站就清理出来了，收回所有关停网站的域名解析和IP地址，未在校内备案的网站不再支持其ICP注册（需要向工信部申请完成），这样就保证了所有在册网站都是健康、活跃并有负责人的，我校清查前后状况见表2，从表中可看出下一步的工作要点，以此为基础进行等级保护备案和针对350个网站的Web漏洞扫描服务购置。