高校Web管理安全的研究
摘要:重点阐述了如何从管理层面加强Web安全性。针对目前高校Web管理中主要存在的问题,结合Web管理可控重点人员的分析研究,从四个方面提出了加强Web管理的安全措施,从而增强高校Web管理的安全性。文章创新性地完善了Web服务工作模型并演化出了Web服务涉及人员模型,着重指出了管理安全在高校web安全中的突出作用。
关键词:高校;Web管理;管理安全;Web安全
启明星辰副总裁刘兴池指出,Web的安全包括两个方面:一是技术,二是管理。由此可见web管理安全的重要性。但Web有关人员无论从思想意识还是实际行动lz,往往大都忽视了Web管理的安全以聊城大学为例,如何加强Web管理的安全是本文重点探究的问题。
1目前Web管理主要存在的问题
1.1Web管理安全意识淡薄从学校领导到基层网站管理者,网站安全意识大都普遍比较淡薄。首先,学校领导一方面对网络和网站关注比较少,另一方面对网络及网站安全重视程度尤其不够。虽然学校也成立相应的管理机构如网络安全领导小组,但是真正在全校范围内开展的相关活动或工作比较少。
这一方面是由于校园网网络服务只是学校工作的一个方面,而不像专搞网络的企业一样能够全神贯注去经营网络,与此相应的网络安全工作是校园网络其中的一个方面,而网站安全又是网络安全其中的一个方面。另外一方面是由于学校信息化还没有发展(本文转载自
www.yzbxz.com 一枝笔写作网)到全校工作对其完全依赖的水平,学校领导的信息化意识普遍不强。
其次,由于Web管理者安全意识不强,给Web安全带来了很多潜在危险。学校各单位网站的制作和直接管理大都交付学生去处理,学生或许为了省时间,或许是由于安全知识的匮乏,他们大都从互联网七找个现成的新闻发布系统,对表层稍作修改后就成了新网站的后台系统。由于网上源代码的公开性,再加上使用时的极少修缮,使得别有用心的人不需要多少专门知识就可以攻击和篡改网站。另外学生通过掌握的兀甲帐号和后台管理帐号对二级网站进行日常管理与维护,由于学生活动的流动性和安全意识的薄弱性,试想,一旦管理与维护的账号被泄漏或窃用,网站安全就很难得到保证;与此同时,和它同处一个服务器上的其他站点也难免不会受到影响。
1.2缺乏激励机制目前,学校各院系部门的网站由各个单位自己负责建设、管理与维护,各单位网站建设与否、建设到什么程度和网站更新与否等都取决于各单位、特别是各单位领导人的意愿。同时,各单位网站管理人员的工作很少被计量,更谈不上劳动报酬了,因此致使网站建设水平参差不齐,网站管理员的工作积极性不高。
1.3Web安全管理人才缺乏目前。虽然学校各部门基本上都落实了网络安全信息员,但是现有的人员大都具有较高的政治素质却缺乏Web技术、Web安全知识和Web管理经验,这无疑是Web安全管理的一个致命的弱点,因为人是Web管理中关键性的因素,它关系着Web安全措施、政策的制定与落实。
1.4缺乏可行的制度和体制根据发展的需要,聊城大学也于2005年下发了《聊城大学校园网安全管理办法》,对于学校各单位网站安全管理提出一些具体措施和要求,同时在宏观上基本界定了网站管理相关部门的管理职责。但在实际操作中,各项网站安全管理工作大都流于条文制度形式,原因在于一是各相关部门权责和相关制度没有具体化,二是在体制上网络信息中心没有足够的执行权限,对网站管理队伍缺乏号召力。
1.5网内网站攻击频繁随着互联网的发展,互联网攻击的手段也越来越简单、攻击工具的功能却越来越强。同时,学校内有相当数量计算机技术水平较高的学生,对网络新技术充满好奇,精力旺盛而且具有强烈的好奇心和实践欲望,他们时常有意无意地破坏校园网系统,尝试使用网上学到的、甚至自己研究的各种攻击技术攻击网站和网站服务器,甚至篡改页面,致使服务器宕机。可以说,来自校园网内部的安全隐患比来自校园网外部的安全隐患破坏力更强、影响更广、威胁更大口1。
2Web管理安全人员分析
由Web服务工作模型(图1)可以衍生出web服务涉及人员模型(图2),从此图中我们可以清楚地看出Web管理中所涉及到直接人员主要有:网站访问者(包括攻击扫描者)、Web通汛网络的管理者、Web服务器管理者、网站建设者和网站管理者等。
本文重点考虑直接人员中的可控部分:学校内部网站访问者、校园内部网络的管理者、Web服务器管理者、网站建设者和网站管理者,并针对他们采取加强Web管理的安全措施。
3加强Web管理的安全措施
3.1健全网络网站安全管理体制和队伍为了保证校园网络及网站安全、健康、有序地运行,学校要建立统一领导,校、院(部或处)分级负责,有关部门和单位分工负责,教育、管理和技术人员协同工作的校园网络网站安全管理体制。首先要成立学校网络网站安全管理工作机构,学校主要领导担任校园网络安全工作委员会主任,分管宣传工作、思想工作、安全保卫工作、网络安全教育工作的高校党政领导分别担任副主任,吸收计算机技术干部、保卫人员、政工人员参加,形成由学校行政领导主管、网络信息中心具体负责实施的管理机构,加强对校园网络网站安全管理工作的领导、协调检查和监督。
其次,成立网站管理安全的执行机构。该机构对学校网络网站安全管理工作机构负责,由宣传部、保卫处、学生工作处、团委和网络信息中心的人员组成,负责推动学校网站的建设与管理工作的发展、培训和考核网络信息安全员以及组织进行学校网络安全教育等。同时,要明确各个部门和人员在校园网络网站安全管理工作中的职责,保证高校校园网络网站的技术安全、运行安全、信息安全等各项具体工作落到实处。建立网络安全管理队伍是搞好校园网络安全工作的前提和保证,因此,高校要建立一支政治素质高、业务素质好、工作责任心强的校园网络安全管理队伍。
3.2进一步建立健全网站管理制度与规范在《聊城大学校园网安全管理办法》的基础上,进一步建立健全网站管理制度,主要有网络信息安全员选拔培iJlI考核制度、网络信息安全员岗位职责、网站建设与管理考核评优制度、网站信息发布与维护登记制度、优秀网站建设与管理标准、网站管理安全具体工作机构例会制度、虚拟主机网站管理与维护办法、虚拟主机网站安全检查办法。这样就进一步明确了什么样的网站是好的,应该怎么建设与管理它,什么样的网络信息安全员是合格的。(责任编辑:一枝笔写作事务所)