探尋中小學(xué)網(wǎng)站安全防護(hù)的落地解決方案.doc

探尋中小學(xué)網(wǎng)站安全防護(hù)的落地解決方案中小型網(wǎng)站建設(shè)如“雨后春筍”，小網(wǎng)站發(fā)揮大作用隨著“校校通”、“班班通”、“數(shù)字化校園”等教育信息化工程的不斷推進(jìn)，中小學(xué)門戶網(wǎng)站的開發(fā)與應(yīng)用也隨之進(jìn)入高速發(fā)展的新階段，網(wǎng)站建設(shè)成為學(xué)校信息化建設(shè)關(guān)注的焦點。很多地區(qū)特別是沿海發(fā)達(dá)城市，中小學(xué)甚至幼兒園都建立了自己的網(wǎng)站。作為凝聚學(xué)校教學(xué)、科研、管理及師生交流的信息平臺，也是學(xué)校體現(xiàn)辦學(xué)水平和宣傳辦學(xué)特色的對外窗口，網(wǎng)站成了中小學(xué)發(fā)展不可或缺的一個部分，在日常的教育教學(xué)及管理過程中發(fā)揮著重大作用。中小學(xué)網(wǎng)站發(fā)展亂象，安全問題尤嚴(yán)重如今，不光是沿海地區(qū)，廣大內(nèi)陸地區(qū)中小學(xué)也在網(wǎng)站建設(shè)方面紛紛投入，發(fā)展得如何如荼。但是，在這一派熱鬧景象的背后，如果細(xì)心，你就會發(fā)現(xiàn)其中存在的隱憂和短板。比如，已經(jīng)有不少學(xué)校的網(wǎng)站變化甚少，甚至已經(jīng)長時間沒有更新，網(wǎng)站整個面貌都顯得陳舊保守了。有的網(wǎng)站甚至只剩一些閱讀通知、新聞之類的功能。如此，網(wǎng)站成為了雞肋，陷入到繼續(xù)維護(hù)和置之不理的尷尬境地。更值得關(guān)注的是，很多中小學(xué)網(wǎng)站還存在比較嚴(yán)重的安全問題。據(jù)360網(wǎng)站安全檢測數(shù)據(jù)發(fā)現(xiàn)，國內(nèi)56%的中小學(xué)網(wǎng)站存在安全漏洞，其中32%的網(wǎng)站存在高危安全漏洞。存在高危安全漏洞的網(wǎng)站，很容易被入侵、拖庫和篡改。值得注意的是，7.2%的中小學(xué)網(wǎng)站已經(jīng)發(fā)生過被篡改問題。 中小學(xué)網(wǎng)站安全漏洞或致信息泄露 現(xiàn)在，青少年已經(jīng)成為互聯(lián)網(wǎng)的主體，不少中小學(xué)網(wǎng)站上都放有學(xué)生的個人身份信息等數(shù)據(jù)，近年不少關(guān)于青少年的網(wǎng)絡(luò)詐騙案件的發(fā)生，多與學(xué)校網(wǎng)站上學(xué)生個人相關(guān)信息的泄漏有關(guān)。青少年個人信息安全和保護(hù)，不僅需要引起社會各界的重視，更應(yīng)該引起對中小學(xué)網(wǎng)站信息安全監(jiān)管的重視。2015年青少年上網(wǎng)安全分析報告出具了來自360補天平臺的數(shù)據(jù)，數(shù)據(jù)顯示，1-4月，中小學(xué)校網(wǎng)站漏洞達(dá)到了175個。經(jīng)補天平臺安全專家確認(rèn)評級，其中高危漏洞139個，占79.4%。在這175個中小學(xué)網(wǎng)站漏洞中，有46.9%為SQL注入漏洞，是最為普遍存在的安全漏洞；命令執(zhí)行漏洞和信息泄露漏洞各占13.1%，另有9.7%的高校網(wǎng)站存在弱口令漏洞。 高危漏洞的普遍存在意味著學(xué)校網(wǎng)站很容易被黑客入侵和篡改，甚至可能造成大量教職員工、學(xué)生、家長個人信息的泄漏，從而為各種網(wǎng)絡(luò)詐騙和其他網(wǎng)絡(luò)犯罪提供資源和便利。 中小學(xué)網(wǎng)站如果被黑客植入釣魚頁面或者不良信息，可能對學(xué)生和家長產(chǎn)生負(fù)面影響；而如果網(wǎng)站服務(wù)器被拖庫，則可能造成大量學(xué)生信息泄露，造成更多嚴(yán)重后果。 經(jīng)過360網(wǎng)站安全檢測調(diào)查發(fā)現(xiàn)，絕大多數(shù)中小學(xué)網(wǎng)站普遍存在三大問題：普遍缺乏專業(yè)的管理措施；教職員工缺乏安全意識；建站系統(tǒng)存在安全漏洞。采用自建自管的方式據(jù)調(diào)查，目前大部分中小學(xué)網(wǎng)站采取自建自管的方式，在安全技術(shù)投入上很有限。除了最基本的采用硬件防火墻設(shè)備配合防病毒軟件的方式對服務(wù)器系統(tǒng)和網(wǎng)站進(jìn)行防護(hù)，很少配備專業(yè)的漏洞掃描、入侵檢測、日志審計和數(shù)據(jù)備份等設(shè)備。網(wǎng)站安全關(guān)注度普遍不夠雖然一般中小學(xué)或教育局都制定了相應(yīng)的網(wǎng)站管理制度，但管理內(nèi)容大都側(cè)重在網(wǎng)站內(nèi)容發(fā)布、用戶密碼管理、數(shù)據(jù)備份和網(wǎng)站內(nèi)容保密等方面。對于網(wǎng)站測試升級、日常檢測、服務(wù)器端口權(quán)限設(shè)置和服務(wù)器安全升級等內(nèi)容的關(guān)注度不高。建站系統(tǒng)本身存在漏洞很多中小學(xué)網(wǎng)站在選擇網(wǎng)站建設(shè)廠商時，可能缺少對廠商技術(shù)實力和系統(tǒng)本身的嚴(yán)格篩選和甄別，這就導(dǎo)致一些網(wǎng)站建設(shè)系統(tǒng)本身存在漏洞，從而給網(wǎng)站信息安全帶來隱患。為什么中小學(xué)網(wǎng)站要尤其注重安全性？ 教育網(wǎng)站和教育管理系統(tǒng)作為兼具公益性、政府性、服務(wù)性的網(wǎng)站成為了不法分子關(guān)注的焦點。近年來信息系統(tǒng)漏洞特別是高危漏洞呈現(xiàn)逐年遞增趨勢，這給了黑客發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊或針對重要價值目標(biāo)發(fā)起的便利條件。一旦受到侵襲，教育管理系統(tǒng)所承載的數(shù)據(jù)機(jī)密性、服務(wù)可用性、信息完整性受到嚴(yán)重的威脅。所以 教育管理系統(tǒng)作為信息的采集者、管理者和使用者，需要受到重點防護(hù)。信息系統(tǒng)安全等級保護(hù)要求進(jìn)行安全建設(shè)整改 2014年，教育部辦公廳印發(fā)教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南，其中，各教育局（司）也被要求進(jìn)行相關(guān)的安全建設(shè)整改，聘請專門的測評機(jī)構(gòu)來進(jìn)行安全等級測評。根據(jù)等級保護(hù)要求，網(wǎng)站安全防護(hù)由管理和技術(shù)兩方面構(gòu)成。廣大中小學(xué)由于缺少專項經(jīng)費、技術(shù)和人員，在安全設(shè)備和安全防護(hù)技術(shù)方面顯得相當(dāng)薄弱。網(wǎng)站群將成中小學(xué)網(wǎng)站安全防護(hù)最佳解決方案對中小學(xué)網(wǎng)站進(jìn)行安全防護(hù)不能、也不可能一味追求“廣而全”“大而全”，尤其是廣大中小學(xué)應(yīng)該在綜合考率網(wǎng)站使用情況、經(jīng)費、技術(shù)和人員等客觀條件之后再選擇合適的防護(hù)方案。網(wǎng)站群作為一種統(tǒng)一資源管理、統(tǒng)一安全防護(hù)、統(tǒng)一內(nèi)容維護(hù)的平臺工具，已經(jīng)在高校、政府、企業(yè)中得到廣泛運用，并產(chǎn)生了良好的功效。尤其是，將零散孤立的站點集中在一起，既避免了由不同廠商建設(shè)而產(chǎn)生的