网站安全管理(精选8篇)
网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。
一、网络与信息安全组织机构 我办网络与信息安全领导小组,组 长: 副组长: 网络管理员: 网络安全员: 网站维护和更新:
二、应急处置措施
(一)网站、网页出现非法言论时的紧急处置措施
1、网站、网页由办公室的具体负责人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。
2、发现网上出现非法信息时,负责人员应立即向信息安全组组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。
3、信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重
新投入使用。
4、网站维护员应妥善保存有关记录及日志或审计记录。
5、网站维护员工作人员应立即追查非法信息来源。
6、工作人员会商后,将有关情况向安全领导小组领导汇报有关情况。
7、安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
(二)黑客攻击时的紧急处置措施
1、当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全员通报情况。
2、网络安全员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向信息安全领导小组副组长汇报
情况。
3、网络安全员和网络管理员负责被破坏系统的恢复与重建工作。
4、网络安全员协同有关部门共同追查非法信息来源。
5、安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
(三)病毒安全紧急处置措施
1、当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
2、对该设备的硬盘进行数据备份。
3、启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
4、如发现反病毒软件无法清楚该病毒,应立即向安全小组负责人报告。
5、信息安全小组相关负责人员在接到通报后,应在十分钟内赶到现场。
6、经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息安全领导小组副组长报告,并迅速联系有关产品商研究解决。
7、安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告。
8、如果感染病毒的设备是服务器或者主机系统,经领导小组组长同意,应立即告知各下属单位做好相应的清查工作。
(四)软件系统遭受破坏性攻击的紧急处置措施
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
2、一旦软件遭到破坏性攻击,应立即向网络安全员、网络管理员报告,并将系统停止运行。
3、网络安全员和网站维护员负责软件系统和数据的恢复。、4、网络安全员和网络管理员检查日志等资料,确认攻击来源。
5、安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(五)数据库安全紧急处置措施
1、各数据库系统要至少准备两个以上数据库备份,平时一份放在机房,另一份放在另一安全的建筑物中。
2、一旦数据库崩溃,应立即向网络安全员报告,同时通知各下属单位暂缓上传上报数据。
3、信息安全员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
4、系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
5、如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
6、如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网外部线路中断紧急处置措施
1、广域网主、备用线路中断一条后,有关人员应立即启动备用线路接续工作,同时向网络安全员报告。
2、网络安全员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由网络管理员协同网络安全员立即予以恢复。如遇无法恢复情况,立即向有关厂商请求支援。
4、如属电信部门管辖范围,立即与电信维护部门联系,请求修复。
5、如果主、备用线路同时中断,网络安全员应在判断故障节点,查明故障原因后,尽快与其他相关领导和工作人员研究恢复措施,并立即向安
全领导小组汇报。
6、经安全领导小组同意后,应通告各下属单位相关原因,并暂缓上传上报数据。
(七)局域网中断紧急处置措施
1、局域网中断后,网络管理员和网络安全员应立即判断故障节点,查明故障原因,并向网络安全领导小组副组长汇报。
2、如属线路故障,应重新安装线路。
3、如属路由器、交换机等网络设备故障,应立即与设备提供商联系更换设备,并调试畅通。
4、如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商请求支
援。
5、如有必要,应向安全领导小组组长汇报。
(八)设备安全紧急处置措施
1、小型机、服务器等关键设备损坏后,有关人员应立即向网络管理员和网络安全员汇报。
2、网络管理员和网络安全员应立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损部件。
4、如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
5、如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属单位,暂缓上传上报数据。
(九)人员疏散与机房灭火预案
1、一旦机房发生火灾,应遵照下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2、人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人
员按照预先确定的线路,迅速从机房中撤出。
3、人员灭火的程序是:首先切断所有电源,启动自动喷淋系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。
(十)外电中断后的设备
1、外电中断后,机房值班人员应立即切换到备用电源。
2、机房值班人员应立即查明原因,并向值班领导汇报。
3、如因机关内部线路故障,请机关服务部门迅速恢复。
4、如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5、如果供电局告知需长时间停电,应做如下安排:(1)预计停电4小时以内,由UPS供电。
(2)预计停电24小时,关掉非关键设备,确保各主机、路由器、交换机供电。(3)预计停电超过24小时,白天工作时间关键设备运行,晚上所有设备停电。(4)预计停电超过72小时,应联系小型发电机自行发电。
(十一)发生自然灾害后的紧急处置措施
1、上级单位平时储备一套下级单位的关键设备。
2、一旦发生自然灾害,导致设备损坏,由灾害发生单位向上级计算机网络与信息安全领导小组请求支援。
3、上级计算机网络与信息安全领导小组接到下级单位的支援请求后,应在24小时内派遣人员携带有关设备赶到现场。
4、到达现场后,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
5、经测试符合要求后,支援小组才能撤离。
(十二)关键人员不在岗的紧急处置措施
1、对于关键岗位平时应做好人员储备,确保一项工作有两人能操作。
2、一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3、经值班领导批准后,由备用人员上岗操作。
4、如果备用人员无法上岗,请求上级单位支援。
5、上级单位在接到请求后,应立即派遣人员进行支援
相关网站安全措施: 网站安全措施
1.登录页面必须加密
在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在许多情况下,这仍有可能被一个恶意的黑客攻克,他会精心地伪造一个登录表单,借以访问同样的资源,并访问敏感数据。通常加密方式有MD5加密、数据库加密等。2.采取专业工具辅助
在市面目前有许多针对于网站安全的品聚社,不过这些大多数是收费的,而目前标榜免费就只有 亿思网站安全检测平台(iiscan)。通过这些网站安全检测平台能够迅速找到网站的安全隐患,而且这些平台都会提供针对其隐患做出相应措施。3.通过加密连接管理你的站点
使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的嗅探等手段敞开大门。因此请务必使用加密的协议,如SSH等来访问安全资源,要使用经证实的一些安全工具如某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。4.使用强健的、跨平台的兼容性加密
根据目前的发展情况,SSL已经不再是Web网站加密的最先进技术。可以考虑TLS,即传输层安全,它是安全套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。同样的原则也适用于后端的管理,在这里HSS等跨平台的强加密方案要比微软的Windows远程桌面等较弱的加密工具要更可取、更有优越性。5.只连接安全有保障的网络
避免连接安全特性不可知或不确定的网络,也不要连接一些安全性差劲的网络,如一些未知的开放的无线访问点等。无论何时,只要你必须登录到服务器或Web站点实施管理,或访问其它的安全资源时,这一点尤其重要。如果你连接到一个没有安全保障的网络时,还必须访问Web站点或Web服务器,就必须使用一个安全代理,这样你到安全资源的连接就会来自于一个有安全保障的网络代理。
6.不要共享登录的机要信息
共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或Web服务器管理员,还适用于在网站拥有登录凭证的人员,客户也不应当共享其登录凭证。登录凭证共享得越多,就越可能更公开地共享,甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多,要建立一个跟踪索引借以跟踪、追查问题的源头就越困难,而且如果安全性受到损害或威胁因而需要改变登录信息时,就会有更多的人受到影响。
7.采用基于密钥的认证而不是口令认证
口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证,并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分离的独立介质中,直接需要它时才取回),你将会得到并使用一个更强健的难于破解的认证凭证。
8.维护一个安全的工作站
如果你从一个客户端系统连接到一个安全的资源站点,而你又不能完全保证其安全性,你就不能保证某人并没有在监听你所做的一切。因此键盘记录器、受到恶意损害的网络加密客户以及黑客们的其它一些破坏安全性的伎俩都会准许某个未得到授权的个人访问敏感数据,而不管网络是否有安全措施,是否采用加密通信,也不管你是否部署了其它的网络保护。因此保障工作站的安全性是至关重要的。
9.运用冗余性保护网站
备份和服务器的失效转移可有助于维持最长的正常运行时间。虽然失效转移可以极大地减少服务器的宕机时间,但这并不是冗余性的唯一价值。用于失效转移计划中的备份服务器可以保持服务器配置的最新,这样在发生灾难时你就不必从头开始重新构建你的服务器。备份可以确保客户端数据不会丢失,而且如果你担心受到损害系统上的数据落于不法之徒手中,就会毫不犹豫地删除这种数据。当然,你还必须保障失效转移和备份方案的安全,并定期地检查以确保在需要这些方案时不至于使你无所适从。
10.确保对所有的系统都实施强健的安全措施,而不仅运用特定的Web安全措施
1高校网站建设中存在的问题
目前, 高校校级门户网站一般由网络管理部门直接建设维护, 而各院系、部门二级网站的建设、管理绝大部分都是各院系、部门自主建设、维护, 采用主机托管以及虚拟主机的存放模式。模块功能类同, 重复性投资费用较高。在二级网站建设过程中, 由于缺乏统一的智能部门牵头管理, 各自为政, 导致网站风格不统一, 信息无法共享, 安全性较差, 维护困难等问题。
由于分散建设, 各网站缺乏统一标准, 开发环境不同, 后台管理系统不同, 且使用的数据库也不一样, 数据格式不统一, 致使个网站之间的信息难以共享, 资源浪费, 也使得后续修改和维护比较困难。
安全性差, 由于站点开发人员的技术水平参差不齐, 有些网站制作相对简单, 存在漏洞, 数据库文件容易遭到篡改, 以至于系统崩溃, 同时, 网站后台管理制度薄弱, 密码过于简单, 容易造成站点被攻击的情况发生。
2高校网站群建设与管理
为有效实现校级门户网站与各二级站点之间的智能管理, 数据共享, 统一规划, 解决目前高校网站建设管理中出现的问题, 可将网站群系统引入高校网站建设中。
网站群是基于统一标准、统一规范和统一技术构架之上, 按照一定的隶属关系组织在一起网站集合, 网站群中的多级站点既可统一管理, 也可以独立使用, 通过特定权限控制实现站点间信息集成与共享。
2.1网站群的技术优势
相对于原先一群独立分散的网站而言, 网站群具有以下显著优势:
1) 统一规划、统一标准和统一技术平台, 有利于信息整合和共享。
2) 集中部署, 减少重复投入。一套网站群系统可实现全校各部门、院系网站建设, 避免重复开发。
3) 利用严格的分级权限管理机制和信息审核流程疏通网站管理工作, 保证了全校网站管理工作的规范、有序。
4) 网站集群管理可视化, 大大降低网站管理与维护的技术门槛, 同时提高了系统安全性
2.2网站群多级站点垂直管理体系
如图1所示, 采用网站群的建设模式, 在学校校级门户网站下可创建多个院系、部门二级网站, 并对各个二级网站管理员进行相应的授权, 赋予其修改栏目、进行信息维护等权限。同时, 院系、部门二级网站下也可以自行创建相应的三级子网站, 实现管理维护。通过网站群系统, 在内部管理上实现了多站点统一管理、权限统一分配、信息统一导航、信息统一搜索等功能, 消除了“信息孤岛”。
2.3网站群系统部署网络模型
网站群系统部署的网络模型如图2所示。网站管理员通过校园网络在网站群管理服务器上设计、制作、管理网站, 完成网站设计、制作后, 需要把网站发布到网站群发布服务器上, 而无论是校内用户还是校外用户都只能访问网站群发布服务器。为了提高网站群管理系统的安全性, 网站群管理系统可以增设单独的数据库服务器、数据备份服务器, 并且通过三层交换机给网站群管理服务器、数据库服务器、数据备份服务器分配内部IP地址, 防比校外用户访问、攻击网站群系统核心服务。
2.4网站群管理
在网站集群的建设中, 不但需要过硬的技术保障, 还需要相应的管理保障。
1) 建立有效的管理机制, 统一领导、统一规划。网站集群的建设要争取得到高校领导的重视和支持, 网站建设过程中需要各方面关系的协调。所以成立全校的信息化建设领导小组, 由分管信息化建设的校领导担任组长, 管理网站集群的建设工作。
2) 加强信息员队伍的建设。要建设和管理好网站, 加强信息员队伍的培养是确保网站建设顺利进行的关键。网络中心的技术人员要定期举行信息员的统一培训, 编制统一网站使用说明书, 人手一册, 并且将电子版放在网上, 可随时下载。其次建立信息员技术交流机制, 定期开展讨论沙龙活动, 拓展学习空间。
3) 规范信息发布程序, 注重落实责任与制度建设相结合, 加强网络安全监控。加强网站信息更新频率, 提高网站活力。加强部门领导对网站的重视程度, 配备信息员负责网站信息的发布工作。定期对网站进行升级、维护, 确保网站稳定、安全运行。
4) 站群建设要有全方位的考评体系。可以开展相应的评比活动, 总结存在的问题, 进行相应的整改, 提高站群建设水平。
3结语
将网站群系统应用于高校网站建设, 使得各网站由原先各自独立转变为基于统一规划的战群体系, 较好地解决了站点之间智能管理、数据共享的问题, 提高了全校网站建设和维护的质量, 网站安全也有了较大的保障, 促进了高校数字化校园的建设和发展。
摘要:随着高校信息化建设的推进和发展, 高校网站的建设己成为了数字化校园建设的重要组成部分。本文探讨了高校网站建设中面临的问题, 提出将网站群系统引入高校网站建设中。网站群系统具有明显的技术优势, 能够很好的满足校园网站建设、管理的需要。
关键词:网站群,多站点管理体系,信息整合,高校网站
参考文献
[1]马伟山, 李冰, 唐卫清.政府门户网站群建设框架的研究与设计[J].计算机与数字工程, 2009 (9) :139-193.
[2]沈俊.高校网站群的建设和方案浅谈[J].价值工程, 2010 (5) :200-201.
[3]侯静, 欧阳荣彬, 等.基于Web标准的高校网站建设与实现[J].中山大学学报:自然科学版, 2009, 48:91-99.
[4]江阳波.网站群在高校数字化校园中的建设与应用[J].科技广场, 2012 (1) :104-106.
[5]陈向东.新一代站群系统的特点及构建实例[J].北华大学学报:自然科学版, 2011, 12 (3) :359-362.
由于复杂的Web2.0技术使多个服务集成在终端用户的浏览器上(某些服务来自数据中心,某些服务是通过内容分发加速商(cDN)和/或其它第三方供应商提供的服务和内容,如评论、广告、新闻供应等),如果没有一个网站体验性能的综合解决方案,凤凰网很难监测和改进网站用户体验,为广大凤凰网受众提供高质量的服务。自2007年底采用高明网络“由外至内”用户体验管理方案后,凤凰网的用户体验和第三方服务有了很大的改善。
基于高明网络10万遍布全球的用户终端,凤凰网首先从网站外部及时了解终端用户的性能情况,包括当地ISP,网络连接性能情况;其次,基于高明网络全球100多个骨干网节点,凤凰网对关键骨干网性能进行监控;最后,根据每月中国门户排行榜中凤凰网的排名,分析凤凰网在响应时间,稳定性,可靠性的潜在改进点,然后逐步改进网站性能体验。
根据最新数据,凤凰网在中国门户网站用户体验排行榜中已经数月名列前三名。
网站体验管理不仅包括对内外数据的精准监测,还包括预警管理和可视化的数据展示和报表分析能力。根据高明网络的性能测试瀑布图、趋势图和散点图,凤凰网可以有效地分析性能问题。通过,自动保存每天测试的数据报表功能,凤凰网的市场、研发部门都能同时了解每天关键网页的性能情况。整个团队使用高明网络的精准,快捷的用户体验方案为凤凰网用户提供高质量的网站服务。
凤凰网信息技术中心总监陈苏表示,高明网站体验管理使凤凰网质量精益求精。
本期排行榜,对所监测的网站进行了行业划分,选取了新闻与门户类、搜索类、个人电子商务类、新媒体类、跨国公司类共5个类别。网站运营商可以参考行业用户体验排行榜明确自己在本行业中的竞争位置,引导正确的用户体验投资,改进和提高网站自身的用户体验性能。本期排行榜数据是采用高明公司设在北京、上海、广州三地节点测试获得,关于排行榜的具体方法请参照2007年10月20月刊排行榜说明或与高明公司联系问询。
一、总则
为了更好的确保XXXXX网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XXXX网站,提高XXXX网站的服务质量,提高维护队伍的整体素质和水平,特制定本 管理制度,作为维护和管理XXXX网站的依据。
二、范围
本制度的适用范围包括XXXX网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。
三、角色和责任
本手册适用于XXXX网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本手册由信息管理处修改和维护。
四、网络安全维护管理制度
1.网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备)应由专职网络维护人员负责管理,定期检查设备的物理环境,并按照机房物理安全要求进行维护。2.网络维护人员应对所有网络设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3.网络维护人员应至少每天1次,对所有网络设备进行检查,确保各设备都能正常工作。
4.网络维护人员应制定网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。
5.网络维护人员应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;对于重要的网络设备,要求至少每个月修改一次口令,或者使用一次性口令设备;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
6.严格禁止非网络管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由网络管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。
7.网络维护人员应尽可能减少网络设备的管理方式,例如Telnet、web、SNMP等;如果的确需要进行远程管理,应使用SSH代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等验证功能;进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。
8.网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得信息管理处领导的批准下,对生产环境实施软件更新或者补丁安装。
9.软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
10.软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置,并进行系统的安全检查。11.网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息管理处领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
12.网络维护人员应定期提交安全事件和相关问题的管理报告,以备领导检查。
13.网络维护人员应制订网络设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。对于重要网络设备,应建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析。
14.网络维护人员应保证各设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
15.网络维护人员应通过各种手段监控网络的流量状况,当突发异常流量时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
16.网络维护人员应至少每年1次对整个网络进行风险评估。17.网络维护人员应至少每年1次对整个网络进行灾难影响分析,并进行灾难恢复演习。
五、系统安全维护管理制度 1.所有主机设备应由系统维护人员负责管理,定期检查服务器主机的物理环境,并按照相关物理安全要求进行维护。
2.系统维护人员应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。
3.系统维护人员应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作。
4.系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义,并定期进行审查,在发现有可疑的用户账号时进行核实并采取相应的措施。
5.在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对主机设备中所有用户账号进行登记备案。
6.系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不要使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。口令文件(如:系统中的/etc/shadow)及其所有拷贝的访问权限应该严格限制为超级用户可读,并且定期检查。对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每两个月修改一次口令。若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。
7.系统维护人员应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。
8.严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据主管领导的批复进行临时账号的开放、注销、监控,并记录备案。
9.系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。
10.严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得主管领导的批准。
11.系统维护人员应制定软件使用制度,禁止在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件。12.系统维护人员应制定重要主机系统的安全使用制度,禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。
13.禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。
14.系统维护人员应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。
15.系统维护人员应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
16.系统维护人员应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得主管领导的批准下,再实施软件更新或者补丁安装。
17.软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。
18.软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。19.系统维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向主管领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。
20.系统维护人员应制订主机设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
21.系统维护人员应保证各主机设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
22.系统维护人员应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行;并且为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报主管领导,并采取相应措施。
23.系统维护人员应通过各种手段监控主机系统的CPU利用率,进程,内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报主管领导,并同时采取适当控制措施,并记录备案。24.当主机系统出现以下现象之一时,系统维护人员必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。 系统突然不明原因的性能下降。 系统不明原因的重新启动。 系统崩溃,不能正常启动。 系统中出现异常的系统账号。 系统账号口令突然失控。 系统账号权限发生不明变化。 系统出现来源不明的文件。 系统中文件出现不明原因的改动。 系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
25.系统维护人员对主机系统进行维护管理应编写运行维护的日报、周报、月报和年报。
26.主机的备份分两种,一种是数据的备份,另一种是系统配置的备份。网站系统维护人员需要作数据备份的服务器为:数据库主机、电子邮件服务器、WWW主机等。所有主机均应有较详细的系统配置的备份,以便系统的恢复。重要数据应定期进行0级备份和增量备份,并妥善保存存储介质。鉴于现在网络的主机和备份介质,建议采用如下备份计划: 每月做一次系统0级备份; 每周做一次增量备份;
每个服务器至少保持最近的三个月的系统和数据备份。
日期:2009-09-13来源:新华网作者:祝罗
------------------
摘要:本文从 “新平廉政网”的运行情况入手,以点带面对如何进行有效的管理和维护,充分发挥纪检监察网站的宣传教育作用等问题进行分析探究。通过对全国各地12家县级纪检监察网站调查研究,提出了走出县级纪检监察网站管理和维护困境的对策。阐明了纪检监察网站“褒扬先进旗帜鲜明,鞭笞丑恶毫不留情”的作用,在整个网络文化建设中应积极推广的观点。
主题词:纪检监察 廉政网站 管理维护
加强反腐倡廉网络宣传教育,开设反腐倡廉网页、专栏,正确引导网上舆论是新形势下党风廉政宣传教育工作的一项重要任务。为切实加强党风廉政网上宣传教育,新平县纪委于2005年10月正式开通“新平廉政网”,作为网站的维护者,本人深刻地体会到互联网在现代社会中的巨大影响力,同时也深刻体会到网络宣传对反腐倡廉工作的强大助推作用。对全国各地12家县级纪检监察网站的调查了解,笔者发现县级纪检监察网站的运行、管理与实际需求、理想目标还存在较大的差距。
一、网络发展现状和纪检监察网站运行中的不足之处
笔者通过网上调查了解,2006年1月,中国互联网络信息中心(CNNIC)在京发布“第十七次中国互联网络发展状况统计报告”。报告显示,中国上网用户总数为1.11亿人,其中宽带上网人数达到6430万人。目前,中国网民数和宽带上网人数均位居世界第二。国家顶级域名CN注册量首次突破百万,达到109万,成为国内用户注册域名的首选,稳居亚洲第一。在互联网使用方面,数据统计表明,18.2%的网民使用笔记本电脑上网,同比增长800多万人;网民平均每周上网15.9个小时,同比增加2.7小时,增幅为20.5%。18-22点上网人数增加了8个百分点,上网高峰日趋凸显。其中,36岁以下的用户占网民总数的82%,25岁以下的青少年用户占网民总数的54%,青少年在网民中占主体地位。现行的网络中有大量色情、暴力等不良信息在传播,特别是一幅幅不堪入目的黄色图像胜过千言万语,极有可能让一个纯洁、上进的孩子神魂颠倒、迷失人生的方向、甚至滑向犯罪深渊,这不能不引起我们警觉。而现实中的情况已经表明,网络黄毒的危害巨大无比。在经过社会调查后发现,在押的少年犯中,有61%的人经常浏览色情网站,可以说网络色情,已经是目前青少年堕落和犯罪的一大诱因。
因此,笔者认为,在网络化、信息化时代,运用网络文化载体,加强网络廉政文化建设必将具有十分重要的现实意义。作为纪检监察的宣传教育职能部门,加强网上舆论宣传,正确引导网民遵守国家法律法规,提醒网民加强自我保护的能力,养成摆正心态上网的良好习
惯等等,这些都是我们义不容辞的任务;纪检监察部门主办的网站更是肩负着教育、提醒、帮助、引导广大网民正确对待上网问题,杜绝点击存在不良信息网页的重任。纪检监察网站应该成为广大网民共同关注国家大政方针、正确认识党内决策、关心民生民情、反对各种邪恶势力侵入的平台,成为广大网民诉求咨询各种疑难杂症的家园,成为帮助广大被不良网站侵害的网民走出误区的通道。笔者浏览调查的12家全国各地不同级别的党风廉政网站,基本上达不到真正意义上教育、说服、引导网民的功能,发现还存在许多缺陷,还有许多事情等待着去完善,还有许多技术性的东西去解决,其存在的不足之处主要表现为以下六个方面。
一是当前县级纪检监察部门的网站页面简单、功能不全。
通过浏览12家县级纪检监察网站,再与许多商业运作型的网站相比,其间有很大的差别。从栏目的设置、内容的筛选、界面的设计等方面进行比较,纪检监察网站都比商业运作的网站简单得多,而且功能比较单一,几乎是千篇一律的纪检监察职能的工作信息发布,缺少最起码的网民和管理者之间互动的平台,缺乏相对的吸引力和向心力,很少有能让网民提起兴趣的专栏,大部分纪检监察网站甚至没有网上调查的习惯。这样一来,无疑降低了纪检监察网站的宣传教育作用。
二是部分纪检监察廉政网站管理者普遍不熟悉技术软件的应用。
各地廉政网上信息资源选取没有统一的标准,纪检监察网站之间不能有效地实现资源共享,纪检监察网站管理水平参差不齐,不能起到整体的宣传效果,个别地方甚至出现没有人能维护管理纪检监察网站的现象,致使纪检监察网站从开通到运行过程中,长期没有更新的内容,有的仅仅只能看到网页却打不开内容。各地纪检监察网站的管理者一般不是计算机专业人士,很少有人能熟练掌握诸如视频处理软件、照片处理软件的技术,有的甚至不懂得最起码的文档编辑处理,致使网上发布信息、图片、视频质量不高,图象模糊,不能很好地吸引人们的眼球。
三是县级纪检监察网站存在“只管发布,不管收效”的现象。
多数县级纪检监察网站的栏目可以规类为首页、工作动态、机构设置、法规之窗、理论思考等。内容上主要以党风廉政建设、反腐倡廉教育、廉洁从政、规章制度为主,而对各地财务、各块的法律相关的规章制度的知识却很少涉及,降低了对广大网民的实际工作指导作用;警示教育、廉洁自律教育只针对案件本身,而针对各地高官铺张浪费、高消费等不廉洁行为的内容,却很缺乏;网络互动栏目主要是领导信箱、联系电话等,没有在线交谈、有问有答、网上论坛等实时交流栏目,不能查看处理的结果,更不能浏览他人提出的问题和处理结果。另外,网站信息组织方式比较落后,主要以文字形式,而图片、视频和统计表等资料少,降低了网站的吸引力,致使宣传效果达不到预期的目的,大部分纪检监察网站只管不断发布信息,而不注重所发布信息收到的效果,很少进行针对某一个专栏的调查和访谈。
四是纪检监察网站不能很好兼顾纪检干部、广大党员和普通网民之间的兴趣问题。
纵观全国各地县级纪检监察网站,几乎都是为了宣传本地纪委监察局的业绩,为了显示本地纪委监察局的本事而设置。而没有真正顾及广大纪检监察干部的实际需要,没有顾及广大共产党员需要知道什么,没有顾及到广大普通网民关心、关注的问题,把单纯的业绩宣传
作为网站宣传的主要方向,所以使大家感觉到纪检监察网站内容枯燥,不能充分调动各方面的积极性。网站的功能没有得到很好的延伸,没有针对广大纪检监察干部家属、亲人朋友、一般网民设置相关的栏目,所以纪检监察网站大都是一开始就放弃了争取广大网民支持。
五是许多县级纪检监察网站内容更新慢、信息来源少,信息发布时效性相对较低。
主要表现在各地的县级纪检监察网站管理者大都属于宣教室干部兼职,平时还要忙于应对各种业务性的工作,顾不上及时更新网站内容,或者不能全面更新各块专栏内容,对一些时效性强的新闻、图片不能及时处理。再者,作为纪检监察机关信息来源比较少,除了党风廉政建设信息外,几乎很难捕捉其他有趣的社会信息,不能进一步丰富网站内容,一定程度上弱化了信息的可读性;对重要政策法规、纪检 监察工作动态及经验材料等内容也不能及时补充,很大程度上打击了网民浏览纪检监察网站的积极性,致使广大网民不愿去点击纪检监察网页。
六是许多纪检监察网站没有建立有效的信息采集机制。
有的地方的纪检监察网站信息发布,没有得到严格把关,没有形成相对固定的网站管理机制,有的信息不够成熟,甚至出现失真、不准确的现象;广大网民普遍关心、关注的信息不能在纪检监察网站上得到浏览;有的不能及时收集、统计和分析浏览者的反馈信息,这样就不能及时了解和搜集他们关心的热点问题,不能有针对性地开展网络廉政教育工作,失真的信息给网民心理上产生少数纪检监察网站不结合实际、没有绝对可靠的依据错觉,造成对纪检监察网站不感兴趣或兴趣不浓。
二、走出纪检监察网站管理、维护困境的对策探究
笔者从新平廉政网的日常管理中发现,网站管理中需要耗费许多时间、付出许多精力、查找编辑大量信息、要做好廉政网站的管理维护工作,是件艰难的事情。通过对全国各地12家县级纪检监察机关主办网站的调查研究,针对当前各地纪检监察网站普遍存在的上述问题,认为在维护县级纪检监察网站过程中应处理好以下六个方面的问题。
一是建立一支高素质的网站管理工作者和网络评论员队伍。
纪检监察网站的建设、管理、维护是一个系统工程,不能单纯地把这项工作归属于纪检监察部门的职能和任务,而是要树立全局意识和系统观念,依靠纪检监察网站所处的地域、级别、系统、环境等,不同的范围、不同的地方,要加强各个纪委、纪检组和各直属部门、机构的协作和配合,齐抓共管,协同努力。当前国家已经注意到网络评论工作的重要性和紧迫性,在各地纷纷开办网络评论员培训班,网络评论摆上了重要议事日程。因此,本人认为在纪检监察网站的建设、管理、维护中,要按照“提高素质、优化结构、主动出击、相对稳定”的要求,建设一支思想水平高、网络业务强、熟悉廉政知识、熟悉党政理论特点的网络管理维护工作队伍,并不断加强对他们的政治和业务培训工作。要把所在地的相关部门都纳入到建设者、维护者、管理者行列当中来,切实加强网站管理中的技术借鉴和资源共享,以制度为保障,把网站建设作为一项“大宣教”格局的日常工作来抓,使网站成为当地党内外法律法规、方针路线、反腐倡廉的教育基地。从上到下应建立一支以党委为主体,纪委协调,宣传部、组织部、团委、妇联、文化、广电、基层纪委干部等共同协作的高素质的网络评论
员,适时把握网上宣传的正确舆论导向,使网站建设变为常规化,纪检监察信息发布形成标准化,网上评论形成正规化,从而更为有效地推动当地廉政文化建设的现代化。
二是要营造纪检监察网站与当地其他网站“你中有我”的资源共享格局。
不能把廉政网站作为一个独立的网站,要和当地其他相关网站相互结合和相互补充,拓宽廉政文化的信息资源,形成一个有机整体,同时规划,同步发展,共同前进,形成廉政文化“大宣教”的格局。真正把廉政文化网络教育与理论教育、业务教育、社会教育结合起来,使网络教育成为它们有效的延伸。在纪检监察网站管理、维护中,不断加强与其他网站的联系和沟通,争取和其他网站进行资源共享,达到互相吸引、共同进步的目的,使广大网民在浏览其他网站时注意到纪检监察网站的存在,受到纪检监察网站所发布信息的吸引,用纪检监察的信息增强对他们的引导力、说服力,同时纪检监察网站的管理和维护中,要不断把电视台、报刊、杂志、板报等各种资源及时处理为己所用,营造纪检监察网站和其他新闻媒体“你中有我,我中有你”的资源共享格局。
三是正确把握纪检监察网站信息发布的导向性问题。
要把握好纪检监察网站舆论的导向,这是网站建设的生命线。要在复杂的交互式网络平台上,针对一些事关大局、事关政治方向、事关稳定的敏感性问题,有正面的声音,给广大党员和普通网民以政治上的引导。要旗帜鲜明地表达坚持什么、反对什么,弘扬什么、批评什么,在网上营造积极向上的氛围。要有选择性地把党的基本理论、基本思路、方针、政策以及相关著作、新闻 报道等资源以各种形式链接到互联网上,供广大党员和普通网民们浏览,同时有针对性地收集当地社会生活中出现的一些消极、片面或不正确、不真实的舆论倾向及热点问题,通过热点讨论、在线论坛、在线聊天等交流的方式,与网民进行思想沟通和交流,在无意中达到答疑、解释、评论、披露或澄清事实等目的,以帮助和引导广大普通的网民形成正确的廉政思想意识。有反面典型的教材,使广大网民通过警示性的素材,加强自律自制的能力,倡导大家积极投身到反腐败的长久战斗之中。
四是让党风廉政文化主动占领网络宣传阵地。
在网上要根据纪检监察工作的特点,主动出击,理直气壮地宣传党的各项方针、政策 和正确思想,用马克思主义思想占领网络阵地,唱响主旋律,打好主动战,及时组织和发布信息,积极应对各种不良信息。利用各种手段挖掘各级纪检监察干部的潜力,提高广大党员干部关注纪检监察网站的积极性,引导普通网民端正上网心态,拒绝不良信息的影响和侵袭。让他们积极主动地去获取廉政文化相关的知识,在网上自我教育、自我管理、自我服务,并不断地内化、改造自我,养成廉洁的思想和良好的网上言论习惯,争取绝大多数网民上正规健康网站,使不良网站没有生存和依赖的空间,杜绝和打击不良信息泛滥,教育引导广大网民树立“以善为美,拒绝丑恶”的思想意识。
五是加强纪检监察网站服务廉政文化建设和广大网民的功能。
要以服务为切入点,时刻关注广大纪检监察干部、广大共产党员和普通网民生活当中发生的点点滴滴,想他们之所想,急他们之所急,供他们之所需,全面强化网站的服务功能,充分体现交流、教育、引导和服务多位一体的理念。要尽量使广大纪检监察干部在廉政网站
中找到合适自己业务的宣传内容,使广大党员干部找到政策法规和理想信念方面的教育材料,使广大普通网民及时找到生活所需的法律法规和信访举报等方面的知识。纪检监察网站除了发布廉政文化教育内容外,还可开设党课知识讲座、党纪条规咨询、纪检监察业务指导、网上发文公告、网上办事指南、网上监督举报等服务栏目,提高纪检监察网站的实效性,使纪检监察网站真正成为纪检监察机关处理日常事务的一个窗口,成为密切党群关系、干群关系的一座桥梁。
六是更新网站管理思想观念,提高网站点击率,增加网站浏览量。
纪检监察网站要充分发挥网络信息便于快速更新的优势,适时更新各个栏目的信息、图片等。必须及时添加新的内容,删除旧的信息和无效的链接,及时了解反腐倡廉舆情信息,敏锐捕捉一些苗头性、倾向性、群体性问题。使页面的内容有新鲜感,能够吸引广大网民的注意力,达到有效提高网民访问兴趣目的。利用网络隐秘性较高的特点,积极主动地与广大网民沟通交流,及时地问答、解决他们关心的理论问题和实际问题,把解决思想问题和实际问题结合起来;使每个人都成为信息的消费者,又成为信息的生产者;既感染、熏陶和影响、作用于别人,又受别人的感染、熏陶和影响和反作用。开展网上论坛、网络评论等专题,积极调动广大网民内部之间交流,并不断为网站管理者提供新的信息和图片,通过网站与网民的互动,网民之间的互动,网民、网站、网站管理者三者之间的互动等手段不断提高网站的点击率,增加浏览量,提高网站的知名度,扩大网站的影响力,进而达到廉政文化无处不在,无人不知的目的。
总之,纪检监察网站的建设是一项全新的工作,要明确目标,加强网站队伍的建设,精心设计好网站的页面、栏目和内容,加大网站的覆盖面,增强网站的影响力、说服力、感染力和战斗力,把纪检监察网站建设成纪检监察干部互相学习交流经验的平台,建设成广大党员干部思想道德和廉政文化教育的基地,建设成广大网民及时掌握国家大政方针、党纪国法的学习园地,为全面推动廉政文化,提高反腐倡廉水平做贡献。
a)b)c)系统提供用户身份的唯一性标识功能
可设置如输入2次错误后要输入验证码,5次错误后就锁定账户30分钟 系统限制密码长度在8位以上,复杂度必须包含字母、数字和字符3种。
2)访问控制
a)b)c)
1、由管理员配置访问控制策略并授权,无默认用户。
2、各种角色的帐户权限不同,管理员根据实际需要授予其合适的权限。
3、访问控制的覆盖范围包括用户、功能项及相关操作。分为不同的部门和不同的用户,不同部门的权限不一样。
3)安全审计
a)b)
1、启安全审计功能,,对应用网站操作、模板操作和系统运行进行审计。审计记录可覆盖到每个用户
3、审计记录包括:ID、发生时间、操作人、描述、操作
4)软件容错
a)b)
1、应用系统输入框中未拒绝不正确的格式输入;
3、应用系统对文件上传设置白名单,严格禁止asp、jsp、aspx、php、exe、vbs、com等类型的后缀文件上传。
5)资源控制
关键词:网站安全,口令,端口,漏洞,补丁
2015年的互联网世界,可谓多事之秋。2月,美国第二大医疗保险公司Anthem受到攻击,丢失8000万个人信息。7月,全球最臭名昭著的黑客公司Hacking Team至少400G的文件被窃取。8月,全球最大婚外情网站Ashley Madison被黑,10G用户数据被窃取和公布。9月,苹果公司的App Store,被上传了携带Xcode Ghost病毒的APP,并被数亿人下载使用,甚至i Cloud帐号密码的安全遭到威胁。10月,英国宽带服务提供商Talk⁃Talk的400多万用户的隐私数据被泄露。
国内同样鸡犬不宁,社保等系统的高危漏洞就涉及数据5279.4万条。网易用户数据库疑似泄露,影响数据总共数亿条。国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户、6万多旅行社账号密码、上百万导游信息。草榴社区遭到攻击导致数据库外泄。机锋论坛2300万用户数据泄露,涉及数据总数多达4亿多条。三星输入法漏洞,影响全球超过6亿的三星手机用户。
面对入侵者们日益猖獗的进攻态势,我们就黑客入侵方法和我们平时使用习惯、软件防护和硬件防护几个方面来探讨网站防黑、防盗的安全策略。
1 口令、密码篇
1.1 设置复杂口令,让试图暴力破解者无计可施
口令是在看不清楚的时候用来识别敌我的口头暗号,也被称为密码或者密钥。在银行取钱或者转账时,只有输对密码,才能正常交易。所以入侵者一定会想方设法窃取你的口令。入侵者使用一个包含用户名和口令的字典数据库程序,不断地尝试登录系统,直到成功进入。这个庞大的数据库中,光包含大小写的4字符的口令部分就有50万个组合,想想我们平时为了贪图好记、方便,就使用诸如123456、888888、abcd等纯数字或者纯字母作为密码,这些非常容易被别人猜到或被破解工具轻而易举快速破解的密码(也叫弱口令)是多么危险。因此,赶紧把弱口令改为安全口令吧。
怎样的口令才比较安全呢?1个包含大小写且标点符号的7个字符的口令大约有10万亿个组合,对于一般的计算机需要花费大约几个月的时间才能全部试验一遍,真正是一两拨千斤啊。所以安全口令长度应该不小于8个字符,由大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符组合而成,4种字符每一种都要有,如果某一种字符只有一个,那么不应为第一个字符或最后一个字符。口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。安全密码让使用动态字典,包含了所有可能的字符组合的暴力攻击者也头痛不已。因此,要启用密码复杂度校验。
1.2 设置验证码登录,限定登陆失败尝试次数
现在的计算机太过强大,暴力破解一个6位纯数字或纯字母的密码,几乎是眨眼之间的事情,我们的密码再复杂也终有被破解的一天。为了防止黑客程序反复尝试登录,我们可以使用验证码,使得每次登录都必须手工输入验证码,不让暴力破解程序顺利运行,让入侵者品尝验证码的厉害。
看到这里,你是否突然想起了的自己的银行密码,那么重要的银行密码只有6位,而且还是纯数字的,从000000到999999,这不是太容易被攻击了吗?不用害怕,由于银行设置了登陆失败尝试次数的限制,当输入密码错误达到一定次数,ATM机吞卡没商量,网银会在一段时间里拒绝服务,甚至锁住账号,要求持卡人带着身份证到银行解锁,这样就很好地保护了存款的安全性。所以,为了你的网站更加安全,不妨使用验证码,并设置登陆失败尝试次数限制,建议为6-10次。但是与此同时,你还要设置账户锁定时间,以便你可以登录,建议为30分钟。以上的账户锁定设置,可以有效地避免自动破解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定账户常常会造成一些不便,但系统的安全有时更为重要。
密码复杂度校验的具体设置如下:按Windows图标键+R键,打开运行窗口→输入GPEDIT.MSC并按回车键→Windows配置→安全设置→账户策略→密码策略→设置密码必须符合复杂性要求为已启用→设置密码长度最小值为8→设置密码最短使用期限为0天→设置密码最长使用期限为99天(在99天以内最少更新一次密码,使旧的口令失效)。
登录失败次数限制的具体设置如下:在账户策略里→账户锁定策略→设置账户锁定阈值为9次无效登录→设置账户锁定时间为30分钟→设置复位账户锁定计数器为30分钟之后;
1.3 其他注意事项
1)避免口令被他人偷窥。不在笔记本或其他地方记录口令;不向他人透露口令,不在e-mail或即时通讯工具中透露口令。
2)每一个系统,都使用自己独有的口令。现在的网站服务器有操作系统,有数据库,还有中间件,不同的帐户使用不同的口令,犹如每一道门,都有一把自己独立的钥匙,避免被入侵者一网打尽。
3)对网站后台管理系统的接口和地址进行隐藏,不在网站上提供链接,让入侵者找不到大门。
以上策略,并不需要高深的技术,只要我们稍加重视,就可以让多数的入侵者望而却步。
2 服务、端口篇
服务是指执行指定系统功能的程序、例程或进程。支持其他程序,尤其是底层(接近硬件)程序的称为系统服务(system services),电脑的各种功能需要各种的服务支持。
一台拥有一个IP地址的主机可以提供许多服务,如Web、FTP、SMTP等,通过“IP地址+端口号”来区分。端口可以认为是设备与外界通讯交流的出口。如果把服务器比作房子,那么端口就犹如一个个窗口,负责对外交流,入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞。因此,关闭不使用的端口也是重要的防黑安全策略之一。
关闭网络端口的步骤如下:
步骤一:开始→设置→控制面板→管理工具→本地安全策略→IP安全策略,在本地计算机→操作→创建IP安全策略(弹出“IP安全策略向导”对话框)→下一步→IP安全策略→在“名称框”输入“关闭端口”→下一步→去除“激活默认相应规则”的勾→下一步→去除“编辑属性”的勾→完成
步骤二:双击关闭端口(弹出“关闭端口属性”对话框)→去除“使用‘添加向导’”的勾→添加(弹出“新规则属性”对话框)→添加(弹出“IP筛选器列表”对话框)→去除“使用‘添加向导’”的勾→添加(弹出“筛选器属性”对话框)→源地址选“任何IP地址”→目标地址选“我的IP地址”→协议→选择协议类型为“TCP”→“从此端口”和“到此端口”都输入“135”→确定(就添加好了一条关于TCP135端口的策略并回到“IP筛选器列表”对话框)
步骤三:单击添加按钮,重复上述步骤,添加其他的TCP、UDP等端口策略。
步骤四:全部添加好了以后,单击“IP筛选器列表”对话框的确定,在“新规则属性”框中,给“新IP筛选器列表”左侧的圆圈加点(激活),单击筛选器操作,去除“使用添加向导”左边的勾,点击添加,在“新筛选器操作属性”的“安全措施”中阻止,然后确定。
步骤五:回到“新规则属性”框,激活“新筛选器操作”(左边圆圈加黑点),点击关闭。最后在“关闭端口属性”框,勾选“新的IP筛选器列表”,按确定。
右击新添加的“关闭端口”策略,选择分配或指派(根据版本不同)。电脑重启以后,不管是黑客还是病毒都无法利用上述已经关闭的端口攻击你的电脑了。
3 漏洞、补丁篇
漏洞是指电脑的操作系统或者是一些应用软件,在程序设计或者应用过程中,出现的一些失误或者缺陷,有可能被黑客、病毒利用,对系统的安全构成潜在威胁。
补丁则是针对上述潜在的威胁,发布的修补漏洞的小程序。软件是人编写的,总会有疏漏的地方,程序不可能是十全十美的。一般在软件的开发过程中,开始的时候总会有很多因素没有考虑周全,但是随着时间的推移,软件所存在的漏洞会慢慢地被发现。这时候,为了提高系统的安全,软件开发商会编制并发布一个小程序(即所谓的补丁),专门用于修复这些漏洞。
乌云网www.wooyun.org和补天网https://butian.360.cn是两个安全问题反馈及发布平台。安全研究者(白帽子)通过平台提交网站的安全漏洞,帮助厂商做出快速响应,从而提高网站对黑客攻击的防御能力,弥补自动扫描的缺点和不足,同时获得厂商的现金奖励。
漏洞修补方法很多,除了系统自动更新功能以外,还有很多的软件也可以胜任这一工作,如360安全卫士、金山安全卫士、QQ电脑管家、鲁大师等,安装并运行漏洞扫描和修补功能即可。
4 病毒和木马篇
4.1 认识病毒和木马
计算机病毒是一段具有破坏作用的程序,不仅会干扰计算机的正常运行,还会破坏计算机里的软件和数据,甚至能够破坏计算机的硬件设备,病毒程序不但能够自我复制,还会通过网络、优盘等数据交换时感染其他计算机。
病毒具有繁殖、破坏、传染、潜伏、隐蔽、可触发等特征。繁殖性是指计算机病毒能够像生物病毒一样进行自身复制,并传染给其他文件或者计算机;破坏性是指计算机中毒后,可能会导致正常的程序无法运行,或者文件被破坏、被删除;传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其他无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件;潜伏性是指计算机病毒可以依附于其他媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作,会使电脑变慢;隐蔽性是指计算机病毒大多通过病毒软件才能检查出来,少数隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难;可触发性是编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。
病毒发作时都会有一些征兆,比如屏幕上出现莫名其妙的特殊字符或图像、字符无规则变换、脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提示等;蜂鸣音发出尖叫或非正常奏乐;经常无故死机,随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地变成无效设备;磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等;打印异常、打印速度明显降低、不能打印、不能打印汉字与图形或打印时出现乱码;收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等等。
与病毒的破坏性相比,悄无声息的木马危害性更不可小觑。什么是木马?古希腊传说,特洛伊王子在希腊皇宫作客后,拐跑了希腊皇后。于是希腊军队围攻特洛伊城,但打了10年都未能攻下。最后希腊军队制作了一具巨大的木马,并且假装撤退,把内藏士兵的木马留在特洛伊城下。特洛伊人以为木马是战利品,拖进城内。晚上,藏在木马中的希腊士兵,乘着特洛伊人不防备,悄悄溜出来打开城门,放进了城外的希腊军队……
知道了特洛伊木马故事,再来了解一下计算机中的木马发展历程。最早的木马程序,是用电子邮件把窃得的密码发送到指定的邮箱;为了躲避杀毒软件的识别和查杀,出现了利用畸形报文传递数据的ICMP类型的木马;以后出现的灰鸽子和蜜蜂大盗等DLL木马,在进程方面达到了良好的隐藏效果。驱动级木马不但深度隐藏,并能攻击杀毒软件和网络防火墙。随着Usb Key和主动防御的兴起,以盗取和篡改用户敏感信息为主的黏虫和以动态口令和硬证书攻击为主的暗黑蜘蛛侠等木马兴起。
现在的木马程序不但容量十分轻小,而且非常善于隐藏,因此不使用杀毒软件是难以发觉的。木马运行时不会浪费太多资源,运行后,立刻把自己写入系统的引导区,在Windows加载时悄悄运行;或者立刻改名换姓,甚至隐身;或者马上复制到别的文件夹中;有的木马一旦运行,其控制端就可以浏览、复制、删除文件,给计算机增加口令,修改注册表,更改计算机配置等。
网银木马“弼马温”能够监视用户网络交易,屏蔽余额支付和快捷支付,强制用户使用网银,毫无痕迹的修改支付界面,并借机篡改订单,盗取财产。
4.2防毒杀毒
首先,要养成良好的习惯,积极预防病毒和木马的入侵,不使用来历不明的程序或数据,不轻易打开来历不明的电子邮件,下载的软件先杀毒后使用,做好系统和数据备份,建立系统的应急计划等都是很有必要的。数据要分类管理,特别是要安装杀毒软件。
杀毒软件具有发现和消灭病毒、木马程序的作用,大多集成了监视内存、扫描识别清除病毒和自动升级的功能,部分还带有数据恢复等功能,是网络安全的重要组成部分。
国外常见的杀毒软件有avast(艾维斯特)、Avira Free Anti⁃virus(小红伞)、Bit Defender(比特梵德)、Clam Win Antivirus(开源杀毒)、Dr.Web Cure IT(大蜘蛛)、NOD32(诺德)、Norton Antivirus(诺顿)、Mc Afee Virus Scan(麦咖啡)、MSE(微软)、Kaspersky Anti-Vi⁃rus(卡巴斯基)、pandacloudantivirus(熊猫云)、PC-cillin(趋势科技)、Symantec(赛门铁克)等。
国内比较流行的有360、金山毒霸、百度杀毒、瑞星、江民等杀毒软件。
使用时需要注意下列问题:一是不要同时打开两个或这多个杀毒软件,否则很容易造成内存竞争,引发死机;二是要经常升级更新病毒样本库和杀毒引擎,使用最新样本比对,找出病毒;三是尽量开机时按F8键,进入安全模式,再进行杀毒。启用安全启动是不让病毒有启动的机会。
俗话说,道高一尺魔高一丈,病毒制造者为了对抗杀毒软件,想方设法要用免杀技术逃避杀毒软件的打击。单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马免于被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。
自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就创建了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有些杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。
除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程,可以对主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗,自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。
免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。
5 其他安全事项
1)使用网络边界安全防护设备:部署防火墙等访问控制设备,并启用严格访问控制措施;部署入侵检测设备;部署防病毒网关;部署Web应用防火墙。
2)定期检查网站内容:有专人定期(至少每天)检查网站内容是否被篡改或者有自动工具及时监测网站内容是否被篡改,并及时通知相关人员。
3)网站前、后台系统采用逻辑隔离。
4)采用加密方式(如https、VPN等),远程访问、管理和维护网站。
5)禁止外部访问网站服务器中间件管理界面。
“没有网络安全,就没有国家安全”,当我们从这一高度充分重视网站自身的安全问题,充分做好自我防护工作时,我想黑客也会见你绕道而行吧。
参考文献
[1]卜英奇.网站安全技术的分析及应用[D].吉林大学,2007.
[2]姜伟.网站的安全策略分析[J].经济研究导刊,2011,20:210,234.
[3]钟文建.浅析网站安全隐患及应对策略[J].中小企业管理与科技(上旬刊),2015,2:314-316.
关键词:校园 网络 文化 管理
网络成为了高校师生获取知识、进行交流的重要渠道,并对广大师生的学习、生活乃至思想观念产生深刻的影响。同时,网上良莠不齐的信息增加了青年学生辨别真伪的难度,容易产生某些思想的混乱,影响高校和社会的稳定。加强学校网络文化建设与管理,净化网络育人环境,非常之必要。目前,很多高校开办了自己的官方网站。高校对外网站是学校对外宣传、开展教科研活动、进行教学交流、呈现学校资源的网络平台,是展示学院形象和学校教育的重要窗口。学院主页及部门网页的内容和编辑不仅反映了学校的水平和形象,也将影响到学校的招生、就业,科研项目的争取等关系发展的重大事项。利用好、建设好、管理好校园网站,是高校网络文化建设的主要途径之一。要把校园网站建设成为传播主旋律的主渠道,信息发布安全是第一要务,主要就是要加强制度建设和信息员队伍的建设。
1 制定严格的对外网站信息发布管理办法
高校加强对外网站管理的制度建设的核心内容是制定严格的《网站信息发布管理办法》,主要应包含以下规定:①网站信息的发布必须遵守国际、国内有关法律的规定。不得发布与宪法和法律相悖、危害国家安全和利益的、宣扬封建迷信、侮辱诽谤他人的、破坏学校安定团结、有损学校形象等有关法律、法规禁止的信息内容。②高校网站信息发布的管理部门是党委宣传部,各系部也要成立部门的网站管理小组,配备部门的网站信息员。网站信息员名单需报学校备案。③网上信息发布采取责任追究制度,信息发布工作坚持“谁发布谁负责”的原则,网站信息员对本部门网站信息发布的安全性、准确性负责。登录密码和帐号一般应由网站信息工作小组组长和信息员掌握,不得向他人泄漏。④学校党委宣传部负责学校外网主页内容的审查和更新,负责各部门网页内容的审查和备案,负责校园网络信息安全的监控、负责校园网络突发事件的预防和处理、网络舆论情报的搜集与反馈等。⑤各系、各部门定期在校园网上充实更新部门网页,充分利用网站宣传学校,提升学校的知名度和美誉度。各部门发布的信息内容必须由网站信息小组组长确认,并交学校党委宣传部审核、备案后方可发布。⑥任何部门未经申请同意,不得私设部门网站,发布各种信息,更不准将个人网站链接到学校网站。
2 高度重视网站信息员队伍建设
建立一支高素质的网站信息员队伍是用积极、健康的思想文化占领网络阵地、进一步净化校园网络环境的重要手段,也是加快和谐校园建设的一项重要任务。
2.1 信息员的选任条件和要求 ①具有较高的思想政治素质,有较强的政治敏感性和政治鉴别力,能较好地把握正确的舆论导向,有较高的政策理论水平,具有一定的思想政治工作经验或学生教育管理经验。②了解掌握高等教育法律法规,熟悉高等教育政策和学校的基本情况,具有较强的工作责任心,富有社会责任感、正义感,热心服务高等教育的改革和发展。③熟悉网络基本操作技术,了解网络传播特点和规律,善于运用网络语言,知识面广,有较强的文字功底。
2.2 信息员的职责义务 努力充分挖掘本系部信息题材,弘扬本系部正面舆论,利用学校网站传播平台和技术支持,把校园网建设成为立德树人的新阵地,师生精神文化活动的新空间,校园文化和服务的新平台。
①信息员要充分调动本系部教师、学生提供有价值信息线索的积极性,尤其是学生干部的积极性,对系部、师生中出现的新闻信息要及时报道,写成通讯发送到学校网站上。②信息员要及时关注关于学院和本系部的网上舆论信息。经常查询关于学校和本系部的网上评论,重大问题要及时向宣传部报告。③信息员要主动介入校园BBS和校外一些网站的交互式栏目(论坛、贴吧、说吧、留言板等),在网上就师生关注的热点问题、难点问题参与评论,积极跟帖。还可以通过创建贴吧,QQ群,播客、在论坛上发表文章等形式,用生动活泼的语言,塑造学校和各系部的正面形象。④对于突发事件,信息员要及时引导网上舆论,维护正面声音,最大程度消除各种负面影响,维护学校稳定。信息员要加强对学生思想动态和活动情况的调查了解,对校园网上表达正能量的信息,要予以保留和支持,加强正面引导力度。对未经证实的信息和各种制造恐慌、影响稳定的谣言,要认真核实、及时澄清、公开辟谣。⑤信息员要不断加强政治理论、高等教育法律法规、政策以及网络技术等方面的学习,努力提高理论素养、政策水平和业务水平,以高度的政治责任感和历史使命感,按照“加强网络文化建设和管理,营造良好网络环境”的要求努力创造文明健康、积极向上的校园网络文化。
2.3 加强信息员队伍建设的组织领导 要不断加强信息员队伍建设的组织领导。党委宣传部定期召开会议,听取网上舆情引导工作汇报,及时解决网络评论工作中出现的问题。党委宣传部负责信息员队伍的人员选拔、业务培训、工作考核、实绩奖励。不断完善网络信息员培训和学习机制,特别是要在如何有效地提高舆情引导能力,消除负面影响等方面加强培训,不断提高信息员政治业务素质、网上舆论引导能力和计算机网络应用水平。
参考文献:
[1]李欣.高校校园网络安全探索[J].中国现代教育装备,2007(01).
[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社,2006.
[3]黄昌富.网络不安全因素[J].信息网络安全.2004(08).
[4]郝英杰.高校绿色网络建设管理新思路[J].中国高等教育,2010(01).
【网站安全管理】推荐阅读:
网站安全管理协议03-08
网站安全值班制度07-28
网站安全巡查制度02-26
网站安全检测报告07-15
网站安全培训计划03-21
网站备案安全责任书06-05
信息安全网站建设方案12-31
浅析网站如何保障网络安全01-10
网站用户管理系统06-19
网站管理员职责09-09
注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com
扫一扫微信支付
