探寻中小学网站安全防护的落地解决方案.doc

探寻中小学网站安全防护的落地解决方案中小型网站建设如“雨后春笋”，小网站发挥大作用随着“校校通”、“班班通”、“数字化校园”等教育信息化工程的不断推进，中小学门户网站的开发与应用也随之进入高速发展的新阶段，网站建设成为学校信息化建设关注的焦点。很多地区特别是沿海发达城市，中小学甚至幼儿园都建立了自己的网站。作为凝聚学校教学、科研、管理及师生交流的信息平台，也是学校体现办学水平和宣传办学特色的对外窗口，网站成了中小学发展不可或缺的一个部分，在日常的教育教学及管理过程中发挥着重大作用。中小学网站发展乱象，安全问题尤严重如今，不光是沿海地区，广大内陆地区中小学也在网站建设方面纷纷投入，发展得如何如荼。但是，在这一派热闹景象的背后，如果细心，你就会发现其中存在的隐忧和短板。比如，已经有不少学校的网站变化甚少，甚至已经长时间没有更新，网站整个面貌都显得陈旧保守了。有的网站甚至只剩一些阅读通知、新闻之类的功能。如此，网站成为了鸡肋，陷入到继续维护和置之不理的尴尬境地。更值得关注的是，很多中小学网站还存在比较严重的安全问题。据360网站安全检测数据发现，国内56%的中小学网站存在安全漏洞，其中32%的网站存在高危安全漏洞。存在高危安全漏洞的网站，很容易被入侵、拖库和篡改。值得注意的是，7.2%的中小学网站已经发生过被篡改问题。 中小学网站安全漏洞或致信息泄露 现在，青少年已经成为互联网的主体，不少中小学网站上都放有学生的个人身份信息等数据，近年不少关于青少年的网络诈骗案件的发生，多与学校网站上学生个人相关信息的泄漏有关。青少年个人信息安全和保护，不仅需要引起社会各界的重视，更应该引起对中小学网站信息安全监管的重视。2015年青少年上网安全分析报告出具了来自360补天平台的数据，数据显示，1-4月，中小学校网站漏洞达到了175个。经补天平台安全专家确认评级，其中高危漏洞139个，占79.4%。在这175个中小学网站漏洞中，有46.9%为SQL注入漏洞，是最为普遍存在的安全漏洞；命令执行漏洞和信息泄露漏洞各占13.1%，另有9.7%的高校网站存在弱口令漏洞。 高危漏洞的普遍存在意味着学校网站很容易被黑客入侵和篡改，甚至可能造成大量教职员工、学生、家长个人信息的泄漏，从而为各种网络诈骗和其他网络犯罪提供资源和便利。 中小学网站如果被黑客植入钓鱼页面或者不良信息，可能对学生和家长产生负面影响；而如果网站服务器被拖库，则可能造成大量学生信息泄露，造成更多严重后果。 经过360网站安全检测调查发现，绝大多数中小学网站普遍存在三大问题：普遍缺乏专业的管理措施；教职员工缺乏安全意识；建站系统存在安全漏洞。采用自建自管的方式据调查，目前大部分中小学网站采取自建自管的方式，在安全技术投入上很有限。除了最基本的采用硬件防火墙设备配合防病毒软件的方式对服务器系统和网站进行防护，很少配备专业的漏洞扫描、入侵检测、日志审计和数据备份等设备。网站安全关注度普遍不够虽然一般中小学或教育局都制定了相应的网站管理制度，但管理内容大都侧重在网站内容发布、用户密码管理、数据备份和网站内容保密等方面。对于网站测试升级、日常检测、服务器端口权限设置和服务器安全升级等内容的关注度不高。建站系统本身存在漏洞很多中小学网站在选择网站建设厂商时，可能缺少对厂商技术实力和系统本身的严格筛选和甄别，这就导致一些网站建设系统本身存在漏洞，从而给网站信息安全带来隐患。为什么中小学网站要尤其注重安全性？ 教育网站和教育管理系统作为兼具公益性、政府性、服务性的网站成为了不法分子关注的焦点。近年来信息系统漏洞特别是高危漏洞呈现逐年递增趋势，这给了黑客发起大规模网络攻击或针对重要价值目标发起的便利条件。一旦受到侵袭，教育管理系统所承载的数据机密性、服务可用性、信息完整性受到严重的威胁。所以 教育管理系统作为信息的采集者、管理者和使用者，需要受到重点防护。信息系统安全等级保护要求进行安全建设整改 2014年，教育部办公厅印发教育行业信息系统安全等级保护定级工作指南，其中，各教育局（司）也被要求进行相关的安全建设整改，聘请专门的测评机构来进行安全等级测评。根据等级保护要求，网站安全防护由管理和技术两方面构成。广大中小学由于缺少专项经费、技术和人员，在安全设备和安全防护技术方面显得相当薄弱。网站群将成中小学网站安全防护最佳解决方案对中小学网站进行安全防护不能、也不可能一味追求“广而全”“大而全”，尤其是广大中小学应该在综合考率网站使用情况、经费、技术和人员等客观条件之后再选择合适的防护方案。网站群作为一种统一资源管理、统一安全防护、统一内容维护的平台工具，已经在高校、政府、企业中得到广泛运用，并产生了良好的功效。尤其是，将零散孤立的站点集中在一起，既避免了由不同厂商建设而产生的