文/張子蛟 高金峰 胡宏偉等

剔除二級網站安全隱患

文/張子蛟 高金峰 胡宏偉等

為了徹底消除校園網站群的“信息孤島”，除了使二級網站內容管理系統(tǒng)與主網站群的后臺數據庫統(tǒng)一之外，還需要將二級網站的信息發(fā)布系統(tǒng)與學校的門戶網站實現整合。

網站群安全問題頻發(fā)

校園網的安全主要包含三個層面，第一是網絡運行安全，第二是網站群的安全，第三是校園網用戶計算機的安全。其中，網站群的安全問題最為突出。

一般來說，校園網網站群分主網站群和二級網站群。主網站群主要由學校門戶網站、新聞網站等校級網站組成，一般由學校網絡管理中心集中維護管理，安全問題不是很突出。二級網站群則不然。

每個高校的校園網上都運行有若干個二級網站，以鄭州大學為例，目前建設有三百多個二級網站，包括院系、行政部門、黨群機構、科研院所、教師個人主頁、精品課程等。二級網站已成為學校網站群的重要組成部分和網絡信息資源的重要提供者。

根據各高校信息化管理權限的分工，二級網站的建設和管理模式是：網絡管理中心提供網絡空間、技術指導和服務器管理，各二級網站由所屬的單位和個人自己制作，自己管理維護。若干個二級網站共用一臺服務器。如此一來，隨著二級網站群的規(guī)模擴大和應用的日益豐富，在安全和管理方面就暴露出較大問題。

1.網站設計制作先天不足

各單位二級網站的設計制作渠道五花八門，有花錢找公司來做的，有花錢找個人做的，有找本校計算機專業(yè)學生來做的，也有自己做的。網站制作人員技術水平和責任心也參差不齊。

2.網站采用的技術不統(tǒng)一

各二級網站采用的動態(tài)內容實現技術種類繁多，常見的包括ASP、JSP、ASP.net、php、ISAPI等等。后臺數據庫有Access、SQL Server、MySQL、Oracle、Paradox、Sybase、Foxpro等。所用的信息發(fā)布和管理程序有自己開發(fā)的，更多的是從網上下載和改裝的免費程序，注入式漏洞大量存在于網站的后臺管理程序中。這些都給二級網站的運行埋下了安全隱患。

3.網站管理方面的問題

從網絡管理中心的角度，不給予這些二級網站足夠的權限，會影響其正常運行。給其足夠的權限，服務器安全無法保證。由于多個網站共用同一臺服務器，一個網站的犧牲，可能意味著這臺服務器上所有網站的犧牲。網站本身在內存管理方面的缺陷也會停掉一臺服務器。

4.“信息孤島”問題

由于各個二級網站的設計是分別獨立進行的，其信息維護和數據庫也各自獨立，因此，二級網站之間，學校主網站群與二級網站之間，形成了事實上的“信息孤島”，信息無法有效流通，對整個學校整體上深入信息化形成制約。

5.二級網站被黑

近幾年來，鄭州大學發(fā)生了多起二級網站被黑掉的案例，攻擊者有我校的學生，也有外部的人員；有單個網站的犧牲，也有整臺服務器的犧牲。對此，我們也采取了一些措施，例如部分服務器視需要封掉fso權限、每個網站使用獨立的AppPool、按照網站的技術特點分服務器、使用服務器反向代理、安裝防火墻、禁止上載可執(zhí)行文件等，由于網站先天不足，無法從根本上解決二級網站的安全問題。

6.出現“死網站”

隨著二級網站的長期運行，網站的制作者，有的學生畢業(yè)了，有的公司倒閉了，有的教師崗位調動了。如此，由于大部分二級網站都缺少維護文檔，部分二級網站成為“死網站”，網站無人維護，信息無人管理，內容長期不更新，管理員賬號密碼丟失等。

7.校園網“定時炸彈”

2009年12月份的一天下午，突然大量校園網用戶反映無法正常訪問我校網站。經過跟蹤和調查，發(fā)現我校約有20%的用戶安裝了國內某免費安全軟件，只要安裝了該軟件的計算機均不能訪問我校的WWW3服務器群。該服務器群主要提供我校的新聞和公告服務，通過檢查六臺WWW3服務器，未發(fā)現異常。后經核實和分析，發(fā)現WWW3被該軟件列入了黑名單，從而導致安裝該軟件的計算機拒絕訪問W W W 3。

通過與該軟件所屬的公司聯系，對方反映是我們的WWW3下的一個小網站的幾個網頁有惡意代碼，因此將WWW3列入了黑名單。我們經過查實并迅速解決了該問題，然后要求該公司更新其黑名單庫，但其答復說不能馬上更新。鑒于這件事情對我校師生影響很大，我們連夜調整軟件和服務器，放棄了WWW3，換為其他域名，才使問題得以解決。第二天，該公司發(fā)布了新的黑名單庫，將W W W 3剔除了。

問題雖然解決了，先不討論這件事情誰是誰非，但的確使我們出了一身冷汗：原來我們的校園網埋了顆“定時炸彈”！這意味著，不管出于什么樣的原因，這個安全軟件隨時可以使我們的校園網絡用戶封掉我們的網站，隨時解除我們校園網用戶對我校網站的訪問權。進一步，從技術上講，安裝該軟件的計算機的信息也沒有秘密和安全可言，軟件的所有者可以隨時查看、復制或刪除其文檔。并且，從技術上，我們還沒找到很有效的辦法處理這種情況。作為校園網絡的管理者，對此感到非常被動和無力。

類似的“定時炸彈”在各個高校中都普遍存在，不知道什么時候會“爆炸”。在此寫出來，供大家思考對策。

8.域名劫持

今年1月12日發(fā)生的百度域名被劫持事件影響深遠。對各高校和教育科研網來說，在現有的DNS協(xié)議和體系下，這種危險性隨時存在。

校園網網站群安全對策

為了從根本上解決二級網站群的諸多問題，特別是安全問題，我們從2009年起著手實施二級網站改造升級工程。

開發(fā)或引進一套功能豐富的網站內容管理系統(tǒng)，由網絡管理中心集中維護管理，每個二級網站均作為該系統(tǒng)的一個用戶，通過選擇相應的網站模板，填寫一整套表單，來實現自己二級網站的建設和管理。從訪問者和網站管理者的角度，是個一個完全獨立的網站。從網站內容管理系統(tǒng)和網管中心的角度，是一個用戶的獨立空間和網站實例。所有的二級網站使用統(tǒng)一的的后臺管理程序和數據庫，信息交換格式統(tǒng)一。所有二級網站的管理人面對的是網站的數據和信息，而非文件和軟件，因此從根本上解決了網站的安全問題和“信息孤島”問題。同時，各二級網站的管理員僅僅是內容的管理者，而非技術方面的管理者，對網站制作、網站維護等沒有要求，只要是責任心強既可勝任此工作。

我們認為，實施該方案的關鍵有四個，詳述如下。

1.網站內容管理系統(tǒng)的功能必須足夠完善和靈活

使用戶在建設和管理自己的網站時，與原來的獨立網站模式相比，不會感到任何的不便。一個正常網站所需要的功能不能欠缺，例如計數器、網站Logo、留言簿、欄目定制、訪問統(tǒng)計、應用系統(tǒng)登錄、實名制網站論壇、站內搜索、友情鏈接等等。要能支持多種格式的內容，包括文字、表格、公式、圖片、動畫、音頻、視頻；并支持Word、Excel、PowerPoint、WPS、Html等格式的自動識別和轉換；支持基于文件的上傳和下載，并具備對這些文件進行惡意代碼和病毒檢測的能力。

2.網站模板和網頁模板足夠豐富

網站管理員只要愿意，能夠通過網站模板、網頁模板、欄目定制、風格選擇、色彩選擇、圖片定制等手段，表達出完全不相同的網站，網站多樣性不亞于老模式。由于網站模板和網頁模板均為專業(yè)制作，因此從美觀、界面、功能上應更優(yōu)于分頭制作的老網站。我們擬基于學校的整體網站風格，分門別類設計若干專用的二級網站模板。包括8個黨群機構網站模板、8個行政機構網站模板、6個人文院系網站模板、6個理工院系網站模板、3個醫(yī)科院系網站模板、2個綜合院系網站模板、7個科研機構網站模板、10個個人主頁網站、10個其它二級網站網站模板。每個網站模板均從欄目、布局、色彩、風格、圖片上區(qū)別于其它模板，具有足夠的差異性。

3.現有二級網站的內容集中轉移

新的二級網站平臺啟用后，需要將現有三百多個網站的內容轉移到新的二級網站平臺中，這是一項工作量較大的工作。若由各二級網站的管理者完成此工作，實施難度較大，進度難以控制。特別是包含數據庫的網站，需要技術人員轉移其數據。因此，我們擬集中人力，對三百多個網站的內容和數據進行集中轉移，全部完成后再將管理網站的賬號和密碼交給網站所屬的單位和個人，進行正常的內容更新。

4.與學校的門戶網站和統(tǒng)一身份驗證系統(tǒng)整合

為了徹底消除校園網站群的“信息孤島”，除了使二級網站內容管理系統(tǒng)與主網站群的后臺數據庫統(tǒng)一之外，還需要將二級網站的信息發(fā)布系統(tǒng)與學校的門戶網站實現整合。二級網站的信息發(fā)布后，發(fā)布者可以根據需要，申請將其信息提交給學校，由學校相關部門審核后，發(fā)布到學校門戶網站上。

二級網站內容管理系統(tǒng)與學校的統(tǒng)一身份驗證系統(tǒng)整合后，可以實現信息發(fā)布的普遍化，即每位教職工都可以使用自己的賬號申請發(fā)布信息，經過網站管理員的審核批準后即可發(fā)布到二級網站上。并可以實現信息的針對性發(fā)布，在發(fā)布時指定閱讀對象，只有符合條件的教職工或學生才可閱讀此信息。每個教職工和學生所看到的網站內容各不相同。各二級網站管理員的管理賬號也使用統(tǒng)一身份驗證系統(tǒng)中的賬號，由網絡管理中心統(tǒng)一管理。

總之，二級網站群的管理須從技術上集中，從內容上分散，才能徹底解決二級網站的安全問題。

（作者單位為鄭州大學網絡管理中心）

瑞典成全球信息化程度最高經濟體

世界經濟論壇3月25日發(fā)布報告稱，北歐國家名列今年世界上信息化程度最高的經濟體，瑞典則在這項名為“全球信息技術報告”的排名中位居首位，新加坡位于第二位，中國香港排名第八。

瑞典取代丹麥，坐上今年該報告的頭把交椅，丹麥則下降到第三位。其他北歐國家均躋身前十，其中芬蘭第六，挪威第十。新加坡進步明顯，排名從去年的第四位，提高到今年的第二位。

中國香港同樣排名大幅靠前，今年排名第八，而去年是第12位。

這個“信息化能力指數”顯示各國運用信息通訊技術的能力水平，主要測算指標包括各國的技術水平、國民運用信息技術能力、信息技術使用普及度等。