图片样式

网站群大平台建设保障web安全

背景资料

大连理工大学与我公司自2013开端协作,构建网站群树立项目。近4年以来,陆续树立了网站群、会议网、教员个人主页三套通用平台,分别处置信息发布、会议管理和个人主页三类网站树立需求,为学校网站的统一安全管理及信息化水平的整体提升提供了极大辅佐。

大连理工大学网站安全树立展开过程

2002年之前

由于网络资源少,学校鼓舞各类网站的树立,当时的校园网给普通用户提供了开放的互联网实IP地址,在管理上仅展开了域名注销管理。

2007年

校内网站树立进入“大跃进”阶段,校内各部门、院系、科研机构以致项目组、个人都纷繁树立各自需求的网站,网络中心也适时地推出数据中心效劳,并在2007年中止了虚拟化升级,处置了数据中心的技术和资源瓶颈,同时在网站树立技术上对校内中止了一定引导、树立了相应的技术规范。

2010年

随着网站数量越来越多,近千个Web网站和Web应用其运用的开发言语及软件环境五花八门、开发人员素质良莠不齐、运维人员严重缺乏,而学校又缺少信息安全相应的资金、设备,网络中心管理职能缺乏,校内网站的安全树立和管理基本处于濒临失控的状态。

 从2010年起,校内网站安全问题日益突出,网站安全事情数量占网络信息事情总数量比例居高不下,成为学校网络信息安全工作研讨处置的主要问题之一。

2011年

开端经过多方调研及技术分析,并根据信息化树立趋向提出了保证安全、统一管理、数据共享、信息公开的网站树立基本准绳,并明白了经过树立通用“大”平台来处置这类零散“小”网站的问题。

2013年

首先树立了网站群平台,启动了校内各类网站的迁移工作,并开端制定相应的管理规则,从技术和管理两方面来规范校内网站树立,树立校内网站的安全防护体系,保证网站安全,提升校内信息化整体安全水平。


网站平台安全树立方案

新的网站树立方式采用了SaaS云平台思绪

从应用角度对校内的Web网站中止了分类,针对不同类型的网站树立通用云平台。

网络与信息化中心担任通用平台的统一树立、运维及安全保证,明白了安全职责。

同时通用平台大大减少了系统数量,网信中心也可以集中肉体将平台的安全防护做深做实,只需保证平台的安全无需对各网站投入更多肉体。

基于平台的网站树立还基本消弭了技术门槛,功用的模块化、操作的可视化,使得网站开发人员无需太多编程才干就可以快速完成网站树立,也无需思索开发中的安全问题。

网站群平台自身的安全

在网站群平台产品选择上对安全有一定恳求,目前学校运用的网站群产品自身曾经经过信息安全等级维护三级检测,抵达一定安全水平。

网站群平台采用了目前主流的静态网页发布技术,从根本上处置了传统网站树立中动态页面存在的各种漏洞。

同时启用了网站群平台的网页防窜改、Web应用防护等技术安全伎俩,对网站中止实时监控和防护。学校网站群的网页防窜改模块将数字水印技术和央求攻击检测技术直接内嵌到Web发布效劳器内部,并辅助以增强型事情触发检测技术,彻底处置网页防窜改问题。

另外,网站群平台还提供针对单个网站的地址访问控制功用,可以对网站的敏感信息手工配置IP访问范围。

分布式部署,保证效劳器安全

立了开发、管理、发布三套独立的效劳器,分别担任网站开发树立、网站的日常管理维护、网站页面的发布,关于三类效劳器分别制定了不同的访问控制战略战争安防护战略,从而划分出不同的安全域,对权限、网络通讯等均中止限制或隔离。

访问控制上,经过校园网路由器中ACL设置,将开发和管理效劳器严厉限制在校内访问,仅开放平台访问端口;发布效劳器除开放Web访问端口,仅开放与管理效劳器的通讯;其他的数据库(DB)、存储(Store)等相关设备严厉按照最小通讯准绳限制访问。

开发效劳器仅用于网站的树立开发,不与其他两类效劳器直接通讯,网站开发人员在开发效劳器完成网站树立后,由网站群平台管理员将网站包导入到管理效劳器中并发布,网站中止严重调整时也要在开发效劳器中止,避免了网站开发、调整对现有网站的影响,更重要的是可以避免开发人员对网站的恣意修正或误操作,从技术上降低了人员安全风险。

管理效劳器采用负载均衡集群构架,保证管理平台的高可用性和可扩展性,在集群中中止了区域划分,将学校主页、新闻网等重要网站单独划分区域,避免其他网站对重要网站的影响。

发布效劳器采用多效劳器群方式,按照网站重要性、访问量等中止综合分类,分别发布到不同效劳器中,对重要网站中止重点保证,也基本保证了负载的均衡分布。

对人员访问权限中止严厉区分

运维审计系统-堡垒机不只仅可以对设备、效劳器的远程操作(如远程桌面、SSH、Telnet等)提供统一登录工具,还可以对Web应用、数据库远程管理工具(如PLSQL等)等效劳经过应用发布方式中止统一访问。更重要的是,堡垒机具有完善的审计功用,记载一切的运维操作,可经过视频、文本等多种方式重现,还可以预先定义非法的恶意操作,经过审计系统实施监控诉警并阻断,从而规范和监视运维操作。

目前大连理工大学网站群平台效劳器的远程运维必需提供堡垒机,由网信中心专人及厂商共同完成,具有效劳器运维权限。

网站群平台管理员由网信中心专人担当,具有平台的超级管理权限,担任平台其他人员权限的分配,担任将开发完的网站从开发效劳器导出到管理效劳器并配置发布。

网站管理员仅有管理效劳器中相关网站的管理权限,必需是校内在职教工,必需经过学校统一身份认证登录。

网站开发人员,仅有开发效劳器权限,可以是第三方技术人员,开发人员账号都是暂时账号,网站开发完成后,将清算此类账号。平台管理员、网站管理员、网站开发人员的角色权限区分经过学校统一身份认证系统完成,未来计划其远程操作也经过堡垒机统一完成,并由堡垒机统一审计。

施行两级备份战略

在虚拟化平台中运用特地的虚拟化备份软件定期对效劳器中止备份,当效劳器呈现缺点时,可快速恢复效劳器主机。同时树立备份效劳器,可经过网站群平台将平台中各网站备份到备份效劳器中,当单独网站呈现缺点时可经过备份效劳器快速恢复单个网站。

同时在校园网、数据中心也启用了相应的安全措施,来辅助保证网站群平台安全。比如校园网出口路由器从2015年起对普通用户IP地址中止了限制,不得对外提供效劳;数据中心虚拟化平台启用了高可用机制;数据中心部署统一的虚拟化安全防护系统,集中处置杀毒、防火墙、日志检查等安全问题;部署WAF做进一步的Web应用层防护等。

强有力的网站管理制度

组织机构与人员保证

学校除了树立了网络安全与信息化树立管理委员会及网络与信息安全工作组等校内网信息安全指导、管理机构;还明白了网络与信息化中心作为执行机构,担任校内网站安全树立的组织工作;而各单位的信息化担任人为单位主管网站的主要担任人,担任本单位各网站安全工作的组织与监视;各网站注销的担任人、管理员则为网站安全的直接义务人。经过明白的机构和人员配备,将网站安全义务落实到地、细致到人,保证网站安全工作的顺利推进。

制度树立

从2013年新的网站树立方式开端实行起,别离信息化树立,学校制定了一系列制度,以校规的方式确保网站安全工作的展开。

关于以上技术措施和管理制度还要辅以有力的宣传推行,才干在校内真正展开起来,一方面做好效劳、宣传与培训,让校内网站的管理方、运用方真正认识到安全的重要性以及新平台的技术优势和运用的便利性,愿意运用新平台;

另一方面要坚持准绳、令行遏止,关于不按照管理制度树立的网站坚决关停。经过几年的大平台的树立,校内网站安全取得了一定效果,到2017年4月,校内对外效劳的网站曾经全部迁移到网站群等大平台中。同时网站安全事情数量明显降落,产生负面影响的入侵事情大幅减少,更多的是经过各类渠道检测到的安全漏洞等预警信息。

未来网站安全树立想象

移动端的安全

移动应用曾经成为信息化展开的趋向,目前学校各类网站的移动版曾经开端树立,但关于移动端的安全目前还是树立的短板,需求尽快加强跟进。

进一步推进制度完善

进一步加强管理,比如网站的年审退出制度、管理人员更新机制等等都需求树立并推进。

高校网站作为高校信息化树立的重要组成部分和最直接的成果展示,与信息化树立一样都是长期的任务,只需不时地更新技术、树立顺应形势的管理制度才干保证网站的安全,推进高校网站树立的安康展开。