引言： 學校門戶網(wǎng)站已成為宣傳學校新手段新方法，可以代表學校形象,網(wǎng)站各種安全隱患常常被一些不法分子利用,因此，必須充分認識加強信息安全體系建設的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

互聯(lián)網(wǎng)技術迅猛發(fā)展，帶動教育信息化快速前行，學校均通過建立自己的門戶網(wǎng)站，用于展示校園文化、教師風采、學生風貌、教育理念等，成為學校對外宣傳、形象展示和溝通交流的平臺，實現(xiàn)學校對外聯(lián)系的信息化和網(wǎng)絡化，從而提升學校對外形象，提高軟實力，增強綜合競爭力。

門戶網(wǎng)站安全管理的重要性

學校門戶網(wǎng)站已成為宣傳學校新手段新方法，可以代表學校形象，具有其他商務網(wǎng)站無法比擬的嚴肅性和權威性。由于網(wǎng)站建立在完全開放的互聯(lián)網(wǎng)上，各種安全隱患常常被一些不法分子利用，學校越有名受不法分子利用的可能性就越大，其對網(wǎng)站進行惡意操作，如網(wǎng)頁被篡改、被上傳病毒、掛木馬、論壇發(fā)布不當言論等，導致安全事件，造成門戶網(wǎng)站無法正常工作，嚴重影響學校相關工作的順利進行，從而影響到學校的形象。政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點目標，學校網(wǎng)站也出現(xiàn)多次被攻擊現(xiàn)象，安全漏洞是重要信息系統(tǒng)遭遇攻擊的主要內(nèi)因。因此，必須充分認識加強信息安全體系建設的重要性和緊迫性，高度重視網(wǎng)站的信息安全管理工作。

信息系統(tǒng)安全等級保護制度

近年來，我國對信息系統(tǒng)實施信息系統(tǒng)安全等級保護制度，為網(wǎng)站信息安全管理提供了一套切實可行的辦法。信息安全等級保護制度是開展信息安全工作的基本方法,促進信息化、維護國家信息安全。

信息和信息系統(tǒng)的安全保護等級共分五級： 第一級為自主保護級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益。第二級為指導保護級，適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害。第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害。第四級為強制保護級，適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害。第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害。中小學門戶網(wǎng)站一般定級為二級，對于二級標準，國家有著嚴格的建設標準，中小學門戶網(wǎng)站管理者應該嚴格按照信息安全等級保護制度所規(guī)定的級別進行建設與管理，執(zhí)行國家法律法規(guī)要求。

學校門戶網(wǎng)站信息安全管理現(xiàn)狀

學校門戶網(wǎng)站的管理者是重網(wǎng)站發(fā)布信息內(nèi)容，輕信息安全管理，主要表現(xiàn)在五個方面：

1.網(wǎng)站存放的軟硬件環(huán)境不符合安全要求

學校管理者目前對學校門戶網(wǎng)站有深刻認識，但對信息安全管理卻大大滯后于網(wǎng)站內(nèi)容管理。網(wǎng)站存放的軟硬件不達標，機房無法滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應要求。網(wǎng)站存放的操作系統(tǒng)及網(wǎng)站軟件存有漏洞，系統(tǒng)訪問策略設置容易造成網(wǎng)站受到攻擊。

2.網(wǎng)站安全管理制度欠缺

就本地區(qū)學校調(diào)查，多數(shù)學校對信息安全管理制度建立空缺，或者所建立的安全管理制度沒有實質(zhì)的可操作性，只是為應付檢查所設立，對制度的制定與發(fā)布流程、方式和范圍均沒有詳實表述，制度制定完成后沒有任何后續(xù)工作，而是直接束之高閣。

3.網(wǎng)站安全管理機構形同虛設

學校管理者建立的信息安全管理機構只是一個機構，按規(guī)定配備了安全管理崗位人員，但崗位人員對崗位安全管理職責無論是理論知識還是實踐經(jīng)驗都欠缺，有的崗位人員只是一個掛名，無法真實的履行自己的工作職責。同時，學校管理人員發(fā)生變動后，管理機構的人員仍舊為以前人員，沒有進行及時變更，造成空窗期。

4.網(wǎng)站管理人員管理放縱

針對網(wǎng)站進行操作人員沒有專門指定，隨意授權人員進行操作，操作沒有正式記錄與操作工作流程，知曉網(wǎng)站相關操作密碼就可以進行各種權限操作，造成多種人員輕易就操作到網(wǎng)站內(nèi)核及所在的物理設備。

5.網(wǎng)站運維管理空白

學校門戶網(wǎng)站建成投入使用后，只有少數(shù)人員對網(wǎng)站內(nèi)容進行不定期管理，而網(wǎng)站其他的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等都沒有。當受到攻擊后，無法及時進行有序處理，通常手忙腳亂狀態(tài)。

完善學校門戶網(wǎng)站信息安全管理體系

信息系統(tǒng)安全等級保護制度已經(jīng)確立了一套完整的信息安全管理體系，它依據(jù)信息系統(tǒng)的安全保護等級情況保證它們具有相應等級的基本安全保護能力，不同安全保護等級的信息系統(tǒng)要求具有不同的安全保護能力。每一級別均有針對自己的基本安全要求，根據(jù)實現(xiàn)方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大方面?；炯夹g要求從物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理幾方面提出，二者為不可分割兩部分。學校門戶網(wǎng)站應該嚴格按照等級保護所提出的五個級別進行準確定級，獲得相關部門批準后，嚴格落實等級保護所確認的級別標準要求，完善學校門戶網(wǎng)站的信息安全管理體系。網(wǎng)站的管理者應該重點強化關注六個方面：

1.網(wǎng)站存放的物理環(huán)境

網(wǎng)站存放的物理環(huán)境，機房出入應該專人負責，控制、鑒別和記錄進入人員；機房滿足防盜竊、防破壞、防雷擊、防火、防水、防潮、溫濕度控制、電力供應。網(wǎng)絡結構安全，設備滿足業(yè)務能力，帶寬滿足業(yè)務，網(wǎng)絡邊界部署訪問控制設備，建立訪問控制列表。網(wǎng)絡設備具有防護能力。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)有身份識別，依據(jù)安全策略控制用戶對資源的訪問，限制默認用戶的訪問權限，刪除多余、過期賬戶。具有入侵防范和惡意代碼防范功能。對登錄用戶進行身份鑒別，提供訪問控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的訪問，采用給定通信會話方式保護通信完整，具有軟件容錯功能。能夠檢測到重要用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，就對重要信息進行備份和恢復。

2.安全管理制度方面

安全管理制度應在信息安全領導機構總體負責下統(tǒng)一制定，制定過程中要進行論證和審定，內(nèi)容滿足基本技術要求和基本管理要求，涵蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、管理等多個方面。同時，制度的制定要做到具有切實可行的可操作性。發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時，可以按照制度進行操作，結束后要對安全管理制度進行重新審定，對需要改進的制度進行修訂。

3.安全管理機構方面

學校門戶網(wǎng)站投入運行前，要設立指導和管理信息安全工作專門機構，機構人員要由單位主管領導委任或授權人員擔任。通過正式文件明確安全管理機構的職責，不能出現(xiàn)只有機構而無人落實具體工作的情況。機構內(nèi)部設立安全管理各個方面的負責人，如系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，明確崗位職責分工。學校人員短缺可以進行部分崗位交叉兼任。嚴管安全管理機構內(nèi)部的審批權限，重視管理制度的制定和發(fā)布、人員的配備與培訓、產(chǎn)品的采購等。組織定期對網(wǎng)站信息系統(tǒng)進行安全檢查，留存安全檢查報告、檢查過程記錄、審計分析報告、安全檢查表格等必備的書面材料。

4.人員安全管理方面

錄用人員時，要對人員的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，錄用后與其簽署相關協(xié)議，明確說明工作職責，確保錄用的安全管理和技術人員有能力完成工作職責。人員離崗時，及時終止其所有訪問權限，收回工作門禁卡，交接所負責的資產(chǎn)，必要時要求離職人員承諾相關保密義務，及時更換所掌握密碼。其次，定期對各個崗位人員進行安全技能及安全知識的考核，對違背安全策略和規(guī)定的人員有明確的懲戒措施并落實到位。再次，定期開展人員安全意識教育和培訓，預先制定教育培訓計劃并抓好落實。對外部人員訪問采取合理的管理措施并要求保密。

5.系統(tǒng)建設管理方面

網(wǎng)站建設初期就要有安全方案設計，由專門部門及專門人員對門戶網(wǎng)站的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃，根據(jù)門戶網(wǎng)站確定的安全級別選擇基本安全措施，依據(jù)風險分析的結果補充和調(diào)整安全措施。同時，根據(jù)門戶網(wǎng)站確定的級別要求，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案等，在制定過程中要組織有關部門和安全技術專家對其進行論證和審定，并根據(jù)安全測評、安全評估的結果定期調(diào)整和修訂總體安全策略、安全技術框架、安全管理策略等配套文件。在產(chǎn)品采購上，指定專門部門負責產(chǎn)品的采購，產(chǎn)品選擇應優(yōu)先選擇通過國家認定的安全產(chǎn)品。

6.系統(tǒng)運行維護管理方面

嚴格按照建立時制定的安全策略，對服務器進行正確配置，按操作規(guī)程對服務器進行操作，對軟硬件維護制度化管理，建立服務器的操作日志，定期檢查管理情況。監(jiān)控網(wǎng)站服務器的各項資源指標，如 CPU、內(nèi)存、硬盤等使用情況，明確門戶網(wǎng)站所涉及內(nèi)容由誰負責運行維護，專人保管系統(tǒng)運行所產(chǎn)生的各類文檔。網(wǎng)絡安全專人負責，定期查看維護網(wǎng)絡運行日志、監(jiān)控記錄和分析處理報警信息等網(wǎng)絡安全管理工作。按照國家相關管理部門規(guī)定，劃分安全事件種類，按對網(wǎng)站的影響程度劃分等級，發(fā)現(xiàn)安全線索和可疑事件時要求及時報告，使安全事件的報告和響應處理過程制度化、文檔化。制定有針對性的應急預案，內(nèi)容覆蓋什么時候啟動預案、應急處理流程、系統(tǒng)恢復流程和事后評估內(nèi)容，對網(wǎng)站相關的管理人員進行應急預案培訓，成立應急預案小組，并不定期對應急預案進行演練。