农业科学院门户网站管理及安全防护

农业科学院门户网站管理及安全防护

摘要:简述了甘肃省农业科学院内部门户网站安全保护管理机制、主要安全防护措施及远程渗透安全测试、具体安全防护措施等问题。

关键词:网络安全;远程渗透;安全测试

2017年5月12日全球范围内爆发的WannaCr新型“蠕虫”式勒索病毒,有150个国家和地区的数万台电脑遭该勒索病毒感染,造成损失达80亿美元。随着大数据应用的爆发性增长,大数据衍生出独特架构,并推动存储、网络及计算机技术的发展,同时也引发了许多新的安全问题。国际社会已经将大数据安全列入国家信息网络安全战略,国内学术界、信息安全界、产业界也正逐步关注大数据的发展。云计算、大数据、移动互联网、人工智能等互联网新技术的迅速发展,对科研产生了深远的影响。为促进农业科研运用新技术、优化科研服务方式,提高院所的科研管理水平和工作效率,促进科技成果转化和推广,甘肃省农业科学院门户网站将科研信息管理平台、图书管集成管理系统、国家科技示范转移平台及文献资源平台等数据集中存储、智能化管理,大大推进了信息化建设进程。目前,数据信息已经是网络上最宝贵的资源,但由于网络自身所具有的开放性和自由性等特点,网络安全防护成了门户网站数据安全的基础保障。

1门户网站概况

甘肃省农业科学院门户网站始建于1999年,在全省乃至全国也是当时为数不多的涉农网站之一。是以互联网技术为依托,以农业政策、农业科技、农业产业信息等为主要内容,为促进农业现代化发展为目标而建设的网站。是展示甘肃省农业科学院形象、拓宽农业信息传播途径、服务农业科研的重要平台[1]。

2门户网站安全保护管理机制

2.1网站备案

2.1.1网站ICP备案

网站ICP备案管理体系是网站建设中的一部分,备案是国家工信部的规定要求,主要是为了规范网络安全化,维护网站经营者的合法权益,保障网民的合法利益。备案可提升网站可信度、访问速度快、不容易被封。

2.1.2网站公安部门备案

依托公安部门网络与信息安全部门的统一监测,实现及时预警、快速处置、同期取证、加固防范等工作流程,提高对网络安全事件的应急处置和打击防范的整体工作能力[2]。

2.2建立网络安全管理领导小组负责制度

根据甘肃省省委网信办《关于对全省党政网站集中开展安全检查的紧急通知》精神,甘肃省农业科学院网络安全与信息化领导小组确定主管领导和具体联络人,明确检查要求,认真开展自查。坚持“谁主管谁负责,谁运行谁负责,谁使用谁负责”的管理原则,落实管理体系,管理机构和管理职责[3]。规范网站建立、、变更与关闭的审批流程,明确内容建设与管理要求,包括信息保护的要求。严格网站备案、漏洞管理和安全事件的应急处置,制定网络见色号管理的奖惩机制。

2.3软硬件安全防护配置

为了加强科研单位网站安全运行,采取了防攻击、防篡改、防病毒等安全防护措施,并制定了应急处置预案。硬件配备有防火墙以及备用服务器,软件有日志管理系统及病毒防护软件至少2套,网站备份系统1套,以保证网站安全运行。同时对重点网站进行重点防护,高频次进行网站安全扫描和日常监测,通过不断的扫描,主动发现安全隐患并整改,来提升网站的整体安全性。这些工作已常态化,不能寄希望于突击检查来解决问题。

2.4建立网站运维管理制度

根据《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网电子公告服务管理规定》,制定了《甘肃省农业科学院局域网络安全管理办法》、《甘肃省农业科学院局域网安全管理办法》、《甘肃省农业科学院网络管理服务办法》、《网络中心工作人员守则》等内部网站运维管理制度,来具体分工落实网站运行维护管理。

3门户网站主要安全防护措施

3.1物理安全

网络中心重要区域配置电子门禁系统,以控制、鉴别和记录人员访问事件。机房内安装对水敏感的检测仪表,避免机房设备、设施因水患威胁发生事故。机房供电采用冗余供电方式,建立备用供电系统,避免因电力中断对系统造成影响。

3.2网络安全

为了防止非法信息进入网络内部,对进出网络的信息内容进行过滤。重要网段采取技术手段防止地址欺骗,防止因访问非信任网络资源引入安全风险。对内部网络用户私自联到外部网络的行为进行监查,防止内部用户被操控或被植入恶意代码对系统造成破坏。对网络设备的运行日志记录进行分析,审计报表记录文档,直观对审计记录进行查询分析,便于管理员及时准确地了解设备运行状况和发现网络入侵行为。对设备管理员的登录地址进行限制,防止误操作及被非授权用户恶意操作。对用户管理操作权限进行划分,防止误操作及被非授权用户恶意操作。所用设备均对同一用户采取两种及两种以上组合的身份鉴别方式进行身份鉴别,防止用户身份被冒用的风险。

3.3主机安全

启用登录失败处理功能,防止恶意用户通过反复输入密码猜测用户密码的安全隐患。实现操作系统和数据库系统特权用户的权限分离,避免出现权限漏洞而使一些高级用户拥有过大的权限。合理配置安全审计功能,有效检查和防止虚假数据和欺骗行为,保障计算机系统本地安全和网络安全。设置登录终端的操作超时锁定,防止被恶意用户利用或被其他非授权用户利用的可能性,有效保证系统安全的可控性。

3.4应用安全

合理配置访问控制策略,保证应用系统被合法地使用。通信过程中的敏感字段采取加密措施,防止重要信息泄露。对空闲会话时间进行限制,防止大量网络资源和系统资源被恶意用户占用。采取相应技术措施防止鉴别信息的存储保密性,防止重要信息泄露。

3.5数据安全与备份恢复

采取技术措施防止鉴别信息的存储保密性,以免造成数据泄露。重要数据提供异地备份功能,当本地系统发生灾难性后果不可恢复时,可利用异地保存的数据对系统数据进行恢复。

4门户网站远程渗透安全测试

渗透测试工作往往作为风险评估的一个重要环节(图1),为风险评估提供重要的原始参考数据。渗透测试由具备高技能和高素质的安全服务人员发起,并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解系统所面临的威胁。对于客户而言,渗透测试可以带来以下收益。一是明确安全隐患点。渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,对整个网络产生威胁,以此明确整体系统的安全隐患点。二是提高安全意识。任何隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。三是提高安全技能。在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供解决当前流行安全问题的参考。

5信息审核机制

5.1领导审核

根据安全和保密工作的要求,制定了网站信息严格程序。按照党管宣传的原则,先由供稿单位党组织审核后,再提交党办、院办主要负责人把关审核,最后由网站承办单位主要负责人审核方可上网,从审核程序上确保了信息对于安全、保密的要求。网站主页新闻应围绕院所中心工作,坚持正确的舆论导向,坚持贴近实际、贴近生活、贴近科研、贴近服务“三农”、贴近职工的原则,全面及时准确地报道科研改革与发展的新举措、新成就,展示科技人员良好的精神风貌,为科研院所发展提供良好地舆论环境。的稿件须经本单位主管宣传的县(处)级领导审阅并签字,正文后面必须注明文(图)作者姓名、联系电话和来稿单位。无作者、无审核人、无标题的“三无”稿件不予采用。

5.2管理员审核

门户网站设有各级管理员账户、权限和口令设置,由系统管理员全面负责,采用实名制原则。并设有加密机制,3个月修改密码1次,保证后台账号安全。口令密码设置采用多种字符和数字混合编制,要有足够的长度(至少8位以上),并定期更换,以有效地破解攻击。

6结束语

科研单位的网站是科技创新、成果推广的“窗口”。网站安全是一个系统的工程,要加强统筹规划,不断深入研究安全保障技术,将安全理念始终贯穿于网站整个生命周期[4]。不能仅依靠杀毒软件、防火墙、漏洞检测等各种各样的安全产品,还要仔细考虑系统的安全需求,注重树立用户的计算机安全意识,将各种安全技术结合在一起,才可能防微杜渐,把可能出现的损失降到最低点,建立一个高效、通用、安全稳定的网络系统[5]。

参考文献:

[1]马海霞,杨城.甘肃省农业科学院网站数据迁移重建实践与特点[J].甘肃农业科技,2017(12):73-76.

[2]樊荣.网络安全检查常态下政府网站面临的安全状况分析[J].科学与信息化,2018(7):51-57.

[3]张健,常青,王琚,等.政府网站安全问题的研究[C].第三届全国信息安全等级保护技术大会论文集,[出版社:不详],[出版地:不详],2014:509-513.

[4]宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社,1999.

[5]陈晓刚.浅谈门户网站安全防护措施[J].中国电子商务,2013(18):26.

作者:马海霞 单位:甘肃省农业科学院农业经济与信息研究所