一、 高校信息系統(tǒng)與網(wǎng)站存在的問(wèn)題

1、相關(guān)人員安全意識(shí)不夠，有以下情況：

（1）全權(quán)委托公司管理，完全按公司要求做，有的公司對(duì)安全重視，有的公司人員為方便遠(yuǎn)程控制，留了后門(mén)。

（2）發(fā)生網(wǎng)絡(luò)信息安全事件，不重視，認(rèn)為只要不影響工作就可以了，如：服務(wù)器被黑后應(yīng)立即斷網(wǎng)，有些部門(mén)以妨礙正常工作為由，拒絕斷網(wǎng)，并拒絕配合處理。

（3）部門(mén)建設(shè)網(wǎng)站委托學(xué)生管理網(wǎng)站或應(yīng)用系統(tǒng)，學(xué)生畢業(yè)后無(wú)人管理。系統(tǒng)或網(wǎng)站開(kāi)通后，長(zhǎng)期無(wú)人管理，系統(tǒng)被篡改甚至數(shù)據(jù)泄露亦不知。

（4）應(yīng)用系統(tǒng)程序安裝前未經(jīng)安全檢測(cè)。

（5）對(duì)發(fā)布的信息把關(guān)不嚴(yán)，致使包含身份證號(hào)碼、學(xué)號(hào)工號(hào)、手機(jī)號(hào)碼等敏感信息，甚至涉密內(nèi)容發(fā)布到網(wǎng)絡(luò)。

（6）網(wǎng)站的操作系統(tǒng)與數(shù)據(jù)庫(kù)的一些安全補(bǔ)丁未能及時(shí)更新，使用的開(kāi)發(fā)技術(shù)與系統(tǒng)存在一些漏洞。

2、服務(wù)器未統(tǒng)一集中管理，部門(mén)自建機(jī)房，或?qū)⒎?wù)器放在部門(mén)內(nèi)，但均缺乏安全防護(hù)設(shè)備，如IPS防火墻、WEB防火墻。服務(wù)器操作系統(tǒng)未啟動(dòng)系統(tǒng)防火墻、未安裝防病毒軟件、開(kāi)放大量端口、安裝遠(yuǎn)程控制軟件、未設(shè)置好用戶(hù)權(quán)限，這些服務(wù)器一旦接入外網(wǎng)，極其容易被黑客攻擊。

3、存在一部分僵尸服務(wù)器、僵尸系統(tǒng)、僵尸網(wǎng)站，網(wǎng)站或應(yīng)用系統(tǒng)已經(jīng)不用了，服務(wù)器卻一直接入外網(wǎng)。

4、相關(guān)部門(mén)對(duì)涉及學(xué)校重大業(yè)務(wù)的應(yīng)用系統(tǒng)信息安全重視不夠，系統(tǒng)的補(bǔ)丁未能及時(shí)更新，導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生，如某應(yīng)用系統(tǒng)，黑客留言收費(fèi)修改成績(jī)，學(xué)生成績(jī)數(shù)據(jù)泄露；某信息管理系統(tǒng)，學(xué)生數(shù)據(jù)泄露；某部門(mén)多臺(tái)服務(wù)器被植入木馬，成為黑客攻擊其他服務(wù)器的肉雞或跳板。

5、應(yīng)用系統(tǒng)使用弱口令，如123456、123123、666666、admin等，易被黑客猜解，造成上傳木馬、信息泄露、信息篡改，這種現(xiàn)象時(shí)有發(fā)生。

二、 提高網(wǎng)絡(luò)信息安全應(yīng)采取的措施

1、加強(qiáng)網(wǎng)絡(luò)信息安全意識(shí)，落實(shí)安全責(zé)任制。服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)站誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)，誰(shuí)管理誰(shuí)負(fù)責(zé)，明確責(zé)任人。不得發(fā)布敏感信息、涉密信息，發(fā)布內(nèi)容部門(mén)領(lǐng)導(dǎo)審核。

2、去除不必要的組件，停掉非必要的服務(wù)，只開(kāi)放必要的端口，如：網(wǎng)頁(yè)訪(fǎng)問(wèn)端口80，郵件端口SMTP 25、POP3 110。如確實(shí)需要開(kāi)放，應(yīng)即開(kāi)即用，用完關(guān)閉，如FTP端口21。

3、不能安裝TeamViewer PCanywhere 等遠(yuǎn)程控制軟件，非必要時(shí)不允許遠(yuǎn)程。

4、不能在服務(wù)器上調(diào)試，服務(wù)上的程序和數(shù)據(jù)庫(kù)必須是經(jīng)過(guò)測(cè)試無(wú)誤安全的、完備的、無(wú)誤的。開(kāi)發(fā)公司應(yīng)在安裝前提交應(yīng)用系統(tǒng)安全檢測(cè)報(bào)告。

5、服務(wù)器上不能安裝不必要的軟件，除了必須的應(yīng)用程序運(yùn)行環(huán)境外，不能安裝其他任何應(yīng)用軟件。

6、將遠(yuǎn)程桌面的3389、 22端口更改，并且需要遠(yuǎn)程時(shí)開(kāi)放，不允許長(zhǎng)期開(kāi)放。

7、服務(wù)器密碼和應(yīng)用系統(tǒng)要強(qiáng)健，應(yīng)為多字符組合，且不能少于16位。數(shù)據(jù)庫(kù)中不得存放密碼明文。

8、服務(wù)器上應(yīng)關(guān)閉不必要的賬戶(hù)，不得將系統(tǒng)管理員賬號(hào)密碼告知他人，包括公司安裝調(diào)試人員，如確實(shí)需要，應(yīng)開(kāi)設(shè)臨時(shí)賬號(hào)，用完即刻停掉。并做好登記。

9、應(yīng)將服務(wù)器用戶(hù)權(quán)限設(shè)置好，禁止應(yīng)用程序目錄權(quán)限為everyone可讀寫(xiě)，權(quán)限設(shè)置應(yīng)遵循最小化原則，給予滿(mǎn)足運(yùn)行條件的最小權(quán)限。

10、數(shù)據(jù)庫(kù)與應(yīng)用不在同一臺(tái)服務(wù)器上時(shí)，數(shù)據(jù)庫(kù)應(yīng)置于內(nèi)網(wǎng)地址，不能對(duì)外網(wǎng)開(kāi)放1433 3306等數(shù)據(jù)庫(kù)端口。

11、委托公司人員調(diào)試程序時(shí)，能到本校盡量到本地安裝，如確實(shí)需要遠(yuǎn)程，應(yīng)即開(kāi)即用，用完即停，并且做好登記。

12、應(yīng)及時(shí)更新服務(wù)器系統(tǒng)、打好補(bǔ)丁，修復(fù)系統(tǒng)漏洞。發(fā)現(xiàn)黑客入侵、中毒、感染木馬，應(yīng)第一時(shí)間斷開(kāi)網(wǎng)絡(luò)，但不得關(guān)機(jī)或重啟，上報(bào)網(wǎng)絡(luò)中心。

13、網(wǎng)絡(luò)中心定期對(duì)服務(wù)器做安全檢測(cè)，發(fā)現(xiàn)問(wèn)題通知整改，逾期未按要求整改，網(wǎng)絡(luò)中心有權(quán)停止網(wǎng)絡(luò)接入服務(wù)。

14、服務(wù)器托管、虛擬服務(wù)器開(kāi)設(shè)，應(yīng)明確用途，明確時(shí)間，逾期應(yīng)關(guān)閉或下架。

15、服務(wù)器管理人員應(yīng)定期備份程序、數(shù)據(jù)庫(kù)、系統(tǒng)日志至本地，應(yīng)保存至少6個(gè)月。