关于学校二级网站整改的通知

发布时间:2011-05-31 来源:中国药科大学 作者: 浏览次数:2429

 

各院系、部门:
       根据《教育部办公厅关于开展信息系统安全等级保护工作的通知》等相关文件的要求,我校今年将全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题必须及时整改。国家对信息安全工作加大了监管力度,对网站安全方面尤其重视,凡有重大事件、活动都要求网络信息部门对网站进行安全检查和24小时监控。为此,我校也对主页以及二级网站采取了安全检测。在检测的过程中,发现各院部网站存在大量的安全问题,诸如:挂马、黑链,数据库注入等,都为学校网络信息安全埋下隐患。为了进一步加强与防范学校各二级网站的安全,现将有关事项通知如下:
一 部门网站目前存在的问题:
1.网站架构过于简单,大多采用ASP+ACCESS的方式,ASP安全性很差,很容易遭到攻击;ACCESS数据库的密码算法过于简单,很容易被破解。
2.网站架构混乱,部分网站采用混搭模式,前台页面采用ASP部署,后台却用asp.net部署,网站的稳定性很差,经常出现IIS假死现象。
3.目前,大多数部门网站后台是用免费模板搭建的,免费模板本身存在着安全漏洞,甚至存在木马或恶意代码,给网站安全带来了很大的威胁。
4.网站后台管理功能不完善,部门网站的信息更新依赖于FTP功能,FTP账号和密码的外泄严重影响了整个服务器的安全。
5.部分网站都有SQL注入,跨站脚本攻击的漏洞。
6.相当数量的部门网站被黑客挂广告链接代码,严重影响学校的形象。
二 网站整改的要求:
1. 总体要求:网站结构清晰,版块编排整齐美观,风格统一。
2. 网站架构:处于安全考虑,学校服务器不再支持ASP页面和ACCESS数据库。学校服务器仅支持ASP.NET+MSSQL2000架构,和.NET2.0框架。
3. 学校服务器不再支持动易插件和POWEREASY等第三方插件。
4. 网站后台管理功能要健全,服务器不再开放FTP功能,要求整改后的网站带有完整后台管理功能。
5. 网站本身要提供网站数据的备份功能,网络中心只负责系统的备份,不负责各部门网站数据的备份,所以要求整改后的网站自身要提供网站数据备份功能。
6. 按照公安部的要求,每个部门网站要到网络中心进行网站备案登记。
7.网站如需提供的论坛和留言功能必须到网络中心申请方可开通。
三 整改建议:
出于美观与安全的考虑,建议各部门聘请专业公司对网站进行制作整改。现将各种情况建议如下:
1.若整改后的网站仍采用ASP页面和ACCESS数据库,部门可考虑自备服务器,到网络中心托管,新服务器托管最长时间为5年。
2.若整改后的网站采用ASP.NET+MSSQL2000架构,可继续由网络中心提供虚拟主机服务,但网站的后台管理功能要完整,且网站本身要有备份功能,网络中心只负责服务器及虚拟主机的运行。
3. 考虑到各部门技术力量有限,学校已经采购了一套网站站群系统平台,各部门可以利用这个平台建设网站。
请各部门尽快整改, 如有不明之处,欢迎来电咨询:025-83271450。
 
 
 
现代教育技术中心
2011-5-31 
关闭