操作系统、服务威胁和设防措施

　　目前高校网站服务器所采用的主流操作系统与Web服务平台主要有WindowsServer+IIS+MSSQL+ASP/ASP.NET和LAMP(Linux+Apache+MySQL+PHP)架构两大类，而操作系统平台、用于远程管理的SSH等网络服务、以及网站所依赖的Web、数据库等网络服务软件都可能存在着一些安全漏洞和不安全配置，从而能够被远程攻击者渗透攻击，获得网站服务器的访问权。这种威胁在管理员疏于管理服务器，无法保证及时升级安全补丁的情况下尤其严重，然而在高校中，大量的网站服务器并没有专职的管理员，而依赖于兼职人员进行维护，甚至处于无人看管的状态，因此高校网站服务器是最容易被“网络骇客”们所攻击和利用的。

　　为了改变高校网站服务器的糟糕安全状态，一方面从机制上，需要建立起对校园核心网站服务的安全责任制度，需要让这些服务器至少有人看管和负责;另一方面从技术上，应充分利用计算机自动化能力来提升服务器安全性，包括：

　　1.设置操作系统及Web服务的自动化补丁更新和软件升级机制

　　如Windows提供了补丁自动更新机制，高校应尽量促进软件的正版化，并可通过教育折扣降低软件正版化的成本，从而能够合法地利用软件厂商所提供地自动更新服务，来对包括Windows、IIS服务、MSSQL服务等软件进行自动化的安全补丁更新。对于具有较高技术水平的高校，推荐采用Linux等开源软件来架设网站服务器，并可以通过APT/YUM等自动软件更新工具，结合Crond计划任务管理工具来及时更新系统和相关服务软件。应在每月补丁更新日设置定期的服务器人工维护计划，来确保网站服务器的安全。

　　2.使用漏洞远程扫描软件和服务来评估网站服务器系统安全性

　　国内的商业漏洞扫描软件，如绿盟“极光”等，提供了非常优秀的系统安全评估功能，但售价较为昂贵，具有技术能力的安全团队可以自己使用开源的Nessus和OpenVAS等漏洞扫描器来定期评估高校网站群的服务器安全，此外，也可以采用目前比较流行的远程安全评估服务。

　　3.采用SCAP安全内容自动化协议来对服务器安全配置进行核查

　　安全内容自动化协议(SCAP:SecurityContentAutomationProtocol)是由美国标准化技术研究院(NIST)在安全自动化技术发展潮流中推出的标准协议，目前正在寻求通过IETF成为国际标准。SCAP协议提供了一种自动、标准化的方法来维护信息系统的安全，如实现安全配置基线，验证当前的补丁程序，进行系统安全配置设置的持续性监测，检查系统的入侵标志，以及能在任意设定时刻给出系统的安全状态。

　　基于SCAP协议的FDCC联邦桌面核心配置计划在美国大获成功，有效地提升了美国联邦政府计算机系统的安全性，但SCAP协议在国内的采纳、本地化和应用仍处于初期阶段，本文作者目前正在开展相关的研究，也希望能够和相关的政府部门、业界公司、应用单位合作进行研发、应用推广与标准化工作，促进安全自动化技术在中国的发展。

(责任编辑：)