江油一中学校门户网站信息系统安全等级保护定级情况的说明
一、江油一中学校门户网站信息系统
该信息系统的平台搭建、程序设计和运行维护主要由绵阳电教馆委托“北京网笑信息技术有限公司”承担,我校为使用人,负责内容的更新。
我校门户网站信息系统主要提供学校信息发布, 校务公开,政策宣传等,是我校对外宣传具有组织合法权益的窗口阵地之一。
二、其它备案情况
工信部 ICP 备案号:蜀ICP备14002710号
川公网安备: 510****2110050号
政务和公益机构网上名称标识证书:电子标识编号CA233****38600496520001
江油市公安局:关键信息基础设施安全责任书,20180312报备
三、安全情况
使用国内知名安全厂商“360网站安全卫士”扫描,安全得分97分:
360网站安全检测 – **** -
****
中国现代教育网关于网站安全监测
及安全措施说明
近年来,随着互联网在国内的飞速发展和普及,国家为进一步贯彻落实《中华人民共和国网络安全法》,进一步提升我国网络安全治理能力,切实加强互联网安全建设,由公安部、中央网信办、中央编办、工业和信息化部联合下发了《关于印发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知,在全国范围内开展党政机关、事业单位和国有企业互联网网站安全专项整治行动。
中国现代教育网作为最早的重点教育门户网站之一,作为新时期党和国家教育发展的网上宣传及服务阵地,肩负着普及信息化教育的使命和责任,服务于全国范围广大地区的中小学校、县、市教育局等教育事业单位,各单位依托中国现代教育网信息化平台支撑与支持,自主的建设本单位包括官方网站在内的整体一站式信息化系统。 鉴于我单位的服务与教育事业单位的紧密联系,因此中国现代教育网平台也在严格监管的范围之内,我们亦是责无旁代坚决地支持和拥护国家对互联网监管的规定和要求,打造合法、合规、宣传主旋律、弘扬正能量、阳光清朗的互联网空间。
近期陆续有学校、教育局等单位,通过第三方安全监测的形式,向我单位提交安全监测报告,并以问题汇总的形式要求我单位按报告进行整改和调整,我单位对上述系列报告一致重视,并会对报告中反馈的问题和建议进行深入分析和技术测试,对于的确存在问题的地方及时整改完善,对于经检测发现不存在问题的地方,我们也及时作出回复说明情况。经过技术部门的多次完善,现将网站安全监测报告提出的常见问题及我们的安全措施说明作报告。
监测报告通常在 虚假或欺诈网站监控、挂马或恶意网站监控、网站漏洞监控、网站敏感内容监控等几个方面提供监测数据和分析结果,在此分别予以说明。
1. 虚假或欺诈网站监控
在中国现代教育平台开通服务的学校、教育局等单位全部均是与我单位有法律合同约定,受国家法律保护的,合作单位、意向合作单位,均是在自主提交开通许可证明或经单位相关负责人员认可。所有开通的官网,均代表所在单位真实意思表示,不存在虚假及欺骗的情况,我们将继续严格规范,杜绝不法站点在我平台存在。
2. 挂马或恶意网站监控
中国现代教育网作为正规对外提供教育信息化服务的单位,本着对教育负责的宗旨,不会通过挂马或恶意病毒等任何不法形式营销推广。在技术上,我们启用多层级监控机制,
1)源代码级别严格过滤数据输入与提交,上传文件严格控制文件类型、执行权限控制。
2)目录权限级别严格区分读写和相应权限,细化权限分配。
2)启动专业云安全监控系统,严密监控非法输入、非法操作、排除异常。
3)服务器启用了三重防火墙控制,分别在WEB执行段、服务器端、服务器群内防火墙端均做好了防护工作。
4)启用了阿里云提供的安全云盾、网站安全防护功能,进一步确保数据安全。
3. 网站漏洞监控
1)信息泄露问题,网页上体现的电话、EMAIL等信息泄露等。
此类信息内容,完全由单位自主控制和发布显示,我单位不会主动提供或泄露相关信息,所提供的所影响网址数据是用户提交的使用数据,泄露危险低,用户可以通过后台管理和控制;
2)数据挂马和SQL注入问题:
网页针对所有请求已经做了编码转换,关键字过滤等处理,代码内部,不存在风险。已全面审查网站源代码,确保网站没有后门漏洞,优化相关函数,防止数据库SQL注入和跨站脚本攻击。源代码已经集成强化了包括SQL注入在内的专门过滤,不存在SQL注入风险。同时也有专门敏感字符的专项排查,最大化规避风险。
3)NetBIOS Services Port 139 Enabled
已修复,139端口已经屏蔽未启用。
4)应用漏洞问题 flash crossdomain.xml跨站请求伪造、网页暗链问题
报告中常提到的暗链基本上是网校平台整个系统中的独立部署的子站点地址或域名,其目的是为了提升网站访问速度和应用CDN加速等技术,不存在风险。
5)IIS短文件和文件夹泄漏漏洞
报告中常模拟不同地址访问,并报告错误,网校系统已经对扩展名.aspx做了屏蔽处理,外部不能访问aspx,同时代码上已有注入等防范机制,不存在防线。
6)网站路径泄漏风险和目录风险问题
报告中常模拟不同地址访问,网校系统敏感网址等是通过技术处理后的地址,不是真实实际地址,系统已经对各种注入做了专门处理,并通过软件防火墙规则做了严格过滤,经测试不存在注入等风险。
4. 网站敏感内容监控
对于敏感内容,我平台启用敏感字库体系,对各类敏感内容不断加强过滤屏蔽工作。
对单位和个人发布的内容,实行后置审核处理,已安排专人审查。
在处理检测报告反馈问题的同时,我单位同时主动的加强安全工作,网站技术防范安全处理方式。
1. 网站安全检测
使用绿盟科技网站安全检测工具(远程安全评估系统)对网站进行全面检测,网站风险值可控,风险等级为比较安全。扫描发现网站有低风险的漏洞时,及时修复。
2. 用户权限排查
对网站用户的权限进行核查,对部分用户降低权限,要求网站用户不要泄露密码,更改使用强密码。
3. 加强网站主机监控
网站系统基于先进的云技术,在服务架构底层配置域防火墙、安全策略等手段有效的避免了绝大部分非法访问侵入。同时提供DDOS高防防护攻击策略,安骑士应用确保主机及时监控报警和安全。
另外,在系统内部,安装部署安全狗企业版网站监控软件,实时监控网站运行情况和是否受到恶意攻击,并制定特定规则进行拦截等处理。
4. 网站源码安全
检查网站系统有否被挂黑链、网页被篡改、源代码是否泄露等。
5. 技术防护情况
服务器配置采用高性能配置,带宽保证网站运行流畅,服务器部署以下服务器安全软件:1.服务器安全狗;2.网站安全狗;3.360主机卫士。服务器安全狗功能为系统漏洞修复、系统账号优化、目录权限优化、数据库优化、系统服务优化、注册表优化、垃圾清理、系统杀毒,网络防火墙、主动防御、远程登录防护,此软件可保证服务器自身安全,防御攻击并流畅运行。网站安全狗功能为网站漏洞防护、网马防护、危险组件防护、IIS执行程序防护、一句话后门防护、敏感函数防护、流量防护、资源防护,此软件针对网站设置多方位安全防护可保证访问网站安全流畅运行。360主机卫士功能为每日定时扫描网页木马自动清理,可针对网页漏洞及时修复。安装防毒软件并自动更新和定期查杀病毒;及时升级、更新防火墙、信息系统帐户、口令及软件补丁,加强对服务器和网站的日常维护,确保政府网站运行安全稳定。
6. 应急工作情况
定期做好数据备份和数据维护工作,定期进行设备巡检、系统升级、网站维护,确保系统运行的正常稳定。对重要文件、信息资源做到及时备份,一旦发生意外情况能及时恢复,确保数据安全。并针对工作实际制定了基础网络及信息系统安全应急预案,明确了应急技术支撑队伍,保障应急技术支撑,并积极开展应急演练,提升工作人员的业务素质和安全突发事件处置能力。
我单位感谢各使用单位对平台的关注和支持,我们也将一如既往的努力打磨平台,以期提供更好、更安全、更稳定的服务。 同时,我们也谨慎的指出,目前市场上不同的检测工具,使用的方式不同、对问题、风险评判的标准、等级等没有完整统一标准,由此得出的检测报告,检测出的结果是不尽相同,在作为完善工作的指导和参考的同时,也需要客观看待报告中的数据。我公司的安全等级是基于阿里云核心安全框架提供保障。
北京网笑信息技术有限公司
中国现代教育网
2019.02.08