中山大学互联网网站管理经验分享 - EOLfree.eol.cn/edu_net/edudown/2017luntan/zyq.pdf · –网站建设、运行、维护的技术支撑单位 –网站集群平台建设、运行和维护；监测、检测和预警；

中山大学互联网网站管理经验分享

2017年5月5日

报告人简介

• 张永强

• 中山大学信息化管理办公室副主任

• 高级工程师、CISSP、ITIL Expert• 高校信息化，信息安全管理

• Email：[email protected]• QQ：201353• 微信：yqzhang

提纲

• 学校信息化概况

• 信息安全保障体系

• 形势及环境分析

• 互联网网站管理办法

• 校园网网站技术防护体系

• 网站集群平台

• 网站设计规范

提纲








中山大学（Sun Yat-sen University）概况

校史• 1924，改名国立中山大学

• 1952，原岭南大学校址

• 2001，原中山大学、原中山医科大学合并组建新中山大学

现状• 综合性研究型大学

• 985、211高校

• 3个校区（广州、珠海、深圳），5个校园，10家附属医院

• 3,553名专任教师

• 50,417名全日制学生

中山大学信息化工作机制（“管建分离”）

信息化管理办公室管理

信息化咨询委员会

咨询

信息化专家小组

评审

学校党委常委会决策

信息化专家库

职能部门、院系

参与网络与信息技术中心

建设

信息化管理办公室

1.完善信息化相关政策和规章制度

2.负责信息化顶层设计，并制定建设标准和评估指标体系

3.促进学科发展和知识创新

4.统筹网络安全和信息化建设

5.其他信息化相关工作。

网络与信息技术中心

1. 校园网基础设施建设、运维与服务

2. 云基础设施建设和运维

3. 网络安全基础设施建设和运维

4. 机房与弱电基础设施建设和运维

5. 网站开发和运维

6. 数据交换和共享平台建设和运维

7. 信息系统建设和运维

8. 信息化教学环境建设、运维和服务

9. 数字化教学资源的制作与运维

10.各类教学平台的系统运维和服务

中山大学信息化目标和主线

• 三大发展目标– 提高管理服务水平– 提供科学决策支持– 促进学科发展和知识创新

• 三大主线– 流程（再造）：大学服务中心USC– 数据（治理）：基础数据库、个人数据中心– 安全（体系）：信息安全保障体系

中山大学信息化建设技术架构

信息安全保障体系

大学服务中心

基础数据库个人数据中心

提纲








信息技术安全工作发展历程

建立校园网

启动数字化校园（一期）建设

建立数据中心

启动数字化校园（二期）建设

十三五信息化建设

1995 2002 2005 2007 2012 2016

1995-2006初始阶段

2007-2011“救火队”阶段

2012-2015防护技术体系

建设阶段

2016-2020信息安全保障体系建设阶段

中央级高校改善基本办学条件专项开始支持信息化建设

信息安全保障体系建设目标

以信息安全等级保护工作为抓手，建立由信息安全技术防护、信息安全管理制度和信息安全运维等构成的信息安全保障体系，基本实现学校核心信息资产的安全保障。

信息安全保障体系框架

金教工程信息安全保障体系框架南方电网公司信息安全保障体系框架

中山大学信息安全管理制度文件框架（草稿）

第一章总则

第二章组织机构与职责

第三章校园网络管理

第四章数据中心管理

第五章信息系统建设、运行和维护管理

第六章信息系统数据安全管理

第七章互联网网站安全管理

第八章电子邮件安全管理

第九章终端计算机安全管理

第十章存储介质安全管理

第十一章人员安全管理

第十二章外包服务安全管理

第十三章信息安全应急管理

第十四章信息安全教育培训

第十五章信息安全检查监督

第十六章信息安全责任追究

第十七章附则

《中山大学信息技术安全管理办法》

统计：17章、89条、7275字

中山大学信息技术安全组织机构和人员队伍

分管校领导（李善民副校长）

第一安全责任人（罗俊校长）

信息化管理办公室（李文军主任）

管理网络与信息技术中心（何海涛主任）

技术

张永强（分管副主任）郭颖（安全管理岗）林波（安全架构岗）

暂缺（安全开发岗）王海源（安全运维岗）朱泽韬（安全运维岗）

提纲



• 网站安全形势分析





信息安全形势严峻：失衡

攻强守弱堡垒从内部被攻破

信息安全形势严峻：失序

• 网络战争，例如：2010年伊朗布什尔核电站遭受“震网病毒”攻击，20%的离心机报废，导致伊朗核计划进度至少延误2年。

• 网络宣传，例如“伊斯兰国”（ISIS）利用现代社交媒体宣传反现代价值观。

• 网络诈骗，例如电信诈骗、校园网贷等

• ……

我国网络安全顶层设计已基本完成

• 一部大法、两个战略

– 《中华人民共和国网络安全法》

– 《国家网络空间安全战略》

– 《网络空间国际合作战略》

• 网信、工信、公安等部门都行动起来，共同推动国家网络安全治理

什么是网站？什么是互联网网站？

• 网站– 经常被提及，但没找到准确定义

– 个人认为就是信息系统• 提供互联网信息服务的信息系统

– 互联网信息服务，是指通过互联网向上网用户提供信息的服务活动。（《互联网信息服务管理办法》第二条）

– 计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。（《中华人民共和国计算机信息系统安全保护条例》第二条）

互联网网站台账管理（“两备案、一标识”）

• 非经营性互联网信息服务备案核准（俗称“网站ICP备案”）– 实施主体：工业和信息化部

– 法律依据：《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》

• 公安机关联网备案

– 实施主体：公安部

– 法律依据：《计算机信息网络国际联网安全保护管理办法》

• 党政机关网站开办审核、资格复核和网站标识管理

– 实施主体：中央编办

– 政策依据：《党政机关网站开办审核、资格复核和网站标识管理办法》

网站安全涉及技术、内容和数据安全

网站问题突出（“网站乱象”）

• 网站安全问题– 网站安全隐患

– 网站安全事件

• 网站建设问题– 网站风格不统一

– 内容参差不齐

• 网站运维问题– 无人管理

– 无力维护

– 长期不更新

提纲








管理办法下载

• http://info.sysu.edu.cn/node/104

内容框架

• 第一章总则

• 第二章管理机构与职责

• 第三章网站开办审核

• 第四章网站建设管理

• 第五章网站安全管理

• 第六章网站运行维护

• 第七章监督检查

• 第八章附则

目的

• 为提升学校互联网网站安全管理水平，规范学校互联网信息服务活动，维护学校网络空间形象和声誉，根据《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》及其他相关法律法规的规定，结合我校实际，特制定本办法。

第一章总则

第二章管理机构和职责

• 第七条（信息办）

– 网站建设、运行、维护的管理部门

– 拟定制度；网站开办审查、审核；监督检查

• 第八条（网络中心）

– 网站建设、运行、维护的技术支撑单位

– 网站集群平台建设、运行和维护；监测、检测和预警；参与应急处置

• 第九条（网站开办单位）

– 网站建设、运行、维护、安全、内容审查的直接主体，负责网站建设、日常管理和安全维护等工作

第二章管理机构和职责

• 第十条（保密办）

– 保密审查。

• 第十一条（党委宣传部）

– 网站内容建设的管理部门，负责对校内单位网站内容建设进行业务指导、电子公告服务审批。

• 第十二条（校办）

– 视觉形象识别系统的使用管理工作，对学校各单位网站规范使用视觉形象设别系统情况进行监督检查，对使用不当者予以纠正。

第三章网站开办审核

• 第十三条（网站实施备案审批管理）

• 第十四条（备案报备手续）

• 第十五条（前置审批）

• 第十六条（关于电子公告服务审批）

• 第十七条（备案信息变更及撤销）

第四章网站建设管理

• 第十八条（统一风格、统一标识）

• 第十九条（集群化管理）

– 逐步推行，但党政机构、直属单位、学院和直属系的官方网站须集群化管理

• 第二十条（内容建设）

第五章网站安全管理

• 第二十一条（技术安全责任）

– 集群化管理：技术安全责任归网络中心

– 非集群化管理：技术安全责任

• 第二十二条（技术安全措施）

• 第二十三条（内容安全责任）

– 内容安全责任归网站开办单位

• 第二十四条（内容发布程序）

• 第二十五条（电子公告服务特殊要求）

– 明确类别和栏目，建立规则，落实用户实名制，制定管理人员

第六章网站运行维护

• 第二十六条（网站监测）

• 第二十七条（网站检测）

• 第二十八条（应急处置）

– 有预案，有措施，有演练，快处置

• 第二十九条（外包管理）

• 第三十条（关闭网站）

– 非工作时间、寒暑假、节假日关闭

– 重要时期、重大活动安全保障期间关闭

– 关闭不用的网站

第七章监督检查

• 第三十一条（年度审核）

• 第三十二条（整改处罚）

• 第三十三条（追究责任）

中山大学互联网网站备案登记表

中山大学互联网网站备案

• 前置条件• 以“中山大学”名义开办的• 使用中山大学互联网IP地

址或域名• 已经部署完毕，通过上线

检查的• 申请审核流程

• 网站负责人提出申请• 技术安全第一责任人审批• 内容安全第一责任人审批• 网络中心技术审核• 信息办审批• 产生备案号

• 无法通过备案的后果• 短期将无法通过互联网访

问• 长期将关闭网站

中山大学互联网网站备案工作通知

中山大学互联网网站备案流程

中山大学互联网网站备案流程

提纲








加大投入，不断提升防护能力

• 2013年以前，由于受到建设经费等条件限制，我校安全设备购置缺乏计划性，零星采购。

• 2013年以来，我校在国家财政支持下，尤其中央高校改善基本办学条件专项的支持下，以每三年为一个建设周期进行经费投入，构建不断完善的安全技术防护体系。

信息安全技术防护体系

• 边界网– 山石防火墙– 深信服上网行为审计设备– 深信服SSL VPN设备

• 数据中心– 华为/SonicWall防火墙– 绿盟WAF– 安恒数据库审计设备– 安恒堡垒机– 守内安反垃圾邮件设备– 守内安邮件归档设备– 科来网络回溯分析系统

• 校园网– 绿盟漏洞检测设备– 知道创宇网站监测设备– 校园网流量安全分析平台*– Sophos防病毒系统– 安全应急响应管理平台*

科来网络回溯分析系统（1）



知道创宇网站监测设备（1）

知道创宇网站监测设备（2）

校园网流量安全分析平台（1）

校园网互联网网络流量通过镜像输出到SDN交换机，SDN交换机将流量进行基本处理（如聚合、去重）后复制给流量处理器；流量处理器通过专用板卡对流量进行分析处理，同时按数据类型产生相应的流量日志文件；流量日志文件通过Flume或者NFS GW的方式输送到数据数据处理平台；数据处理平台进行数据的存储，根据项目需求进行数据的分析。



• 密码爆破行为

• 路径探测行为

• GOOGLE HACK• SQLMAP扫描检测

• 单个IP日志跟踪

• 信息资产管理

• 菜刀后门流量检测

• 追踪溯源

安全应急响应管理平台（1）

• 通过规范化的流程，自动化的漏洞通知，将整个安全应急响应流程化繁为简，帮助安全管理人员高效地进行漏洞响应工作

安全应急响应管理平台（2）

提纲








网站集群平台概况

•通元（商业软件）

– 中山大学WWW门户网站、新闻网、研究生院、财务处、总务处、历史学系等70多个网站

•Drupal（开源软件）

– 学生处、教务部、信息化管理办公室、网络与信息技术中心、翻译学院、政务学院等30多个网站

以上数据为2016年10月统计数据

通元CMS：JSP+MSSQL版本：6.1、7.0

DrupalCMS：PHP+MySQL版本：7.X、8.X

数据库服务器1

数据库服务器2

网站群

视频服务器

web服务器

双平台、双版本

网站CMS部署指南 - 维护（按难易度）

维护技术难易维护内容

drupal 普通简单主题、权限、内容

drupal 实例较复杂主题、权限、功能模块、内容、CMS

drupal 虚拟机非常复杂主题、权限、功能模块、内容、CMS、服务器

通元普通简单主题、权限、内容

部署方式对比：维护难度

网站CMS部署指南-维护

网络中心维护公司或院系维护

drupal 普通服务器、CMS、模块功能安装升级等部分模块升级

drupal 实例服务器升级、数据库升级 CMS升级、模块升级

drupal 虚拟机安全扫描功能模块升级、CMS升级、服务器升级

通元普通服务器等

部署方式对比：维护工作量

网站CMS部署指南-优缺点

优点缺点

drupal 普通单位只需要添加内容，其他可以交给网络中心管理和维护。目前只支持机关单位比较多共用模块、部分模块修改受限制

drupal 实例模块和CMS不受限制、灵活添加、不需要考虑服务器安全问题

文件大小和空间有限制、特殊错误难查、需要自己定时升级CMS以及模块

drupal 虚拟机空间不受限制，应用版本不受限制、完全自己安装维护更加自主服务器管理复杂、需要人员持续维护

通元普通单位只需要添加内容，生成纯静态HTML页面。目前只支持机关单位缺少交互性

部署方式对比：优缺点对比

提纲








网站设计规范：概述

1. 网页尺寸2. 浏览器兼容3. 文字4. 图片5. 整体颜色6. 框架7. 其他

网站设计指南-前端：网页尺寸

分辨率占比1080x1920 22.20%

750x1334 13.70%

1366x768 13.50%

1920x1080 9.20%

1242x2208 5.20%

720x1280 4.80%

640x1136 3.80%

1440x900 3.40%

1600x900 2.50%

1440x2560 2.30%

其他 19.40%

根据现在中山大学某常用网站统计PC端宽度多数大于1366px；

移动端也占比较大比例，但尺寸不太统一；

按统计结果建议：

PC端可视部分安全尺寸宽度为1080px，建议尺寸宽度为1200px；

移动端可根据具体页面需要而做CSS设置。

网站设计规范：网页尺寸

网站设计指南-前端：浏览器兼容

兼容目前比较流行的浏览器对于IE的兼容版本，建议兼容到IE9及更高版本，对于IE8以下的也尽可能兼容到。

网站设计规范：浏览器兼容

一、字号

1、网站标准字号设置：适宜用12PX、14PX、16PX，建议使用14PX

2、网站导航栏目字号设置：适宜用16PX、18PX，建议使用16PX（比标准字体大2PX或1.1rem）

3、标题字号设置：适宜24px 26px 28px 32px，建议使用28px（标准的2倍即2rem）

二、字体

设置：中文字体适宜用宋体、黑体、微软雅黑，建议使用微软雅黑英文字体适宜用 Arial

Georgia TimesNewRoma，建议使用Arial

三、行距

设置：建议文字间距 150%~200%。

四、字色

字色需要跟背景对比要强。建议主体字体颜色纯黑#000000。

网站设计指南-前端：文字网站设计规范：文字

一、大小

为了节省带宽减少加载时间，建议

1、首页轮换图片建议每张小于400KB；

2、内容图片建议每张不要超过100KB。

二、分辨率

1、建议少用全屏滚动大图；

2、内容插图不得超过页面宽度；

3、在PC端和移动端，都要保证图片自适应宽度高度，避免人为或技术导致图片变形。

三、选图及用色

1、选择的图片在缩放或裁剪时注意保留主体部分

2、图片整体颜色跟网站主体颜色尽量和谐，保持图片文字清晰可见；

3、上传图片后缀为jpg\gif\png，颜色格式必须为RGB，不能用CMYK

网站设计指南-前端：图片网站设计规范：图片

LOGO使用：标准中山大学logo图片

可参照中山大学视觉识别系统 http://home3.sysu.edu.cn/sysuvi

#005825 #6A0A0B

#000000

中山大学LOGO标准色与辅助色

网站设计指南-前端：图片网站设计规范：图片

LOGO使用：比例与字体

方正大黑简体

Times New Roman

网站设计规范：图片

网站设计指南-前端：整体颜色

一、主体颜色

1、网站主体颜色：以一种颜色为主体颜色，其他辅助颜色不能占太多比例。

2、网站背景颜色：根据网站具体设计效果来定，不得使用过于明亮颜色，避免造成刺眼或视觉疲劳

二、颜色对比

1、背景与文字颜色对比要清晰；

2、链接文字与非链接文字对比应有所差异，所有链接文字基本保持颜色一致；

3、功能按钮、指示性文字和栏目标题等，尽可能跟主体内容文字有所差异。

网站设计规范：整体颜色

网站尽可能符合网站一般框架设计要求

1、区域和区块

网站设计指南-前端：框架

Head

Main

Foot

Logo Search

Menu

Sidebar Content

Copyright Links

网站设计规范：框架

2、栅格化

根据移动设备的适应要求，页面设计时候可参考栅格化处理。可用20PX或30PX作为基础栅格。

页面效果举例：

基本

12格

2列

6格 6格

3列

4格 4格 4格

网站设计指南-前端：框架网站设计规范：框架

网站设计指南-前端：其他

1. 主要针对校内教职工、学生，页面可以稍大（但建议控制不要超过5MB）；

2. 如果主要针对校外人员（校友），页面就不能过大，图像要优化，要充分考

虑网络速度要素，用浏览器或第三方测试工具；

3. 如果针对国外人员（对国外的信息发布、有意向往我校留学的人员），页面

大小就更应该严格控制，图像要优化，使用浏览器或第三方测试工具。必要

时可以使用校外CDN来加快浏览速度。

网站设计规范：其他

小结








欢迎批评指正！

中山大学信息化管理办公室（ http://info.sysu.edu.cn ）中山大学网络与信息技术中心（ http://inc.sysu.edu.cn ）

Documents

中山大学互联网网站管理经验分享 - EOLfree.eol.cn/edu_net/edudown/2017luntan/zyq.pdf · –网站建设、运行、维护的技术支撑单位 –网站集群平台建设、运行和维护；监测、检测和预警；