序論:在您撰寫高校信息安全體系構(gòu)建分析時�,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的1篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度��。
從當前主要的安全攻擊手段、信息安全防護產(chǎn)品角度出發(fā)�,對高職類院校信息安全體系構(gòu)建進行分析,提出有關(guān)高職類院校信息安全體系構(gòu)建的技術(shù)以及管理方法����。為進一步為高職類院校信息網(wǎng)絡提供強有力的安全的信息網(wǎng)絡,最后對如何將技術(shù)以及管理進行融合提出了一點展望���。
0引言
多數(shù)高校隨著信息化軟硬件建設(shè)的完善�,都進入了一個高效���、便捷的信息化網(wǎng)絡辦公環(huán)境�。學生可以利用網(wǎng)絡解決其大部分學習以及生活問題��,教職工也可利用網(wǎng)絡進行辦公���、學習以及教學等等活動�。但所有的業(yè)務網(wǎng)絡都應該構(gòu)建在一個安全的網(wǎng)絡環(huán)境下��,沒有信息安全��,再強大��、便捷的應用系統(tǒng)在最低等級的網(wǎng)絡攻擊下,都會顯得蒼白無力����。為此筆者結(jié)合自身的工作以及實踐經(jīng)驗,從分析當前高職類院校信息安全現(xiàn)狀出發(fā)����,重點對構(gòu)建高職類院校信息安全體系的技術(shù)和管理措施進行分析,同時對高職類院校的信息安全建設(shè)規(guī)劃做概要分析�。
1高職類院校信息安全現(xiàn)狀分析
目前,高職類院校主要受到的信息安全威脅來源于以下幾個方面:病毒����、拒絕服務攻擊、信息泄露�����、外部攻擊以及內(nèi)部職員的誤用幾個方面����。這些來自各個不同方面的攻擊,時刻威脅著校園網(wǎng)絡的安全��。同時不同的安全防火產(chǎn)品之間�����,由于相互競爭關(guān)系���,不能很好地進行“聯(lián)防”���,產(chǎn)品之
功能相互重疊、對新的工具領(lǐng)域又相互推諉��,很難形成一體化強有力的信息安全防護體系[1]�����。信息安全體系的建設(shè)需從兩個主要方面入手:技術(shù)和管理�,同時應該遵循“管理為首、技術(shù)從眾”的原則出發(fā)����,沒有技術(shù)可以確保一個系統(tǒng)或者網(wǎng)絡是絕對安全的。
2高職類院校信息安全建設(shè)之技術(shù)體系建設(shè)
高職類院信息安全體系建設(shè)應該從多維度進行技術(shù)防護�。
2.1物理與環(huán)境安全
物理環(huán)境安全主要指的是機房或者是數(shù)據(jù)中心的物理環(huán)境安全。當前����,大部分高職類院校都興建機房�,有的甚至構(gòu)建了校園數(shù)據(jù)中心[2]�����。機房的物理以及環(huán)境安全是一切安全的基礎(chǔ)��,為此需要首先保障的是物理和環(huán)境安全���?�!峨娮有畔⑾到y(tǒng)機房設(shè)計規(guī)范》GB50174-2008對機房建設(shè)的要求都進行了詳細的規(guī)定��,為此����,高職類院校需要在國標的基礎(chǔ)上適當修訂��,形成一個實際的可應用的《機房及數(shù)據(jù)中心管理辦法》�����,主要關(guān)注的方面包括機房的位置���、機房的防火���、濕度�、溫度以及排水等��。在綜合考慮這些的基礎(chǔ)上����,需要做好異地備份�,一旦發(fā)生不可逆事件的時候,可以實現(xiàn)數(shù)據(jù)的快速恢復����。
2.2系統(tǒng)安全
系統(tǒng)安全建設(shè)也是高校信息化建設(shè)的重點。當前�,高校進行信息建設(shè)的過程中,需要將系統(tǒng)安全建設(shè)納人到系統(tǒng)建設(shè)的同步過程中來���,在前面現(xiàn)狀分析的過程中了解到當前TOP10的系統(tǒng)威脅主要為:注入(SQL注入���、命令注入)、失效的身份認證和會話管理�����、敏感數(shù)據(jù)泄露、外部實體(XXE)�����、失效的訪問控制�����、安全配置錯誤����、跨站腳本、不安全的發(fā)序列化�、使用已知漏洞的主鍵、不足的日志記錄和監(jiān)控�。為做好系統(tǒng)安全,需要從不同的攻擊方法中針對不同的攻擊手段提供對應的防護措施���。(1)部署相適應的應用防火墻��;(2)做到最小端口開放原則��,關(guān)閉不必要的端口�����;(3)系統(tǒng)內(nèi)測過程中加入滲透測試環(huán)節(jié)��,排除當前已存在的安全漏洞���;(4)對用戶的口令進行技術(shù)驗證�,防止不規(guī)范的以及帶規(guī)律的口令存在����;(5)加強對統(tǒng)一授權(quán)和認證系統(tǒng)的管理�,對開發(fā)過程中session管理進行良好的約定。
2.3網(wǎng)絡安全
網(wǎng)絡安全��,主要考慮的是系統(tǒng)在使用過程中網(wǎng)絡可用��、穩(wěn)定�����。2.3.1交換機劃分VLAN��。虛擬局域網(wǎng)(VLAN)是一組邏輯設(shè)備���,這些設(shè)備可以不受物理位置的制約����,將不同網(wǎng)段的網(wǎng)絡用戶組合起來,形成一個虛擬局域網(wǎng)�����。VLAN可以阻隔廣播域�,阻止廣播風暴,同時劃分網(wǎng)段��,讓不同計算機網(wǎng)段之間不能直接互訪�,保護用戶數(shù)據(jù)。同時通過VLAN劃分可以進一步防止一些蠕蟲病毒的傳播以及ARP攻擊的產(chǎn)生[3]����。2.3.2防火墻部署隔離內(nèi)外網(wǎng)。防火墻是一個位于內(nèi)外網(wǎng)之間的網(wǎng)絡防護系統(tǒng)��,防火墻的主要作用是:限制或者通過運行特定的數(shù)據(jù)���。通過限制網(wǎng)絡數(shù)據(jù)流的傳輸���,隔離內(nèi)外網(wǎng)����。防火墻的工作原理是通過監(jiān)控通過其路徑上的所有通訊�����,通過檢查通過其路勁上信息流的源端口��、目的端口�����、源IP地址以及目的IP地址等信息���,實現(xiàn)對內(nèi)網(wǎng)網(wǎng)數(shù)據(jù)的隔離,通過對端口的管理��,實現(xiàn)對應用網(wǎng)絡數(shù)據(jù)流的管理�。防火墻是對網(wǎng)絡進行安全管理的第一道屏障,所以合理配置防火墻策略��,做到最小開放原則����,可以大范圍阻止網(wǎng)絡攻擊。2.3.3部署抗DDOS設(shè)備。DDOS(DistributedDenialofService)意思為分布式拒絕服務攻擊��,主要方式是對網(wǎng)絡服務發(fā)送大量的正常模擬請求����,通過消耗網(wǎng)絡資源,導致網(wǎng)絡應用不可用��,尤其是在學生選課以及學生集中查詢的過程中��,若遭受DDOS攻擊�����,將極大可能導致系統(tǒng)宕機����,引起系統(tǒng)數(shù)據(jù)不一致。所以合理布置DDOS設(shè)備���,對流量進行監(jiān)管和清洗��,可以保證應用的資源正常訪問���。
2.4數(shù)據(jù)及應用安全
2.4.1積極部署防病毒軟件�����。防病毒是信息網(wǎng)絡安全的一個主要環(huán)節(jié)��,病毒可以對信息網(wǎng)絡造成極大的破壞����。防病毒軟件可以對系統(tǒng)已經(jīng)存在的病毒情況進行全盤掃描,將系統(tǒng)存在的病毒進行清除,防止數(shù)據(jù)被病毒進行破壞�。2.4.2數(shù)據(jù)加密��。數(shù)據(jù)加密是為了保證數(shù)據(jù)在傳輸過程中的安全性�����,當前網(wǎng)絡劫持�、數(shù)據(jù)庫拖庫以及數(shù)據(jù)破譯等技術(shù)不斷發(fā)展�����,為進一步應對網(wǎng)絡信息安全威脅�����,即使在發(fā)生信息泄露以及拖庫的情況下�����,不會造成大面積信息安全事件�。數(shù)據(jù)加密保護是對信息安全過程中的最后一道屏障,所以在日常的系統(tǒng)開發(fā)過程中�,應對關(guān)鍵字段進行數(shù)據(jù)加密。2.4.3數(shù)據(jù)備份�。數(shù)據(jù)備份指的是為了防止系統(tǒng)出現(xiàn)故障或者運維出現(xiàn)誤操作導致數(shù)據(jù)刪除,需要對重要信息系統(tǒng)的數(shù)據(jù)實行備份����。備份的方式有多種,主要類型包括網(wǎng)絡備份��、本次磁盤備份以及雙機熱備份等�。
3高職類院校信息安全建設(shè)之管理體系建設(shè)
3.1密碼策略
密碼策略指的是在企業(yè)信息安全管理過程中最重要的一環(huán)。密碼是任何人進入企業(yè)的第道防火設(shè)備�����,為防止黑客及不法人員利用工作人員賬號對系統(tǒng)進行攻擊���,所以在信息網(wǎng)絡安全管理體系建設(shè)的過程中�,密碼策略是首先需要考慮的一點。其要求包括密碼復雜性要求(密碼組合字符符合復雜性要求)�、密碼長度最小值、密碼最短及最長使用時間��、密碼更換頻次�。
3.2等級保護
信息安全等級保護指的是,國家為對信息系統(tǒng)進行分級���,要求對現(xiàn)有的信息及信息載體進行分級保護而制定的一項工作��。信息等級保護工作主要包括的步驟包括定級���、備案安全建設(shè)及整改、信息安全等級測評以及信息安全檢查五個內(nèi)容��。
3.3信息安全宣貫
信息安全宣貫的目的是��,提升員工的信息安全意識�����,建立一種大家都明白的信息安全概念����。通過多種形式的信息安全宣貫措施,如培訓���、教育以及宣傳�,讓大家在日常的工作生活中建立一種良好的信息安全習慣��,極大地從內(nèi)部減少信息安全威脅�����。
4構(gòu)建強有力高職類信息安全網(wǎng)絡的展望
構(gòu)建堅強的信息安全網(wǎng)絡�,是對主要業(yè)務的支持。當前����,大部分業(yè)務系統(tǒng)都運行在網(wǎng)絡系統(tǒng)環(huán)境上,通過交換機劃分VLAN可以減少沖突域�,減少網(wǎng)絡廣播;通過防病毒軟件��,可以進一步保護系統(tǒng)內(nèi)的數(shù)據(jù)防止數(shù)據(jù)破壞���;通過部署不同類型的防火墻可以進一步將內(nèi)外網(wǎng)進行隔離���,將局域網(wǎng)內(nèi)的隔離為一個相對安全的環(huán)境��。5結(jié)束語高校網(wǎng)絡安全是一個復雜且極其龐大的工程����,信息網(wǎng)絡安全都是相對的��,沒有絕對的信息網(wǎng)絡安全����。在日常的信息管理中,除了硬件和技術(shù)作為有力安全支撐外���,信息用戶以及管理員之間的網(wǎng)絡安全意識以及網(wǎng)絡安全協(xié)調(diào)配合同樣十分重要�。在采取安全防范措施的同時�����,還要有較為完善的安全管理制度和合理的組織機構(gòu)�����,這樣才能夠?qū)崿F(xiàn)高校校園網(wǎng)較為可靠�、安全地運行。
參考文獻:
[1]李西明,鹿海濤.高校信息安全管理探討[J].中國教育信息化,2010(1):20~22.
[2]孟壇魁,梁藝軍.高校信息安全體系建設(shè)與實踐[J].實驗技術(shù)與管理,2011,28(6):122~124,129.
[3]梁紹柱.高校信息安全體系建設(shè)研究[J].軟件導刊,2012,11(9):154~155.
作者:肖濤 袁罡 姜帥 單位:江西電力職業(yè)技術(shù)學院
