校园信息安全与管理范文

时间:2023-11-14 17:36:24

导语:如何才能写好一篇校园信息安全与管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

校园信息安全与管理

篇1

 

关键词:校园信息安全网络管理

一、引言

随着校园网络建设的不断发展,学院在教学、管理、科研以及对外信息交流等多方面对校园网的依赖性日渐增强,以网络的方式来获取信息、存储信息和交流信息成为学院教师和学生使用信息的重要手段之一。然而,就目前的网络运行状况来看,校园网信息安全问题日益突出,网络的稳定性依然较差,因此,加强校园网的管理,确保校园网安全、稳定、高效地运行,使之发挥其应有的作用已成为当前校园网应用中一个亟待解决的课题。

二、校园网信息安全的研究思路

校园网是一个直接连接互联网的开放式网络,校园网用户的层次差异较大,校园网的信息安全与用户的安全意识和技能紧密相关,校园网的校园网的信息安全从总体结构上可分为,校园网主干网设备和应用的安全和校园网用户的安全应用两个部分。对具体的信息安全问题的研究,能有效的解决校园网中的信息安全隐患,从而确保校园网安全,稳定、高效地运行。

(一)校园网边界安全

校园网边界安全就是确保校园网与外界网络的信息交换安全,既能保证校园网与互联网进行正常的信息通讯,又能有效地阻止来自网络的恶意攻击,如端口扫描、非授权访问行为、病毒、不良网站等。

(二)系统漏洞的修补

校园网的网络运行环境较为复杂性是一个由多用户、多系统、多协议、多应用的网络,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。不及时修补这些安全漏洞,就会给病毒、木马和黑客的入侵提供方便。

(三)校园网计算机与存储设备的安全

校园网计算机和存储设备中存储了大量的信息,如学生档案,教学课件、考试题库、学生作业、网站数据、办公文件等。由于设备配置、应用和管理上的问题存在较大的信息安全隐患。如设备无分级管理、使用公共帐户和密码、操作人员无信息安全常识等。

(四)校园网计算机病毒控制

计算机病毒是校园网安全隐患之一。必须做到有效控制。选择适合的杀毒手段和相应软件可以对服务器、接入计算机、网关等所有计算机设备进行保护,杀毒软件可以对邮件、FTP文件、网页、U盘、光盘等所有可能带来病毒的信息源进行监控、查杀和拦截。计算机病毒控制要防杀结合以防为主。

(五)校园网维护管理

校园网的硬件环境建设完毕后,一项重要的工作就是做好校园网的维护工作。校园网的安全运维需要有一个校园网安全运营中心,通过强化安全管理工作,对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控,汇总和关联分析,提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控,保护校园网络数字资产安全。

三、确保校园网信息安全的具体蕾理措施

(一)优化结构,合理配置,加强监管

使用硬件放火墙,防火墙可在校园网与外界网络之间建立一道安全屏障,是目前非常有效的网络安全模型,它提供了一整套的安全控制策略,包括访问控制、数据包过滤和应用网关等功能。使用放火墙可以将外界网络(风险区)与校园网(安全区)的连接进行逻辑隔离,在安全策略的控制下进行内外网的信息交换,有效地限制外网对内网的非法访问、恶意攻击和入侵。

安装入侵检测系统,入侵检测系统是放火墙的合理补充,能够在放火墙的内部检测非法行为,具有识别攻击和入侵手段,监控网络异常通信,分析漏洞和后门等功能。

使用VLAN技术优化内部网络结构,增强了网络的灵活性,有效的控制了网络风暴,并将不同区域和应用划分为不同的网段进行隔离来控制相互间的访问,达到限制用户非法访问的目的。

使用静态I P配置。检测网络中I P应用状况,并将I P+MAC地址进行绑定,防止特殊IP地址被盗用。对计算机特别是服务器的访问必须进行安全身份认证,非认证用户无法进行访问。

使用网络管理软件,扫描和绘制网络拓扑结构,显示路由器与子网、交换机与交换机、交换机与主机之间的连接关系,显示交换机各端口、使用情况和流量信息,定期对客户端流量、分支网络带宽流量进行分析,并进行数据包规则检测,防止非法入侵、非法滥用网络资源。加强接入管理,保证可信设备接入。对新增设备、移动设备和移动式存储工具要做到先检测后接入,做好网络设备的物理信息的登记管理,如设备的名称、设备楼层房间号、使用部门、使用人、联系电话等。做到遇故障能及时准确地定位和排查。

(二)提高认识,规范行为,强化应用

网络安全涉及到法律、道德、知识、管理、技术、策略等多方面的因素,是一个有机的结合体。因此,在做好技术防护和网络管理的同时,要把树立信息安全意识提高到一个新的高度。并从环境、自身、产品和意识等方面出发,逐个解决存在的问题,把可能的危险排除在发生之前。对于校园网用户来说,要进一步提高网络信息安全意识,加强关于计算机信息安法律知识的学习,自觉规范操作行为,同时掌握一些有关信息安全技术和技能。来强化我们的应用能力。具体可从以下几个方面入手。

建议在系统安装时选择最小化,而多数用户采用默认安装,实际上不少系统功能模块不是必需的,要保证系统安全,需遵循最小化原则,可减少安全隐患。

及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度,可在校园网中部署微软自动更新服务器来提供客户端补丁自动分发。在安装补丁程序前一定要仔细阅读安装说明书,做好数据备份等预防工作,以免导致系统无法启动或破坏等情况。

操作系统安装完成后,要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配,共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等,使用系统默认的配置安全性较差。

使用个人防火墙,个人防火墙足抵御各类网络攻击最有效的手段之一,它能够在一定程度上保护操作系统信息不对外泄漏,也能监控个人电脑正在进行的网络连接,把有害的数据拒绝于门外。

使用反病毒软件,目前互联网上的病毒非常猖獗,达几万种之多,传播途径也相当广泛。可通过u盘、光盘、电子邮件和利用系统漏洞进行主动病毒传播等,这就需要在用户计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中,必须要定期或及时升级防病毒软件和病毒码特征库。

篇2

关键词 智慧校园 存储虚拟化 校园安全

中图分类号:TP311.52 文献标识码:A

随着信息技术的发展,各级各类院校正积极的将信息技术融入到教学管理中。如果可以把学生在学校的生活情况与家长建立一个信息联系的通道,使家长无论在校门附近等待或是身处工作职场,通过电脑、手机等移动设备,就可以了解子女们上下学以及在校内的即时信息及情况。本研究设计搭配移动设备接收信息,设计利用手机接收信息的信息传送系统,家长只要登录网络就能轻松得到孩子在学校的相关情况。

1研究动机

目前校园安全信息传递方式主要以电话作为紧急事件处理方式,缺乏即时性,未能防患未然,这与智慧型校园的要求差之千里。为解决问题,改善信息传送的现状,本研究拟开发更具智能化的信息传输系统,希望化被动为主动,以智能化及系统化的模式来建立校园和家长的沟通桥梁。采用大众化的手持式移动设备,如手机、电脑,并利用网络摄像机建立校园视频系统网络,主动将校园信息视频,按照各用户等级传送,使其行政人员及师生和家长在本研究系统的运作下,加快信息传播的速度与正确性,让使用者能够充分了解校园安全信息及学生在校生活的安全性。

2数字式监控系统设计

近年来信息技术不断革新,使通讯设备可以提供更加智能化的功能,让监控系统与信息的管理变得更加便利……智能型系统的应用目前主要为家居数字化生活、公司防盗监控与安全管理,在校园内信息传递与安全管理的应用方面并不多见,使校园信息的传递不具完整性、系统性。

通过国内外智能型系统的应用情况,我们发现在管理、监控等方面,智能型系统都能结合网络与移动设备提高信息掌控的效率。本研究结合上述系统优势,整合开发出一套能同时做到视频监控与即时发送信息、e-mail的智能型系统,并应用于校园,作为学校管理者、学生家长掌握学校信息的通道,系统架构如图1所示。

网络摄像机以现有的软硬件架构并导入双模压缩技术:MPEG-4视频压缩技术开发出网络监控摄像机,而本研究希望能提升监控摄像机在3G网络应用及保密性的需求并开发出有别于传统视频监控系统。该系统将具备网络多功能摄像监控技术,将过去系统的单一功能目的和封闭特性应用转变成多功能网络摄影监控系统,并且和具有嵌入式系统的移动设备结合,以增加其扩充便利性。一般网络摄像机的视频获得之后被压缩,对应的浏览器就可以顺利的浏览到即时的视频,而本系统通过程序编辑器获得网络摄像机内置的视频储存地址,并以多媒体串流服务器、信息库系统以及移动人的方式来满足用户端连结网络摄像机的需求并解决网络传送的浏览问题。

3系统规划

本系统为学校信息传送系统(见图2),规划本系统的使用者及信息传送对象主要为学校相关人员,例如学生、学生家长、教师、学校行政人员,及其他非该校相关人员的使用者。

学生:校园内的安全或学习事务都以学生为主,任何关于学生在校的安危必须谨慎考虑与规划。因此家长、教师及学生本人,都能够通过信息系统,获得相关校园安全的信息,随时了解学校行政措施、活动信息等安全公告信息。

家长:家长对于孩子在校的表现及安全十分关切。家长使用移动设备访问本系统,接收学生在校安全信息,并可订阅视频传送,观看孩子上下学情况,随时随地掌握孩子的安全。

教师:教师对于学生的学习与安全必须负担更多的责任,本系统希望能成为教师与学生、家长之间桥梁;此外,教师也需要随时了解学校事务,以便能即时处理相关事务。

学校行政人员:本研究的传送系统能够提供即时信息,传递视频或文字信息,使学校行政人员针对校园安全制定的办法更有效率。

主管机关:本系统也可以为教育主管部门提供各校园安全设施规划与防护的情况,通过无线技术,能快速、有效的获得各学校执行情况的相关信息,做到跨时空为学校安全把关的工作。

在研究中,将学校环境区分为4个大区,包含:教学场所、活动场所、行政场所,以及出入日等,这些环境中有一些地方是有潜在危险的学生学习的重要场所。

4即时视频储存与传送架构

4.1系统的硬件架构图

图3为系统的硬件架构阿。本架构以远端的多个网络摄像机为传送点,在有线网络摄像机的方式下,利用网络上的交换机来连通分布于各端点的网络摄像机。如果是在偏远地点,无线网络摄像机利用无线宽带来串连无线网络摄像机,并通过网络管理程序以及服务器来进行管理,将视频通过网络传输连通至多媒体串流服务器上,而前端的使用者,可能包括智能型PDA、手机、PC等等,通过这些电子产品连结至网络上,获得即时视频,这样的一个架构是以一种异步的方式来获得端点视频的,主要目的是为了达到平衡负载和管理,让用户端使用者获得顺畅的信息。

系统中的流媒体服务器指以数据流方式在系统中传送音频、视频媒体形式。相对于下载后观看的网络播放形式而言,流媒体的典型特征是把连续的音频和视频信息压缩后放到网络服务器上,用户边下载边观看,而不必等待整个文件下载完毕,这大大加快了视频信息传输的速度。整个系统的核心是Web服务器,用户需要浏览的网页内容是Web服务器综合了流媒体服务器、内容管理服务器、数据库服务器的内容之后,最终要传输给用户的信息。

4.2即时视频浏览器

为了方便观看视频信息,以WindowsMo-bile5.0作业平台为基础,以Java为开发环境,构建智能型的浏览器。JavaFramework为与硬件无关的环境,用来在限制资源的运算设备上执行程序,包括个人资料助理(PDA)、移动电话、视频转换器、自动化运算设备和用作业系统构建的内嵌设备,JavaFramework提供下列主要功能:

*执行与硬件和作业系统无关联的程序。

*支持通用网络通讯协定,并与XMLWebService紧密连接。

*提供开发人员模型,将其应用程序和组件的目标订为广泛或特定的设备分类。

*提供有限系统资源设计和最佳化的优点。

*使用JIT编译产生机器码以求获得最佳效能。

本研究中,利用带有视频压缩技术的网络摄像机,并通过Java开发环境,设计简易型移动设备的监视系统,通过所提供的移动设备模拟器,运行本应用程序,即可达到远端监视的目的。

5结语

随着网络带宽不断增加,以流媒体服务器提供多媒体服务的趋势越来越明显,本研究延伸了信息传送系统的技术,把信息传送到用户端的移动设备上,使系统能传送更及时的信息。为家长提供充分了解子女在校情况的信息系统,进一步确保学生的校园安全。另外,通过本系统的移动设备应用程序接口,可达到订阅并即时观看校园环境状况的目的,且本系统将记录用户端的使用行为,并在信息库中进行用户端的行为与兴趣分析,以达到软件操作接口智能型服务的特色。这个系统将有助于促进教育与校园安全,提升校园与学生家长的互动性。

参考文献

[1] 林李柏.李子丰社区数字化管理系统的设计与方案[J].科学管理研究,2003(4).

[2] 李鼎.电子商务网站建设[M].北京:高等教育出版社,2001.

篇3

【 关键词 】 管控;校园网;信息安全;安全策略;安全审计

Research on Campus Network Management and Control of Information Security

Wu Shao-jia Liao Li

(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)

【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.

【 Keywords 】 management and control; campus network; information security ; security strategy; security audit

0 引言

数字校园是推进实现我国教育信息化的重点建设目标之一,数字信息化应用在我国教育现代化的进程中起到了强大的推动力。校园网是学校数字信息化建设重要的基础设施,是学校实现数字信息化的重要组成平台,在教学支持服务、教学教务管理、科学研究、行政管理和校内外信息交流等许多方面都起到了重大作用。许多学校的工作已经完全通过信息网络系统来运转,随着信息化建设规模的扩大深入以及计算机信息网络技术的不断扩展和增强,在校园网中潜在威胁安全问题暴露无遗,校园网络安全的形势日益严峻。如何保障学校内部重要信息的安全,使得重要数据信息不被窃取,是学校信息安全工作当前要面临的首要挑战。

1 校园网信息安全需求

随着校园网应用的深入,校园网上各种信息数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络信息安全成为网络技术发展中一个极其关键的任务。校园网信息安全的需求概括有四个方面。

(1)用户安全:用户安全分成管理员用户安全和业务用户安全。

(2)网络硬环境安全 :网络连接安全,校园网中的子网与其他网络连接的网络安全,各个专用的业务子网的安全。

(3)网络软环境安全:即校园网的应用环境安全。

(4)传输安全:数据的传输安全,主要是指校园网内部的传输安全、校园网与公网(教科网)之间的数据传输安全以及校园网与分校区之间的数据传输安全。

校园网络系统通常只是在校内使用的教学办公网络,是一个相对封闭的局域网系统,可不考虑外来的入侵行为,所面临的风险大多始于内部,包括来自学校内部人员的威胁、非授权访问、冒充合法用户、破坏数据的完整性、数据篡改、泄漏与丢失等。众多不同的安全技术和产品,在技术上缺乏完善的综合管理平台进行统一协调管理;而在管理上则欠缺良好的安全管理体制和策略,这就直接导致了整个安全体系的薄弱,造成网络整体安全防御能力下降,无法真正达到安全要求和建设目标。因此,使用访问控制及内外网的隔离,使用内部网不同网络安全域的隔离及访问控制,使用网络安全检测。解决校园网信息安全问题的重要方法,是在校园内网中采用不同的安全产品和技术构建多层次的安全防范体系,并在这个体系中部署信息安全审计措施以监督信息系统,发现和追查信息系统中潜在的安全问题,弥补其它安全产品对信息安全管控的不足。

2 管控信息安全的策略

信息安全是高技术的对抗,信息安全问题是要通过大力发展信息安全高技术来解决。但同时必须清醒地认识到,要高效地解决信息系统的安全问题,除了从技术上下功夫外,还得依靠配套的安全管理措施来实现。一定要部署校园网安全审计与监控体系配套管理措施,对信息安全审计工作必须要坚持管理与技术并重的原则,建立和完善信息安全配套管理制度和规范,加强管理落实责任,注重通过加强管理弥补技术上的不足。

首先要建立相对独立的学校信息安全审计机构,明确管理组织内各个角色所承担的具体审计职能。在一个审计机构中具体应当包括几种角色。

(1)系统管理员:系统管理员主要负责对审计系统的配置和系统运行状况的维护。

篇4

随着现代社会的飞速发展,互联网技术和计算机技术的普及应用,给人们生活、工作和学习带来了巨大变化。由于网络环境具有开放性等特征,以及网络规模的持续扩大和各种网络应用的诞生,导致网络环境变得日益复杂。然而,校园网络作为互联网的重要组成部分,涉及行政管理、教学管理、学生管理、档案管理、财务管理、科研管理等多项业务。由于校园网络体系结构复杂、用户群体广泛、安全管理机制不健全,其面临的信息安全问题也越来越多。如何采取有效的信息安全防护策略,构建安全、稳定、可靠的校园网络系统,已经成为了校园信息化发展亟待解决的问题。

1校园网络信息安全面临的问题

1.1计算机系统管理不善

接入校园网络的计算机设备成千上万,但管理方式却各不相同。校园网络中的个人计算机设备不可避免地登录外界互联网,因此,经常出现个人计算机设备在外部网络环境中感染计算机病毒,当接入校园网络时病毒又入侵到校园网络中,导致校园网络信息安全得不到有效防护,更难以明确破坏校园网络信息安全的责任。

1.2开放的校园网络环境

很多学校为了方便教师和学生利用校园网络资源,在网络管理方面没有采取过多的安全防护措施,校园网络环境比较开放。但是,校园网络环境的过度开放非常不利于信息安全防护管理,难以有效控制与外部网络环境的连接。

1.3用户群体多元化

校园网络的用户群体广泛,包括学生、教师、行政管理人员、后勤管理人员和外来人员等。其中,学生是校园网络中最为活跃的用户群体,学生对网络环境的过于依赖,以及热衷于在网络环境中使用各种新型技术,甚至由于学生法律意识不强,还会使用自己开发的攻击技术尝试入侵校园网络,严重影响校园网络的正常运行。

1.4管理机制不健全

目前,很多校园网络还没有建立完善的网络信息安全管理机制,也没有采取用户身份认证机制、入侵检测技术等防护措施来限制外部人员进入校园网络,无法确保校园网络系统的安全性。

2校园网络信息安全防护策略

2.1防火墙技术

防火墙技术主要是在可信任的校园网络和不可信任的外部网络之间设置一定级别的控制策略,是隔离不同网络环境的安全屏障。从物理层面来说,防火墙系统包括网络路由器、计算机设备和各种软硬件设备,但也可以是单纯的硬件设备或软件设备;从组成层面上来说,防火墙系统包括访问控制规则、身份认证工具、包过滤和网关四个部分;从逻辑层面来说,防火墙系统既属于限制器,也属于分离器,还可以作为分析器对校园网络和外部网络之间的数据通信进行监控,以确保校园网络的安全。目前,校园网络中的防火墙配置主要采用的是服务技术,其安全性较高,可以有效阻断校园网络和外部网络的数据连接,实时对网络应用层的通信流进行监控。服务技术要求外部用户必须通过服务器的身份认证,才能与校园网络建立连接。

2.2入侵检测技术

校园网络中的入侵检测技术可以发现企图破坏校园网络资源的行为,并立即做出响应。入侵检测系统可以检测对网络服务器资源发起访问请求的用户信息,实时监控校园网络的数据流,还可以检测绕过防火墙系统尝试对校园网络发起攻击行为。入侵检测技术属于一种主动型、智能型的网络信息安全防护技术,同时检测对内部校园网络和外部网络的攻击,入侵检测系统的配置可以放在防火墙系统之后,作为校园网络的第二道安全屏障。尤其是对于校园网络这种级别较高的网络安全防护体系,必须设置相应的入侵检测系统。

2.3虚拟专用网技术

虚拟专用网技术(VPN)指的是利用网络服务商提供的公共网络资源创建一个安全的、虚拟的数据通信隧道。虚拟专用网络并不是真实存在的物理网络结构,只是一种虚拟的网络数据通信链路,属于节点对节点的网络连接。虚拟专用网络技术在校园网络中的应用可以节约资金成本,将分散在不同地点的网络设备进行连接,形成一个虚拟的、安全的、专用的数据通信隧道,以满足校园网络用户的个性化需求。目前,很多校园网络在构建信息安全防护体系时会选择采用网络层的虚拟专用网技术,即IP网络安全协议,通过认证协议、数据加密算法等,将网络IP层传输的数据进行加密、验证和检查,以确保校园网络数据通信的安全性和可靠性。

2.4身份认证技术

身份认证技术是远程用户向校园网络系统证明自己身份的过程,也是身份认证系统核实用户身份的过程。身份认证技术可以鉴定校园网络和外部网络数据通信双方用户的身份,以确保用户登录校园网络的合法性和真实性,限制非法用户的进入,根据用户的授权身份严格控制访问资源,是校园网络安全防护体系建设中的关键技术。目前,很多校园网络的身份认证系统采用的是远程用户接入认证服务协议(RADIUS),RADIUS认证协议能够为校园网络提供用户身份认证授权服务,拒绝未授权的非法用户访问校园网络资源,属于一种分布式信息交互认证协议。RADIUS认证协议采用的是非对称加密技术,其工作流程如图2所示。

2.5数据备份技术

网络安全防护策略中的数据备份技术非常重要,由于数据信息在存储、传输过程中不可避免的会发生数据丢失和损坏的情况,因此,只有不断提高数据备份技术的安全性和可靠性,才能有效确保数据信息安全。目前,校园网络中的数据备份技术是维护校园网络信息安全的关键手段。随着大容量磁盘技术的迅速发展,磁盘阵列数据备份技术替代了传统的物理磁带备份技术,很多学校开始采用磁盘阵列模拟虚拟磁带库的方式实现海量数据的备份功能。虚拟磁带库数据备份包括两种方式,一是软件方式,利用虚拟磁带库模拟软件运行,在数据备份服务器或专用服务器中安装磁带库软件;二是将虚拟磁带库模拟软件集成于专用硬件控制器设备中实现数据备份功能。

以上几种安全防护技术能够有效保障校园网络信息安全。除了防火墙技术、虚拟专用网技术、入侵检测技术、身份认证技术和数据备份技术之外,访问控制技术、漏洞扫描技术、防病毒技术、数字加密技术等也能确保校园网络信息安全。随着校园网络信息化建设发展,来自校园内部网络和外部网络的安全威胁越来越多,校园网络安全管理部门要完善部署工作信息安全防护策略,提高安全防护技术的有效性。

3结语

综上所述,校园网络安全稳定运行是确保学校各项工作顺利开展的基础,校园网络信息安全的防护工作离不开防火墙技术、身份认证技术、虚拟专用网络技术、入侵检测技术和数据加密技术等多种技术手段的支持,同时,校园网络系统的架构设计也要充分考虑安全性和可靠性。

引用:

[1]潘磊,李廷元.适用于移动自组织网络的信息安全动态评估模型[J].计算机应用,2015.

[2]肖凌,彭龙.论网络个人信息的安全问题与法律保障[J].中外企业家,2015.

[3]史玉锋,邓成飞,李明,赵燕.论网络信息安全技术优化与防范措施[J].电子技术与软件工程,2015.

篇5

校园网具备同时运行多种应用系统的能力,如当前经常使用的后勤管理系统、教务管理系统及考试管理系统等,受开放式网络环境影响,全部处在局域网中的网络服务均时刻面临网络黑客攻击,黑客们利用校园网络中的漏洞,攻击整个校园网络系统,从中窃取、篡改重要的信息,在校园网络上一些侮辱诽谤及色情类的信息,严重影响了校园管理。因此网络安全建设及维护成为当前校园网络安全中的重中之重。

1网络安全的概念

网络安全包括物理安全和逻辑安全。物理安全是计算机通信有关设备和物理保护,避免损失及损坏;逻辑安全涵盖信息完整性可用性及保密性。保密性是指信息在未授权条件下不得泄露,完整性是指计算机中的数据不被修改及删除,可用性是指系统避免以非正常手段获取计算机数据及资源,合法用户正常的请求能够得到合理有效的回应及服务。计算机安全主要包括:身份窃取及假冒、数据窃取及篡改,病毒及非版权访问等。

2现阶段校园网络建设存在的问题

校园网络普遍存有安全漏洞,网络黑客就是利用这些漏洞查看及修改用户信息。如果网络病毒及外来黑客发现校园网络漏洞,就恶意攻入,带来一系列破坏,严重威胁了校园网络管理。当前互联网病毒蔓延,病毒种类及数量不断增大。倘若计算机受到病毒攻击,将威胁计算机信息系统安全,使得校园网络产生拒绝服务攻击状况,对校园网络资源来说就是巨大的浪费,阻碍了整个校园网络的通畅性,给使用校园网络的师生带来较大麻烦。此外,也说明了我国计算机网络管理员及师生具有薄弱的网络安全意识,给人为破坏提供方便。

3校园网中网络安全技术的应用

3.1防火墙

防火墙是管理校园内外联网软硬件组合设备统称,防火墙处在校园内外网间的通道中,可将外界病毒的非法入侵排除在外,以提升校园网络的安全性。防火墙可有效结合NAT技术,把校园网络结构隐藏起来保障高效的校园网安全系数,此外,防火墙及NAT技术有效结合极好地解决了校园IP不足情况,保障了高效的校园网运行效率。防火墙应用到校园网中,使校园网内部网络隔断更完善,纵使校园网出现安全问题,也可在极短时间内避免问题扩散。防火墙于校园网起到越来越重要的作用,将外界互联网安全侵害阻隔在外,然而防火墙不能阻止校园内部安全问题,无法控制校园内部的感染病毒。

3.2入侵检测技术

入侵检测技术应用到校园网中,可将校园网络中不安全网络操作行为检测出来,一旦网络操作中出现不安全操作及未授权同意的网络操作,就会出现报警信号。入侵检测技术可对校园网络用户活动自行分析,检测校园非授权用户越权使用及授权用户非法使用活动。入侵检测技术还可监控校园网络配置状况,检测系统安全隐患,向校园网络管理人员发出维护通知。此外,入侵检测技术可有效识别网络威胁及攻击,有效发出报警信号,防止网络攻击行为产生,根据产生的网络攻击模式,判断、检测校园网系统结构是否存有安全隐患,保持良好的校园数据完整性,做出系统评估。

3.3网络数据恢复及备份技术

将网络数据恢复与备份技术应用于校园网,避免了校园信息数据的丢失,使校园信息资源重要信息不被破坏。网络数据恢复与备份技术可以是网络信息资源的集中管理,校园网系统备份与管理。因此,在网络信息资源管理效率的形式上,统一管理网络信息资源,借助网络备份设备,对备份作业进行动态监测,根据校园网的功能,快速有效地修改网络备份策略,维护系统的高效性和备份。校园网络管理与网络数据的恢复和备份技术,在指定时间备份网络数据库的数据,这是网络管理不可缺少的一部分。在校园网中,当用户访问校园网时,备份系统可以构建网络索引。如果用户想要恢复网络信息,可以通过在线备份系统恢复网络数据文件。网络数据恢复与备份技术已经形成了网络文件管理,借助于项目管理和定期归档、网络数据管理,在网络环境中构建统一的数据备份和存储格式,按照统一格式,长期保留所有网络数据。

4网络安全体系如何实现

设计网络安全体系时,结合校园网络安全体系特征,针对网络安全体系,执行统一的安全规划,从中选取技术及安全管理两个方面来实现。

4.1综合信息门户

在统一身份认证平台、门户支撑的基础上形成了集信息据服务为一体的校园信息门户。综合信息门户担负的主要职责是为校园信息资源提供综合。门户网站具备查询及搜索等一站式服务,门户网站具有统一的服务平台,可以单点形式登录、统一认证身份及为用户提供个性化服务,具备交互、共享特征。

4.2整体服务模型

在共享数据平台基础上,建成了整体服务模型,面向全体学生,满足信息共享、查询及分析等需求而构建的服务框架。整体模型采用的建设思路为对象化及组件化,支持SOA结构,由整体服务组件构成了整体服务模型,整体服务组间是最基础单元,组合单一的或者整体的服务组件功能,形成了整体服务模型。所以,整体服务模型中的管理工具具备的功能为整体服务组件注册及整体服务模型组装等,同时把服务共享数据平台及整体服务组件进行关联。

5结束语

因为校园门户多样特征操作起来复杂,各种网络安全技术应用到校园网络安全中,可实时掌握校园网状况,保障较高的校园网安全性,网络安全技术在校园网络上日渐发挥着更重要的作用。校园网络建设复杂,对安全建设进行统一考虑,制定长远的方案,确保技术可拓展性及先进性。网络技术紧随网络动态变化,构建适合自身的安全保障体系。本文针对网络安全体系在校园网络中的建设仅提出个人一点浅短的认识,其中不足需要深入研究来完善。

参考文献

[1]谢晖辉.网络安全技术在校园网中的应用[J].电脑知识与技术,2009.

[2]刘聪,杨波,耿冲.网络安全技术在校园网建设中的应用[J].网络安全技术与应用,2013.

篇6

摘要: 随着信息的发展,网络安全问题已经引起越来越多人的关注。而校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。随着校园网应用的深入,校园网上各种数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络安全也逐步成为网络技术发展中一个极为关键的任务。从分析校园网信息安全需求入手,就校园网络系统控制安全措施提出笔者的几点浅见。 

 

关键词: 网络安全 安全需求 措施 

 

1 校园网的概念 

简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。 

2 校园网的特点 

校园网的设计应具备以下特点: 

1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。 

3 校园网络系统信息安全需求 

3.1 用户安全 

用户安全分成两个层次即管理员用户安全和业务用户安全。 

1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。 

2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。 

3.2 网络硬环境安全 

通过调研分析,初步定为有以下需求: 

1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。 

3.3 网络软环境安全 

网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。 

3.4 传输安全 

数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。

4 校园网络系统控制安全措施 

4.1 通过使用访问控制及内外网的隔离 

访问控制体现在如下几个方面: 

1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。 

篇7

学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。

2学校信息管理系统的安全防护体系模型

学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。

3建设校园网络信息安全防护体系的目标与策略

3.1网络信息安全防护体系的建设目标

根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。

3.2网络信息安全防护体系的建设策略

结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。

4校园网络信息安全防护体系的总体架构

4.1划分安全区域

在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。

4.2互联网边界和校园骨干网安全区域的架构

为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。

4.3校园数据中心安全区域的架构

根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。

5结语

篇8

1 网络信息安全的定义与基本内容

网络安全的基本定义是利用相关技术进行数据处理系统的建立与维护,保证计算机硬件、软件不遭到毁坏,对数据进行有效的保护,防止其通过恶意手段遭到破坏,保持网络的完整性、保密性、可用与可控性。

硬件安全指的是网络硬件媒体设备的安全,包括主机系统、终端设备以及防火墙、服务器等的安全[1];软件安全指的是保证计算机网络中软件功能的完整性与准确性;数据安全指的是保证网络中储存与传输数据的安全,避免非法篡改、解密等,是网络安全的核心。

2 信息化校园网络面临的安全问题

校园网涵盖了教学、管理、通讯等方面的功能,教师可以通过网络进行教学工作,方便与学生的远程学习,校园网学习信息资源管理系统的建立有效的实现了学校与学生之间信息的透明化与共享化,学生可以通过校园网进行信息综合管理与数据交换。

随着校园网络的快速普及,相关的安全问题也日益增加,由于技术资金的落后,在高职院信息化校园网络的建设中没有完善的防范措施,硬件设施薄弱,软件系统的安全建设不够完善;网络管理缺乏安全机制,专业管理人员少,无论是自身的网络管理还是对设备管理都缺乏经验与技术,导致对网络安全问题不能进行及时的监控与反馈,使网络安全缺乏可控性。

3 信息化校园网络安全的技术保护措施

3.1网络多出口的规范

校园安全体系与架构的建设是信息化校园网络的基本管理措施,近几年高职校园网网络架构的多出口特点给网络安全带了严重的影响,多出口不利用整体网络的规范化管理。校园网络管理机构应对现有的网络架构进行合理的优化与改造,对出口进行规范与监制,出口的统一化、专业化的管理为校园网络安全体系的构建奠定基础。

3.2配备完整的系统的网络安全设备

校园网络结构庞大而复杂,但是从架构特点分析,它是属于局域网技术领域。控制局域网的独立性,保证其与外部连接的安全为网络安全的管理与规范提供了思路,具体的方法是在局域网与外部网络接口的连接处设置硬件与软件的监理设备,保持对连接处网络安全的控制与管理[2]。当代社会的校园网络都是基于高速层面的网络,我们必须降低一切硬、软件设备对网络性能不同程度的影响,因此使用了以下设备进行网络安全防护:

(1)高性能的硬件防火墙:防火墙是本地网络与外界网络之间的防御系统,它是可以实现隔离风险的网络安全模型,高性能的防火墙有过滤、链路级网关和应用级网关等方面的性能,为网络防御提供了更好的安全性。

(2)入侵检测系统与防病毒、漏洞扫描系统:入侵检测系统为网络黑客的检测与反馈提供了很好的措施;建立完备的防病毒与漏洞扫描系统为非法访问提供了解决方法,有助于抑制网络不良因子的扩散与影响。

(3)网络故障检测系统:利用故障检测系统科实现对校园网络进行实时的诊断,有利于及早发现故障,进行系统的清理与优化。

3.3 建立全校统一的身份认证系统

身份认证系统是解决校园网络安全问题的基本方法,用身份证与有效的ID信息进行网络认证与使用有利于对网络安全的监管,若发现不良的网络问题,可以通过身份认证的方式进行有效的处理,有利于减少信息监控的成本,并对个人良好的网络素质与信用的提高起到了很大的作用。

虽然近几年各高职校园网络管理机构进行了身份认证系统的建设与完善,但是应用系统在通用性、权威性与安全性上还有一定的不足与差距,因此在校园网络的规范建设中还存在危险漏洞。在高职校园网络建设中应实现全校统一的身份认证系统,使非合法用户无法使用校园网络,避免再认证中出现缺口与问题,这有利于校园网络由于上网身份出现的安全隐患的彻底解决。

3.4对上网场所集中进行规范和监控

高职校园应该鼓励广大师生在公众场所使用网络,不仅对网络教学的普及有作用,还有助于实行网络统一的管理与监控。在公众场所必须进行身份认证,使用机房固有的安全学习软件,有利于有效的保证网络安全。

但是现在高职校园的网络管理系统处于孤岛的状态,学生上网的地点分散,很多身份难以识别与认证,对于分散的网络行为的监管也难上加难。“还原卡”的普及更降低了很多高职校园信息化网络的管理能力,因此要尽快实现网络的集中认证,利用中心监控服务器进行网络行为的监管,通过日志备查保证信息化网络的安全性。

3.5改造电子邮件系统,建立完善的恢复机制

高职院校免费的电子邮件系统已经明显不适用于现代网络系统的功能,这成为现在校园网络安全的主要隐患。因此应该对电子邮件系统进行改造,提高其过滤有害信息的能力和及时的反馈能力;增加数据传输的设备,为校外教师或外出人员通过提供隧道连接,使他们安全进入校网电子邮件系统;建立完善、成熟的

备份软件与恢复机制,减小由于数据损坏与信息泄露造成的损失,也有助于整个网络系统的稳定运行。

3.6 校园网络的系统层安全设计与管理

充分宣传校园网络自动更新服务,引导师生们深入了解防病毒软件的使用,及时安装补丁,加固操作系统;加强师生们对用户信息与账户安全的设置,利用系统服务设置更好的保证私人以公共计算机网络的运营,定期做网络巡检与监控。

篇9

(福建中医药大学 现代教育技术中心,福建 福州 350122)

摘 要:数字校园是一个管理和技术相结合的过程.本文试从微观角度,从组织机构管理、信息化标准管理、运行保障机制、硬件资源管理、信息化项目评价管理五个方面探讨数字校园管理制度的建设,目的使数字校园更好地发挥管理优势、服务优势,提升学校核心竞争力.

关键词 :数字校园;管理制度;高校管理

中图分类号:G647 文献标识码:A 文章编号:1673-260X(2015)01-0252-02

1 引言

高等教育信息化是一项庞大的系统工程,包含了校园网络基础设施、数字校园应用系统、信息资源、组织机构和管理制度等方面建设.经过二十多年的建设,高校基础设施、数字校园、信息资源的建设取得了一定的成绩[1].而信息化管理制度建设,特别是数字化校园管理制度方面的建设却不尽人意.究其原因,主要是在信息化进程中,政府和高校对“硬”投资(如网络基础设施、硬件、软件)的关注较之“软”投资(如管理能力、管理制度)要高得多.

2 数字化校园管理制度建设的必要性

研究表明,高校信息化受制度因素和资源因素的影响最大,而非技术因素和资金因素[2].有了制度保障,信息化建设及应用才能顺利进行.数字校园是高校信息化应用的一个集成,可以实现教学管理、科研管理、学生管理、人事管理和财务管理等主要校务的信息化.国家从宏观上针对互联网出台了一些管理规定.而学校更需要微观的管理办法及管理制度,细化的、规范性的制度能有效地保障数字校园高效稳定地运转,充分发挥信息化管理的优势.

2.1 数字校园的基础建设需要制度保障

数字化校园的基础建设涉及管理机构建设、网络建设、硬件系统建设、应用系统建设、信息资源建设、决策机制等多个方面.其中管理机构属于组织建设,网络建设应该纳入楼宇的基础设施建设,硬件系统建设必须避免重复建设和资源浪费,应用系统建设要谨防“信息孤岛”,信息资源建设应尝试校际共享.数字校园的基础建设,需要站在全局的高度,统筹规划,建立健全完善的制度予以保障.

2.2 数字校园的安全保障体系需要制度支撑

数字校园建成后,各项业务越来越依赖于信息系统的安全稳定运行.防火墙、防病毒软件、IPS/IDS等常规安全防护手段,网络安全管理岗位及网络运行保障岗位的设立,保障了信息系统在一般情况下的正常运行[3].但是也应该看到,数学校园用户数量庞大,多数人员的安全意识比较薄弱,日常安全问题多.继续教育投入经费有限,运维和管理人员的专业能力得不到有效提升.内部管理较为松散,缺乏安全监管和检查机制.因此,保障数字校园的安全运行,要集中规范信息系统应用过程中各类人员的操作.

2.3 信息化环境下的协同作业需要制度支持

数字化校园的运行,有赖于统一标准的高度共享的各类基础数据,这些数据由各应用系统抽取出来,存放在共享数据库中.基础数据是承载各类应用系统运行的物质基础,各数据之间的关联是环环相扣、牵一发而动全身的.例如教务管理系统在排课中所需要的教师、学生和教室的基本数据分别来自人事管理系统、学生管理系统和国资管理系统,如果业务主管部门不及时更新和维护这些基础数据,必然会影响教务管理系统的作业.所以除了需要制定统一的信息标准外,还要保障数据的及时维护与更新,保障部门间的协同作业.

3 数字化校园管理制度建设思路

数字化校园是一项非常复杂的系统工程,其建设、运行管理、安全防护,绝非一个部门能够完成的,更不可能仅仅依赖于少数技术人员去实现,需要各职能部门从多个角度协作完成项目.通过建立健全数字化校园管理制度,既能做到职责分明、协同作业,又能推动数字化校园建设更上一层楼.

3.1 组织机构管理

数字化校园是建立在信息技术基础上,利用先进管理思想,全面地集成、管理高校的所有资源信息,并为高校提供决策、计划、管理、运行以及评估的全方位和系统化的管理平台.所以它的建设是一个管理和技术相组合的过程,必须有强有力的组织保障体系,依赖于学校信息化决策层、组织协调层和技术服务层组织体系的建立与协同配合[4].建立具有中国特色的高校CIO机制,是目前较理想的组织机构形式.CIO机制以校长或副校长为CIO,数字化建设领导小组行使决策和规划的职责.领导小组下设办公室,负责相关决策执行,统管信息化职能部门[5].同时,设立数字化校园信息标准专家小组和数字化校园建设项目评价小组.

3.2 信息化标准管理

如果没有统一的信息标准,各应用系统只能是一个个的信息孤岛.只有制定了完善的信息标准体系,才能数据进行合理流动并共享,同时保证数据的权威性和准确性.

高校信息标准的体系结构由各管理数据子集和标准代码组成[6].标准管理应当包含下列事项:

第一,对在建的应用系统中各功能所涉及到的基础数据,按照教育信息化行业标准,确定数据子类.

第二,确定数据元素取值的格式、范围与规范,凡是可以代码化的,全部采用代码.代码标准的制定应当遵循“向上靠拢”的原则,即没有上级部门颁布的代码标准,学校才编制新的代码.代码的制定,要具有科学性、前瞻性、可扩展性和稳定性.

第三,对教育信息化行业标准中规定的可选数据元素O(Optional data element)做出统一规定;必备数据元素M(Madatory data element)则根据它的三条原则(在该管理数据类或子类中不可或缺的数据项(元素);校内跨管理业务域的应用系统之间需要交换、共享的数据项;满足上级部门统计要求或交换的数据项)做出统一规定.

3.3 运行保障机制

随着信息化进程的稳步推进,校务工作越来越依赖于数字化校园,运维保障的重要性也日益突显.通过规范操作,明确职责,让各职能部门在具体工作中有章可循、相互协作,用好管好每一个信息系统,发挥出数字化校园的强大功能.

3.3.1 应用系统运行管理分工制度

规定由学校相应的职能部门负责管理和维护数字化校园中的应用系统,如OA系统由办公室负责、人事系统由人事处负责、学生管理系统由学生工作处负责等.

3.3.2 日常工作制度

数字校园借助于信息技术,突破了时间和空间的限制,使大多数校务工作通过网络来完成.要规范网络工作模式,就需要建立数字化校园日常工作制度.

要指定各部门在网上发布公告、通知等各类消息的平台;要建立网络信息接收和消息提醒责任制;规定数字化校园中普通事务的处理时限;规定各类网络事务的督办、催办责任人.

3.3.3 电子签名制度

数字校园必然会产生大量电子文档,《电子签名法》是国家为完善电子文档的法律效力而颁布的法规.在数字化校园中使用电子签名,需要规范以下几方面内容:对电子签章持有者的认定;对被篡改的电子签名文件的有效性的认定;对委托使用电子签名的行为做出具体规定.

3.3.4 安全管理制度

定期进行信息系统的风险评估、针对系统存在的安全问题进行安全加固[7].日常工作中的上网信息审核、安全巡检及出现问题后的应急响应、系统恢复.包括上网认证、行为审计等安全审计和违规取证.

3.3.5 培训制度

信息化技术与应用不断地推陈出新.制定培训制度,列出专项经费,使信息化专业人员不断追踪新的知识和技术,才能提高服务能力和服务质量;开展定期培训,使管理人员与教师的信息素养不断提升,才能发挥数字化校园的最大效益.

3.4 硬件资源管理

硬件系统(包括服务器、网络设备、以及安全防范设施)是应用系统运行的基础,也是信息资源存放的载体.在以部门为主体各自为政的管理模式下,不仅硬件系统重复建设和低水平建设现象普遍,且使用率低,维护开销大,安全无保障,资源浪费严重.

在“云计算”时代,虚拟化技术广泛应用,为资源共享提供了完美的技术支撑.所以改革旧管理模式,建立统一购配,集中管理,高度共享,按需分配的新机制,是数字化校园的硬件系统建设的新趋势.硬件系统共享制度应当明确:硬件系统统一购置、统一部署、统一管理和维护的责任部门;硬件系统的共享方式,共享范围和使用原则.

3.5 信息化项目评价管理

随着对信息化建设投入的增加,企业对信息化建设项目的投资效益也越来越重视[8].虽然就经费来源来说,高校的途径比企业多,但也必须避免“生产率悖论”、摆脱信息化投资“黑洞”等问题.信息化项目评价是为了获得一个更高的业绩水平而使用的手段.将信息化项目评价融合于项目中,服务于项目建设的全过程,即实行“全过程评价”.信息化项目评价管理应包含事前、事中及事后评价的管理.事前评估除了论证投资方案的可行性外,还包括与项目相关的需求分析、建设能力分析、软硬件选型、项目预期目标体系的确定等内容.事中评价的目的在于检测项目实施状态与目标状态的偏差,分析其原因和可能的影响因素,及时反馈信息作出决策,并采取必要的管理措施来实现既定的目标.项目事后评价一般包括验收评价、项目经济性评价及项目管理评价.因此,项目评价管理需要明确项目建设审批流程、论证专家组成、项目决策机制、反馈机制及验收机制等,来保证项目建设效益最大化.

4 结束语

数字化校园管好用好,才能提高高校的核心竞争力.但管理制度的建设是一个长期的细致的过程,需要高校管理者和信息工作者在现代信息技术与高等教育全面深度融合的探索实践中逐步建立健全.

——————————

参考文献:

〔1〕蒋东兴.高校信息化发展现状与政策建议[J].中国教育信息化(高教职教版),2009(15):27~30.

〔2〕胡艳秋.基于制度和资源视角的高校信息化应用影响因素研究发[D].上海:复旦大学,2008.

〔3〕孟坛魁.高校信息安全体系建设与实践[J].实验技术与管理,2011,28(6):122~124,129.

〔4〕蒋东兴.大学资源计划理论探讨与实践[J].教育信息化,2005(9s):4~7.

〔5〕李雅琴.CIO:高校信息化建设亟待管理机制创新[J].现代教育科学,2010(2):128~131.

篇10

要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。

关键词:数字校园;风险评估;信息安全

中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04

一、引言

数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。

信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。

二、评估标准

由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。

ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。

为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。

三、评估流程

《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。

据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:

(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。

在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。

设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则

相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)

(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。

(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。

(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。

(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。

四、评估实例

本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。

1.资产识别与评估

数字校园的资产识别与评估包括资产识别和资产价值计算。

(1)资产识别

信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。

(2)资产价值计算

获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。

由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。

因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。

2.威胁和脆弱性识别与评估

数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。

脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。

技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。

管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。

3.风险计算

完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。

对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。

将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。

本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。

风险计算的具体步骤是:

(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;

(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;

(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;

(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;

(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;

(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。

所有等级值均采用五级制,1级最低,5级最高。

五、结束语

数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。

参考文献:

[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).