【关键词】网络;安全问题;对策
随着互联网的普及和推广,网络逐渐成为人们生产生活中不可或缺的工具,网络也改变了传统校园教学和管理模式,在学校各个领域得到了深入推广和普及。同时,在校园网络快速普及的过程中,校园问题也受到了越来越多人的注意。如今,校园网络安全直接对学校正常教学活动和管理工作产生了严重威胁,它可以造成巨大的经济损失和难以挽回的损害,可以说,提高校园网络安全是当前教育部门必须认真面对的问题,而针对校园网络安全问题提出有效应对措施,无疑具有十分重要的现实意义。
1、当前校园网络主要安全问题
当前,学校计算机网络主要安全问题可以分为两类,一类是对网络产生威胁的安全,包括对网络信道、网络操作系统以及网络功能进行攻击和损害;。这两类网络安全问题都会产生严重的后果。
1.1网络自身安全问题
1.1.1网络物理设备的安全
网络物理设备安全是指外力因素对网络的破坏和影响,例如火灾、山体滑坡、水灾、设备失盗、线路破损以及天气因素影响等,都会对网络正常运转产生致命威胁。这也是网络安全需要认真面对的问题。在校园局域网内,由于网络覆盖区域相对较小,只要指定完善的安全管理制度,做好安全防范措施,就能够有效提高网络设备和机房的安全水平。
1.1.2软件系统平台的安全
系统安全,是指网络系统正常运转的可靠性。目前,尚没有绝对安全的网络系统可用,但是我们针对现有网络系统进行升级改造,提高其安全配置和防范登记,加强网络使用规范等来提高网络系统安全性。因此,首先要选择最可靠的运行系统,其次要严格规范网络使用行为,保证一切操作符合安全管理制度规定;最后要针对网络使用者操作权限加强管理,合理分配不同用户的操作权限,将人为操作失误控制在最低水平。
1.2网络中信息的安全
1.2.1不良信息威胁
借助互联网便捷的信息传播功能,不健康信息可以在网络上大肆蔓延,严重污染网络环境。例如各种黄色、暴力和成人不良信息影响青少年健康成长的案例时有发生。虽然部门对此制定了严格的,但是依然诸多安全隐患,对青少年的成长造成了巨大的威胁。
1.2.2计算机病毒
计算机病毒是互联网的主要敌人。。随着科技的不断进步,计算机病毒的传播方式也在不断发生变化,其的防范技术要求日益提高。任何信息工具和电脑配件都可能成为病毒传播和寄生对象——互联网、U盘、光盘等,传统的病毒防范技术已难以有效控制病毒的扩散和蔓延。
1.2.3应用系统的安全
应用系统的安全涉及面很广,以目前Intemet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。对于有些特别重要的信息需要对内部进行保密的(比如学校学生成绩、学生档案、教师档案、学校财务等重要信息)可以考虑在应用级进行加密。
1.2.4加强网络安全管理
加强管理是提高网络安全性主要手段和途径。当前,不少互联网用户安全意识较弱,违反安全管理操作行为十分普遍,随意将自己的登录账号和密码给他人使用,或者在网络上传输保密信息等,这些行为都增大的网络安全风险,稍有不慎即会造成严重的网络安全事故。
网络一旦遇到恶意攻击或者其他安全威胁时,就不能进行安全评估和预警。同时,安全事故发生后,计算机也不能搜集和追踪网络黑客的攻击路径信息和数据,为开展网络安全管理造成了巨大的困难。因此,在日常工作中要对站点访问活动进行多层次的记录,提高对非法访问行为的识别度。要创新网络安全管理制度,重新评估当前网络安全形势并制定行之有效的应对措施,因此,最保险的做法是采取“制度+方案”的管理手段。
2、校园网络安全对策
2.1网络设备安全对策
首先要提高计算机网络物理安全,这是最基本的工作要求,由于这类安全措施比较常见,本文不再赘述。
2.1.1环境安全
对系统所在环境的安全保护包括设备的防盗、电源保护如配制UPS电源,保证系统和设备的正常工作等等。
2.1.2媒体安全
包括媒体数据的安全及媒体本身的安全。在网络的安全方面,主要考虑两个层次,一是优化网络结构,二是整个网络系统的安全。
2.2网络软件系统平台安全对策
2.2.1制订严格的管理制度
用户授权实施细则、口令及帐户管理规范、权限管理制度。
2.2.2配备相应的安全设备
在内部网与外部网之间,设置防火墙实现内的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一。
2.3网络中信息安全对策
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全性建设中重要的一环。具体而言,磁盘分区格式为NTFS,它的安全性比FAT32格式要好;安装完操作系统后,要打好漏洞补丁;安装好病毒防火墙,并且支持实时检测的,同时要经常升级病毒代码库;文件夹和磁盘的安全选项千万不要开完全共享,都开只读共享,可以在一定程度上防止网络病毒的人侵;不要安装来历不明的程序,防止被木马控制,不要轻易打开来历不明的电子邮件;将重要的数据经常备份,存放在安全的盘中或者是其他媒介中;对学校服务器的安全日志进行备份;经常对各种资源采取备份,最便捷的方法就是录制光盘;经常对存贮设备进行常规检查,尽可能早发现隐藏的问题。
3、结束语
总体而言,校园网络安全管理工作是一项系统、艰巨的任务,不能将网络安全寄托在单个杀毒软件或者防火墙上,而是要综合考虑网络安全形势,充分利用各种安全技术,打造一个多技术、高效安全的网络安全系统,营造一个健康的校园网络环境空间。
参考文献
一、学校网络与信息安全工作情况
。
从检查情况看,我校网络与信息安全总体运维情况良好,未出现任何一起重大网络安全与信息安全事件(事故)。近几年,学校领导重视学校网络信息安全工作,始终把网络信息安全作为信息化工作的重点内容;网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度较为完善,技术防护措施得当,信息安全风险得到有效降低;;;。
1、网络信息安全组织管理
20xx年学校成立网络与信息安全工作领导小组,校主要领导担任组长,网络与信息安全工作办公室设在工作部,领导小组全面负责学校网络信息安全工作,教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作,对全校网络信息安全工作进行安全管理和监督责任。。。
学校建有“校园网络系统安全管理(暂行)条例”、“学生上网管理办法“、“校园网络安全保密管理条例(试行)”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。。日常监控对象包括主要网络设备、安全设备、应用服务器等,其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。。
。同时,按二级等保要求,约投资110万元,完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造(物理安全)”等网络安全设备的采购工作,目前,方案已经通过专家论证。
。。
4、网络信息安全应急管理
20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位,在重大节日及敏感时期,采用24小时值班制度,对网络安全问题即知即改,确保网络安全事件快速有效处置。
二、检查发现的主要问题
对照《通知》中的具体检查项目,我校在网络与信息安全技术和安全管理建设上还存在一定的问题:
1、由于学校信息化建设尚处于起步阶段,学院数据中心建设相对薄弱,未建成完善的数据中心共享体系,各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时,网络安全保障平台(校园网络安全及信息安全等级保护)尚在建设中。
;学校子网页网管员为兼职,投入精力难以保证,而且未取得相应资格证书;由于经费问题,个别应用系统未能及时升级,容易发生安全事故。
3、目前尚未开展网络安全预案演练,还未真正组建一支校内外联合的网络安全专家队伍,未与社会企业签订应急支持协议和完成应急队伍建设规划。
三、整改措施
针对存在的问题,学校网络与信息安全工作领导小组专门进行了研究部署。
1、全面开展信息系统等级保护工作。按照相关《通知》要求,20xx年8月底全面完成网络安全保障平台建设,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方案,形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障信息系统整体的安全。
2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等,保障信息系统整体安全。
【关键词】校园息安全现状防范
【中图分类号】G7【文献标识码】A【文章编号】1006-9682(2009)12-0051-01
随着高校校园网络的不断扩建和升级,网络规模日益庞大。在方便信息传递,实现资源共享,提高工作效率的同时,高校校园网的信息安全问题已成为高校日常工作中不可或缺的重要组成部分。校园网作为高校教学应用的内部网及教职工对外交流的窗口,具有开放共享的特点,使校园网的信息安全受到极大的危险。近年来高校中的信息安全事件时有发生,信息的泄密、数据的破坏、服务无法正常进行等屡屡发生,有些甚至导致校园网瘫痪,给高校校园网的管理和维护带来了严重挑战。
一、高校校园息安全的现状
高校本身是研究和探索新科技、传授新知识的场所,储存了大量的科研成果和技术资料,是信息安全受到威胁的“集中营”。
1.工作人员对信息系统的应急处理能力不强,防范水平不高。
高校办公室工作人员大都是非计算机专业的人员,计算机知识相对缺乏,对信息安全的防范意识尤为薄弱,缺乏对系统的基本维护能力,这势必给高校校园网的信息安全造成威胁。
2.信息安全管理观念薄弱,负责信息安全人员的意识不强。
高校校园网用户对安全意识以及防范能力没有足够重视,且认为防范信息安全是网络信息或专业人员的事情,与个人无关。负责信息安全人员把计算机安装还原卡当作“万事通”,只对出问题的计算机进行检查并未对高校网络检查等。
3.信息安全保障管理机构和组织队伍不健全
对于高校校园网,信息浏览人数多,流量大,加大了信息安全人员对其管理和维护难度。且高校普遍存在维护人员短缺、工作机制不完善、队伍不健全、无法及时响应、快速解决,不能很好地保证校园网络方便、快捷、规范地运行。
4.信息系统安全保障的必要设施短缺
信息系统软硬件的内在缺陷不仅直接造成系统瘫痪,还会为一些人为的恶意攻击提供机会。应用软件的缺陷造成计算机信息系统的故障,降低系统安全性能,而设备的不完善、不更新,也给恶意攻击有机可乘。
5.信息安全管理制度和标准缺乏开发性
我国的信息安全管理制度结构比较单一,层次较低,难以适应信息网络技术发展的需要和日新月异带来的信息安全问题。我国现行的信息安全管理制度基本上是一些保护条例、管理办法,缺少系统规范网络行为的相应法律。
二、构建高校校园息安全的防范措施
1.培养高素质的安全运行维护队伍
高校可以组建一支以学生为主体的安全运行维护队伍,由网络中心统一领导,中心专业老师负责对学生等用户进行安全管理方面的培训和指导,加强校园网的管理和维护力量,力争对突发安全事件做到及时响应,快速解决,保证校园网方便、快捷、规范地运行。这样不但能解决由于经费和维护人员不足造成的困难,而且也可以通过让学生参与校园网的管理维护,来锻炼他们的实际动手能力,为今后的工作奠定良好的基础。
2.制定完善安全管理规章制度
安全管理贯穿于安全防范体系的始终,是保证网络安全的基础。各部门配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、定期软件升级和定期安全系统巡检,保证对网络的监控和管理。同时必须制订一系列的安全管理制度,并遵循可操作、动态性、管理与技术的有机结合等原则,使校园网的信息安全工作进一步走向规范化和制度化。
3.利用多种形式进行信息安全教育
高校应利用多种形式进行信息安全教育:①是利用行政手段,通过各种会议进行信息安全教育;②是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;③是利用学校传播媒介、工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。
4.构建良好的校园文化氛围
信息安全是高校实现教育信息化的头等大事,除先进的安全技术、完善的安全管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。
面对日益复杂的高校校园息安全及与日俱增的安全威胁,高校校园网的安全建设必须以了解校园息安全的现状为前提。通过信息安全培训加强所有用户的安全意识,从而完善安全防范体系赖以生存的大环境,有效地实现校园网可靠、稳定地运行,创造出一个安全、便捷的网络应用环境,有效地保障校园网的安全,提高网络信息的保密性、完整性和可用性。
参考文献
1 杨 东.高校校园息安全隐患与防范措施探讨[J].江苏科技信息,2009(4):32~33
2 汪 莹、朱齐媛.关于高校校园息安全的现状与对策[J].重庆工学院学报(自然科学),2008(6):126~128
3 孙 扬.浅析校园内部局域息安全[J].信息科学,2008(6):77
4 杨文娟.我国网络信息安全问题及其立法现状分析[J].情报探索,2008(1):121~123
5 张焕远、尹凯敏、车 路.校园网网络信息安全防护体系的研究与实践[J].用户之声,2008(3):28~31
6 付 沙.高校校园息安全策略的探索[J].中国教育信息化,2008(1):121~123
7 薛 质、苏 波、李建华.信息安全技术基础和安全策略[M].北京:清华大学出版社,2007:167~181
8 贾童舒.如何使用电子政务信息更安全[J].信息系统工程,2009(6):92~93、97
1.1高校信息安全的概念
目前,信息安全并没有明确的定义。ISO/IEC17799中将信息安全定义为:通过实施一组控制而达到的、包括策略、措施、过程、组织结构及软件功能,是对机密性、完整性和可用性保护的一种特性。美国对信息安全的定义是:对信息、系统以及使用、存储和传输信息的硬件的保护。美国从技术和管理两个角度出发,将信息安全概括为信息环境安全、信息数据安全、信息程序安全、信息运行系统安全四个方面。沈昌祥院士将信息安全定义为:“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。”我国关于信息安全的定义基本上从技术和管理角度提出(主要指信息系统安全)。在本文中,笔者将高校信息安全界定为:高校信息安全是指确保涵盖信息处理系统的安全、信息自身的安全和信息利用安全在内的,从电脑硬件安全、处理系统运行安全、信息数据安全、信息内容本身安全四个维度出发,对具有机密性、完整性和可用性的高校信息保护的一种特性。
1.2高校信息安全的内容
。涉及的是动力安全、设备安全、电磁安全、环境安全等;二是从运行安全维度看,主要涉及网络系统的可控性、可用性、可信赖性等,即保障信息系统不被篡改、破坏或不被非法操作等;三是从数据安全维度看,保障校园网络中流通数据的安全,既网络中的数据不被篡改、非法增删、复制、解密、盗用等;四是从内容安全维度看,是对信息本身内容真实性的鉴定、隐藏信息的发现以及对信息的选择性阻断。其中物理安全和运行安全是信息安全的基础。
1.3高校信息风险表现及信息安全保障之必要性
高校信息风险主要表现为:一是高校“信息风险人群”比例远高于国内其他行业“风险人群”。据360安全中心的《2013年第一季度中国个人电脑网上安全报告》显示,国内高校“风险人群”比例为28.7%。比全国“风险人群”的25.8%高近3个百分点。二是高校引发信息安全的因素种类繁多。。三是高校的私有机密信息如学校公共数据、师生的个人信息、财务信息、档案信息、设备资产信息、教务信息等重要数据容易泄露或被非法窃取。针对高校信息风险表现,积极探索高校信息安全保障策略具有重大意义。一是有利于提高高校信息安全管理整体意识;二是有助于制定行之有效的信息安全管理制度,三是能促进高校信息安全保障机制的不断完善,有效推进高校信息化进程;四是是能提高师生信息安全意识,促进我国信息安全专业人才的培养。
2高校信息安全风险分析
信息风险分析是一种主动识别信息风险的过程。。
2.1高校信息安全保护机制普遍存在认识不足,防护不够的现象
首先,高校网络系统使用人员信息安全意识淡薄。主要表现为大学生对信息安全缺乏足够的重视,高校没有成型的大学生信息安全教育模式,对大学生进行信息安全教育处于形式。高校对大学生的信息安全教育不够重视,严重滞后于信息技术的发展。大学生对学校信息安全缺乏正确认识,对相关信息安全法律法规缺乏了解,信息安全意识淡薄。作为系统使用人员的教师,由于缺乏必要的信息安全知识和信息技术,对信息安全防护漠不关心,片面的以为学校信息安全属于专业技术人员,于己无关。其次,高校信息管理人员安全意识淡薄。对于缺乏信息安全教育专业培训的技术管理人员来说,他们缺乏“防黑防毒”意识,对于来自外部或内部的恶意攻击缺乏警惕性,缺乏积极防御、保障信息安全的主动性。再次,高校信息安全专业人才的培养尚处于起步阶段,高校贫缺专业信息安全管理人才。由于缺乏专业信息安全人才的专业指导,导致高校信息安全建设缺乏系统规划和整体布局,对信息风险认识不够,分析不彻底,所制定的信息保障策略存在漏洞。最后,对信息系统安全漏洞未能及时、定期修复。安全漏洞是指在网络系统硬件、软件、协议和系统安全策略存在的缺陷和错误。攻击者就是通过研究这些漏洞向高校的信息系统传播病毒,或者人为控制计算机系统。管理者只有及时修复这些漏洞,才可以确保信息安全。
2.2高校信息安全制度不健全,存在信息安全管理漏洞
虽然高校信息化普及很快,但大部分高校对信息安全在监督和管理上都存在着漏洞。高校在信息安全管理上缺乏健全的制度,高校内部管理相对松散,已有的制度大多数是趋于形式的要求而设立,没有严格的监督检查机制,甚至连信息安全领导小组都未成立,对突发的信息安全问题缺乏应急处置预案,出现头痛医头,脚痛医脚的忙乱应对现象。据初步统计,大部分的信息安全问题是由于管理疏忽或者管理不善造成的,因此,从管理角度加强信息管理,是能够有效保障信息安全的。
2.3高校信息安全投入不足,安全保障设施不健全
目前高校数字化建设已经取得一定成绩,数字化教学、管理、服务基本普及。但在管理和保障信息安全的设备上投入资金十分有限。首先因为用于保障信息安全设备成本较高,而信息风险的不确定性导致信息安全本身又不被领导充分重视,大部分高校安全保障配套设施陈旧;其次伴随高校扩张,大部分高校网络缺乏战略发展规划,网络边界设备之间缺乏有效的联动,网络拓扑结构不合理,内网和在数据交换及数据流转方面存在不安全因素;最后为节约网络运行成本,学校采取与网络营销商合作的方式来减少学校网络运行维护人员,忽视对网络安全维护方面的投入。
2.4高校缺乏对BYOD、云计算和大数据安全问题应对方案
由于在智能手机、平板电脑、超极本的智能终端使用某些应用比在PC上操作方式更简单快捷,2013年移动办公设备的信息安全问题成为安全信息的新问题。调查显示,高校基本上还没有制定相关的BYOD安全管理,以具体规定师生员工如何在学习工作场所中使用自己的移动。如何在确保信息安全的情况下更好的利用BYOD带来好处成为高校信息安全风险分析的重要任务。高校在云计算信息安全方面专注于保护云计算主机站点的数据安全,对从移动终端访问云数据的用户安全重视不够,他们经常面临数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作、云计算服务的滥用、云服务规划不合理、共享技术的漏洞等问题。
3高校信息安全保障策略
建立高效、协调、集成的数字化办公系统是长春理工大学成为综合性、研究型、开放式的国内一流大学的信息化保障,如何保障信息安全便成为建设数字化办公系统需要面对的首要问题。
3.1加强信息安全知识教育和技能培训,从信息主体层面增强网络安全防护
为从根本上增强网络安全防护,长春理工大学采取了一系列措施提高网络信息主体——师生的信息安全防范意识和防范技能。一是加强国内外信息安全法律法规教育,增强师生信息安全法律意识。如:长春理工大学定期组织管理员、信息源接入人员、广大师生学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核、登记制度》等国内外信息安全法律法规教育,普及信息安全知识,提高师生安全保密素质,让师生明确维护信息安全的重要性和维护信息安全人人有责,充分发挥师生在信息安全维护中的主体作用。二是对师生进行信息安全技术培训,提高师生信息安全防御技能。信息安全技术培训主要是针对师生的实际需求,开展计算机应用和网络运用技能的培训,培养学生基本的网络防御技能。长春理工大学多年来一直坚持定期邀请专职技术人员对学校师生进行信息安全技术培训。。
3.2坚持校园网硬件投入和有效信息技术的充分融合,确保网络运行安全
首先,建立完整的校园网络病毒防御体系。一是安装正版杀毒软件。。二是详细设置防火墙防范策略。对操作系统的端口配置严格把关,必须及时做到开放该开放的,关闭不需要的端口。对外提供网络服务的服务器。把必须利用的端口开放,其他的端口必须全部关闭。三是安装与配置IDS入侵检测系统。入侵检测系统主要监控内部网络操作行为及多种攻击,是检测防火墙过滤后的隐匿攻击。四是安装漏洞扫描系统。如:长春理工大学为每位教工电脑安装漏洞扫描系统,采用主动探测的方式快速获取目标设备的脆弱点,从而协助系统操作人员对目标系统建立风险快照。分别采用ping扫描、端口扫描、OS探测、脆弱点探测等技术对指定的远程或本地的计算机系统的安全威胁进行定期扫描检测,及时修补各种漏洞。其次,以防内为主,内外兼防为辅,确保信息终端平台的可信赖性。安全终端平台的建设依靠密码服务和安全操作系统支持。一是确保终端平台用户的合法性,用户只能根据规定的权限和控制规则进行操作;二是采用身份认证、访问控制、密码加密等措施,构建计算机系统应用环境安全,如:长春理工大学教师采用一卡通的上网卡号进行身份认证;三是建立提供认证、授权、检测、应急和处理非法访问服务的信息安全管理中心,提供互联互通的密码配置,公钥证书等密码服务措施。具体保障措施如下:选用LOTUSNOTES/DOMINO作为办公自动化系统的主要开发平台。(1)数据加密。包括使用秘钥对电子邮件文档加密;网络端口级加密;使用SSL对在INTERNET客户机和DOMINO服务器间或在NOTES工作站和INTERNET服务器间传送的住处进行加密;域、文档和数据库加密。(2)NOTES的数字签名,身份认证包括NOTES工作站与DOMINO服务器之间的认证以及客户端与mMmo服务器之间的认证。(3)NOTES还允许用户通过建立群组的角色的方式来规划NOTES数据库的访问安全性。(4)利用双网卡主机技术实现办公网络安全隔离。(5)引入第三方的公钥基础结构(PK),进一步改善网络系统的安全性。
3.3建构多重信息安全管理渠道,加强信息安全运行的制度保障
首先,设置层次明晰,职能合理的信息安全管理机构。。以长春理工大学为例,近年来学校建立了信息安全管理的三级管理机制,成立了专门的信息中心,处级单位,配备具有专业知识的工作人员,由一名副校长分管学校信息安全工作,中层领导分管本部门的信息安全工作,基层建立兼职信息员队伍,具体负责本部门的信息安全工作,使得信息安全工作层层落实。同时学校还制定了具体的组织体系和信息安全工作职责,厘清三级下各级各部门的具体职责;制定了《长春理工大学信息员管理办法》,详细规定各信息安全岗位人员管理考核办法,使信息安全工作落到实处。其次,建立常规管理制度、应急处理和定期评估制度。一是针对信息安全具有复杂性、动态性和突发性强的特点,制定常规化信息管理制度。如长春理工大学先后制定了《长春理工大学操作系统和数据库的安全配置程序管理制度》、《长春理工大学网络信息中心机房管理制度》、《长春理工大学计算机案件和事故报告制度》、《长春理工大学计算机病毒及有害数据报告制度》、《长春理工大学病毒检测和安全漏洞检测制度》、《长春理工大学网络设备管理制度》、《长春理工大学信息审核制度》等多项信息管理制度。二是制定应急处理机制,对于突发的、涉及范围广,危害性大或影响深的信息安全事件采取有效的应对措施,有效控制信息危机的发生。如长春理工大学成立信息危机应急处理小组,及时应急处理方案和信息,有效控制信息危机的发生。三是注意日常信息安全动态,建立定时测评,不定期检查,随时抽查的信息检查制度,如:长春理工大学建立了信息检查制度,不定期检查各基层单位信息安全情况,并对相关测评、检查、抽查的情况进行汇总形成相关信息安全检查日志,及时通报相关部门。
3.4设立信息技术咨询指导部门,促进信息安全防护与前沿信息技术的紧密结合
没有一劳永逸的信息安全保障策略。随着信息技术的发展,保障策略要不断更新、完善。例如:长春理工大学组建专业技术咨询指导部门,成立了长春理工大学信息中心,由专职工作人员跟踪最前沿的安全信息及新信息技术的发展动态,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新信息安全保护措施,取得了较好的效果。学校还将最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业化培训,应对随时可能爆发的信息安全事件,增加广大师生的信息安全知识,提高信息安全意识,使学校的信息安全工作切实做到实处,收到了实效。
4结语
【 关键词 】 校园一卡通;安全性;分析和设计
1 引言
校园一卡通在高校的应用非常广泛,对于提升高校校务管理效率、优化学生学习、老师教学方面具有非常重要的作用,但是目前校园一卡通的安全问题不容忽视,特别是很多学生通过一卡通在学校超市、图书馆以及餐厅进行消费,所以很多黑客通过盗取一卡通密码或者其他信息来获得不法收入,对校园一卡通的使用和推广造成一定的困难和威胁。本文结合校园一卡通的各种应用来具体分析校园一卡通的安全设计和分析,从而为学校数字化建设提供安全策略方面的支持。
2 一卡通安全目标和设计原则
校园一卡通的主要应用体现在消费、门禁、身份识别以及融入学校信息管理系统成为校园数字化的基础和核心。校园一卡通不仅仅是学生在使用,凡是在学校的工作人员都可以会涉及到校园一卡通。可以说校园一卡通就是学校内部的身份系统,如果校园卡的安全性存在问题,那就会影响到整个系统的正常运行,进而会对整个学校的正常运行都会产生不良的影响。因此在建设校园一卡通系统时,安全性是放在最为重要的地位的。
在安全性设计和目标上一定要充分考虑到多方面的因素,从卡片、读卡机具以及服务器和软件、网络安全、软件安全、运行管理等诸多方面进行安全控制。在安全设计上应该紧密结合当前先进的安全技术以及管理手段来对确保系统的安全性设计能够得以贯彻执行。另外在系统的使用过程中,还需要对安全技术和管理方式进行升级,以应对可能存在的新的安全问题。
3 一卡通安全策略设计和分析
校园一卡通系统主要有两大模块构成,分别是硬件模块和软件模块。
3.1 一卡通硬件方面的安全策略
(1)卡片以及有关卡片的读取设备的安全策略
目前校园一卡通的卡片主要有两种,一种是ID卡也就是射频卡,另一种就是IC卡。相对于ID卡来说,IC卡仿造难度大,所以有利于卡片的安全性,目前校园一卡通所使用的卡片大多数选用的就是IC卡。IC卡主要是通过天线感应进行读写操作,这就意味着一旦在读写设备附近有电磁干扰就会导致读写错误。因此可以通过将相关信息分别放在IC卡的不同扇区就能够有效的防止这种读错的概率。另外为了防止IC卡被仿制,还需要在卡内增添信息校验算法,这样就算是能够从电子的角度上仿制一模一样的卡片,但是却不能够盗取卡片里的经过加密的信息。
读卡设备主要有POS机和圈存机两种,其中POS机是使用最为频繁的设备,各种消费以及门禁授权方面都需要使用到POS机,所以POS机的安全稳定性是非常关键的,一旦出现读取数字错误,将原本消费只要10元变成100元,或者是100元变成10元都会对消费者和经营者造成损失。为了提升POS机读写数据的安全属性一方面要从读写电路上设计安全性保护。另一方面在IC卡中还要存贮备用数据,一旦发现错误可以通过追溯的方式恢复。
圈存机是一种将银行卡中的账户金额转存到校园卡上的一种设备,这种设备操作时间较长,由于涉及到金额的转存,如果圈存机出现安全问题就很容易造成经济上的损失。因此需要从两个方面解决,其一在持卡人意外从圈存机中取出校园卡后的安全恢复设计,防止校园卡改存上银行卡账户的金额而没有存储上的问题。
(2)网络硬件方面的安全策略
一卡通系统主要是依托于整个校园网建设的,所以校园网的安全性也往往影响到一卡通系统的安全属性。如果网络设备损害或者出现故障就会导致数据的存贮问题、因此为了确保数据传输的稳定和安全,要制定硬件设备安全管理制度,加强巡检以及服务器数据的备份工作,在网络设备上要尽可能的增添冗余设备。为了确保校园一卡通的网络资源的专属性,就需要通过建立VLAN虚拟专用网络的方式来完成对源地址和目的地址的访问控制。
3.2 一卡通软件方面的安全策略
(1) 数据库的安全策略
在软件方面,数据库的安全重要性是不言而喻的,校园卡中的所有信息都通过中心数据库进行转存,校园卡的任何交易都会记录在数据库中,是校园卡系统实现的基础。因此对于数据库的安全策略需要从三个方面进行解决:
其一要做好备份,这个备份不仅仅是对数据库的备份,而是从服务器开始,准备另一台服务器进行双机热备份,实现两台服务器数据库的同步;
其二要定期升级杀毒软件以及防火墙软件,防范黑客攻击主数据库盗取数据库中的重要数据,在操作系统上要采用更加安全的服务器操作系统,关闭一些和互联网连接的服务,比如MEETING服务,远程组件服务等;
其三要对数据库进行安全设置,为数据库中的数据增加加密保护层,同时设置密码,将数据库中的默认密码全部修改,同时利用数据库中的角色为不同的使用者设定权限,确保数据库中的数据使用能够得到授权和监控。
(2) 软件系统的安全策略
一卡通系统软件在使用上需要通过各种控制和授权来提升软件的安全属性。圈存机在校园卡系统中类似银行的ATM设备,不过很多用户都喜欢在柜台上办理金融事务,所以很多学生在校园卡系统中,也会选择通过柜台办理有关事宜,因此就需要对校园卡软件系统设置一定的权限,普通的操作员只能够进行存储操作,但是不能够进行删除操作。
具体的安全策略可以从登录控制、操作员权限控制以及数据库防止篡改和日志监控这四种方式进行。通过登录控制能够防范非法用户进入软件系统。通过操作员权限和数据库防篡改能够有效的规避数据风向。而日志监控手段则能够对某些拥有权限的管理者非法使用其权限进行监控,从而全面提升软件系统的安全性。
(3) 交易数据的安全侧路
在一卡通系统的交易过程中,POS机会包含大容量的稳定的存储空间,能够保存足够多的黑名单以及脱机交易记录。当POS机的内存芯片存储的信息快要满仓时,就会发出警报信息。当POS机中的数据满仓时就会立刻报警并停止消费工作,这种设计能够保证POS机中的存储的信息的安全性。
另外在存储脱机交易的流水信息时,这些信息记录都会经过加密算法确保数据不被篡改。读卡机本身要在一卡通系统软件中进行注册,非注册的读卡器或者POS机是非法机,POS机中的所有数据通过通讯器传入到系统软件中都要经过数据校验,以确保采集的数据的正确性和合法性。
当数据传输过程中一旦出现硬件损害或者网络故障时,此时需要在POS或者读卡机等设备中增加可以重复采集的功能,也就是说当采集脱机信息时,只是通过内存中的指针移动内存地址找到相关信息并传输到软件系统,内存里存贮的信息并没有删除,这样只要重新采集就能够解决因为数据通讯故障导致的数据丢失问题。当然为了保证POS内存中的指针的安全性,也要增加多个指针设计,这样能够确保指针损毁导致数据读不出来的问题。
(4) 网络数据传输的安全策略
目前一卡通系统大多数采用的是三层架构。软件中的诸多功能都是通过Web服务来实现,用户能够通过浏览器来实现远程访问和控制,这样有利于提升软件的便捷性和易扩展性,但是同时也给安全带来了巨大的隐患。因为数据是通过网络传输,如果没有经过加密和认证那就很容易被黑客窃取到这些数据,所以为了确保校园一卡通的安全属性,可以采用CA认证方案,当然也可以采用U盘密钥式认证。这能够有效地防范数据在网络传输过程中被盗取的问题。
另外所有接入校园一卡通的系统,都应该采用加密方式完成对身份的认证,目前大多数都是采用eKey技术,这是经过国家密码管理委员会认证的硬件加密产品,能够有效提升数据传输安全。
(5)防范网络病毒策略
。与此同时还要定期为杀毒软件升级,系统尽心升级,修复系统漏洞,引入最新的病毒防范技术,从而全面的提升整个网络系统的安全性。
4 结束语
数字化校园不仅仅能够提升校园管理的效率,更是校园现代化的一个重要体现,能够对学校的发展起到积极的推动作用。校园一卡通作为数字化校园的核心系统,其安全性设计的重要性是不言而喻的,但是任何的安全防范策略都是百密一疏,所以当学校在使用一卡通系统时,要建立良好的安全防范制度,不仅仅要从技术上来提升和促进一卡通的安全性,还要从管理制度上来不断优化一卡通系统,从而提升系统的安全性。
参考文献
[1] 丁蓉,余海芸.保障青海大学校园一卡通的网络安全策略[J].价值工程,2012年10期.
[2] 齐冠然.基于数字化校园架构的智能卡管理系统设计与实现[D].郑州大学.2010年.
[3] 金华,赵烽.ATA5567卡有源仿真设计与实现研究.信息网络安全,(7),77-79,2012.
[4] 张敬涛,李向阳,邹秀香.校园一卡通系统的应用研究[J].山东师范大学学报(自然科学版).2008(03).
[5]王永明.校园一卡通系统的基础平台建设和应用功能分析[J].智能建筑与城市信息,2009(01).
【 关键词 】 军校学员;信息安全;风险评估
Cadets’s Information Security Risk Assessment Problems and Solutions
Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3
(1.Second Military Medical University, Department of Health Services Corps Shanghai 200433;
2.Second Military Medical University, Department of Health Services, Public Health Management Shanghai 200433;
3.Second Military Medical University, Department of Computer Shanghai 200433)
【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information, meanwhile, make a huge challenge to information security.So, Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing, point out the problems of information security risk assessment, and the specific implementation of countermeasures.
【 Keywords 】 cadet; information security; risk assessment
1 引言
院校信息化建设始于上个世纪90年代初开始,如今军校教育教学、机关办公、学员管理等基础业务对网络信息系统的依赖程度越来越大,同时面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然学校采取了安全监测、入侵防护等安全技术措施,但由于学员网络安全保密意识不强,网络安全技术掌握不到位的欠缺,管理方法针对性不强,院校学员网络安全风险高,以至网络安全事件甚至泄密事件时有发生。而卫勤军校学员在平时的学习工作中均有可能会涉及并接触到更多的军事秘密,面临的信息安全问题更加严峻。因此,迫切需要对卫勤军校学员的网络信息安全现状及风险因素进行客观有效的分析和评估,依据评估结果为针对军校学员的网络信息安全管理提供指导,进而有针对性地采取综合性网络安全风险的有效管理措施。
2 军校学员信息安全面临的风险
2.1 网络信息环境复杂,安全风危险性高
信息时代,互联网的应用已经深入到各个领域,但其共享性、开放性和互联性的特点,使得环境越来越复杂,危险不安全因素越来越多。
一是网络黑客攻击。网络攻击包括黑客攻击、病毒感染以及针对性军事机构、人员的网络监视,如军校附近的企业、网络监听。目前信息系统技术发达,网络黑客可以通过极限攻击、读取受限文件、拒绝服务以及口令恢复等一系列技术获取信息,对保密安全形成威胁。学员在使用网络时感染病毒导致文件丢失、破坏,发生严重的安全事故。此外,针对军事机构和军事人员的网络监视并不少见, 增加了军校学员网络信息安全的风险。
二是网络陷阱。特别是一些博客、论坛,借军事爱好、讨论敏感话题、套取军事信息此外,有些人在网络上设置陷阱,一旦发现军人身份的网络用户便主动接近,通过交流和获取内部信息。同时,由网络海量信息形成的巨大信息流,其中掺杂着诸多不良信息,更有人借网络进行非法活动的传播,对大学生进行鼓动和教唆,严重危害学员身心健康。。
三是病毒感染网络沉迷。互联网的虚拟性极大程度地吸引着学员不断接触网络,其中网络恋情和网络游戏是最主要的沉迷对象。人生观和价值观正在形成过程中的大学生分辨能力和自制能力较差,加上院校相对封闭的环境,部分军校学员沉迷于网络恋情或网络游戏而不能自拔,安全意识更加薄弱,往往将自身信息和军事机密信息透漏出去,甚至引发安全事故。
2.2 信息安全意识差,抵御能力弱
一方面随着智能终端的不断研发,信息化进程的不断推进,上网方式已经不再局限于计算机,智能手机、平板电脑以及各种无线网络设备都可以方便连接网络。学生作为网络的主体,网络信息安全意识差,依赖上网方式的多样化和便捷性频繁的接触网络。。更有甚者,学员利用网络散播不良信息,参与黑客等网络破坏活动,给国家和带来严重的损失。迅速发展和广泛应用的互联网,是广大军校学员获取信息的有效途径,同时也对信息安全形成巨大挑战。互联网大量的信息集成,是对每个涉足互联网人员的冲击,没有强烈的安全意识,很容易导致安全事故的发生。在管理方式上,大多数只停留在接受口头安全教育的层面上,没有意识到现代高端的信息技术和间谍技术带来的威胁。
2.3 网络信息安全管理差,处理方法少
目前军校面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然杀毒软件、防火墙、入侵检测等安全技术的应用起到一定的防御作用,但由于管理方法针对性不强,对于安全事件的处理不到位,信息安全事故依旧不减。院校是培养专门人才的特殊教育训练机构,互联网、校园网、军事信息综合网等各类网络广泛应用。军校学员在生活、学习过程中,有机会了解和掌握的编制、方针、武器装备等涉及军事秘密等信息,而针对军校学员的网络信息安全管理办法少、科学性不强,主要体现在两方面。
一是宣传式教育过于形式化。大多数学校的网络信息安全教育是以口头说教、安全讲座、安全知识考试以及教育传单的形式展开,而这些宣传式的教育流于表面,没有真正让学员体会到现代网络环境存在的风险,也没有意识到自己的网络行为所造成的安全隐患。
二是网络使用效果不明显。为了防止安全保密事故的发生,学校常常用会学员的网络使用,但是这种 “堵”的方式只能了学员对学校网络和网络设备的使用,学员依旧可以方便选择通过其他智能终端使用网络,而且这种方式与现代信息社会格格不入,阻碍和影响到了学员正常获取学校正常教学、办公信息和知识的途径,引起教学办公人员的不满。这些办法并没有真正加强学员的安全意识以及阻止安全事件的发生,也为信息安全带来了风险。
3 军校学员信息安全评估存在的问题
3.1 针对性不强,评估指标不完善
目前大多数军校都会定期对网络进行检测和维护,对于信息安全的风险评估大多数侧重于网络硬件和软件的基本情况,忽视了针对学员的信息风险评估。认为通过使用就可以避免风险,这样不但浪费了资源,也没有真正起到降低风险的作用。很多风险评估没有针对学员的评估指标,或者没有深入研究学员的网络行为,其指标缺乏有针对性,导致评估在学员信息安全防范措施这一环节上的薄弱。
3.2 科学性不高,风险量化能力差
对于军校学员的信息安全风险评估大多数指标是定性的,而定性的安全风险评估无法准确地确定风险的大小,无法对安全风险进行精确地排序,从而难以确定系统面临的真正风险。这就要求军校学员信息安全风险评估工作所运用的评估方法必须具备一定的量化能力。量化风险评估分析方法的关键在于输入参数的量化。对制定的量表进行有效的赋值,并在此基础上归类分析是量化评估的难点,而目前军校在对学员进行信息安全风险评估时,处理这些量化难点做的还不够到位。
3.3 系统性评估流于形式,对评估结果没有充分利用
多数军校只有上级安全部门进行的检查评估时才进行信息安全风险评估工作,并没有进行自评估,或者自评估的次数少,不能及时发现学员存在的信息安全隐患。风险评估在国内发展的时间较短,在军校学员中开展系统性的信息安全风险评估,军校引入的并不多,所以评估的形式欠科学性。同时评估流于形式,有些军校虽然开展了对学员的评估,但不能根据评估结果采取相应的安全措施,失去了评估的意义。
4 军校学员风险评估实施策略
4.1 提高重视程度,采用先进管理方法
提高对学员信息安全风险评估的重视程度是决定风险评估效果的关键因素。首先,军校工作人员在对学校整个信息系统进行风险评估时,应当把对学员的信息安全风险评估单独列出,着重从伦理道德、纪律规范、网络技能和网络行为等方面进行评估,提高学员的安全思想意识。其次,要引进先进的管理办法,不能只停留在宣传式教育和网络上。宣传形式要新颖,可以用实例向学员宣讲,同时模拟真实的环境,让学员参与其中,从而加深印象,提高意识。管理上可以对学员进行跟踪监测,发现学员在网络使用上的漏洞,将其列为控制的关键环节加强管理;也可以对学员进行调研,了解学员对于网络行为和信息安全的认识程度,及时进行针对性教育。同时,领导层面要加强重视,才能提供更多的人力物力支持评估工作。各级干部和学员要抓好落实,养成良好的安全习惯,配合好风险评估工作。
4.2 深入研究风险,有针对性地建立指标体系
合理有效的评估指标体系是进行风险评估的基础要素。建立有针对性的评估指标体系:一是要要充分调研学员信息安全存在的风险,跟踪学员的网络行为,发现关键环节;二是要把握指标体现建立的原则。首先是一般性原则,包括系统性原则、典型性原则、导向性原则、针对性原则、简约性原则、可操作性原则以及可延续性原则。风险评估设计要考虑到学员心理行为、网络安全技术和安全管理制度等多方面因素,依照一般性原则的同时也要综合考虑这些特殊因素;三是要度建立评估指标体系。依据信息安全风险评估成熟的理论和方法,根据对军校学员网络行为的研究结果,从法律法规、伦理道德、安全保密和安全技术等维度入手,在每个维度中确立定性和定量的指标,建立网络安全风险评估架构。
4.3 充分利用评估结果,将风险评估制度化
在完成了对学员信息安全风险的评估后,要对采集的数据进行科学的分析。针对学员的信息安全风险评估存在大量的定性指标,具有结构复杂、不确定性和非线性的特点,传统的权重赋值方法精度低。人工神经网络是近几年发展起来的一种新兴的科学方法,它模仿脑的工作机理和思维本质,通过数学模型与计算机的结合,所建立起来的一套智能的系统。目前,人工神经网络已经发展了十几种,适用于不同的实际问题来建模。而径向基神经网络因其能够逼近任意的非线性函数,解决系统内在难以解析的规律,因此在实际评估的过程中能很好地处理主观与客观的指标,得到较为完善的评估结果。针对评估结果,学校应当采取一系列管理措施,并制定长期的网络使用规范和有关信息安全的纪律条例,并根据新的问题进行修改和完善。把对学员信息安全的风险评估制度化、规范化,真正展现发挥风险评估的效果效用,从而避免安全事故的发生。
参考文献
[1] 贾玲.军校网络信息安全风险评估研究[J]. 学院学报,2010(8):95-96.
[2] 贾卫国,许浩,王成.军校网络信息安全风险评估工作探讨[J]. 计算机安全,2009(9):78-80.
[3] 孙利娟,刘彩红.高校信息安全教育问题研究[J]. 电脑技术与知识,2010(8):30.
[4] 刘枫.大学生信息安全素养分析与形成[J]. 计算机教育,2010(21):77-80.
[5] 申时凯,佘玉梅. 糊神经网络在信息安全风险评估中的应用[J]. 计算机仿真,2011(10):92-94.
[6] 黄婷婷.网络安全防御管理研究及对策[J]. SILICONVALLEY,2010(6):107.
[7] 赵军勇. 网络信息系统技术安全与防范[J]. 广播电视技术,2011(4):9-11.
[8] 任丽平. 加强大学生网络安全教育[J]. 内江师范学院学报,2004(5):97-100.
[9] 巢传宣.大学生网络安全问题研究[J]. 南昌工程学院学报,2010(5):54-57.
[10] 韩立群.人工神经网络理论、设计及应用(第2 版)[M].化学工业出版社,2011(9):1.
[11] 郝文江,武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全,2012,(01):5-9.
[12] 任伟.无线网络安全问题初探[J].信息网络安全,2012,(01):10.
[13] 郎为民,杨德鹏,李虎生.基于SIR模型的智能电网WCSN数据伪造攻击研究[J].信息网络安全,2012,(01):14-16.
基金项目:
基于神经网络模型的大学生网络信息安全风险评估及对策研究;项目级别:校创新能力基金;项目编号:ZD2012039。
因篇幅问题不能全部显示,请点此查看更多更全内容