職業院校校園信息安全體系模型

前言：尋找寫作靈感？中文期刊網用心挑選的職業院校校園信息安全體系模型，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

近年來，盡管各類職業院校逐步加強校園信息安全管理的建設，但松散的安全管理方式使得各類管理信息平臺面臨巨大的安全挑戰。為進一步提高管理信息平臺的安全性，本文提出了基于用戶特征的校園信息安全體系模型。通過對各管理信息平臺訪問用戶的特征進行分析，對管理信息平臺的安全需求進行歸類，分別提出相應的安全管理體系，并綜合形成完整的信息安全體系模型。分析表明，該信息安全體系能夠在很大程度上提高職業院校校園信息平臺的安全性。

關鍵詞：

職業院校；信息安全體系；用戶特征；用戶管理；網絡管理

隨著職業院校信息化建設的深入，各種管理信息平臺陸續使用，信息資源不斷豐富，校園信息安全建設的重要性凸顯。病毒攻擊、黑客入侵、后門木馬等網絡安全問題已經嚴重威脅各種管理信息平臺的正常使用。因此，建立并完善校園信息安全體系已經成為校園信息化工作的重要內容。

一、校園信息安全的需求分析

盡管各種管理信息平臺已經遍布職業院校的教學、管理、生活等各種校園活動，信息安全的重要性也逐步得到了認識和重視，但信息安全仍然存在很多問題，如各種安全設備（防火墻、入侵防護系統、Web應用防火墻等）沒有形成統一的安全防護體系；管理信息平臺本身存在安全缺陷，并且在部署時沒有采取有效的安全措施；一些管理信息平臺訪問日志不夠詳細或者缺乏訪問日志；仍有一些用戶安全意識淡薄，存在使用非常簡單的密碼，輕易把用戶信息告訴他人等現象。特別是沒有對應用平臺做有針對性的安全需求分析，在很多時候都使用相同的安全防護措施，從而大大降低了安全性。為了改進校園信息安全管理中存在的問題，從用戶人群、訪問地點以及是否需要認證三個特征對主要的校園管理信息平臺進行分析。

二、管理信息平臺安全管理體系分析

（一）A類管理信息平臺的安全管理體系

A類管理信息平臺的用戶特征在于任何用戶在任何地點、不需要認證就可以訪問該服務，通常需要開放80端口提供服務。這類管理信息平臺主要存在端口掃描、病毒攻擊、篡改頁面等安全隱患。

1.使用首頁服務

在首頁上提供其他管理信息平臺的網址鏈接。開放首頁服務器的80端口，其他管理信息平臺則使用其他非80端口，這種模式可以減少病毒對默認端口的掃描和攻擊。

2.使用防篡改服務

網頁被篡改是門戶網頁面臨的最為嚴重的問題，它不但關系著信息安全問題，同時也嚴重影響學校的形象。目前，有很多關于網頁防篡改和自動恢復技術的研究，并且逐步得到應用推廣。網頁防篡改服務能夠以多種方式監控頁面是否被篡改，并及時將被篡改的頁面恢復，以防止惡意頁面被廣泛傳播。

3.在管理信息平臺前端使用防火墻、入侵防御系統、Web應用防火墻等網絡安全設備

防火墻是一種隔離技術，是在兩個網絡通訊時執行的一種訪問控制策略，只有符合安全策略的數據流才能通過防火墻。入侵防御系統是一種主動的入侵檢測和防御系統，目前在校園信息化建設中也逐步得到了推廣應用。入侵防御系統的作用是在數據進入受保護網絡之前對可疑數據、非法入侵和各種攻擊進行攔截。近些年，Web應用防火墻技術開始得到重視和廣泛研究，其產品也開始得到應用和實踐。Web應用防火墻是針對HTTP/HTTPS的安全策略專門為Web應用提供保護的安全產品，它可以通過對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求，也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍等。

4.數據庫服務、防篡改服務等不需要用戶直接訪問的服務平臺可以使用內部IP地址

這樣，可以從而防止黑客直接對這些服務進行攻擊。

（二）B類管理信息平臺的安全管理體系

B類管理信息平臺的用戶特征在于教工、學生在任何地點都可以通過身份認證后訪問其服務。這類管理信息平臺的安全問題在于，雖然合法用戶需要通過身份認證后才能訪問服務平臺，但是服務器直接暴露在公共網絡中，允許任何人員在任何地點嘗試登陸，允許任何IP地址訪問服務器IP地址。這種管理模式給管理信息平臺的安全帶來了很多問題，如應用平臺漏洞容易被黑客利用，黑客可以直接攻擊服務器，網絡病毒能夠直接威脅服務器安全，用戶訪問日志不健全，出現安全問題后很難查找問題所在等等。由于這類管理信息平臺的訪問用戶都是學校的教工和學生，用戶人群是確定的，因此可以在A類管理信息平臺安全管理體系的基礎上部署用戶管理網關（如VPN網關、行為管理網關等），其作用主要是完成用戶身份驗證，針對不同用戶對管理信息平臺分配不同的訪問權限，記錄用戶的網絡訪問日志等。通過對這類管理信息平臺進行用戶訪問管理，防止學校教工和學生以外的其他人群訪問平臺，并且也限制了公網IP地址隨意訪問服務器IP地址。在很多情況下，管理信息平臺的安全威脅來自于用戶本身，如教工安全意識淡薄、學生惡意攻擊等等，因此，加強管理信息平臺的用戶身份驗證和訪問日志管理，也是對教工和學生用戶正常使用管理信息平臺的約束，任何不良的操作行為都將被記錄在訪問日志中。可見，在這個位置部署用戶管理網關就相當于建立一個有效的安全屏障。

（三）C類管理信息平臺的安全管理體系

一卡通系統、財務管理系統是最常見的兩個C類管理信息平臺，其用戶特征在于少數管理人員在固定地點訪問、管理應用平臺，其他教工和學生用戶僅通過信息查詢前置服務查詢工資信息和消費信息等。由于這兩個服務系統都關系到財務管理，因此，這兩個系統通常都采用獨立的網絡環境，或者在現有網絡設備中劃分出專用的虛擬局域網絡。C類管理信息平臺的安全管理體系可以在B類管理信息平臺安全管理體系的基礎上部署網絡安全隔離系統，俗稱網閘。網閘的基本功能是實現內網與外網的文件交換、網頁單向瀏覽、數據庫交互等。它是由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備，在任一時刻點僅連接內網或外網。由于C類管理信息平臺使用專用的網絡環境，系統受到外界網絡的影響較小，因此，管理人員的安全意識是這類管理平臺的主要安全因素，如不隨意地把非系統計算機接入專用網絡，不隨意地在專用計算機上接入個人U盤、移動硬盤等存儲設備。

三、融合的信息安全體系模型

通過上述分析可以看出，A、B、C三類管理信息平臺的安全管理體系層層遞進，越來越嚴格，因此，可以說這三類管理信息平臺的安全需求等級是逐步提高的。將這三種安全管理體系融合，則可以清楚地得到校園網絡服務的信息安全體系模型。在該體系模型中，用戶管理網關、防火墻、網閘是關鍵設備，其中在網絡出口設備和核心交換機之間部署的用戶管理網關M，是目前很多學校的部署方式，如身份認證系統、網絡計費管理系統等用戶管理網關，而在管理信息平臺之前的用戶管理網關N則使用得不是很廣泛，但是在該位置部署用戶管理網關能夠起到有效的安全管理作用。入侵防護系統、Web應用防火墻可以根據實際需要進行部署，在此基礎上也可以添加其他安全系統，如防毒墻、漏洞掃描系統等。通過分析各種用戶訪問職業院校校園網絡信息服務的特征，建立以用戶特征為基礎的管理信息平臺安全管理體系。該安全管理體系模型為校園網應用平臺的安全管理建設提供了有效的實施方案，在此基礎上也可以根據實際需求進行簡化或拓展。在該安全體系模型中，使用用戶管理網關，嚴格管理訪問各管理信息平臺的用戶范圍，限制訪問IP地址，并詳細記錄用戶的訪問日志，能夠有效提高管理信息平臺的安全性，是該安全體系模型的重要組成和關鍵部署。

作者：張濤 畢超 張陸 單位：天津職業技術師范大學

參考文獻：

[1]冶忠林,王相龍.網頁防篡改和自動恢復系統[J].計算機系統應用，2012（2）:225-228.

[2]羅躍國.一種網頁防篡改技術在校園網中的實現[J].西安文理學院學報(自然科學版)，2011（1）:96-99.

[3]張鑫,閃永強.一種新型網頁防篡改策略的研究與部署[J].河南師范大學學報（自然科學版），2011（5）:157-160.

[4]段國云,陳浩,黃文,唐亞純.一種Web程序防篡改系統的設計與實現[J].計算機工程，2014（5）:149-153.

[5]張慧.入侵防御系統在數字化校園的應用[J].電腦知識與技術，2010（17）:4631-4632.

[6]盧旭霞.基于IPS的校園局域網安全體系研究與實現[J].信息安全與技術，2012（3）:23-25.

[7]劉志光.Web應用防火墻技術分析[J].情報探索，2014（3）:103-105.

[8]魏濤.Web應用防火墻的應用與研究[J].現代商貿工業，2012（24）:213-214.

[9]孫曉林,文杰.一種基于雙網關和radius認證的VPN部署方法[J].網絡安全技術與應用，2014（2）:127-128.

[10]黃家林,梅震琨,劉海韜,甘妙金.基于用戶行為管理的園區網管理模型[J].計算機工程與設計，2009（15）:3653-3656.

[11]包益民.淺談網絡安全隔離產品[J].數字技術與應用，2011（10）:218-220.

[12]劉冬梅.安全隔離網閘在公安交通信息系統中的應用[J].計算機安全，2009（11）:83-85.

[13]熊志堅.網絡隔離技術與信息安全管理淺析[J].通信與信息技術，2013（5）:61-62.