前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的職業(yè)院校校園信息安全體系模型，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：

近年來，盡管各類職業(yè)院校逐步加強(qiáng)校園信息安全管理的建設(shè)，但松散的安全管理方式使得各類管理信息平臺(tái)面臨巨大的安全挑戰(zhàn)。為進(jìn)一步提高管理信息平臺(tái)的安全性，本文提出了基于用戶特征的校園信息安全體系模型。通過對(duì)各管理信息平臺(tái)訪問用戶的特征進(jìn)行分析，對(duì)管理信息平臺(tái)的安全需求進(jìn)行歸類，分別提出相應(yīng)的安全管理體系，并綜合形成完整的信息安全體系模型。分析表明，該信息安全體系能夠在很大程度上提高職業(yè)院校校園信息平臺(tái)的安全性。

關(guān)鍵詞：

職業(yè)院校；信息安全體系；用戶特征；用戶管理；網(wǎng)絡(luò)管理

隨著職業(yè)院校信息化建設(shè)的深入，各種管理信息平臺(tái)陸續(xù)使用，信息資源不斷豐富，校園信息安全建設(shè)的重要性凸顯。病毒攻擊、黑客入侵、后門木馬等網(wǎng)絡(luò)安全問題已經(jīng)嚴(yán)重威脅各種管理信息平臺(tái)的正常使用。因此，建立并完善校園信息安全體系已經(jīng)成為校園信息化工作的重要內(nèi)容。

一、校園信息安全的需求分析

盡管各種管理信息平臺(tái)已經(jīng)遍布職業(yè)院校的教學(xué)、管理、生活等各種校園活動(dòng)，信息安全的重要性也逐步得到了認(rèn)識(shí)和重視，但信息安全仍然存在很多問題，如各種安全設(shè)備（防火墻、入侵防護(hù)系統(tǒng)、Web應(yīng)用防火墻等）沒有形成統(tǒng)一的安全防護(hù)體系；管理信息平臺(tái)本身存在安全缺陷，并且在部署時(shí)沒有采取有效的安全措施；一些管理信息平臺(tái)訪問日志不夠詳細(xì)或者缺乏訪問日志；仍有一些用戶安全意識(shí)淡薄，存在使用非常簡(jiǎn)單的密碼，輕易把用戶信息告訴他人等現(xiàn)象。特別是沒有對(duì)應(yīng)用平臺(tái)做有針對(duì)性的安全需求分析，在很多時(shí)候都使用相同的安全防護(hù)措施，從而大大降低了安全性。為了改進(jìn)校園信息安全管理中存在的問題，從用戶人群、訪問地點(diǎn)以及是否需要認(rèn)證三個(gè)特征對(duì)主要的校園管理信息平臺(tái)進(jìn)行分析。

二、管理信息平臺(tái)安全管理體系分析

（一）A類管理信息平臺(tái)的安全管理體系

A類管理信息平臺(tái)的用戶特征在于任何用戶在任何地點(diǎn)、不需要認(rèn)證就可以訪問該服務(wù)，通常需要開放80端口提供服務(wù)。這類管理信息平臺(tái)主要存在端口掃描、病毒攻擊、篡改頁(yè)面等安全隱患。

1.使用首頁(yè)服務(wù)

在首頁(yè)上提供其他管理信息平臺(tái)的網(wǎng)址鏈接。開放首頁(yè)服務(wù)器的80端口，其他管理信息平臺(tái)則使用其他非80端口，這種模式可以減少病毒對(duì)默認(rèn)端口的掃描和攻擊。

2.使用防篡改服務(wù)

網(wǎng)頁(yè)被篡改是門戶網(wǎng)頁(yè)面臨的最為嚴(yán)重的問題，它不但關(guān)系著信息安全問題，同時(shí)也嚴(yán)重影響學(xué)校的形象。目前，有很多關(guān)于網(wǎng)頁(yè)防篡改和自動(dòng)恢復(fù)技術(shù)的研究，并且逐步得到應(yīng)用推廣。網(wǎng)頁(yè)防篡改服務(wù)能夠以多種方式監(jiān)控頁(yè)面是否被篡改，并及時(shí)將被篡改的頁(yè)面恢復(fù)，以防止惡意頁(yè)面被廣泛傳播。

3.在管理信息平臺(tái)前端使用防火墻、入侵防御系統(tǒng)、Web應(yīng)用防火墻等網(wǎng)絡(luò)安全設(shè)備

防火墻是一種隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制策略，只有符合安全策略的數(shù)據(jù)流才能通過防火墻。入侵防御系統(tǒng)是一種主動(dòng)的入侵檢測(cè)和防御系統(tǒng)，目前在校園信息化建設(shè)中也逐步得到了推廣應(yīng)用。入侵防御系統(tǒng)的作用是在數(shù)據(jù)進(jìn)入受保護(hù)網(wǎng)絡(luò)之前對(duì)可疑數(shù)據(jù)、非法入侵和各種攻擊進(jìn)行攔截。近些年，Web應(yīng)用防火墻技術(shù)開始得到重視和廣泛研究，其產(chǎn)品也開始得到應(yīng)用和實(shí)踐。Web應(yīng)用防火墻是針對(duì)HTTP/HTTPS的安全策略專門為Web應(yīng)用提供保護(hù)的安全產(chǎn)品，它可以通過對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求，也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍等。

4.數(shù)據(jù)庫(kù)服務(wù)、防篡改服務(wù)等不需要用戶直接訪問的服務(wù)平臺(tái)可以使用內(nèi)部IP地址

這樣，可以從而防止黑客直接對(duì)這些服務(wù)進(jìn)行攻擊。

（二）B類管理信息平臺(tái)的安全管理體系

B類管理信息平臺(tái)的用戶特征在于教工、學(xué)生在任何地點(diǎn)都可以通過身份認(rèn)證后訪問其服務(wù)。這類管理信息平臺(tái)的安全問題在于，雖然合法用戶需要通過身份認(rèn)證后才能訪問服務(wù)平臺(tái)，但是服務(wù)器直接暴露在公共網(wǎng)絡(luò)中，允許任何人員在任何地點(diǎn)嘗試登陸，允許任何IP地址訪問服務(wù)器IP地址。這種管理模式給管理信息平臺(tái)的安全帶來了很多問題，如應(yīng)用平臺(tái)漏洞容易被黑客利用，黑客可以直接攻擊服務(wù)器，網(wǎng)絡(luò)病毒能夠直接威脅服務(wù)器安全，用戶訪問日志不健全，出現(xiàn)安全問題后很難查找問題所在等等。由于這類管理信息平臺(tái)的訪問用戶都是學(xué)校的教工和學(xué)生，用戶人群是確定的，因此可以在A類管理信息平臺(tái)安全管理體系的基礎(chǔ)上部署用戶管理網(wǎng)關(guān)（如VPN網(wǎng)關(guān)、行為管理網(wǎng)關(guān)等），其作用主要是完成用戶身份驗(yàn)證，針對(duì)不同用戶對(duì)管理信息平臺(tái)分配不同的訪問權(quán)限，記錄用戶的網(wǎng)絡(luò)訪問日志等。通過對(duì)這類管理信息平臺(tái)進(jìn)行用戶訪問管理，防止學(xué)校教工和學(xué)生以外的其他人群訪問平臺(tái)，并且也限制了公網(wǎng)IP地址隨意訪問服務(wù)器IP地址。在很多情況下，管理信息平臺(tái)的安全威脅來自于用戶本身，如教工安全意識(shí)淡薄、學(xué)生惡意攻擊等等，因此，加強(qiáng)管理信息平臺(tái)的用戶身份驗(yàn)證和訪問日志管理，也是對(duì)教工和學(xué)生用戶正常使用管理信息平臺(tái)的約束，任何不良的操作行為都將被記錄在訪問日志中。可見，在這個(gè)位置部署用戶管理網(wǎng)關(guān)就相當(dāng)于建立一個(gè)有效的安全屏障。

（三）C類管理信息平臺(tái)的安全管理體系

一卡通系統(tǒng)、財(cái)務(wù)管理系統(tǒng)是最常見的兩個(gè)C類管理信息平臺(tái)，其用戶特征在于少數(shù)管理人員在固定地點(diǎn)訪問、管理應(yīng)用平臺(tái)，其他教工和學(xué)生用戶僅通過信息查詢前置服務(wù)查詢工資信息和消費(fèi)信息等。由于這兩個(gè)服務(wù)系統(tǒng)都關(guān)系到財(cái)務(wù)管理，因此，這兩個(gè)系統(tǒng)通常都采用獨(dú)立的網(wǎng)絡(luò)環(huán)境，或者在現(xiàn)有網(wǎng)絡(luò)設(shè)備中劃分出專用的虛擬局域網(wǎng)絡(luò)。C類管理信息平臺(tái)的安全管理體系可以在B類管理信息平臺(tái)安全管理體系的基礎(chǔ)上部署網(wǎng)絡(luò)安全隔離系統(tǒng)，俗稱網(wǎng)閘。網(wǎng)閘的基本功能是實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的文件交換、網(wǎng)頁(yè)單向?yàn)g覽、數(shù)據(jù)庫(kù)交互等。它是由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備，在任一時(shí)刻點(diǎn)僅連接內(nèi)網(wǎng)或外網(wǎng)。由于C類管理信息平臺(tái)使用專用的網(wǎng)絡(luò)環(huán)境，系統(tǒng)受到外界網(wǎng)絡(luò)的影響較小，因此，管理人員的安全意識(shí)是這類管理平臺(tái)的主要安全因素，如不隨意地把非系統(tǒng)計(jì)算機(jī)接入專用網(wǎng)絡(luò)，不隨意地在專用計(jì)算機(jī)上接入個(gè)人U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備。

三、融合的信息安全體系模型

通過上述分析可以看出，A、B、C三類管理信息平臺(tái)的安全管理體系層層遞進(jìn)，越來越嚴(yán)格，因此，可以說這三類管理信息平臺(tái)的安全需求等級(jí)是逐步提高的。將這三種安全管理體系融合，則可以清楚地得到校園網(wǎng)絡(luò)服務(wù)的信息安全體系模型。在該體系模型中，用戶管理網(wǎng)關(guān)、防火墻、網(wǎng)閘是關(guān)鍵設(shè)備，其中在網(wǎng)絡(luò)出口設(shè)備和核心交換機(jī)之間部署的用戶管理網(wǎng)關(guān)M，是目前很多學(xué)校的部署方式，如身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)計(jì)費(fèi)管理系統(tǒng)等用戶管理網(wǎng)關(guān)，而在管理信息平臺(tái)之前的用戶管理網(wǎng)關(guān)N則使用得不是很廣泛，但是在該位置部署用戶管理網(wǎng)關(guān)能夠起到有效的安全管理作用。入侵防護(hù)系統(tǒng)、Web應(yīng)用防火墻可以根據(jù)實(shí)際需要進(jìn)行部署，在此基礎(chǔ)上也可以添加其他安全系統(tǒng)，如防毒墻、漏洞掃描系統(tǒng)等。通過分析各種用戶訪問職業(yè)院校校園網(wǎng)絡(luò)信息服務(wù)的特征，建立以用戶特征為基礎(chǔ)的管理信息平臺(tái)安全管理體系。該安全管理體系模型為校園網(wǎng)應(yīng)用平臺(tái)的安全管理建設(shè)提供了有效的實(shí)施方案，在此基礎(chǔ)上也可以根據(jù)實(shí)際需求進(jìn)行簡(jiǎn)化或拓展。在該安全體系模型中，使用用戶管理網(wǎng)關(guān)，嚴(yán)格管理訪問各管理信息平臺(tái)的用戶范圍，限制訪問IP地址，并詳細(xì)記錄用戶的訪問日志，能夠有效提高管理信息平臺(tái)的安全性，是該安全體系模型的重要組成和關(guān)鍵部署。

作者：張濤 畢超 張陸 單位：天津職業(yè)技術(shù)師范大學(xué)

參考文獻(xiàn)：

[1]冶忠林,王相龍.網(wǎng)頁(yè)防篡改和自動(dòng)恢復(fù)系統(tǒng)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2012（2）:225-228.

[2]羅躍國(guó).一種網(wǎng)頁(yè)防篡改技術(shù)在校園網(wǎng)中的實(shí)現(xiàn)[J].西安文理學(xué)院學(xué)報(bào)(自然科學(xué)版)，2011（1）:96-99.

[3]張?chǎng)?閃永強(qiáng).一種新型網(wǎng)頁(yè)防篡改策略的研究與部署[J].河南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2011（5）:157-160.

[4]段國(guó)云,陳浩,黃文,唐亞純.一種Web程序防篡改系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2014（5）:149-153.

[5]張慧.入侵防御系統(tǒng)在數(shù)字化校園的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010（17）:4631-4632.

[6]盧旭霞.基于IPS的校園局域網(wǎng)安全體系研究與實(shí)現(xiàn)[J].信息安全與技術(shù)，2012（3）:23-25.

[7]劉志光.Web應(yīng)用防火墻技術(shù)分析[J].情報(bào)探索，2014（3）:103-105.

[8]魏濤.Web應(yīng)用防火墻的應(yīng)用與研究[J].現(xiàn)代商貿(mào)工業(yè)，2012（24）:213-214.

[9]孫曉林,文杰.一種基于雙網(wǎng)關(guān)和radius認(rèn)證的VPN部署方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（2）:127-128.

[10]黃家林,梅震琨,劉海韜,甘妙金.基于用戶行為管理的園區(qū)網(wǎng)管理模型[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009（15）:3653-3656.

[11]包益民.淺談網(wǎng)絡(luò)安全隔離產(chǎn)品[J].數(shù)字技術(shù)與應(yīng)用，2011（10）:218-220.

[12]劉冬梅.安全隔離網(wǎng)閘在公安交通信息系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)安全，2009（11）:83-85.

[13]熊志堅(jiān).網(wǎng)絡(luò)隔離技術(shù)與信息安全管理淺析[J].通信與信息技術(shù)，2013（5）:61-62.