高校信息安全體系構建分析

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了一篇高校信息安全體系構建分析范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

從當前主要的安全攻擊手段、信息安全防護產品角度出發，對高職類院校信息安全體系構建進行分析，提出有關高職類院校信息安全體系構建的技術以及管理方法。為進一步為高職類院校信息網絡提供強有力的安全的信息網絡，最后對如何將技術以及管理進行融合提出了一點展望。

0引言

多數高校隨著信息化軟硬件建設的完善，都進入了一個高效、便捷的信息化網絡辦公環境。學生可以利用網絡解決其大部分學習以及生活問題，教職工也可利用網絡進行辦公、學習以及教學等等活動。但所有的業務網絡都應該構建在一個安全的網絡環境下，沒有信息安全，再強大、便捷的應用系統在最低等級的網絡攻擊下，都會顯得蒼白無力。為此筆者結合自身的工作以及實踐經驗，從分析當前高職類院校信息安全現狀出發，重點對構建高職類院校信息安全體系的技術和管理措施進行分析，同時對高職類院校的信息安全建設規劃做概要分析。

1高職類院校信息安全現狀分析

目前，高職類院校主要受到的信息安全威脅來源于以下幾個方面：病毒、拒絕服務攻擊、信息泄露、外部攻擊以及內部職員的誤用幾個方面。這些來自各個不同方面的攻擊，時刻威脅著校園網絡的安全。同時不同的安全防火產品之間，由于相互競爭關系，不能很好地進行“聯防”，產品之

功能相互重疊、對新的工具領域又相互推諉，很難形成一體化強有力的信息安全防護體系［1］。信息安全體系的建設需從兩個主要方面入手：技術和管理，同時應該遵循“管理為首、技術從眾”的原則出發，沒有技術可以確保一個系統或者網絡是絕對安全的。

2高職類院校信息安全建設之技術體系建設

高職類院信息安全體系建設應該從多維度進行技術防護。

2.1物理與環境安全

物理環境安全主要指的是機房或者是數據中心的物理環境安全。當前，大部分高職類院校都興建機房，有的甚至構建了校園數據中心［2］。機房的物理以及環境安全是一切安全的基礎，為此需要首先保障的是物理和環境安全?！峨娮有畔⑾到y機房設計規范》GB50174-2008對機房建設的要求都進行了詳細的規定，為此，高職類院校需要在國標的基礎上適當修訂，形成一個實際的可應用的《機房及數據中心管理辦法》，主要關注的方面包括機房的位置、機房的防火、濕度、溫度以及排水等。在綜合考慮這些的基礎上，需要做好異地備份，一旦發生不可逆事件的時候，可以實現數據的快速恢復。

2.2系統安全

系統安全建設也是高校信息化建設的重點。當前，高校進行信息建設的過程中，需要將系統安全建設納人到系統建設的同步過程中來，在前面現狀分析的過程中了解到當前TOP10的系統威脅主要為：注入（SQL注入、命令注入）、失效的身份認證和會話管理、敏感數據泄露、外部實體（XXE）、失效的訪問控制、安全配置錯誤、跨站腳本、不安全的發序列化、使用已知漏洞的主鍵、不足的日志記錄和監控。為做好系統安全，需要從不同的攻擊方法中針對不同的攻擊手段提供對應的防護措施。（1）部署相適應的應用防火墻；（2）做到最小端口開放原則，關閉不必要的端口；（3）系統內測過程中加入滲透測試環節，排除當前已存在的安全漏洞；（4）對用戶的口令進行技術驗證，防止不規范的以及帶規律的口令存在；（5）加強對統一授權和認證系統的管理，對開發過程中session管理進行良好的約定。

2.3網絡安全

網絡安全，主要考慮的是系統在使用過程中網絡可用、穩定。2.3.1交換機劃分VLAN。虛擬局域網（VLAN）是一組邏輯設備，這些設備可以不受物理位置的制約，將不同網段的網絡用戶組合起來，形成一個虛擬局域網。VLAN可以阻隔廣播域，阻止廣播風暴，同時劃分網段，讓不同計算機網段之間不能直接互訪，保護用戶數據。同時通過VLAN劃分可以進一步防止一些蠕蟲病毒的傳播以及ARP攻擊的產生［3］。2.3.2防火墻部署隔離內外網。防火墻是一個位于內外網之間的網絡防護系統，防火墻的主要作用是：限制或者通過運行特定的數據。通過限制網絡數據流的傳輸，隔離內外網。防火墻的工作原理是通過監控通過其路徑上的所有通訊，通過檢查通過其路勁上信息流的源端口、目的端口、源IP地址以及目的IP地址等信息，實現對內網網數據的隔離，通過對端口的管理，實現對應用網絡數據流的管理。防火墻是對網絡進行安全管理的第一道屏障，所以合理配置防火墻策略，做到最小開放原則，可以大范圍阻止網絡攻擊。2.3.3部署抗DDOS設備。DDOS（DistributedDenialofService）意思為分布式拒絕服務攻擊，主要方式是對網絡服務發送大量的正常模擬請求，通過消耗網絡資源，導致網絡應用不可用，尤其是在學生選課以及學生集中查詢的過程中，若遭受DDOS攻擊，將極大可能導致系統宕機，引起系統數據不一致。所以合理布置DDOS設備，對流量進行監管和清洗，可以保證應用的資源正常訪問。

2.4數據及應用安全

2.4.1積極部署防病毒軟件。防病毒是信息網絡安全的一個主要環節，病毒可以對信息網絡造成極大的破壞。防病毒軟件可以對系統已經存在的病毒情況進行全盤掃描，將系統存在的病毒進行清除，防止數據被病毒進行破壞。2.4.2數據加密。數據加密是為了保證數據在傳輸過程中的安全性，當前網絡劫持、數據庫拖庫以及數據破譯等技術不斷發展，為進一步應對網絡信息安全威脅，即使在發生信息泄露以及拖庫的情況下，不會造成大面積信息安全事件。數據加密保護是對信息安全過程中的最后一道屏障，所以在日常的系統開發過程中，應對關鍵字段進行數據加密。2.4.3數據備份。數據備份指的是為了防止系統出現故障或者運維出現誤操作導致數據刪除，需要對重要信息系統的數據實行備份。備份的方式有多種，主要類型包括網絡備份、本次磁盤備份以及雙機熱備份等。

3高職類院校信息安全建設之管理體系建設

3.1密碼策略

密碼策略指的是在企業信息安全管理過程中最重要的一環。密碼是任何人進入企業的第道防火設備，為防止黑客及不法人員利用工作人員賬號對系統進行攻擊，所以在信息網絡安全管理體系建設的過程中，密碼策略是首先需要考慮的一點。其要求包括密碼復雜性要求（密碼組合字符符合復雜性要求）、密碼長度最小值、密碼最短及最長使用時間、密碼更換頻次。

3.2等級保護

信息安全等級保護指的是，國家為對信息系統進行分級，要求對現有的信息及信息載體進行分級保護而制定的一項工作。信息等級保護工作主要包括的步驟包括定級、備案安全建設及整改、信息安全等級測評以及信息安全檢查五個內容。

3.3信息安全宣貫

信息安全宣貫的目的是，提升員工的信息安全意識，建立一種大家都明白的信息安全概念。通過多種形式的信息安全宣貫措施，如培訓、教育以及宣傳，讓大家在日常的工作生活中建立一種良好的信息安全習慣，極大地從內部減少信息安全威脅。

4構建強有力高職類信息安全網絡的展望

構建堅強的信息安全網絡，是對主要業務的支持。當前，大部分業務系統都運行在網絡系統環境上，通過交換機劃分VLAN可以減少沖突域，減少網絡廣播；通過防病毒軟件，可以進一步保護系統內的數據防止數據破壞；通過部署不同類型的防火墻可以進一步將內外網進行隔離，將局域網內的隔離為一個相對安全的環境。5結束語高校網絡安全是一個復雜且極其龐大的工程，信息網絡安全都是相對的，沒有絕對的信息網絡安全。在日常的信息管理中，除了硬件和技術作為有力安全支撐外，信息用戶以及管理員之間的網絡安全意識以及網絡安全協調配合同樣十分重要。在采取安全防范措施的同時，還要有較為完善的安全管理制度和合理的組織機構，這樣才能夠實現高校校園網較為可靠、安全地運行。

參考文獻：

［1］李西明,鹿海濤.高校信息安全管理探討［J］.中國教育信息化,2010(1):20~22.

［2］孟壇魁,梁藝軍.高校信息安全體系建設與實踐［J］.實驗技術與管理,2011,28(6):122~124,129.

［3］梁紹柱.高校信息安全體系建設研究［J］.軟件導刊,2012,11(9):154~155.

作者:肖濤 袁罡 姜帥 單位:江西電力職業技術學院