网络环境下学校信息管理系统安全防护体系建设研究

2014-08-22 02:14王园园
淮北职业技术学院学报 2014年4期
关键词:信息管理系统信息系统信息安全

王园园

(淮北职业技术学院,安徽 淮北 235000)

1 网络环境下威胁学校网络信息安全的主要问题

1.1 信息管理系统的漏洞

在没有经过授权的情况下,用户就可以获得访问信息管理系统的权限,或者可以提高访问权限,这就是信息管理系统的安全漏洞,是计算机系统自身的硬件和软件属性,也可以看做信息系统自身的脆弱性。在校园信息管理系统中,其网络结构、防火墙和服务器中均潜在着安全漏洞。目前,我们已经知道的系统安全漏洞就有一百多处,日后将会发现更多的安全漏洞。

1.2 计算机病毒的威胁

当前网络病毒的种类和数量越来越多,危害也更加严重,并且病毒的发生更为频繁。计算机病毒一般会和黑客技术结合在一起,在计算机中毒后,容易出现服务器瘫痪、DoS攻击等,并累及整个服务器。网络病毒在以前多通过复制的方式进入其他程序中,但目前大部分为蠕虫病毒,他们可以在网络中像蠕虫一样到处爬动。部分网络病毒中被植入了黑客程序,在入侵信息系统后,这些病毒可以对入侵系统进行远程控制,进而窃取重要信息。

1.3 外部入侵和内部攻击

学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。

1.4 资源滥用和不良信息的传播

校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。

2 学校信息管理系统的安全防护体系模型

学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。

图1 校园网络信息安全防护体系模型

计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。

3 建设校园网络信息安全防护体系的目标与策略

3.1 网络信息安全防护体系的建设目标

根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。

3.2 网络信息安全防护体系的建设策略

结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。

4 校园网络信息安全防护体系的总体架构

4.1 划分安全区域

在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。

4.2 互联网边界和校园骨干网安全区域的架构

图2 安全区域划分的模型

为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。

4.3 校园数据中心安全区域的架构

根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。

5 结语

网络信息安全是数字化校园建设中研究的重点课题,在建设学校网络信息安全防护体系过程中应该做好管理工作。相信随着信息技术的不断发展与进步,以及学校信息系统安全管理水平的不断提高,校园网络信息安全防护体系将得到进一步完善,以此为学校网络信息系统的稳定、安全运行提供有力的保障。

[1]党齐民,李志华,汤云剑.校园数据中心建设的研究和实践[J].化工高等教育,2011(02).

[2]徐凤亮,史斌斌.高校数字化校园建设的现状与探索[J].中国现代教育装备,2009(15).

[3]顾伟正.高职院校数字化校园建设的现状和展望[J].中国教育信息化,2011(07).

[4]张晓焱,朱兰.提升校园网应用价值的探讨[J].南京工业职业技术学院学报,2009(02).

[5]肖俊宇,杨章伟.高职高专数字化校园建设若干问题研究[J].萍乡高等专科学校学报,2010(03).

猜你喜欢
信息管理系统信息系统信息安全
三维可视化信息管理系统在选煤生产中的应用
企业信息系统安全防护
信息管理系统在工程项目管理的应用
基于三维TGIS的高速公路综合信息管理系统
信息安全专业人才培养探索与实践
基于区块链的通航维护信息系统研究
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
人事档案信息管理系统的设计与实现