浅析高校信息系统安全隐患及防范措施

王雪

（吉林农业科技学院教育技术与信息中心，吉林 132101）

浅析高校信息系统安全隐患及防范措施

王雪

（吉林农业科技学院教育技术与信息中心，吉林 132101）

随着计算机及网络技术的迅速发展及普及，信息化建设已经成为高校建设的重要组成部分，而信息系统安全问题则是高校信息化建设中必须要考虑的一个重要因素。本文从物理、网络、主机及应用、数据安全及备份恢复和管理五个方面分析了当前高校信息系统可能存在的安全隐患，并结合以上方面提出了信息系统的具体安全防范措施。最后，根据信息系统安全问题的动态变化特点，提出了信息系统相关维护人员要不断地进行研究探索，完善信息系统安全体系的必要性。

高校信息化；信息系统；信息系统安全

1 引言

随着计算机及网络技术的迅速发展及普及，高校信息化水平也在不断的提高。在信息化不断向前推进的过程中，各高校相继建设了网站系统、OA办公系统、教务系统、科研系统、一卡通及财务系统等信息系统，同时部署了防火墙等安全设备作为信息安全的保障，制订了相关的信息安全策略，取得了一定的成绩。但随着信息安全技术和黑客攻击技术的不断发展和国际、国内信息安全形势的不断严峻，针对基础信息网络和重要信息系统的违法犯罪持续上升，不法分子利用安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、黑客攻击等违法犯罪活动大幅度增加，校园网络安全及信息系统安全问题日益彰显。原有的信息安全保障框架存在诸多安全隐患和漏洞，同时存在较多的信息安全风险，不足以保障业务应用系统的安全性和可用性，一旦系统受到攻击或网站数据遭到篡改，将对高校工作造成严重影响[1]。为进一步加强高校信息系统建设项目的管理工作，确保信息系统健康发展和正常运行，本文分析了高校信息化建设过程中信息系统存在的安全隐患，并针对安全隐患提出了具体的安全防范措施。

2 高校信息系统存在的安全隐患

随着校园网络规模的不断扩大和业务应用系统越来越多且越来越复杂，在应用信息系统的过程中，由于人员的复杂性与多样性，给信息系统的安全带来更多的隐患和不确定因素。一旦信息系统被非法用户攻击导致系统瘫痪，信息很容易外泄，将给学校带来无法挽回的损失。影响信息系统安全的隐患是多方面的，既有物理方面的隐患，也有来自技术和管理方面的隐患。

2.1 物理安全隐患

物理安全是从运行环境、保障设施等方面为信息系统提供物理保障（如机房、电力环境保障以及设备、设施、介质的防盗、防破坏等防护），尽量降低或避免因自然灾害、环境威胁、人员恶意破坏等对信息系统可能造成的影响。高校数据中心机房安全环境建设是高校信息系统安全的关键，它是保证信息系统正常稳定运行的前提[2]。

2.2 网络安全隐患

信息系统依赖于网络与外部进行数据的交换，这就给一些非法用户留下了可乘之机，非法用户会以不同的途径获得信息系统的访问权，给信息系统的安全留下了隐患，造成不可挽回的损失。

网络攻击的实质就是利用被攻击方信息系统自身存在的安全漏洞，通过使用网络命令和专用软件进入对方网络系统的攻击。目前常见的网络攻击手段有拒绝服务攻击（Dos/DDos）、欺骗类攻击、控制类攻击、探测类攻击以及漏洞类攻击等。

拒绝服务攻击的目的是破坏组织的正常运行，最终使网络连接堵塞，或者使服务器系统的相关服务崩溃，系统资源耗尽。常见的拒绝服务攻击方式有同步洪流、LAND攻击、Ping洪流、死亡之Ping。欺骗类攻击包括Arp欺骗、DNS欺骗、IP地址欺骗，他们都是以不同的方式通过伪造假信息来实施欺骗攻击。控制类攻击最常见的有缓冲区溢出攻击、木马攻击、口令入侵等，通过某种方式获得对机器的控制权进行攻击。探测类攻击通过搜集目标系统的网络安全缺陷相关信息，为以后的入侵提供帮助。漏洞类攻击是根据网络体系中存在的各种漏洞进行攻击[3]。

随着计算机技术和网络技术的快速发展，互联网移动计算和云时代的到来，网络攻击的手段不仅仅是依赖于以上单一的攻击手段，攻击的形式更加多样化。

2.3 主机及应用安全隐患

随着主机操作系统上承载的应用越来越多且越来越复杂，同时操作系统本身存在技术上的缺陷，特别是Windows系列操作系统，系统漏洞往往会被病毒利用侵入并攻击用户主机，虽然操作系统供应商将定期对已知的系统漏洞发布补丁程序，但用户如果没有及时的进行下载并安装补丁程序，将会带来大量的安全隐患。另外，用户账号和权限设置不当，未设置安全的密码策略，也会给入侵者留下攻击的途径，最终导致系统的崩溃和信息的泄漏等安全隐患。

2.4 数据及备份恢复安全隐患

信息系统中的数据安全是保证信息系统安全的重要前提，数据安全主要考虑数据的完整性、保密性和数据的备份恢复等方面。近两年，黑客盗取数据库的技术也在不断提升，数据库安全事件频发。若数据库的安全保护功能弱，内部人员非法窃取或本地用户存在误操作，备份及恢复策略设置不当，将造成数据的丢失或破坏，从而给系统带来数据方面的安全隐患。

2.5 管理层面安全隐患

信息系统建设及应用过程中，如果没有相应的安全管理机构及管理制度，将会造成人员安全意识淡薄、责权不明、管理上混乱，当出现安全事故时，没有相应的制度进行约束及应急响应方案，将会给信息系统带来管理上的安全隐患[4]。

3 信息系统安全防范的具体措施

信息系统的安全涉及到物理环境、技术、管理等方面的内容。在技术方面又涉及到网络保护技术、主机及应用程序安全防护技术、数据安全及备份恢复技术等领域。管理方面涉及到管理机构及制度建设。作为信息系统安全管理员应针对信息系统所存在的安全隐患，采取相应的安全防范措施以保证系统的正常运行。

3.1 物理安全措施

信息系统的物理安全主要涉及的具体方面包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。通常高校信息系统集中存放在数据中心机房，这就要求数据中心机房的建设要符合国家相应的标准，满足信息系统的物理安全[5]。

3.2 网络安全措施

在网络安全方面主要关注网络结构、网络边界以及网络设备自身安全等，具体包括：结构安全、访问控制、安全审计、入侵防范、网络设备防护等。边界处采用防火墙设备进行安全边界隔离和访问控制，根据边界安全网关的防火墙特性，开启包过滤策略，配置相应的规则，保护内部网络设备的安全。边界部署入侵防御系统和入侵检测系统，检测和防范端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、网络蠕虫攻击等。网络内部采用VLAN进行边界隔离和访问控制。为防止重要信息外泄，引入上网行为管理产品，同时，采用应用防火墙有效防止网站被恶意注入和篡改。校园网络采用综合监控管理平台实时监测网络和信息系统的运行情况。

3.3 主机及应用安全措施

在信息系统运维过程中，以高校大多数采用的Windows Server系列操作系统为例，系统管理员可以通过设置账号规则、更改用户权限、设置安全密码、配置安全策略、关闭不必要的端口、开启审核策略等方式来保障主机的安全[6]。

做好日常防毒工作，也是保证主机及应用程序安全的重要措施。若信息系统防毒措施不到位，病毒就会侵入到信息系统，破坏系统的正常运行，泄露系统中的重要信息，有些病毒甚至会通过网络不断的扩散，给其他系统的正常运行带来安全威胁。通过在信息系统上安装一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量的木马和后门程序，保护系统的安全。

另外，由于Windows server系列操作系统非常庞大，常常存在一些技术漏洞。系统管理员在运维过程中，要及时下载补丁，安装最新补丁，防止因系统漏洞而带来安全隐患。

3.4 数据及备份恢复安全措施

数据是信息系统中最重要的资源，保证系统中数据的完整性、准确性及保密性，做好数据的备份及恢复工作，是信息系统管理员的首要职责。

在信息系统数据的维护中，制订数据备份与恢复的管理制度和操作规程，建立备份与恢复策略，完善备份与恢复的应急响应方案并进行演练。系统管理员要做好定期备份和修改后即时备份工作。

关键性的设备如不能提供冗余，应采用冷备方式，提高整体的备份与恢复能力。对于业务应用系统，可采用虚拟化模式，实现业务应用的不中断，最大限度增强业务应用系统的备份与恢复能力。当信息系统数据总量不大的情况下，可采用专人定期进行人工备份的方式，一旦发生数据安全问题，立即进行恢复。

3.5 安全管理措施

在高校进行信息化建设的过程中，如何保证信息系统的安全，消除安全隐患，不仅要从信息安全技术的角度考虑，更为重要的是根据信息系统的等级保护要求，结合信息系统的实际安全运维模式，建立符合信息系统安全要求的管理制度。

完善当前机房安全管理制度，建立机房出入登记制度，保护信息系统主机及所依赖的网络设备等硬件和通信线路安全。建立并完善相关的安全管理制度，保证相关人员按照规定的制度行事，做到各行其职、各负其责，避免责任事故的发生和防止恶意侵犯。加强安全教育和人员培训，将安全管理制度和管理技术结合起来，保障信息系统的安全[7]。

建立信息安全应急机构，制定信息安全应急响应预案，通过建立校方运维人员队伍、专家资源库以及厂商资源库等人力资源措施，并通过组织应急响应预案演练，规范操作，保证在发生紧急事件时，更快的恢复系统应用和数据，最大可能的降低损失。

4 结语

本文分析了高校信息系统存在的安全隐患，并针对安全隐患提出了具体的防范措施。随着计算机技术和网络技术的不断提升，可能会出现新的攻击手段，防御能力不足，导致攻击事件的发生。所以，信息系统的安全问题并非是一成不变的，而是一个动态的持续过程，对于系统维护人员来说并没有一劳永逸的防范措施。因此，不断地进行研究探索，完善信息系统的安全体系，对于保障信息系统的安全是非常必要的。

[1]张 剑，王 琦.浅析管理在信息系统安全中的必要性[J].信息网络安全，2012（6）：1-2.

[2]罗 峥，王 宁.信息安全等级保护测评管理体系建设初探[J].信息网络安全，2011(增刊)：61-62.

[3]郭 臣.安全检查保障信息系统安全[J].信息安全与技术，2010 （7）：6-9.

[4]程立明.浅谈计算机网络安全防范措施[J].电脑知识与技术，2010，6（6）：1 356-1 357.

[5]洪小坚.浅谈计算机的网络安全应用及防御措施[J].计算机光盘软件与应用，2013，33（2）：181-182.

[6]李国强.浅谈数据安全与备份恢复技术研究[J].科技传播，2010（32）：250-251.

[7]方华峰.数据容灾备份与恢复的关键技术及应用研究[J].网络安全技术与应用，2014（3）：43-44.

责任编辑：吴艳玲

Analysis on the Hidden Dangers of Information System in Universities and the Preventive Measures

WANG Xue
（Jilin Agricultural Science and Technology University Educational Technology and Information Center,Jilin 132101）

With the rapid development and popularity of computer and network technology,information construction has become an important part of the construction of universities,however,information system security is an important factor that must be considered in the information construction of university.This paper analyzed the potential security problems of information systems in universities from five aspects∶physical, network,host and application,data security and backup and recovery and management,and then combined with the above aspects,this paper presented the specific security preventive measures of information system.Finally, according to the dynamic characteristics of information system security,this paper presented the necessity of the information system maintenance staffs should continue to carry out research and exploration,and the need to improve the security system of information system.

university informatization;information system;information system security

TP393.08

A

2016-10-29

王 雪（1982-），女，吉林省永吉县人，研究实习员，研究方向：计算机应用技术。