王雪

（吉林農(nóng)業(yè)科技學(xué)院教育技術(shù)與信息中心，吉林 132101）

淺析高校信息系統(tǒng)安全隱患及防范措施

王雪

（吉林農(nóng)業(yè)科技學(xué)院教育技術(shù)與信息中心，吉林 132101）

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及普及，信息化建設(shè)已經(jīng)成為高校建設(shè)的重要組成部分，而信息系統(tǒng)安全問(wèn)題則是高校信息化建設(shè)中必須要考慮的一個(gè)重要因素。本文從物理、網(wǎng)絡(luò)、主機(jī)及應(yīng)用、數(shù)據(jù)安全及備份恢復(fù)和管理五個(gè)方面分析了當(dāng)前高校信息系統(tǒng)可能存在的安全隱患，并結(jié)合以上方面提出了信息系統(tǒng)的具體安全防范措施。最后，根據(jù)信息系統(tǒng)安全問(wèn)題的動(dòng)態(tài)變化特點(diǎn)，提出了信息系統(tǒng)相關(guān)維護(hù)人員要不斷地進(jìn)行研究探索，完善信息系統(tǒng)安全體系的必要性。

高校信息化；信息系統(tǒng)；信息系統(tǒng)安全

1 引言

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及普及，高校信息化水平也在不斷的提高。在信息化不斷向前推進(jìn)的過(guò)程中，各高校相繼建設(shè)了網(wǎng)站系統(tǒng)、OA辦公系統(tǒng)、教務(wù)系統(tǒng)、科研系統(tǒng)、一卡通及財(cái)務(wù)系統(tǒng)等信息系統(tǒng)，同時(shí)部署了防火墻等安全設(shè)備作為信息安全的保障，制訂了相關(guān)的信息安全策略，取得了一定的成績(jī)。但隨著信息安全技術(shù)和黑客攻擊技術(shù)的不斷發(fā)展和國(guó)際、國(guó)內(nèi)信息安全形勢(shì)的不斷嚴(yán)峻，針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升，不法分子利用安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚(yú)等技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、黑客攻擊等違法犯罪活動(dòng)大幅度增加，校園網(wǎng)絡(luò)安全及信息系統(tǒng)安全問(wèn)題日益彰顯。原有的信息安全保障框架存在諸多安全隱患和漏洞，同時(shí)存在較多的信息安全風(fēng)險(xiǎn)，不足以保障業(yè)務(wù)應(yīng)用系統(tǒng)的安全性和可用性，一旦系統(tǒng)受到攻擊或網(wǎng)站數(shù)據(jù)遭到篡改，將對(duì)高校工作造成嚴(yán)重影響[1]。為進(jìn)一步加強(qiáng)高校信息系統(tǒng)建設(shè)項(xiàng)目的管理工作，確保信息系統(tǒng)健康發(fā)展和正常運(yùn)行，本文分析了高校信息化建設(shè)過(guò)程中信息系統(tǒng)存在的安全隱患，并針對(duì)安全隱患提出了具體的安全防范措施。

2 高校信息系統(tǒng)存在的安全隱患

隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)應(yīng)用系統(tǒng)越來(lái)越多且越來(lái)越復(fù)雜，在應(yīng)用信息系統(tǒng)的過(guò)程中，由于人員的復(fù)雜性與多樣性，給信息系統(tǒng)的安全帶來(lái)更多的隱患和不確定因素。一旦信息系統(tǒng)被非法用戶攻擊導(dǎo)致系統(tǒng)癱瘓，信息很容易外泄，將給學(xué)校帶來(lái)無(wú)法挽回的損失。影響信息系統(tǒng)安全的隱患是多方面的，既有物理方面的隱患，也有來(lái)自技術(shù)和管理方面的隱患。

2.1 物理安全隱患

物理安全是從運(yùn)行環(huán)境、保障設(shè)施等方面為信息系統(tǒng)提供物理保障（如機(jī)房、電力環(huán)境保障以及設(shè)備、設(shè)施、介質(zhì)的防盜、防破壞等防護(hù)），盡量降低或避免因自然災(zāi)害、環(huán)境威脅、人員惡意破壞等對(duì)信息系統(tǒng)可能造成的影響。高校數(shù)據(jù)中心機(jī)房安全環(huán)境建設(shè)是高校信息系統(tǒng)安全的關(guān)鍵，它是保證信息系統(tǒng)正常穩(wěn)定運(yùn)行的前提[2]。

2.2 網(wǎng)絡(luò)安全隱患

信息系統(tǒng)依賴于網(wǎng)絡(luò)與外部進(jìn)行數(shù)據(jù)的交換，這就給一些非法用戶留下了可乘之機(jī)，非法用戶會(huì)以不同的途徑獲得信息系統(tǒng)的訪問(wèn)權(quán)，給信息系統(tǒng)的安全留下了隱患，造成不可挽回的損失。

網(wǎng)絡(luò)攻擊的實(shí)質(zhì)就是利用被攻擊方信息系統(tǒng)自身存在的安全漏洞，通過(guò)使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段有拒絕服務(wù)攻擊（Dos/DDos）、欺騙類攻擊、控制類攻擊、探測(cè)類攻擊以及漏洞類攻擊等。

拒絕服務(wù)攻擊的目的是破壞組織的正常運(yùn)行，最終使網(wǎng)絡(luò)連接堵塞，或者使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰，系統(tǒng)資源耗盡。常見(jiàn)的拒絕服務(wù)攻擊方式有同步洪流、LAND攻擊、Ping洪流、死亡之Ping。欺騙類攻擊包括Arp欺騙、DNS欺騙、IP地址欺騙，他們都是以不同的方式通過(guò)偽造假信息來(lái)實(shí)施欺騙攻擊?？刂祁惞糇畛Ｒ?jiàn)的有緩沖區(qū)溢出攻擊、木馬攻擊、口令入侵等，通過(guò)某種方式獲得對(duì)機(jī)器的控制權(quán)進(jìn)行攻擊。探測(cè)類攻擊通過(guò)搜集目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全缺陷相關(guān)信息，為以后的入侵提供幫助。漏洞類攻擊是根據(jù)網(wǎng)絡(luò)體系中存在的各種漏洞進(jìn)行攻擊[3]。

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)移動(dòng)計(jì)算和云時(shí)代的到來(lái)，網(wǎng)絡(luò)攻擊的手段不僅僅是依賴于以上單一的攻擊手段，攻擊的形式更加多樣化。

2.3 主機(jī)及應(yīng)用安全隱患

隨著主機(jī)操作系統(tǒng)上承載的應(yīng)用越來(lái)越多且越來(lái)越復(fù)雜，同時(shí)操作系統(tǒng)本身存在技術(shù)上的缺陷，特別是Windows系列操作系統(tǒng)，系統(tǒng)漏洞往往會(huì)被病毒利用侵入并攻擊用戶主機(jī)，雖然操作系統(tǒng)供應(yīng)商將定期對(duì)已知的系統(tǒng)漏洞發(fā)布補(bǔ)丁程序，但用戶如果沒(méi)有及時(shí)的進(jìn)行下載并安裝補(bǔ)丁程序，將會(huì)帶來(lái)大量的安全隱患。另外，用戶賬號(hào)和權(quán)限設(shè)置不當(dāng)，未設(shè)置安全的密碼策略，也會(huì)給入侵者留下攻擊的途徑，最終導(dǎo)致系統(tǒng)的崩潰和信息的泄漏等安全隱患。

2.4 數(shù)據(jù)及備份恢復(fù)安全隱患

信息系統(tǒng)中的數(shù)據(jù)安全是保證信息系統(tǒng)安全的重要前提，數(shù)據(jù)安全主要考慮數(shù)據(jù)的完整性、保密性和數(shù)據(jù)的備份恢復(fù)等方面。近兩年，黑客盜取數(shù)據(jù)庫(kù)的技術(shù)也在不斷提升，數(shù)據(jù)庫(kù)安全事件頻發(fā)。若數(shù)據(jù)庫(kù)的安全保護(hù)功能弱，內(nèi)部人員非法竊取或本地用戶存在誤操作，備份及恢復(fù)策略設(shè)置不當(dāng)，將造成數(shù)據(jù)的丟失或破壞，從而給系統(tǒng)帶來(lái)數(shù)據(jù)方面的安全隱患。

2.5 管理層面安全隱患

信息系統(tǒng)建設(shè)及應(yīng)用過(guò)程中，如果沒(méi)有相應(yīng)的安全管理機(jī)構(gòu)及管理制度，將會(huì)造成人員安全意識(shí)淡薄、責(zé)權(quán)不明、管理上混亂，當(dāng)出現(xiàn)安全事故時(shí)，沒(méi)有相應(yīng)的制度進(jìn)行約束及應(yīng)急響應(yīng)方案，將會(huì)給信息系統(tǒng)帶來(lái)管理上的安全隱患[4]。

3 信息系統(tǒng)安全防范的具體措施

信息系統(tǒng)的安全涉及到物理環(huán)境、技術(shù)、管理等方面的內(nèi)容。在技術(shù)方面又涉及到網(wǎng)絡(luò)保護(hù)技術(shù)、主機(jī)及應(yīng)用程序安全防護(hù)技術(shù)、數(shù)據(jù)安全及備份恢復(fù)技術(shù)等領(lǐng)域。管理方面涉及到管理機(jī)構(gòu)及制度建設(shè)。作為信息系統(tǒng)安全管理員應(yīng)針對(duì)信息系統(tǒng)所存在的安全隱患，采取相應(yīng)的安全防范措施以保證系統(tǒng)的正常運(yùn)行。

3.1 物理安全措施

信息系統(tǒng)的物理安全主要涉及的具體方面包括：物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。通常高校信息系統(tǒng)集中存放在數(shù)據(jù)中心機(jī)房，這就要求數(shù)據(jù)中心機(jī)房的建設(shè)要符合國(guó)家相應(yīng)的標(biāo)準(zhǔn)，滿足信息系統(tǒng)的物理安全[5]。

3.2 網(wǎng)絡(luò)安全措施

在網(wǎng)絡(luò)安全方面主要關(guān)注網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括：結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)等。邊界處采用防火墻設(shè)備進(jìn)行安全邊界隔離和訪問(wèn)控制，根據(jù)邊界安全網(wǎng)關(guān)的防火墻特性，開(kāi)啟包過(guò)濾策略，配置相應(yīng)的規(guī)則，保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備的安全。邊界部署入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)，檢測(cè)和防范端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。網(wǎng)絡(luò)內(nèi)部采用VLAN進(jìn)行邊界隔離和訪問(wèn)控制。為防止重要信息外泄，引入上網(wǎng)行為管理產(chǎn)品，同時(shí)，采用應(yīng)用防火墻有效防止網(wǎng)站被惡意注入和篡改。校園網(wǎng)絡(luò)采用綜合監(jiān)控管理平臺(tái)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行情況。

3.3 主機(jī)及應(yīng)用安全措施

在信息系統(tǒng)運(yùn)維過(guò)程中，以高校大多數(shù)采用的Windows Server系列操作系統(tǒng)為例，系統(tǒng)管理員可以通過(guò)設(shè)置賬號(hào)規(guī)則、更改用戶權(quán)限、設(shè)置安全密碼、配置安全策略、關(guān)閉不必要的端口、開(kāi)啟審核策略等方式來(lái)保障主機(jī)的安全[6]。

做好日常防毒工作，也是保證主機(jī)及應(yīng)用程序安全的重要措施。若信息系統(tǒng)防毒措施不到位，病毒就會(huì)侵入到信息系統(tǒng)，破壞系統(tǒng)的正常運(yùn)行，泄露系統(tǒng)中的重要信息，有些病毒甚至?xí)ㄟ^(guò)網(wǎng)絡(luò)不斷的擴(kuò)散，給其他系統(tǒng)的正常運(yùn)行帶來(lái)安全威脅。通過(guò)在信息系統(tǒng)上安裝一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量的木馬和后門(mén)程序，保護(hù)系統(tǒng)的安全。

另外，由于Windows server系列操作系統(tǒng)非常龐大，常常存在一些技術(shù)漏洞。系統(tǒng)管理員在運(yùn)維過(guò)程中，要及時(shí)下載補(bǔ)丁，安裝最新補(bǔ)丁，防止因系統(tǒng)漏洞而帶來(lái)安全隱患。

3.4 數(shù)據(jù)及備份恢復(fù)安全措施

數(shù)據(jù)是信息系統(tǒng)中最重要的資源，保證系統(tǒng)中數(shù)據(jù)的完整性、準(zhǔn)確性及保密性，做好數(shù)據(jù)的備份及恢復(fù)工作，是信息系統(tǒng)管理員的首要職責(zé)。

在信息系統(tǒng)數(shù)據(jù)的維護(hù)中，制訂數(shù)據(jù)備份與恢復(fù)的管理制度和操作規(guī)程，建立備份與恢復(fù)策略，完善備份與恢復(fù)的應(yīng)急響應(yīng)方案并進(jìn)行演練。系統(tǒng)管理員要做好定期備份和修改后即時(shí)備份工作。

關(guān)鍵性的設(shè)備如不能提供冗余，應(yīng)采用冷備方式，提高整體的備份與恢復(fù)能力。對(duì)于業(yè)務(wù)應(yīng)用系統(tǒng)，可采用虛擬化模式，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的不中斷，最大限度增強(qiáng)業(yè)務(wù)應(yīng)用系統(tǒng)的備份與恢復(fù)能力。當(dāng)信息系統(tǒng)數(shù)據(jù)總量不大的情況下，可采用專人定期進(jìn)行人工備份的方式，一旦發(fā)生數(shù)據(jù)安全問(wèn)題，立即進(jìn)行恢復(fù)。

3.5 安全管理措施

在高校進(jìn)行信息化建設(shè)的過(guò)程中，如何保證信息系統(tǒng)的安全，消除安全隱患，不僅要從信息安全技術(shù)的角度考慮，更為重要的是根據(jù)信息系統(tǒng)的等級(jí)保護(hù)要求，結(jié)合信息系統(tǒng)的實(shí)際安全運(yùn)維模式，建立符合信息系統(tǒng)安全要求的管理制度。

完善當(dāng)前機(jī)房安全管理制度，建立機(jī)房出入登記制度，保護(hù)信息系統(tǒng)主機(jī)及所依賴的網(wǎng)絡(luò)設(shè)備等硬件和通信線路安全。建立并完善相關(guān)的安全管理制度，保證相關(guān)人員按照規(guī)定的制度行事，做到各行其職、各負(fù)其責(zé)，避免責(zé)任事故的發(fā)生和防止惡意侵犯。加強(qiáng)安全教育和人員培訓(xùn)，將安全管理制度和管理技術(shù)結(jié)合起來(lái)，保障信息系統(tǒng)的安全[7]。

建立信息安全應(yīng)急機(jī)構(gòu)，制定信息安全應(yīng)急響應(yīng)預(yù)案，通過(guò)建立校方運(yùn)維人員隊(duì)伍、專家資源庫(kù)以及廠商資源庫(kù)等人力資源措施，并通過(guò)組織應(yīng)急響應(yīng)預(yù)案演練，規(guī)范操作，保證在發(fā)生緊急事件時(shí)，更快的恢復(fù)系統(tǒng)應(yīng)用和數(shù)據(jù)，最大可能的降低損失。

4 結(jié)語(yǔ)

本文分析了高校信息系統(tǒng)存在的安全隱患，并針對(duì)安全隱患提出了具體的防范措施。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷提升，可能會(huì)出現(xiàn)新的攻擊手段，防御能力不足，導(dǎo)致攻擊事件的發(fā)生。所以，信息系統(tǒng)的安全問(wèn)題并非是一成不變的，而是一個(gè)動(dòng)態(tài)的持續(xù)過(guò)程，對(duì)于系統(tǒng)維護(hù)人員來(lái)說(shuō)并沒(méi)有一勞永逸的防范措施。因此，不斷地進(jìn)行研究探索，完善信息系統(tǒng)的安全體系，對(duì)于保障信息系統(tǒng)的安全是非常必要的。

[1]張 劍，王 琦.淺析管理在信息系統(tǒng)安全中的必要性[J].信息網(wǎng)絡(luò)安全，2012（6）：1-2.

[2]羅 崢，王 寧.信息安全等級(jí)保護(hù)測(cè)評(píng)管理體系建設(shè)初探[J].信息網(wǎng)絡(luò)安全，2011(增刊)：61-62.

[3]郭 臣.安全檢查保障信息系統(tǒng)安全[J].信息安全與技術(shù)，2010 （7）：6-9.

[4]程立明.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].電腦知識(shí)與技術(shù)，2010，6（6）：1 356-1 357.

[5]洪小堅(jiān).淺談?dòng)?jì)算機(jī)的網(wǎng)絡(luò)安全應(yīng)用及防御措施[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，33（2）：181-182.

[6]李國(guó)強(qiáng).淺談數(shù)據(jù)安全與備份恢復(fù)技術(shù)研究[J].科技傳播，2010（32）：250-251.

[7]方華峰.數(shù)據(jù)容災(zāi)備份與恢復(fù)的關(guān)鍵技術(shù)及應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：43-44.

責(zé)任編輯：吳艷玲

Analysis on the Hidden Dangers of Information System in Universities and the Preventive Measures

WANG Xue
（Jilin Agricultural Science and Technology University Educational Technology and Information Center,Jilin 132101）

With the rapid development and popularity of computer and network technology,information construction has become an important part of the construction of universities,however,information system security is an important factor that must be considered in the information construction of university.This paper analyzed the potential security problems of information systems in universities from five aspects∶physical, network,host and application,data security and backup and recovery and management,and then combined with the above aspects,this paper presented the specific security preventive measures of information system.Finally, according to the dynamic characteristics of information system security,this paper presented the necessity of the information system maintenance staffs should continue to carry out research and exploration,and the need to improve the security system of information system.

university informatization;information system;information system security

TP393.08

A

2016-10-29

王 雪（1982-），女，吉林省永吉縣人，研究實(shí)習(xí)員，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。