| 标题 | 论高校实验教学信息系统的安全管理 |
| 范文 | 张少宇 摘要:总结了大数据时代背景下国内高校实验教学信息系统面临的安全威胁,以《计算机信息系统安全保护等级划分准则》为参照,对本人所在省金融学科重点实验示范中心的信息系统安全问题进行梳理,并从安全意识、制度建设、人员管理和信息系统安全技术等方面,提出了关于高校实验教学信息系统安全管理的几点建议。 关键词:实验教学;信息系统;安全管理 中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2018)27-0232-02 实验教学中心是高校实验教学和学术科研的重要场所,承担学生实践能力培养、教学资源容器、科研学术软件运行载体、校内外学术交流窗口的重要职能。信息系统是实验教学的核心,是中心履行职能的重要工具,是教学实践操作的主体。 在大数据、云计算和人工智能的时代背景下,计算机网络系统特别是高校实验教学信息系统正面临前所未有的信息安全威胁[1]。世界大型互联网企业近几年推出层出不穷的大数据处理系统,借助于这些处理系统的深度学习、知识计算、可视化等大数据分析技术迅猛发展[2]。棱镜门事件、WannaCry勒索病毒、Meltdown与Spectre英特尔芯片漏洞等事件从管理和软硬件体系结构方面向人们警示信息安全的严峻性。 1 信息系统安全技术 信息系统安全技术包括硬件安全、操作系统安全、数据库安全、软件安全、网络安全、密码技术、恶意软件防治、信息隐藏、信息设备可靠性等技术[3]。本人所在的实验教学中心是集金融学、管理学、基础学科和学术研究的省金融学科重点示范中心。实验室内网隶属于校园主干网络,所有实验教学信息系统和实验用机完全屏蔽在校园网内部,由网络中心统一管理网络出入口和信息交换策略。在管理虚拟实验银行、金蝶K3ERP等信息系统的过程中,本人从管理和技术角度意识到当前高校实验教学信息系统面临的严峻安全威胁。 1) 实验室学生和教师用机。由于使用了基于内容即时分发的PHANTOSYS管理系统,教师和学生用机自动从服务器节点获取包括操作系统在内的所有数据包,该管理模式有效降低了病毒和木马累积风险。但不可忽视在正常教学工作日师生使用带病毒的移动存储设备及其从网络下载的邮件、图片、视频和可执行文件等携带的危险代码[4]。 2) 内部管理人员办公和值班室常设计算机。(1)由于实验室管理人员的认知水平、对信息安全的重视程度、警惕性不足等因素影响,中心内部办公室长期使用的计算机已累积潜藏大量病毒和木马。(2)由于某类办公室和值班室等场所的开放性,这些场所的计算机完全暴露在公共的使用环境下,既没有专人监督,也没有针对性的安全管理措施,病毒容易寄生且以此为基地扫描整个IP地址空间并伺机传播。 3) 信息系统建设阶段和维护阶段的远程控制软件和系统端口管理。在信息系统的建设阶段,由于各院系课题申报的教授、学术带头人和开发公司技术人员等干系人进场,实验室管理人员在没有明确的流程规范指引下为了管理上方便,通常开放操作系统的所有端口和权限,系统部署完毕后又因安全意识淡薄没有及时关闭相应的权限。在信息系统的维护阶段,因贪图管理上的便利任由公司技术人员使用TimeViwer、XT800、VNC等远程控制监控软件从外网建立连接,事后又未能及时关闭服务和端口,甚至在服务器上安装与信息系统管理完全无关的MS OFFICE、WPS等桌面软件,违背服务器管理的最小权限开放原则,给信息系统留下极大的安全隐患。 4) 服务器日常维护安全意识薄弱。制度层面缺乏规章制度的保障、领导层面没有制定安全执行流程或态度不坚定、执行层面管理人员本身对安全的漠视和“多一事不如少一事”的责任心缺失,造成信息系统服务器存在各种漏洞、抵御风险的能力降低以及服务器间交叉感染难以根治,病毒防御體系和安全保障体系难以建立。 5) 其他方面的安全威胁。教学大楼的多媒体计算机、教师办公大楼的计算机、学生宿舍的学生自有计算机的网络攻击和病毒感染、由于校园网络中心的出口路由设置和汇聚交换机的策略设置漏洞导致实验教学系统不仅遭受来自校内攻击,还要面临校外的安全威胁。 2 信息系统安全策略 信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险、安全威胁进行有效的识别、评估后所采取的各种措施、手段以及建立的各种管理制度。《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度和实施安全等级管理的重要基础性标准[3]。本人参考上述标准并结合单位实际情况采取如下措施: 1) 引起领导高度重视,任命专职人员负责信息安全管理。 成立由部门主任领导的信息系统安全领导小组。从管理的角度来看,校园内部各单位是职能型组织结构,在此模式下部门间协同以及部门内部协调依赖于上级管理部门。信息系统安全管理绝不仅仅是某段时期内的技术攻关克难,它必须贯穿于整个信息系统建设和维护生命周期,也即实验教学中心本身的存在期。为保证安全管理政策的连续性和组织协调各部门管理人员有效贯彻执行,必须依赖于最高领导的权威、决心和安全意识。 信息系统安全一直得不到重视的原因在于它本质上是一个质量预防过程。在这个过程中无论质量安全人员运用了什么管理理念、使用了什么先进的安全技术、具体做了大量的幕后工作,得到的成果是保障系统正常运行,高层管理领导看不到产出成果[5]。必须认识到系统安全是一个不断制定和改进、持续执行迭代的过程。应该在政策层面和项目立项层面为信息系统安全管理提供导向和指引。 2) 规范信息系统制度建设和规范操作流程管理。 从质量保证的角度来看,强调过程的规范性优于仅依赖监控结果的正确。据统计在信息安全问题上,高达70%的相关问题是由于缺乏有效管理造成的,而缺乏有效管理造成的与网络安全相关的70%的问题中,有95%是可以通过信息安全管理制度来避免[6]。信息系统的安全三分技术七分管理。 (1) 建立信息系统管理准入制度。在硬件方面完善实验教学机房进出审查制度,完善服务器安装维修审批制度。在软件方面建立软件系统的部署、建设和日常维护的准入制度。必须要求相关发起人和实施人员填写准入表格审查通过。必须详细记录信息系统软硬件安装维护过程的并形成文档,必须有意识收集整理相关系统使用说明书,必须形成部门组织过程资产。 公司建设方维护技术人员,包括部分实验教学内部管理人员存在漠视并抵触信息系统安全管理制度的现象。这是因为管理上的审核审批流程在他们看来妨碍工作。系统开发技术人员都希望系统大门为其敞开,而这正是系统安全管理人员警惕并必须坚守的底线。管理制度不仅是工作各阶段敦促管理人员必须完成的流程清单,同时也是提示项目发起人与开发人员工作严肃性的警示牌。 (2) 建立信息系统密码统一管理机制。必须由专人统一管理服务器的密码设置。密码的生成必须遵循一定的策略,例如密码长度必须大于10位、密码必须包含大小写字母、数字组合和特殊字符、密码由专人统一生成、统一分配和严格监控管理。所有管理服务器的人员需要密码或更新密码的,必须向密码管理人员申请和报备。 (3) 建立信息系统备份特别是数据库备份策略。要求每个服务器对应的管理人员必须从信息系统软件部署的第一天起就要注意熟悉整个体系结构和部署操作,必须收集整理好对应的安装可执行文件,例如对应的操作系统、数据库和JAVA版本等整套系统。要形成对应于该信息系统的专门配置管理文档,一旦该信息系统瘫痪,要求必须在若干小时内在新的服务器硬件中能重新建立该信息系统服务。必须制定数据库备份策略,例如规定管理人员必须每月对信息系统的数据库进行完整备份或差异备份。要保证系统崩溃导致的用户数据丢失最小化。 (4) 加强对管理办公室和值班室用机的安全审查。必须由专门的系统安全管理人员定期对管理办公室和值班室内的所有用机进行病毒检查、安全设置管理。必须形成相应的制度和执行规范。对值班室中的公用计算机应定期重置。核查学生U盘和移动存储设备等对公业务必须指定特定离线计算机,不能与办公用机混用。加强对兼职学生的网络安全意识培训。 3) 参考安全专家的经验,运用成熟的信息系统安全技术。 (1) 服务器外部安全技术设置。从网络体系结构的角度来看,必须改进当前服务器网络拓扑结构,隔离对外WEB服务和对内数据库服务。隔离数据库服务器,单台数据库服务器只能被特定的WEB服务器端口访问。必须设法在物理上、交换机VLAN设置上和IP子网划分实现网段隔离,实现服务器、管理员办公用机和值班室公共用机的网络隔离。 根据实验室条件部署企业级硬件防火墙和入侵检测技术系统。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。入侵检测通过收集和分析网络行为、安全日志、审计数据、网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 (2) 服务器内部安全技术设置。使用vSphere提供的快照功能备份系统,我们安装系统补丁防堵已知的缓冲区溢出漏洞,分别使用不同的杀毒软件扫描系统尽可能发现并清除病毒。必须督促各系统管理员启用操作系统内部防火墙,仅开启系统服务所必需的通信端口如80、8080、4433等。使用防黑加固工具禁用不必要的系统功能,关闭不必要的开机启动程序和服务。定期审查系统的计划任务,检查是否存在可疑的计划项。根据实际关闭不使用的SQL Server的网络协议,关闭SQL Server代理服务器,审查SQL Server的作业管理任务是否存在可疑项等[7]。 3 结束语 总之,实验教学活动的正常进行、实验教学中心职能的全面履行跟实验教学信息系统的安全息息相关,与整个校园网络的安全唇齿相依。保证整个实验教学信息系统的安全不仅要从技术方面,而且还必须从规章制度、工作人员管理和领导重视程度等方面给予全面的保障。 参考文献: [1] 吕臻.大数据背景下的计算机信息安全及防护思路[J].电子技术与软件工程,2018(9). [2] 程学旗,靳小龙,王元卓,郭嘉丰,张铁赢,李国杰.大数据系统和分析技术综述[J].软件学报,2014(4). [3] 谭志彬,柳纯录,周立新,卢光明.信息系统项目管理师教程(第3版)[M].清华大学出版社,2017. [4] 洪家慧,王景阳.高校计算机实验室开放中的信息安全问题及对策[J].科学咨询,2009(1). [5] 黄高峰,孙胜春,詹国强.高校实验室安全性管理的研究与探讨[J].实验室研究与探索,2011(9). [6] 陈志.高校计算机类实验室网络安全防范机制[J].电脑迷,2018(5). [7] 叶荣诚.高校专业实验室信息安全刍议[J].科教文汇,2012(12). [通联编辑:唐一東] |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。