试析基于用户特征的职业院校校园信息安全体系模型.docVIP

试析基于用户特征的职业院校校园信息安全体系模型 　　摘要：近年来，尽管各类职业院校逐步加强校园信息安全管理的建设，但松散的安全管理方式使得各类管理信息平台面临巨大的安全挑战。为进一步提高管理信息平台的安全性，本文提出了基于用户特征的校园信息安全体系模型。通过对各管理信息平台访问用户的特征进行分析，对管理信息平台的安全需求进行归类，分别提出相应的安全管理体系，并综合形成完整的信息安全体系模型。分析表明，该信息安全体系能够在很大程度上提高职业院校校园信息平台的安全性。 　　关键词：职业院校；信息安全体系；用户特征；用户管理；网络管理 　　中图分类号：G717 文献标识码： A 文章编号：1672-5727（2016）06-0043-04 　　随着职业院校信息化建设的深入，各种管理信息平台陆续使用，信息资源不断丰富，校园信息安全建设的重要性凸显。病毒攻击、黑客入侵、后门木马等网络安全问题已经严重威胁各种管理信息平台的正常使用。因此，建立并完善校园信息安全体系已经成为校园信息化工作的重要内容。 　　一、校园信息安全的需求分析 　　尽管各种管理信息平台已经遍布职业院校的教学、管理、生活等各种校园活动，信息安全的重要性也逐步得到了认识和重视，但信息安全仍然存在很多问题，如各种安全设备（防火墙、入侵防护系统、Web应用防火墙等）没有形成统一的安全防护体系；管理信息平台本身存在安全缺陷，并且在部署时没有采取有效的安全措施；一些管理信息平台访问日志不够详细或者缺乏访问日志；仍有一些用户安全意识淡薄，存在使用非常简单的密码，轻易把用户信息告诉他人等现象。特别是没有对应用平台做有针对性的安全需求分析，在很多时候都使用相同的安全防护措施，从而大大降低了安全性。 　　为了改进校园信息安全管理中存在的问题，从用户人群、访问地点以及是否需要认证三个特征对主要的校园管理信息平台进行分析，如表1所示。 　　根据表1，可以把各种管理信息平台安全需求管理分成三种情况，如表2所示，为了便于描述，分别用A、B、C表示。 　　二、管理信息平台安全管理体系分析 　　（一）A类管理信息平台的安全管理体系 　　A类管理信息平台的用户特征在于任何用户在任何地点、不需要认证就可以访问该服务，通常需要开放80端口提供服务。这类管理信息平台主要存在端口扫描、病毒攻击、篡改页面等安全隐患。根据上述情况，可以采取如图1所示的信息安全管理体系。 　　1.使用首页服务 　　在首页上提供其他管理信息平台的网址链接。开放首页服务器的80端口，其他管理信息平台则使用其他非80端口，这种模式可以减少病毒对默认端口的扫描和攻击。 　　2.使用防篡改服务 　　网页被篡改是门户网页面临的最为严重的问题，它不但关系着信息安全问题，同时也严重影响学校的形象。目前，有很多关于网页防篡改和自动恢复技术的研究，并且逐步得到应用推广。网页防篡改服务能够以多种方式监控页面是否被篡改，并及时将被篡改的页面恢复，以防止恶意页面被广泛传播。 　　3.在管理信息平台前端使用防火墙、入侵防御系统、Web应用防火墙等网络安全设备 　　防火墙是一种隔离技术，是在两个网络通讯时执行的一种访问控制策略，只有符合安全策略的数据流才能通过防火墙。入侵防御系统是一种主动的入侵检测和防御系统，目前在校园信息化建设中也逐步得到了推广应用。入侵防御系统的作用是在数据进入受保护网络之前对可疑数据、非法入侵和各种攻击进行拦截。近些年，Web应用防火墙技术开始得到重视和广泛研究，其产品也开始得到应用和实践。Web应用防火墙是针对HTTP/HTTPS的安全策略专门为Web应用提供保护的安全产品，它可以通过对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求，也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围等。 　　4.数据库服务、防篡改服务等不需要用户直接访问的服务平台可以使用内部IP地址 　　这样，可以从而防止黑客直接对这些服务进行攻击。 　　（二）B类管理信息平台的安全管理体系 　　B类管理信息平台的用户特征在于教工、学生在任何地点都可以通过身份认证后访问其服务。这类管理信息平台的安全问题在于，虽然合法用户需要通过身份认证后才能访问服务平台，但是服务器直接暴露在公共网络中，允许任何人员在任何地点尝试登陆，允许任何IP地址访问服务器IP地址。这种管理模式给管理信息平台的安全带来了很多问题，如应用平台漏洞容易被黑客利用，黑客可以直接攻击服务器，网络病毒能够直接威胁服务器安全，用户访问日志不健全，出现安全问题后很难查找问题所在等等。 　　由于这类管理信息平台的访问用户都是学校的教工和学生，用户人群是确定的，因此可以在A类管理信息平台安全管理体系的基础上部署用户管理网关（如VPN网关、行为