智慧校园实施计划与售后服务.docxVIP

安全保障体系 安全保障体系是在智慧校园建设中贯穿始终的内容。从大体上安全体系可分为操作系统 安全、物理层安全、数据链层安全、网络层安全、无线安全、数据存储安全等。 操作系统安全 操作系统是唯一紧靠硬件的基本软件，连接计算机硬件与上层软件及用户的桥梁，是一 切软件运行的基础。其安全性是其它软件安全职能的根。没有操作系统的安全就不能真正解 决数据库安全、网络安全和其它应用系统的安全问题 1）数据库级安全控制 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 计算机系统都有这个问题，在数据库系统中大量数据集中存放，为许多用户共享，使安全问 题更为突出。 在一般的计算机系统中，安全措施是一级一级设置的。在 DB存储这一级可采用密码技 术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户 标记和鉴定，数据存取控制。 2）应用软件级安全控制 不同的应用系统数据与安全的需求存在很大的差别，业务相关性比较高。对于行级的数 据与安全，大致可以分为以下几种情况： 大部分业务系统允许用户访问其所在单位及下级管辖单位的数据。此时，组织机构模型 在数据与安全控制中扮演重要的角色，学校数字校园平台就是属于这种情况； 也有一些系统，允许用户访问多个单位的业务数据，这些单位可能是同级的，也可能是 其他行政分支下的单位。对于这样的应用系统，一般通过数据域配置表配置用户所有有权访 问的单位，通过这个配置对数据进行的访问控制。 PAGE PAGE # 物理层安全 物理层安全应面临的风险主要是环境安全和设备、设施安全问题 为保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和 其它环境事故（如电磁污染等）破坏，应采取适当的保护措施。 在环境安全上，主要考虑受灾防护和机房区域安全。为此在中心机房内，要施行严格的 保安制度，配备好安防和消防的设备。 数据链层安全 数据链路层的主要风险主要集中在数据明文传输，数据传输时有可能被黑客窃听，甚至 将数据修改造成更大的危害。建立加密传输通道确保数据的保密性、完整性。 采用链路级的加密机如 DDN链路机、 FR加密机、 Modem加密机等。这些加密机能有效的 对连路上传输的数据进行加密，但是他们的可扩展性较差，与链路的类型关系很大。随着 VPN技术的逐步成熟，其高强度加密、扩展性，用户透明性使商业用户大多选择它。 网络层安全 网络层的安全主要是指网络上网络设备的安全，以及执行网络安全功能的相应设备，尤 其指的是数据传输时的安全问题。 网络入侵检测系统安全解决措施： 在骨干交换机上设置一个监听端口 span，在交换机上指定该 span 端口可以监听服务器 所在的端口号或 vlan ，然后将网络入侵检测的引擎探头（硬件引擎）分别接在两个 span 端 口上。 将引擎的管理端安装在网管工作站上，并将引擎的管理端口接在交换机上即可。 攻击取证解决措施： 在重要服务所在交换机上同样设立一个 span 端口，监听整个交换机的数据流量（和 nids 的实施一样），将攻击取证系统（黑匣子）接在 span 端口上，将管理控制端装在网管 机器上就可： 一旦新的攻击发生，系统遭到入侵，管理员可以通过管理端察看取证系统地分析结果， 最终判断攻击步骤，手法和攻击者的地址。 取证系统的是网络入侵检测、系统日志和相关软件联合的结果。 组织与管理建议 智慧校园的实施建设工程是一项系统工程，涉及到学校的方方面面，还受到现行管理体 制的制约，所以只有单位的最高领导才有权力完成网络应用系统建设的指挥和协调工作。它 的建设事实不但需要学校对自身业务及智慧校园概念进行深入理解，而且还需要学校领导的 高度重视及各部门的积极配合，更需要一套严格的管理组织机构。 同时，智慧校园的建设也是一项长期工程，重要的是智慧校园的利用，需要后续的维 护、改进和持续投入。因此，必须建立强有力的管理机制和运做机制，需要相关的组织制 度、管理制度来保障。 为了更好地进行学校智慧建设，许多学者认为比较迫切的是需要象企业学习，在学校建 立 CIO 机制，建议如下： （1）设置“信息主管”（即 CIO， Chief Information Officer ）岗位，最好由校长兼 任此职。以“信息主管”为主任，成立“学校智慧校园建设委员会”，成员由发展信息中 心、教务处、总务处、办公室等单位的领导以及校内主要职能部门的“信息主管”组成，还 可以吸收校内计算机教师、校外专家参加。该委员会的主要任务是：制定学校“智慧校园” 建设的发展规划、政策法规、各种标准、阶段性任务的下达和检查、经费的分配等等。 （2）明确校办一项新的职责，即协助主管校长组织和领导学校的智慧建设。在信息中心 配两名有一定计算机技术背景的工作人员参与这一