基于C／S架構(gòu)的學(xué)生公寓管理信息系統(tǒng)安全風(fēng)險分析

隨著社會對信息的依賴程度越來越強，信息已成為社會發(fā)展的重要資源，信息網(wǎng)絡(luò)成為社會發(fā)展的重要保證。今天，在計算機和網(wǎng)絡(luò)應(yīng)用日益廣泛和深入的同時，計算機網(wǎng)絡(luò)的安全問題也越來越復(fù)雜和突出。網(wǎng)絡(luò)的脆弱性和復(fù)雜性增加了威脅和攻擊的可能性，信息網(wǎng)絡(luò)的安全問題已經(jīng)變得越來越重要了。

一、安全信息系統(tǒng)要具備五個屬性

1.可用性

可用性是指無論何時，只要用戶需要，信息系統(tǒng)必須是可用的，也就是說信息系統(tǒng)不能拒絕服務(wù)，網(wǎng)絡(luò)必須隨時滿足用戶通信的要求。

2.可靠性

可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)、完成規(guī)定功能的概率。網(wǎng)絡(luò)不可靠，事故不斷，也就談不上網(wǎng)絡(luò)的安全。

3.完整性

完整性是指信息不被偶然或蓄意地刪除、修改、偽造等破壞的特性。信息的內(nèi)容不能被未授權(quán)的第三方修改。信息在存儲或傳輸時不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等。

4.保密性

保密性是指確保信息不暴露給未授權(quán)的實體或進程，即信息的內(nèi)容不會被未授權(quán)的第三方所知。

5.不可抵賴性

不可抵賴性是指面向通信的雙方信息真實統(tǒng)一的安全要求，它包括收、發(fā)雙方均不可抵賴。

為了保證這五個安全屬性，計算機系統(tǒng)的安全就要涉及物理安全、運行安全和信息安全三個方面。

二、安全策略模型

面對復(fù)雜多變的國際環(huán)境和互聯(lián)網(wǎng)的廣泛使用，我國信息安全問題日益突出。黨和國家領(lǐng)導(dǎo)人多次指出，信息安全是個大問題，必須把信息安全問題放到至關(guān)重要的位置，認真加以考慮和解決。

一個信息系統(tǒng)要實現(xiàn)安全、高效，應(yīng)該對其建立一套有效的安全策略模型。安全策略模型針對信息系統(tǒng)安全所面臨的各種威脅進行風(fēng)險分析，提出控制策略，建立安全模型和安全等級，對安全系統(tǒng)進行評估并為系統(tǒng)的配置管理和應(yīng)用提供基本的框架。有了安全策略系統(tǒng)才能正常有序地進行，也才有可能更安全合理地使用信息系統(tǒng)資源，有了安全策略才有可能更加高效迅速地解決安全問題，使威脅造成的損失降為最小。

學(xué)生公寓管理信息系統(tǒng)為實現(xiàn)學(xué)生公寓的數(shù)字化管理，提高學(xué)生公寓管理中心管理人員、各公寓管理人員的工作效率，減少不必要的重復(fù)勞動，加速信息的記錄、查閱以及傳播速度，實現(xiàn)無冗余的統(tǒng)一的學(xué)生公寓信息管理而設(shè)計的?；贑／S架構(gòu)，開發(fā)設(shè)計學(xué)生公寓管理信息系統(tǒng)，便于學(xué)生公寓管理中心對公寓的管理，便于學(xué)生公寓各項指標(biāo)的查詢。

1.物理安全

從物理安全上看，這兩個應(yīng)用系統(tǒng)由于都采用集中式管理數(shù)據(jù)，因此存放數(shù)據(jù)的服務(wù)器的安全非常重要。第一要對服務(wù)器所在的環(huán)境進行安全保護；第二要對服務(wù)器及應(yīng)用程序的終端計算機進行防盜、防毀、抗電磁干擾等保護；第三要保護媒體數(shù)據(jù)及媒體本身的安全。

2.網(wǎng)絡(luò)安全

從網(wǎng)絡(luò)安全上看，第一，在網(wǎng)絡(luò)層上，學(xué)生公寓管理系統(tǒng)的WWW服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器和客戶端等機器與Internet之間沒有任何安全屏障，攻擊者可以從Internet上對錄取系統(tǒng)進行破壞、竊取信息等攻擊，安全的隱患極大。學(xué)生公寓管理系統(tǒng)的所有工作環(huán)節(jié)都是用戶通過Internet與系統(tǒng)進行交互式訪問實現(xiàn)的，由于用戶成分復(fù)雜、交互數(shù)據(jù)量龐大、訪問頻繁，入侵者有更多的機會對系統(tǒng)進行攻擊，從而達到修改應(yīng)用程序、篡改數(shù)據(jù)信息的目的。此外，由于用戶的費用支付可以通過網(wǎng)絡(luò)銀行的電子支付來完成，一旦應(yīng)用程序服務(wù)器遭到攻擊，可能會影響用戶銀行賬戶的安全。第二，在應(yīng)用層上，在學(xué)生公寓管理系統(tǒng)中，財務(wù)信息、住宿人員個人信息、固定資產(chǎn)信息等都屬于保密信息，一旦在網(wǎng)絡(luò)路途中遭到竊取或更改，后果不堪設(shè)想，因此，數(shù)據(jù)的加密傳輸是十分必要的。此外，不同的用戶具有不同的權(quán)限和工作范圍，冒名頂替操作或越權(quán)操作一旦造成數(shù)據(jù)的損失將造成無法分清事故責(zé)任的后果。系統(tǒng)與銀行間的數(shù)據(jù)傳輸要采用加密傳輸及使用數(shù)字簽名等技術(shù)來保證數(shù)據(jù)的可靠性和安全性。因此應(yīng)用層上的身份認證、授權(quán)訪問、數(shù)據(jù)加密、安全審計等問題必須加以重視。

3.數(shù)據(jù)安全

從數(shù)據(jù)安全上看，針對現(xiàn)有的數(shù)據(jù)存儲方式，可能出現(xiàn)的數(shù)據(jù)失效情況有：計算機軟硬件故障、人為操作故障、資源不足引起的計劃性停機、工作地點的災(zāi)難等。首先要保證數(shù)據(jù)庫的完整性，第二要保證數(shù)據(jù)元素的完整性，第三要具有可審計性。對數(shù)據(jù)庫的操作做詳細的記錄，以協(xié)助數(shù)據(jù)庫的完整性。

（作者單位：山東工業(yè)職業(yè)學(xué)院）