對校園信息安全保障體系的研究

摘 要：隨著教育信息化的飛速發(fā)展，信息安全已然成為學校戰(zhàn)略安全的一部分，關系到教學和管理工作的順利進行以及社會的和諧發(fā)展。本文以PDRR安全模型為理論基礎，從安全技術、安全策略和安全管理三個層面進行擴展，提出建立校園信息安全保障體系。

關鍵詞：PDRR；信息安全；安全管理

中圖分類號：TP309

信息化以其良好的功能效益、可持續(xù)發(fā)展等優(yōu)勢，使得學校師生更愿意將重要的業(yè)務文檔、數(shù)據(jù)報表、個人隱私等重要信息以電子數(shù)據(jù)形式替代傳統(tǒng)的紙質管理模式。這些信息有些集中存儲于學校業(yè)務數(shù)據(jù)服務器中，有些分散存放于個人使用的計算機或移動存儲介質中。計算機病毒與黑客攻擊，軟硬件故障、網絡干擾與破壞，操作人員安全意識淡薄和管理的疏忽等因素嚴重威脅著這些信息安全，信息安全事故發(fā)生呈快速上升趨勢。但是計算機使用者的意識中卻普遍存在著一種危險的誤區(qū)：保護信息安全是IT部門的事情，和其他部門沒關系。

信息安全是一項系統(tǒng)工程，滲透到學校工作的每一個環(huán)節(jié)。學校的信息安全需要先進的技術及策略、從上至下的防患意識、嚴格的管理制度、優(yōu)秀的執(zhí)行團隊和強有力的法律措施共同來保障。本文以PDRR網絡安全模型為理論基礎，從安全技術、安全策略和安全管理三個層面進行擴展，提出建立校園信息安全保障體系。

1 信息安全模型

PDRR網絡安全模型即防護（P）檢測（D）響應（R）恢復（R）模型，其目的是盡可能地增大對系統(tǒng)的保護，減少對安全威脅的檢測和響應時間，在系統(tǒng)遭受破壞之后，應盡可能快的恢復。

1.1 防護

防護是安全模型第一步也是最重要的一步。防護是預先阻止觸發(fā)信息安全事件的條件，保護信息的?？捎眯?、機密性、完整性、可控性和不可否認性，可以減少大多數(shù)的安全事件。這里說的防護包含了計算機系統(tǒng)的防護、計算機網絡的防護和人的防護。

1.1.1 加強計算機的防護

計算機的防護包括硬件防護和軟件防護兩方面。硬件防護主要是做好計算機環(huán)境保護，包括機房位置、布局、裝修、潔凈與溫濕度、災害防御系統(tǒng)等因素。軟件防護就是要保證軟件的完整性、可用性、保密性、運行安全性，即要做到非法用戶對軟件的防復制、防執(zhí)行、防篡改、防暴露。在采購或者外包軟件時應該考慮軟件的自我防護，自我檢測和自我修復的功能需求。

1.1.2 加強網絡邊界防御

網絡防護的重點是網絡邊界防御。網絡邊界是指內網與外網之間的接口，要保證只有可信的終端能介入網絡，終端和用戶接入網絡后只能進行安全策略允許的操作，并且具備操作行為審計能力，防止非法外聯(lián)和敏感信息泄露，對外隱藏內部地址。

1.1.3 人的防護

人是整個防御安全體系的決定性因素。據(jù)統(tǒng)計在學校中安全事件50%～60%發(fā)生在人為操作失誤，5%～10%來自于惡意的訪問和破壞。若用戶擁有的權力不超過他執(zhí)行工作時所需的權限，就可以限制事故、錯誤、未授權使用帶來的損害?；诮巧L問控制（RBAC）是將許可授權給角色，角色被授權給用戶，用戶不直接與許可關聯(lián)，能夠容易地實現(xiàn)最小特權原則。

1.2 檢測

第二個環(huán)節(jié)就是檢測。上面提到通過防御手段可以阻止大多數(shù)的威脅到信息安全的事件發(fā)生，但它不能阻止所有的威脅。入侵監(jiān)測系統(tǒng)能在校園網中采用監(jiān)控的方法，及時檢測非法用戶的侵入和對機密信息的竊取，從而能及時告警，或者利用網絡和安全的跟蹤功能，查清入侵者的地址，并收集有關的證據(jù)，為及時采取措施和追查責任提供必要的手段。通過配置入侵監(jiān)測與響應工具，可以發(fā)現(xiàn)病毒及計算機黑客等違法行為，并及時采取必要措施，確保系統(tǒng)運行安全，也可預防合法用戶對資源的誤操作。檢測部分主要用到的技術有入侵檢測技術、網絡實時監(jiān)控技術和網絡安全掃描技術等。

1.3 響應

響應是已知一個信息安全事件發(fā)生之后快速地進行處理或者轉移到別的計算機上，阻止對信息的進一步破壞并使損失降到最低。響應包括：向相關部門和上級通報事件情況，收集和保護相關安全事件資料。這當然跟平時安全應急預案技術和制度準備情況是密不可分的。

1.4 恢復

恢復是事件發(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)，或者比原來更安全的狀態(tài)。為了能保證發(fā)生安全事件后及時成功地恢復系統(tǒng)及信息，必須在平時做好備份工作，包括對信息系統(tǒng)所存儲的有用數(shù)據(jù)進行備份恢復工作，對信息系統(tǒng)本身進行備份恢復工作等。根據(jù)被破壞的程度，備份可選擇現(xiàn)場可恢復、在線可恢復、在線不可恢復。

2 安全管理

所謂“三分靠技術，七分靠管理”，管理在整個信息安全體系中位于核心層，其目的是將安全技術、人和制度組織成為一個整體。

2.1 建立完善管理制度

建立安全管理制度應首先保證制度的機密性、完整性、可用性、可確認性、保障性和可實施性，每個安全制度中都要明確包含：（1）需要保護的信息資產；（2）實施信息安全的組織架構、角色定義和人員責任；（3）用戶正確使用資源所期望的方式；（4）對信息資產的防護策略；（5）針對安全事件的響應機制。這些安全制度應廣泛的征求管理層、業(yè)務部門、IT部門和職工代表的意見，制定實施計劃，保證長期執(zhí)行并在執(zhí)行過程中不斷改進完善。

2.2 加強信息安全管理團隊建設

專業(yè)安全團隊是信息安全保障靈魂，是安全保障體系中的智力因素和實施手段。信心安全團隊由決策層和執(zhí)行層組成，主要作用是構建信息系統(tǒng)安全體系，實施安全策略，應急事故響應等。決策層負責：高層決策、高層分析咨詢、決策分析支持系統(tǒng)。執(zhí)行層則負責：事件響應和分析、集中監(jiān)控、運行維護、安全防護、安全監(jiān)控和日常維護。

2.3 加強安全培訓和教育

軟件升級，硬件維護，定期檢查評估，緊急預案演習等安全教育和培訓是安全體系中一個重要的環(huán)節(jié)。在整個信息安全工作中人是核心，提高人員安全意識和素質的最好方法是安全教育和培訓。校園網是學生政治思想教育的一個平臺，也是學生社會責任感和網絡道德約束的建立重要過程，除了對師生進行安全操作、安全意識、以及人身安全等教育之外，還要防止網絡不良信息、虛假信息對師生造成的負面影響，更要防止通過互聯(lián)網絡散布謠言、發(fā)布反動言論等網絡犯罪行為。加強對師生的安排培訓和教育是學校信息安全體系必不可少的一環(huán)。

3 結束語

信息化與信息安全歷來是一對矛盾體，彼此不能分離。保證信息化能更好的為學校工作服務，就必須保證信息的安全。信息安全不是少數(shù)人或者少數(shù)部門的事，需要一個安全保障體系來支持，需要安全技術、安全策略和安全管理協(xié)同工作，為維持學校、社會穩(wěn)定，提高學校管理水平，提升教學質量提供一個安全、穩(wěn)定、高效的信息環(huán)境，具有重要的基礎作用。

參考文獻：

[1]郭濤，李斌，張動.制定信息安全策略的最佳建議[A].第二十次全國計算機安全學術交流會論文[C]，2005.

[2]黃遵國，任劍勇，胡光明.一種信息安全事件的快速響應與恢復（r-RR）框架研究[J].計算機工程與科學，2001（23）.

[3]劉力源.淺談計算機信息安全管理措施計[J].算機光盤軟件與應用，2013（05）.

[4]盧衛(wèi)星.淺析信息安全應急響應體系[J].科技創(chuàng)新導報，2011（05）.

作者單位：四川護理職業(yè)學院，成都 610100