淺析高校信息系統(tǒng)安全隱患及防范措施

王雪

（吉林農(nóng)業(yè)科技學(xué)院教育技術(shù)與信息中心，吉林 132101）

淺析高校信息系統(tǒng)安全隱患及防范措施

王雪

（吉林農(nóng)業(yè)科技學(xué)院教育技術(shù)與信息中心，吉林 132101）

隨著計算機及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及普及，信息化建設(shè)已經(jīng)成為高校建設(shè)的重要組成部分，而信息系統(tǒng)安全問題則是高校信息化建設(shè)中必須要考慮的一個重要因素。本文從物理、網(wǎng)絡(luò)、主機及應(yīng)用、數(shù)據(jù)安全及備份恢復(fù)和管理五個方面分析了當(dāng)前高校信息系統(tǒng)可能存在的安全隱患，并結(jié)合以上方面提出了信息系統(tǒng)的具體安全防范措施。最后，根據(jù)信息系統(tǒng)安全問題的動態(tài)變化特點，提出了信息系統(tǒng)相關(guān)維護人員要不斷地進行研究探索，完善信息系統(tǒng)安全體系的必要性。

高校信息化；信息系統(tǒng)；信息系統(tǒng)安全

1 引言

隨著計算機及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及普及，高校信息化水平也在不斷的提高。在信息化不斷向前推進的過程中，各高校相繼建設(shè)了網(wǎng)站系統(tǒng)、OA辦公系統(tǒng)、教務(wù)系統(tǒng)、科研系統(tǒng)、一卡通及財務(wù)系統(tǒng)等信息系統(tǒng)，同時部署了防火墻等安全設(shè)備作為信息安全的保障，制訂了相關(guān)的信息安全策略，取得了一定的成績。但隨著信息安全技術(shù)和黑客攻擊技術(shù)的不斷發(fā)展和國際、國內(nèi)信息安全形勢的不斷嚴(yán)峻，針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升，不法分子利用安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、黑客攻擊等違法犯罪活動大幅度增加，校園網(wǎng)絡(luò)安全及信息系統(tǒng)安全問題日益彰顯。原有的信息安全保障框架存在諸多安全隱患和漏洞，同時存在較多的信息安全風(fēng)險，不足以保障業(yè)務(wù)應(yīng)用系統(tǒng)的安全性和可用性，一旦系統(tǒng)受到攻擊或網(wǎng)站數(shù)據(jù)遭到篡改，將對高校工作造成嚴(yán)重影響[1]。為進一步加強高校信息系統(tǒng)建設(shè)項目的管理工作，確保信息系統(tǒng)健康發(fā)展和正常運行，本文分析了高校信息化建設(shè)過程中信息系統(tǒng)存在的安全隱患，并針對安全隱患提出了具體的安全防范措施。

2 高校信息系統(tǒng)存在的安全隱患

隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)應(yīng)用系統(tǒng)越來越多且越來越復(fù)雜，在應(yīng)用信息系統(tǒng)的過程中，由于人員的復(fù)雜性與多樣性，給信息系統(tǒng)的安全帶來更多的隱患和不確定因素。一旦信息系統(tǒng)被非法用戶攻擊導(dǎo)致系統(tǒng)癱瘓，信息很容易外泄，將給學(xué)校帶來無法挽回的損失。影響信息系統(tǒng)安全的隱患是多方面的，既有物理方面的隱患，也有來自技術(shù)和管理方面的隱患。

2.1 物理安全隱患

物理安全是從運行環(huán)境、保障設(shè)施等方面為信息系統(tǒng)提供物理保障（如機房、電力環(huán)境保障以及設(shè)備、設(shè)施、介質(zhì)的防盜、防破壞等防護），盡量降低或避免因自然災(zāi)害、環(huán)境威脅、人員惡意破壞等對信息系統(tǒng)可能造成的影響。高校數(shù)據(jù)中心機房安全環(huán)境建設(shè)是高校信息系統(tǒng)安全的關(guān)鍵，它是保證信息系統(tǒng)正常穩(wěn)定運行的前提[2]。

2.2 網(wǎng)絡(luò)安全隱患

信息系統(tǒng)依賴于網(wǎng)絡(luò)與外部進行數(shù)據(jù)的交換，這就給一些非法用戶留下了可乘之機，非法用戶會以不同的途徑獲得信息系統(tǒng)的訪問權(quán)，給信息系統(tǒng)的安全留下了隱患，造成不可挽回的損失。

網(wǎng)絡(luò)攻擊的實質(zhì)就是利用被攻擊方信息系統(tǒng)自身存在的安全漏洞，通過使用網(wǎng)絡(luò)命令和專用軟件進入對方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前常見的網(wǎng)絡(luò)攻擊手段有拒絕服務(wù)攻擊（Dos/DDos）、欺騙類攻擊、控制類攻擊、探測類攻擊以及漏洞類攻擊等。

拒絕服務(wù)攻擊的目的是破壞組織的正常運行，最終使網(wǎng)絡(luò)連接堵塞，或者使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰，系統(tǒng)資源耗盡。常見的拒絕服務(wù)攻擊方式有同步洪流、LAND攻擊、Ping洪流、死亡之Ping。欺騙類攻擊包括Arp欺騙、DNS欺騙、IP地址欺騙，他們都是以不同的方式通過偽造假信息來實施欺騙攻擊。控制類攻擊最常見的有緩沖區(qū)溢出攻擊、木馬攻擊、口令入侵等，通過某種方式獲得對機器的控制權(quán)進行攻擊。探測類攻擊通過搜集目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全缺陷相關(guān)信息，為以后的入侵提供幫助。漏洞類攻擊是根據(jù)網(wǎng)絡(luò)體系中存在的各種漏洞進行攻擊[3]。

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)移動計算和云時代的到來，網(wǎng)絡(luò)攻擊的手段不僅僅是依賴于以上單一的攻擊手段，攻擊的形式更加多樣化。

2.3 主機及應(yīng)用安全隱患

隨著主機操作系統(tǒng)上承載的應(yīng)用越來越多且越來越復(fù)雜，同時操作系統(tǒng)本身存在技術(shù)上的缺陷，特別是Windows系列操作系統(tǒng)，系統(tǒng)漏洞往往會被病毒利用侵入并攻擊用戶主機，雖然操作系統(tǒng)供應(yīng)商將定期對已知的系統(tǒng)漏洞發(fā)布補丁程序，但用戶如果沒有及時的進行下載并安裝補丁程序，將會帶來大量的安全隱患。另外，用戶賬號和權(quán)限設(shè)置不當(dāng)，未設(shè)置安全的密碼策略，也會給入侵者留下攻擊的途徑，最終導(dǎo)致系統(tǒng)的崩潰和信息的泄漏等安全隱患。

2.4 數(shù)據(jù)及備份恢復(fù)安全隱患

信息系統(tǒng)中的數(shù)據(jù)安全是保證信息系統(tǒng)安全的重要前提，數(shù)據(jù)安全主要考慮數(shù)據(jù)的完整性、保密性和數(shù)據(jù)的備份恢復(fù)等方面。近兩年，黑客盜取數(shù)據(jù)庫的技術(shù)也在不斷提升，數(shù)據(jù)庫安全事件頻發(fā)。若數(shù)據(jù)庫的安全保護功能弱，內(nèi)部人員非法竊取或本地用戶存在誤操作，備份及恢復(fù)策略設(shè)置不當(dāng)，將造成數(shù)據(jù)的丟失或破壞，從而給系統(tǒng)帶來數(shù)據(jù)方面的安全隱患。

2.5 管理層面安全隱患

信息系統(tǒng)建設(shè)及應(yīng)用過程中，如果沒有相應(yīng)的安全管理機構(gòu)及管理制度，將會造成人員安全意識淡薄、責(zé)權(quán)不明、管理上混亂，當(dāng)出現(xiàn)安全事故時，沒有相應(yīng)的制度進行約束及應(yīng)急響應(yīng)方案，將會給信息系統(tǒng)帶來管理上的安全隱患[4]。

3 信息系統(tǒng)安全防范的具體措施

信息系統(tǒng)的安全涉及到物理環(huán)境、技術(shù)、管理等方面的內(nèi)容。在技術(shù)方面又涉及到網(wǎng)絡(luò)保護技術(shù)、主機及應(yīng)用程序安全防護技術(shù)、數(shù)據(jù)安全及備份恢復(fù)技術(shù)等領(lǐng)域。管理方面涉及到管理機構(gòu)及制度建設(shè)。作為信息系統(tǒng)安全管理員應(yīng)針對信息系統(tǒng)所存在的安全隱患，采取相應(yīng)的安全防范措施以保證系統(tǒng)的正常運行。

3.1 物理安全措施

信息系統(tǒng)的物理安全主要涉及的具體方面包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等。通常高校信息系統(tǒng)集中存放在數(shù)據(jù)中心機房，這就要求數(shù)據(jù)中心機房的建設(shè)要符合國家相應(yīng)的標(biāo)準(zhǔn)，滿足信息系統(tǒng)的物理安全[5]。

3.2 網(wǎng)絡(luò)安全措施

在網(wǎng)絡(luò)安全方面主要關(guān)注網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括：結(jié)構(gòu)安全、訪問控制、安全審計、入侵防范、網(wǎng)絡(luò)設(shè)備防護等。邊界處采用防火墻設(shè)備進行安全邊界隔離和訪問控制，根據(jù)邊界安全網(wǎng)關(guān)的防火墻特性，開啟包過濾策略，配置相應(yīng)的規(guī)則，保護內(nèi)部網(wǎng)絡(luò)設(shè)備的安全。邊界部署入侵防御系統(tǒng)和入侵檢測系統(tǒng)，檢測和防范端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。網(wǎng)絡(luò)內(nèi)部采用VLAN進行邊界隔離和訪問控制。為防止重要信息外泄，引入上網(wǎng)行為管理產(chǎn)品，同時，采用應(yīng)用防火墻有效防止網(wǎng)站被惡意注入和篡改。校園網(wǎng)絡(luò)采用綜合監(jiān)控管理平臺實時監(jiān)測網(wǎng)絡(luò)和信息系統(tǒng)的運行情況。

3.3 主機及應(yīng)用安全措施

在信息系統(tǒng)運維過程中，以高校大多數(shù)采用的Windows Server系列操作系統(tǒng)為例，系統(tǒng)管理員可以通過設(shè)置賬號規(guī)則、更改用戶權(quán)限、設(shè)置安全密碼、配置安全策略、關(guān)閉不必要的端口、開啟審核策略等方式來保障主機的安全[6]。

做好日常防毒工作，也是保證主機及應(yīng)用程序安全的重要措施。若信息系統(tǒng)防毒措施不到位，病毒就會侵入到信息系統(tǒng)，破壞系統(tǒng)的正常運行，泄露系統(tǒng)中的重要信息，有些病毒甚至?xí)ㄟ^網(wǎng)絡(luò)不斷的擴散，給其他系統(tǒng)的正常運行帶來安全威脅。通過在信息系統(tǒng)上安裝一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量的木馬和后門程序，保護系統(tǒng)的安全。

另外，由于Windows server系列操作系統(tǒng)非常龐大，常常存在一些技術(shù)漏洞。系統(tǒng)管理員在運維過程中，要及時下載補丁，安裝最新補丁，防止因系統(tǒng)漏洞而帶來安全隱患。

3.4 數(shù)據(jù)及備份恢復(fù)安全措施

數(shù)據(jù)是信息系統(tǒng)中最重要的資源，保證系統(tǒng)中數(shù)據(jù)的完整性、準(zhǔn)確性及保密性，做好數(shù)據(jù)的備份及恢復(fù)工作，是信息系統(tǒng)管理員的首要職責(zé)。

在信息系統(tǒng)數(shù)據(jù)的維護中，制訂數(shù)據(jù)備份與恢復(fù)的管理制度和操作規(guī)程，建立備份與恢復(fù)策略，完善備份與恢復(fù)的應(yīng)急響應(yīng)方案并進行演練。系統(tǒng)管理員要做好定期備份和修改后即時備份工作。

關(guān)鍵性的設(shè)備如不能提供冗余，應(yīng)采用冷備方式，提高整體的備份與恢復(fù)能力。對于業(yè)務(wù)應(yīng)用系統(tǒng)，可采用虛擬化模式，實現(xiàn)業(yè)務(wù)應(yīng)用的不中斷，最大限度增強業(yè)務(wù)應(yīng)用系統(tǒng)的備份與恢復(fù)能力。當(dāng)信息系統(tǒng)數(shù)據(jù)總量不大的情況下，可采用專人定期進行人工備份的方式，一旦發(fā)生數(shù)據(jù)安全問題，立即進行恢復(fù)。

3.5 安全管理措施

在高校進行信息化建設(shè)的過程中，如何保證信息系統(tǒng)的安全，消除安全隱患，不僅要從信息安全技術(shù)的角度考慮，更為重要的是根據(jù)信息系統(tǒng)的等級保護要求，結(jié)合信息系統(tǒng)的實際安全運維模式，建立符合信息系統(tǒng)安全要求的管理制度。

完善當(dāng)前機房安全管理制度，建立機房出入登記制度，保護信息系統(tǒng)主機及所依賴的網(wǎng)絡(luò)設(shè)備等硬件和通信線路安全。建立并完善相關(guān)的安全管理制度，保證相關(guān)人員按照規(guī)定的制度行事，做到各行其職、各負其責(zé)，避免責(zé)任事故的發(fā)生和防止惡意侵犯。加強安全教育和人員培訓(xùn)，將安全管理制度和管理技術(shù)結(jié)合起來，保障信息系統(tǒng)的安全[7]。

建立信息安全應(yīng)急機構(gòu)，制定信息安全應(yīng)急響應(yīng)預(yù)案，通過建立校方運維人員隊伍、專家資源庫以及廠商資源庫等人力資源措施，并通過組織應(yīng)急響應(yīng)預(yù)案演練，規(guī)范操作，保證在發(fā)生緊急事件時，更快的恢復(fù)系統(tǒng)應(yīng)用和數(shù)據(jù)，最大可能的降低損失。

4 結(jié)語

本文分析了高校信息系統(tǒng)存在的安全隱患，并針對安全隱患提出了具體的防范措施。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷提升，可能會出現(xiàn)新的攻擊手段，防御能力不足，導(dǎo)致攻擊事件的發(fā)生。所以，信息系統(tǒng)的安全問題并非是一成不變的，而是一個動態(tài)的持續(xù)過程，對于系統(tǒng)維護人員來說并沒有一勞永逸的防范措施。因此，不斷地進行研究探索，完善信息系統(tǒng)的安全體系，對于保障信息系統(tǒng)的安全是非常必要的。

[1]張 劍，王 琦.淺析管理在信息系統(tǒng)安全中的必要性[J].信息網(wǎng)絡(luò)安全，2012（6）：1-2.

[2]羅 崢，王 寧.信息安全等級保護測評管理體系建設(shè)初探[J].信息網(wǎng)絡(luò)安全，2011(增刊)：61-62.

[3]郭 臣.安全檢查保障信息系統(tǒng)安全[J].信息安全與技術(shù)，2010 （7）：6-9.

[4]程立明.淺談計算機網(wǎng)絡(luò)安全防范措施[J].電腦知識與技術(shù)，2010，6（6）：1 356-1 357.

[5]洪小堅.淺談計算機的網(wǎng)絡(luò)安全應(yīng)用及防御措施[J].計算機光盤軟件與應(yīng)用，2013，33（2）：181-182.

[6]李國強.淺談數(shù)據(jù)安全與備份恢復(fù)技術(shù)研究[J].科技傳播，2010（32）：250-251.

[7]方華峰.數(shù)據(jù)容災(zāi)備份與恢復(fù)的關(guān)鍵技術(shù)及應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：43-44.

責(zé)任編輯：吳艷玲

Analysis on the Hidden Dangers of Information System in Universities and the Preventive Measures

WANG Xue
（Jilin Agricultural Science and Technology University Educational Technology and Information Center,Jilin 132101）

With the rapid development and popularity of computer and network technology,information construction has become an important part of the construction of universities,however,information system security is an important factor that must be considered in the information construction of university.This paper analyzed the potential security problems of information systems in universities from five aspects∶physical, network,host and application,data security and backup and recovery and management,and then combined with the above aspects,this paper presented the specific security preventive measures of information system.Finally, according to the dynamic characteristics of information system security,this paper presented the necessity of the information system maintenance staffs should continue to carry out research and exploration,and the need to improve the security system of information system.

university informatization;information system;information system security

TP393.08

A

2016-10-29

王 雪（1982-），女，吉林省永吉縣人，研究實習(xí)員，研究方向：計算機應(yīng)用技術(shù)。