論高校實(shí)驗(yàn)教學(xué)信息系統(tǒng)的安全管理

張少宇

摘要：總結(jié)了大數(shù)據(jù)時(shí)代背景下國(guó)內(nèi)高校實(shí)驗(yàn)教學(xué)信息系統(tǒng)面臨的安全威脅，以《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》為參照，對(duì)本人所在省金融學(xué)科重點(diǎn)實(shí)驗(yàn)示范中心的信息系統(tǒng)安全問(wèn)題進(jìn)行梳理，并從安全意識(shí)、制度建設(shè)、人員管理和信息系統(tǒng)安全技術(shù)等方面，提出了關(guān)于高校實(shí)驗(yàn)教學(xué)信息系統(tǒng)安全管理的幾點(diǎn)建議。

關(guān)鍵詞：實(shí)驗(yàn)教學(xué)；信息系統(tǒng)；安全管理

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）27-0232-02

實(shí)驗(yàn)教學(xué)中心是高校實(shí)驗(yàn)教學(xué)和學(xué)術(shù)科研的重要場(chǎng)所，承擔(dān)學(xué)生實(shí)踐能力培養(yǎng)、教學(xué)資源容器、科研學(xué)術(shù)軟件運(yùn)行載體、校內(nèi)外學(xué)術(shù)交流窗口的重要職能。信息系統(tǒng)是實(shí)驗(yàn)教學(xué)的核心，是中心履行職能的重要工具，是教學(xué)實(shí)踐操作的主體。

在大數(shù)據(jù)、云計(jì)算和人工智能的時(shí)代背景下，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)特別是高校實(shí)驗(yàn)教學(xué)信息系統(tǒng)正面臨前所未有的信息安全威脅[1]。世界大型互聯(lián)網(wǎng)企業(yè)近幾年推出層出不窮的大數(shù)據(jù)處理系統(tǒng)，借助于這些處理系統(tǒng)的深度學(xué)習(xí)、知識(shí)計(jì)算、可視化等大數(shù)據(jù)分析技術(shù)迅猛發(fā)展[2]。棱鏡門事件、WannaCry勒索病毒、Meltdown與Spectre英特爾芯片漏洞等事件從管理和軟硬件體系結(jié)構(gòu)方面向人們警示信息安全的嚴(yán)峻性。

1 信息系統(tǒng)安全技術(shù)

信息系統(tǒng)安全技術(shù)包括硬件安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、軟件安全、網(wǎng)絡(luò)安全、密碼技術(shù)、惡意軟件防治、信息隱藏、信息設(shè)備可靠性等技術(shù)[3]。本人所在的實(shí)驗(yàn)教學(xué)中心是集金融學(xué)、管理學(xué)、基礎(chǔ)學(xué)科和學(xué)術(shù)研究的省金融學(xué)科重點(diǎn)示范中心。實(shí)驗(yàn)室內(nèi)網(wǎng)隸屬于校園主干網(wǎng)絡(luò)，所有實(shí)驗(yàn)教學(xué)信息系統(tǒng)和實(shí)驗(yàn)用機(jī)完全屏蔽在校園網(wǎng)內(nèi)部，由網(wǎng)絡(luò)中心統(tǒng)一管理網(wǎng)絡(luò)出入口和信息交換策略。在管理虛擬實(shí)驗(yàn)銀行、金蝶K3ERP等信息系統(tǒng)的過(guò)程中，本人從管理和技術(shù)角度意識(shí)到當(dāng)前高校實(shí)驗(yàn)教學(xué)信息系統(tǒng)面臨的嚴(yán)峻安全威脅。

1） 實(shí)驗(yàn)室學(xué)生和教師用機(jī)。由于使用了基于內(nèi)容即時(shí)分發(fā)的PHANTOSYS管理系統(tǒng)，教師和學(xué)生用機(jī)自動(dòng)從服務(wù)器節(jié)點(diǎn)獲取包括操作系統(tǒng)在內(nèi)的所有數(shù)據(jù)包，該管理模式有效降低了病毒和木馬累積風(fēng)險(xiǎn)。但不可忽視在正常教學(xué)工作日師生使用帶病毒的移動(dòng)存儲(chǔ)設(shè)備及其從網(wǎng)絡(luò)下載的郵件、圖片、視頻和可執(zhí)行文件等攜帶的危險(xiǎn)代碼[4]。

2） 內(nèi)部管理人員辦公和值班室常設(shè)計(jì)算機(jī)。（1）由于實(shí)驗(yàn)室管理人員的認(rèn)知水平、對(duì)信息安全的重視程度、警惕性不足等因素影響，中心內(nèi)部辦公室長(zhǎng)期使用的計(jì)算機(jī)已累積潛藏大量病毒和木馬。（2）由于某類辦公室和值班室等場(chǎng)所的開放性，這些場(chǎng)所的計(jì)算機(jī)完全暴露在公共的使用環(huán)境下，既沒(méi)有專人監(jiān)督，也沒(méi)有針對(duì)性的安全管理措施，病毒容易寄生且以此為基地掃描整個(gè)IP地址空間并伺機(jī)傳播。

3） 信息系統(tǒng)建設(shè)階段和維護(hù)階段的遠(yuǎn)程控制軟件和系統(tǒng)端口管理。在信息系統(tǒng)的建設(shè)階段，由于各院系課題申報(bào)的教授、學(xué)術(shù)帶頭人和開發(fā)公司技術(shù)人員等干系人進(jìn)場(chǎng)，實(shí)驗(yàn)室管理人員在沒(méi)有明確的流程規(guī)范指引下為了管理上方便，通常開放操作系統(tǒng)的所有端口和權(quán)限，系統(tǒng)部署完畢后又因安全意識(shí)淡薄沒(méi)有及時(shí)關(guān)閉相應(yīng)的權(quán)限。在信息系統(tǒng)的維護(hù)階段，因貪圖管理上的便利任由公司技術(shù)人員使用TimeViwer、XT800、VNC等遠(yuǎn)程控制監(jiān)控軟件從外網(wǎng)建立連接，事后又未能及時(shí)關(guān)閉服務(wù)和端口，甚至在服務(wù)器上安裝與信息系統(tǒng)管理完全無(wú)關(guān)的MS OFFICE、WPS等桌面軟件，違背服務(wù)器管理的最小權(quán)限開放原則，給信息系統(tǒng)留下極大的安全隱患。

4） 服務(wù)器日常維護(hù)安全意識(shí)薄弱。制度層面缺乏規(guī)章制度的保障、領(lǐng)導(dǎo)層面沒(méi)有制定安全執(zhí)行流程或態(tài)度不堅(jiān)定、執(zhí)行層面管理人員本身對(duì)安全的漠視和“多一事不如少一事”的責(zé)任心缺失，造成信息系統(tǒng)服務(wù)器存在各種漏洞、抵御風(fēng)險(xiǎn)的能力降低以及服務(wù)器間交叉感染難以根治，病毒防御體系和安全保障體系難以建立。

5） 其他方面的安全威脅。教學(xué)大樓的多媒體計(jì)算機(jī)、教師辦公大樓的計(jì)算機(jī)、學(xué)生宿舍的學(xué)生自有計(jì)算機(jī)的網(wǎng)絡(luò)攻擊和病毒感染、由于校園網(wǎng)絡(luò)中心的出口路由設(shè)置和匯聚交換機(jī)的策略設(shè)置漏洞導(dǎo)致實(shí)驗(yàn)教學(xué)系統(tǒng)不僅遭受來(lái)自校內(nèi)攻擊，還要面臨校外的安全威脅。

2 信息系統(tǒng)安全策略

信息系統(tǒng)安全策略是指針對(duì)本單位的計(jì)算機(jī)業(yè)務(wù)應(yīng)用信息系統(tǒng)的安全風(fēng)險(xiǎn)、安全威脅進(jìn)行有效的識(shí)別、評(píng)估后所采取的各種措施、手段以及建立的各種管理制度?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）是建立安全等級(jí)保護(hù)制度和實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)[3]。本人參考上述標(biāo)準(zhǔn)并結(jié)合單位實(shí)際情況采取如下措施：

1） 引起領(lǐng)導(dǎo)高度重視，任命專職人員負(fù)責(zé)信息安全管理。

成立由部門主任領(lǐng)導(dǎo)的信息系統(tǒng)安全領(lǐng)導(dǎo)小組。從管理的角度來(lái)看，校園內(nèi)部各單位是職能型組織結(jié)構(gòu)，在此模式下部門間協(xié)同以及部門內(nèi)部協(xié)調(diào)依賴于上級(jí)管理部門。信息系統(tǒng)安全管理絕不僅僅是某段時(shí)期內(nèi)的技術(shù)攻關(guān)克難，它必須貫穿于整個(gè)信息系統(tǒng)建設(shè)和維護(hù)生命周期，也即實(shí)驗(yàn)教學(xué)中心本身的存在期。為保證安全管理政策的連續(xù)性和組織協(xié)調(diào)各部門管理人員有效貫徹執(zhí)行，必須依賴于最高領(lǐng)導(dǎo)的權(quán)威、決心和安全意識(shí)。

信息系統(tǒng)安全一直得不到重視的原因在于它本質(zhì)上是一個(gè)質(zhì)量預(yù)防過(guò)程。在這個(gè)過(guò)程中無(wú)論質(zhì)量安全人員運(yùn)用了什么管理理念、使用了什么先進(jìn)的安全技術(shù)、具體做了大量的幕后工作，得到的成果是保障系統(tǒng)正常運(yùn)行，高層管理領(lǐng)導(dǎo)看不到產(chǎn)出成果[5]。必須認(rèn)識(shí)到系統(tǒng)安全是一個(gè)不斷制定和改進(jìn)、持續(xù)執(zhí)行迭代的過(guò)程。應(yīng)該在政策層面和項(xiàng)目立項(xiàng)層面為信息系統(tǒng)安全管理提供導(dǎo)向和指引。

2） 規(guī)范信息系統(tǒng)制度建設(shè)和規(guī)范操作流程管理。

從質(zhì)量保證的角度來(lái)看，強(qiáng)調(diào)過(guò)程的規(guī)范性優(yōu)于僅依賴監(jiān)控結(jié)果的正確。據(jù)統(tǒng)計(jì)在信息安全問(wèn)題上，高達(dá)70%的相關(guān)問(wèn)題是由于缺乏有效管理造成的，而缺乏有效管理造成的與網(wǎng)絡(luò)安全相關(guān)的70%的問(wèn)題中，有95%是可以通過(guò)信息安全管理制度來(lái)避免[6]。信息系統(tǒng)的安全三分技術(shù)七分管理。

（1） 建立信息系統(tǒng)管理準(zhǔn)入制度。在硬件方面完善實(shí)驗(yàn)教學(xué)機(jī)房進(jìn)出審查制度，完善服務(wù)器安裝維修審批制度。在軟件方面建立軟件系統(tǒng)的部署、建設(shè)和日常維護(hù)的準(zhǔn)入制度。必須要求相關(guān)發(fā)起人和實(shí)施人員填寫準(zhǔn)入表格審查通過(guò)。必須詳細(xì)記錄信息系統(tǒng)軟硬件安裝維護(hù)過(guò)程的并形成文檔，必須有意識(shí)收集整理相關(guān)系統(tǒng)使用說(shuō)明書，必須形成部門組織過(guò)程資產(chǎn)。

公司建設(shè)方維護(hù)技術(shù)人員，包括部分實(shí)驗(yàn)教學(xué)內(nèi)部管理人員存在漠視并抵觸信息系統(tǒng)安全管理制度的現(xiàn)象。這是因?yàn)楣芾砩系膶徍藢徟鞒淘谒麄兛磥?lái)妨礙工作。系統(tǒng)開發(fā)技術(shù)人員都希望系統(tǒng)大門為其敞開，而這正是系統(tǒng)安全管理人員警惕并必須堅(jiān)守的底線。管理制度不僅是工作各階段敦促管理人員必須完成的流程清單，同時(shí)也是提示項(xiàng)目發(fā)起人與開發(fā)人員工作嚴(yán)肅性的警示牌。

（2） 建立信息系統(tǒng)密碼統(tǒng)一管理機(jī)制。必須由專人統(tǒng)一管理服務(wù)器的密碼設(shè)置。密碼的生成必須遵循一定的策略，例如密碼長(zhǎng)度必須大于10位、密碼必須包含大小寫字母、數(shù)字組合和特殊字符、密碼由專人統(tǒng)一生成、統(tǒng)一分配和嚴(yán)格監(jiān)控管理。所有管理服務(wù)器的人員需要密碼或更新密碼的，必須向密碼管理人員申請(qǐng)和報(bào)備。

（3） 建立信息系統(tǒng)備份特別是數(shù)據(jù)庫(kù)備份策略。要求每個(gè)服務(wù)器對(duì)應(yīng)的管理人員必須從信息系統(tǒng)軟件部署的第一天起就要注意熟悉整個(gè)體系結(jié)構(gòu)和部署操作，必須收集整理好對(duì)應(yīng)的安裝可執(zhí)行文件，例如對(duì)應(yīng)的操作系統(tǒng)、數(shù)據(jù)庫(kù)和JAVA版本等整套系統(tǒng)。要形成對(duì)應(yīng)于該信息系統(tǒng)的專門配置管理文檔，一旦該信息系統(tǒng)癱瘓，要求必須在若干小時(shí)內(nèi)在新的服務(wù)器硬件中能重新建立該信息系統(tǒng)服務(wù)。必須制定數(shù)據(jù)庫(kù)備份策略，例如規(guī)定管理人員必須每月對(duì)信息系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行完整備份或差異備份。要保證系統(tǒng)崩潰導(dǎo)致的用戶數(shù)據(jù)丟失最小化。

（4） 加強(qiáng)對(duì)管理辦公室和值班室用機(jī)的安全審查。必須由專門的系統(tǒng)安全管理人員定期對(duì)管理辦公室和值班室內(nèi)的所有用機(jī)進(jìn)行病毒檢查、安全設(shè)置管理。必須形成相應(yīng)的制度和執(zhí)行規(guī)范。對(duì)值班室中的公用計(jì)算機(jī)應(yīng)定期重置。核查學(xué)生U盤和移動(dòng)存儲(chǔ)設(shè)備等對(duì)公業(yè)務(wù)必須指定特定離線計(jì)算機(jī)，不能與辦公用機(jī)混用。加強(qiáng)對(duì)兼職學(xué)生的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。

3） 參考安全專家的經(jīng)驗(yàn)，運(yùn)用成熟的信息系統(tǒng)安全技術(shù)。

（1） 服務(wù)器外部安全技術(shù)設(shè)置。從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度來(lái)看，必須改進(jìn)當(dāng)前服務(wù)器網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，隔離對(duì)外WEB服務(wù)和對(duì)內(nèi)數(shù)據(jù)庫(kù)服務(wù)。隔離數(shù)據(jù)庫(kù)服務(wù)器，單臺(tái)數(shù)據(jù)庫(kù)服務(wù)器只能被特定的WEB服務(wù)器端口訪問(wèn)。必須設(shè)法在物理上、交換機(jī)VLAN設(shè)置上和IP子網(wǎng)劃分實(shí)現(xiàn)網(wǎng)段隔離，實(shí)現(xiàn)服務(wù)器、管理員辦公用機(jī)和值班室公共用機(jī)的網(wǎng)絡(luò)隔離。

根據(jù)實(shí)驗(yàn)室條件部署企業(yè)級(jí)硬件防火墻和入侵檢測(cè)技術(shù)系統(tǒng)。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。入侵檢測(cè)通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

（2） 服務(wù)器內(nèi)部安全技術(shù)設(shè)置。使用vSphere提供的快照功能備份系統(tǒng)，我們安裝系統(tǒng)補(bǔ)丁防堵已知的緩沖區(qū)溢出漏洞，分別使用不同的殺毒軟件掃描系統(tǒng)盡可能發(fā)現(xiàn)并清除病毒。必須督促各系統(tǒng)管理員啟用操作系統(tǒng)內(nèi)部防火墻，僅開啟系統(tǒng)服務(wù)所必需的通信端口如80、8080、4433等。使用防黑加固工具禁用不必要的系統(tǒng)功能，關(guān)閉不必要的開機(jī)啟動(dòng)程序和服務(wù)。定期審查系統(tǒng)的計(jì)劃任務(wù)，檢查是否存在可疑的計(jì)劃項(xiàng)。根據(jù)實(shí)際關(guān)閉不使用的SQL Server的網(wǎng)絡(luò)協(xié)議，關(guān)閉SQL Server代理服務(wù)器，審查SQL Server的作業(yè)管理任務(wù)是否存在可疑項(xiàng)等[7]。

3 結(jié)束語(yǔ)

總之，實(shí)驗(yàn)教學(xué)活動(dòng)的正常進(jìn)行、實(shí)驗(yàn)教學(xué)中心職能的全面履行跟實(shí)驗(yàn)教學(xué)信息系統(tǒng)的安全息息相關(guān)，與整個(gè)校園網(wǎng)絡(luò)的安全唇齒相依。保證整個(gè)實(shí)驗(yàn)教學(xué)信息系統(tǒng)的安全不僅要從技術(shù)方面，而且還必須從規(guī)章制度、工作人員管理和領(lǐng)導(dǎo)重視程度等方面給予全面的保障。

參考文獻(xiàn)：

[1] 呂臻.大數(shù)據(jù)背景下的計(jì)算機(jī)信息安全及防護(hù)思路[J].電子技術(shù)與軟件工程，2018（9）.

[2] 程學(xué)旗，靳小龍，王元卓，郭嘉豐，張鐵贏，李國(guó)杰.大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J].軟件學(xué)報(bào)，2014（4）.

[3] 譚志彬，柳純錄，周立新，盧光明.信息系統(tǒng)項(xiàng)目管理師教程（第3版）[M].清華大學(xué)出版社，2017.

[4] 洪家慧，王景陽(yáng).高校計(jì)算機(jī)實(shí)驗(yàn)室開放中的信息安全問(wèn)題及對(duì)策[J].科學(xué)咨詢，2009（1）.

[5] 黃高峰，孫勝春，詹國(guó)強(qiáng).高校實(shí)驗(yàn)室安全性管理的研究與探討[J].實(shí)驗(yàn)室研究與探索，2011（9）.

[6] 陳志.高校計(jì)算機(jī)類實(shí)驗(yàn)室網(wǎng)絡(luò)安全防范機(jī)制[J].電腦迷，2018（5）.

[7] 葉榮誠(chéng).高校專業(yè)實(shí)驗(yàn)室信息安全芻議[J].科教文匯，2012（12）.

[通聯(lián)編輯：唐一東]