论文部分内容阅读
当前,全国高校信息化建设正在向纵深方向发展,高校教学、科研和管理等各项工作越来越依赖于各类网络信息系统的稳定运行,这对高校网络信息安全管理部门提出了严峻的挑战。因此,如何针对网络带给我们的新情况、新问题,认真分析总结,做好高校网络信息安全问题防范工作,已然成为摆在高校管理部门面前亟待解决的重要课题。
一、 高校网络信息安全问题的成因
(一)网络结构的问题
目前,高校校园网大都是采用共享网络结构的,其主机与用户之间、用户与用户之间通过线路联络,其传输线路大多由光纤或双绞线线路组成,这就意味着网络越庞大,传输线路通道分支就越多,输送信息的区域分布就越广,截取传输信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以轻松获得整个网络输送的信息。正是这种网络构建本身的缺陷构成了高校网络信息安全问题防范方面的硬件隐患。
(二)技术方面的问题
目前,大多数高校各部、处、学院等部门自己制作的网站数目繁多,技术水平参差不齐,其中有相当部分的网站还是采用 ASP技术制作,安全隐患众多,给非法入侵者的攻击提供了方便。而且,大多数高校校园网服务器采用 Windows Server 2003 作为主操作系统,并且把IIS 作为 Web 服务器,把SQL Server作为数据库服务器,这客观上造成了校园网上相关服务器在病毒和黑客攻击防范方面的脆弱。
(三) 管理方面的问题
目前,许多高校校园网建设都存在着重建设轻管理的倾向。管理是网络信息安全的重要组成部分,实践证明,安全管理制度不完善是网络信息风险的重要来源之一。高校虽然涉及的机密不是很多,但是内部的非法访问经常严重地破坏了高校的管理秩序。据统计,大约七成的校园网络信息安全问题来源于内部用户,或者是操作人员未经许可,或者是操作人员的知识水平不够产生操作错误,或者是有人利用内部人员内外勾结进行破坏,这些问题的产生究其根源,其症结在于管理方面的疏漏。
二、 高校网络信息安全管理对策
(一)调整网络结构,划分信息安全域
针对对高校范围内的所有信息系统,按照受到破坏后可能造成的影响程度,划分成不同等级的安全域,进行不同等级的信息安全保护。
这里的安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同,来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
值得注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,保障其安全性。
(二)整治网络信息平台,建立统一的网络信息安全中心
针对网络数目众多、技术水平参差不齐的的现状,有必要对高校网络信息平台进行综合整治,设置身份验证和访问授权程序,建立统一的网络信息安全中心,提高其自身安全防范功能。
在设置身份验证和访问授权程序时,要求所有校园网用户在使用校园网时必须表明用户身份,授权程序根据用户的不同身份确定用户可以访问的信息安全域以及可以采取的操作。所有校园网用户无论是进行内网访问还是进行外网访问都要在系统中进行登记,记录用户访问的IP地址、登录地点和登录时间等内容。在校园网中安装检测系统时,此安全防范系统介于校园网与外网之间,既可控制校内用户对外网的访问,又可限制外网用户对校园网的造次,从而可有效控制外界对校园网的非法侵入。所有校外网络用户对校园网内信息的访问也都要进行登记,可能的非法入侵要进行登记,如果技术上可行,要立刻自动进行阻断。当系统检测到非法信息侵入时,系统也可以根据检测记录的文字或图像消息,通过电子邮件等方式迅速通知系统管理人员。系统管理人员根据检测结果判断系统的安全性,追踪非法入侵者,并采取有效手段予以扼制。
同时,为有效阻滞病毒和木马程序在校内的传播,必须在校内建立统一的信息安全中心,统一购置杀毒软件、防火墙软件和入侵检测软件,为所有校园网用户提供防病毒、木马软件的安装和升级服务。信息安全中心的所有软件应做到版本自动升级,病毒库自动更新,以保证软件的实时性和有效性。信息安全中心必须及时跟进最新信息安全发展情况,制定信息安全防范预案。经用户同意,所有通过中心安装到用户计算机的各软件应定时收集个体计算机的信息安全信息,并自动上报给信息安全中心,由信息安全中心进行研究分析,以及时发现问题找出漏洞,也可以在发生信息安全风险的时候及时锁定受害计算机,控制危害程度,减少损失。
(三) 转变高校信息安全建设理念,完善高校信息安全管理体系
高校网络信息安全防护体系的建设既不是单纯的技术问题,也不是简单的产品与技术的简单结合,而是策略、技术与管理的整合。其中,高校网络信息安全管理是高校网络信息安全策略和技术手段得以成功应用的前提,因此,必须完善和建设相应的高校网络信息安全管理体系。
1、加强信息安全法规教育,搞好信息安全技术知识培训
面向校园网用户进行信息安全教育是高校信息安全管理的重要一环,通过信息安全教育,可以使学生和教职工更加清楚信息安全工作的重要性,了解信息安全法规和简单的信息安全技术知识,并能在学习和工作中切实运用一些信息安全知识。信息安全宣传教育是保证高校信息安全的治本之策,也是做好信息安全工作的基础和前提。在干部师生中普及信息安全知识,提高安全保密素质,营造良好的信息安全环境,发挥人在信息安全对策中的主体作用,要经常分析新形势下的信息安全工作形势,针对薄弱环节加以改进。
高校信息安全技术知识的培训应该侧重于实际的计算机和网络运用能力,比如:系统补丁和杀毒软件的安装,挂马网站识别等。信息安全问题层出不穷,信息安全的技术手段也是不断地推新。普通用户的信息安全技术培训主要是侧重于基础应用,使得用户可以分清楚什么是信息安全问题,在什么情况下可能会出现信息安全问题,以及怎样处理简单的技术问题。
2、规范信息安全管理流程,建立应急处理和定期评估制度
高校信息安全具有三个方面的重要特点,即复杂性、动态性和突发性。其中,复杂性是指高校的信息安全问题并非被限制在某个特定领域内讨论,信息安全工作不仅仅是保护特定的信息不被非法使用,有时也可能是为了特定的社会和集体利益而对特定信息进行删除、屏蔽或隐藏;动态性主要是指高校信息安全工作总是处于动态变化之中,每个月都可能出现不同的信息热点问题,甚至一个月中可能会出现数个不同的信息热点问题;信息安全问题突发性强的特点决定了在日常管理中需要制订应急处理机制,一旦出现影响国家安全利益与高校稳定的信息安全事件,必须能立即采取措施,有效地控制危机,将损失减少到最低程度。由此可见,任何高校信息安全问题都不是一下子冒出来的,而是小问题日积月累的结果,高校的信息工作也不是临时抱佛脚式的应急处理所能完全应付的,必须常抓不懈,规范其管理流程,建立定期评估制度。
3、设置专职信息安全管理岗位,建立一支既懂技术又懂管理的精干团队
网络对高校环境影响多样性和复杂性,要求高校必须重视网络信息安全管理工作。信息安全工作分为技术和管理两个方面,必须要有一支独立的既懂技术又懂管理的专职队伍来从事信息安全工作。由于信息安全工作涉及学校工作的方方面面,相关职能人员需要放在一个可以统领全校的部门中,比如可以放在信息中心,也可以放在校办中。就技术方面而言,信息安全管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检,以保证对网络的监控和管理。在管理方面,中心信息安全工作人员要定期举办信息安全培训,并定期与各部处学院的兼职信息安全管理员进行沟通,及时发现相关论坛、BBS等系统中的问题并及时处理。
总之,高校网络信息安全是一项复杂的系统工程,网络信息安全是相对的,没有绝对的网络安全,除了必要的硬件和技术作为有力支撑外,用户和网络管理人员之间的默契配合和安全意识的不断提高是非常重要的。同时,还必须建立较为完善的安全管理制度和结构优良的管理机构,这样才能够确保高校校园网络稳定、安全地运行。
(作者单位:三峡大学理学院)
一、 高校网络信息安全问题的成因
(一)网络结构的问题
目前,高校校园网大都是采用共享网络结构的,其主机与用户之间、用户与用户之间通过线路联络,其传输线路大多由光纤或双绞线线路组成,这就意味着网络越庞大,传输线路通道分支就越多,输送信息的区域分布就越广,截取传输信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以轻松获得整个网络输送的信息。正是这种网络构建本身的缺陷构成了高校网络信息安全问题防范方面的硬件隐患。
(二)技术方面的问题
目前,大多数高校各部、处、学院等部门自己制作的网站数目繁多,技术水平参差不齐,其中有相当部分的网站还是采用 ASP技术制作,安全隐患众多,给非法入侵者的攻击提供了方便。而且,大多数高校校园网服务器采用 Windows Server 2003 作为主操作系统,并且把IIS 作为 Web 服务器,把SQL Server作为数据库服务器,这客观上造成了校园网上相关服务器在病毒和黑客攻击防范方面的脆弱。
(三) 管理方面的问题
目前,许多高校校园网建设都存在着重建设轻管理的倾向。管理是网络信息安全的重要组成部分,实践证明,安全管理制度不完善是网络信息风险的重要来源之一。高校虽然涉及的机密不是很多,但是内部的非法访问经常严重地破坏了高校的管理秩序。据统计,大约七成的校园网络信息安全问题来源于内部用户,或者是操作人员未经许可,或者是操作人员的知识水平不够产生操作错误,或者是有人利用内部人员内外勾结进行破坏,这些问题的产生究其根源,其症结在于管理方面的疏漏。
二、 高校网络信息安全管理对策
(一)调整网络结构,划分信息安全域
针对对高校范围内的所有信息系统,按照受到破坏后可能造成的影响程度,划分成不同等级的安全域,进行不同等级的信息安全保护。
这里的安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同,来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
值得注意的是,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主,辅以安全角度,并充分参照现有网络结构和管理现状,才能以较小的代价完成安全域划分和网络梳理,保障其安全性。
(二)整治网络信息平台,建立统一的网络信息安全中心
针对网络数目众多、技术水平参差不齐的的现状,有必要对高校网络信息平台进行综合整治,设置身份验证和访问授权程序,建立统一的网络信息安全中心,提高其自身安全防范功能。
在设置身份验证和访问授权程序时,要求所有校园网用户在使用校园网时必须表明用户身份,授权程序根据用户的不同身份确定用户可以访问的信息安全域以及可以采取的操作。所有校园网用户无论是进行内网访问还是进行外网访问都要在系统中进行登记,记录用户访问的IP地址、登录地点和登录时间等内容。在校园网中安装检测系统时,此安全防范系统介于校园网与外网之间,既可控制校内用户对外网的访问,又可限制外网用户对校园网的造次,从而可有效控制外界对校园网的非法侵入。所有校外网络用户对校园网内信息的访问也都要进行登记,可能的非法入侵要进行登记,如果技术上可行,要立刻自动进行阻断。当系统检测到非法信息侵入时,系统也可以根据检测记录的文字或图像消息,通过电子邮件等方式迅速通知系统管理人员。系统管理人员根据检测结果判断系统的安全性,追踪非法入侵者,并采取有效手段予以扼制。
同时,为有效阻滞病毒和木马程序在校内的传播,必须在校内建立统一的信息安全中心,统一购置杀毒软件、防火墙软件和入侵检测软件,为所有校园网用户提供防病毒、木马软件的安装和升级服务。信息安全中心的所有软件应做到版本自动升级,病毒库自动更新,以保证软件的实时性和有效性。信息安全中心必须及时跟进最新信息安全发展情况,制定信息安全防范预案。经用户同意,所有通过中心安装到用户计算机的各软件应定时收集个体计算机的信息安全信息,并自动上报给信息安全中心,由信息安全中心进行研究分析,以及时发现问题找出漏洞,也可以在发生信息安全风险的时候及时锁定受害计算机,控制危害程度,减少损失。
(三) 转变高校信息安全建设理念,完善高校信息安全管理体系
高校网络信息安全防护体系的建设既不是单纯的技术问题,也不是简单的产品与技术的简单结合,而是策略、技术与管理的整合。其中,高校网络信息安全管理是高校网络信息安全策略和技术手段得以成功应用的前提,因此,必须完善和建设相应的高校网络信息安全管理体系。
1、加强信息安全法规教育,搞好信息安全技术知识培训
面向校园网用户进行信息安全教育是高校信息安全管理的重要一环,通过信息安全教育,可以使学生和教职工更加清楚信息安全工作的重要性,了解信息安全法规和简单的信息安全技术知识,并能在学习和工作中切实运用一些信息安全知识。信息安全宣传教育是保证高校信息安全的治本之策,也是做好信息安全工作的基础和前提。在干部师生中普及信息安全知识,提高安全保密素质,营造良好的信息安全环境,发挥人在信息安全对策中的主体作用,要经常分析新形势下的信息安全工作形势,针对薄弱环节加以改进。
高校信息安全技术知识的培训应该侧重于实际的计算机和网络运用能力,比如:系统补丁和杀毒软件的安装,挂马网站识别等。信息安全问题层出不穷,信息安全的技术手段也是不断地推新。普通用户的信息安全技术培训主要是侧重于基础应用,使得用户可以分清楚什么是信息安全问题,在什么情况下可能会出现信息安全问题,以及怎样处理简单的技术问题。
2、规范信息安全管理流程,建立应急处理和定期评估制度
高校信息安全具有三个方面的重要特点,即复杂性、动态性和突发性。其中,复杂性是指高校的信息安全问题并非被限制在某个特定领域内讨论,信息安全工作不仅仅是保护特定的信息不被非法使用,有时也可能是为了特定的社会和集体利益而对特定信息进行删除、屏蔽或隐藏;动态性主要是指高校信息安全工作总是处于动态变化之中,每个月都可能出现不同的信息热点问题,甚至一个月中可能会出现数个不同的信息热点问题;信息安全问题突发性强的特点决定了在日常管理中需要制订应急处理机制,一旦出现影响国家安全利益与高校稳定的信息安全事件,必须能立即采取措施,有效地控制危机,将损失减少到最低程度。由此可见,任何高校信息安全问题都不是一下子冒出来的,而是小问题日积月累的结果,高校的信息工作也不是临时抱佛脚式的应急处理所能完全应付的,必须常抓不懈,规范其管理流程,建立定期评估制度。
3、设置专职信息安全管理岗位,建立一支既懂技术又懂管理的精干团队
网络对高校环境影响多样性和复杂性,要求高校必须重视网络信息安全管理工作。信息安全工作分为技术和管理两个方面,必须要有一支独立的既懂技术又懂管理的专职队伍来从事信息安全工作。由于信息安全工作涉及学校工作的方方面面,相关职能人员需要放在一个可以统领全校的部门中,比如可以放在信息中心,也可以放在校办中。就技术方面而言,信息安全管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检,以保证对网络的监控和管理。在管理方面,中心信息安全工作人员要定期举办信息安全培训,并定期与各部处学院的兼职信息安全管理员进行沟通,及时发现相关论坛、BBS等系统中的问题并及时处理。
总之,高校网络信息安全是一项复杂的系统工程,网络信息安全是相对的,没有绝对的网络安全,除了必要的硬件和技术作为有力支撑外,用户和网络管理人员之间的默契配合和安全意识的不断提高是非常重要的。同时,还必须建立较为完善的安全管理制度和结构优良的管理机构,这样才能够确保高校校园网络稳定、安全地运行。
(作者单位:三峡大学理学院)