摘要:
近年来,尽管各类职业院校逐步加强校园信息安全管理的建设,但松散的安全管理方式使得各类管理信息平台面临巨大的安全挑战。为进一步提高管理信息平台的安全性,本文提出了基于用户特征的校园信息安全体系模型。通过对各管理信息平台访问用户的特征进行分析,对管理信息平台的安全需求进行归类,分别提出相应的安全管理体系,并综合形成完整的信息安全体系模型。分析表明,该信息安全体系能够在很大程度上提高职业院校校园信息平台的安全性。
关键词:
职业院校;信息安全体系;用户特征;用户管理;网络管理
随着职业院校信息化建设的深入,各种管理信息平台陆续使用,信息资源不断丰富,校园信息安全建设的重要性凸显。病毒攻击、黑客入侵、后门木马等网络安全问题已经严重威胁各种管理信息平台的正常使用。因此,建立并完善校园信息安全体系已经成为校园信息化工作的重要内容。
一、校园信息安全的需求分析
尽管各种管理信息平台已经遍布职业院校的教学、管理、生活等各种校园活动,信息安全的重要性也逐步得到了认识和重视,但信息安全仍然存在很多问题,如各种安全设备(防火墙、入侵防护系统、Web应用防火墙等)没有形成统一的安全防护体系;管理信息平台本身存在安全缺陷,并且在部署时没有采取有效的安全措施;一些管理信息平台访问日志不够详细或者缺乏访问日志;仍有一些用户安全意识淡薄,存在使用非常简单的密码,轻易把用户信息告诉他人等现象。特别是没有对应用平台做有针对性的安全需求分析,在很多时候都使用相同的安全防护措施,从而大大降低了安全性。为了改进校园信息安全管理中存在的问题,从用户人群、访问地点以及是否需要认证三个特征对主要的校园管理信息平台进行分析。
二、管理信息平台安全管理体系分析
(一)A类管理信息平台的安全管理体系
A类管理信息平台的用户特征在于任何用户在任何地点、不需要认证就可以访问该服务,通常需要开放80端口提供服务。这类管理信息平台主要存在端口扫描、病毒攻击、篡改页面等安全隐患。
1.使用首页服务
在首页上提供其他管理信息平台的网址链接。开放首页服务器的80端口,其他管理信息平台则使用其他非80端口,这种模式可以减少病毒对默认端口的扫描和攻击。
2.使用防篡改服务
网页被篡改是门户网页面临的最为严重的问题,它不但关系着信息安全问题,同时也严重影响学校的形象。目前,有很多关于网页防篡改和自动恢复技术的研究,并且逐步得到应用推广。网页防篡改服务能够以多种方式监控页面是否被篡改,并及时将被篡改的页面恢复,以防止恶意页面被广泛传播。
3.在管理信息平台前端使用防火墙、入侵防御系统、Web应用防火墙等网络安全设备
防火墙是一种隔离技术,是在两个网络通讯时执行的一种访问控制策略,只有符合安全策略的数据流才能通过防火墙。入侵防御系统是一种主动的入侵检测和防御系统,目前在校园信息化建设中也逐步得到了推广应用。入侵防御系统的作用是在数据进入受保护网络之前对可疑数据、非法入侵和各种攻击进行拦截。近些年,Web应用防火墙技术开始得到重视和广泛研究,其产品也开始得到应用和实践。Web应用防火墙是针对HTTP/HTTPS的安全策略专门为Web应用提供保护的安全产品,它可以通过对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求,也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围等。
4.数据库服务、防篡改服务等不需要用户直接访问的服务平台可以使用内部IP地址
这样,可以从而防止黑客直接对这些服务进行攻击。
(二)B类管理信息平台的安全管理体系
B类管理信息平台的用户特征在于教工、学生在任何地点都可以通过身份认证后访问其服务。这类管理信息平台的安全问题在于,虽然合法用户需要通过身份认证后才能访问服务平台,但是服务器直接暴露在公共网络中,允许任何人员在任何地点尝试登陆,允许任何IP地址访问服务器IP地址。这种管理模式给管理信息平台的安全带来了很多问题,如应用平台漏洞容易被黑客利用,黑客可以直接攻击服务器,网络病毒能够直接威胁服务器安全,用户访问日志不健全,出现安全问题后很难查找问题所在等等。由于这类管理信息平台的访问用户都是学校的教工和学生,用户人群是确定的,因此可以在A类管理信息平台安全管理体系的基础上部署用户管理网关(如VPN网关、行为管理网关等),其作用主要是完成用户身份验证,针对不同用户对管理信息平台分配不同的访问权限,记录用户的网络访问日志等。通过对这类管理信息平台进行用户访问管理,防止学校教工和学生以外的其他人群访问平台,并且也限制了公网IP地址随意访问服务器IP地址。在很多情况下,管理信息平台的安全威胁来自于用户本身,如教工安全意识淡薄、学生恶意攻击等等,因此,加强管理信息平台的用户身份验证和访问日志管理,也是对教工和学生用户正常使用管理信息平台的约束,任何不良的操作行为都将被记录在访问日志中。可见,在这个位置部署用户管理网关就相当于建立一个有效的安全屏障。
(三)C类管理信息平台的安全管理体系
一卡通系统、财务管理系统是最常见的两个C类管理信息平台,其用户特征在于少数管理人员在固定地点访问、管理应用平台,其他教工和学生用户仅通过信息查询前置服务查询工资信息和消费信息等。由于这两个服务系统都关系到财务管理,因此,这两个系统通常都采用独立的网络环境,或者在现有网络设备中划分出专用的虚拟局域网络。C类管理信息平台的安全管理体系可以在B类管理信息平台安全管理体系的基础上部署网络安全隔离系统,俗称网闸。网闸的基本功能是实现内网与外网的文件交换、网页单向浏览、数据库交互等。它是由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备,在任一时刻点仅连接内网或外网。由于C类管理信息平台使用专用的网络环境,系统受到外界网络的影响较小,因此,管理人员的安全意识是这类管理平台的主要安全因素,如不随意地把非系统计算机接入专用网络,不随意地在专用计算机上接入个人U盘、移动硬盘等存储设备。
三、融合的信息安全体系模型
通过上述分析可以看出,A、B、C三类管理信息平台的安全管理体系层层递进,越来越严格,因此,可以说这三类管理信息平台的安全需求等级是逐步提高的。将这三种安全管理体系融合,则可以清楚地得到校园网络服务的信息安全体系模型。在该体系模型中,用户管理网关、防火墙、网闸是关键设备,其中在网络出口设备和核心交换机之间部署的用户管理网关M,是目前很多学校的部署方式,如身份认证系统、网络计费管理系统等用户管理网关,而在管理信息平台之前的用户管理网关N则使用得不是很广泛,但是在该位置部署用户管理网关能够起到有效的安全管理作用。入侵防护系统、Web应用防火墙可以根据实际需要进行部署,在此基础上也可以添加其他安全系统,如防毒墙、漏洞扫描系统等。通过分析各种用户访问职业院校校园网络信息服务的特征,建立以用户特征为基础的管理信息平台安全管理体系。该安全管理体系模型为校园网应用平台的安全管理建设提供了有效的实施方案,在此基础上也可以根据实际需求进行简化或拓展。在该安全体系模型中,使用用户管理网关,严格管理访问各管理信息平台的用户范围,限制访问IP地址,并详细记录用户的访问日志,能够有效提高管理信息平台的安全性,是该安全体系模型的重要组成和关键部署。
作者:张涛 毕超 张陆 单位:天津职业技术师范大学
参考文献:
[1]冶忠林,王相龙.网页防篡改和自动恢复系统[J].计算机系统应用,2012(2):225-228.
[2]罗跃国.一种网页防篡改技术在校园网中的实现[J].西安文理学院学报(自然科学版),2011(1):96-99.
[3]张鑫,闪永强.一种新型网页防篡改策略的研究与部署[J].河南师范大学学报(自然科学版),2011(5):157-160.
[4]段国云,陈浩,黄文,唐亚纯.一种Web程序防篡改系统的设计与实现[J].计算机工程,2014(5):149-153.
[5]张慧.入侵防御系统在数字化校园的应用[J].电脑知识与技术,2010(17):4631-4632.
[6]卢旭霞.基于IPS的校园局域网安全体系研究与实现[J].信息安全与技术,2012(3):23-25.
[7]刘志光.Web应用防火墙技术分析[J].情报探索,2014(3):103-105.
[8]魏涛.Web应用防火墙的应用与研究[J].现代商贸工业,2012(24):213-214.
[9]孙晓林,文杰.一种基于双网关和radius认证的VPN部署方法[J].网络安全技术与应用,2014(2):127-128.
[10]黄家林,梅震琨,刘海韬,甘妙金.基于用户行为管理的园区网管理模型[J].计算机工程与设计,2009(15):3653-3656.
[11]包益民.浅谈网络安全隔离产品[J].数字技术与应用,2011(10):218-220.
[12]刘冬梅.安全隔离网闸在公安交通信息系统中的应用[J].计算机安全,2009(11):83-85.
[13]熊志坚.网络隔离技术与信息安全管理浅析[J].通信与信息技术,2013(5):61-62.
