对校园信息安全保障体系的研究

　　随着教育信息化的飞速发展，信息安全已然成为学校战略安全的一部分，关系到教学和管理工作的顺利进行以及社会的和谐发展。本文以PDRR安全模型为理论基础，从安全技术、安全策略和安全管理三个层面进行扩展，提出建立校园信息安全保障体系。

　　信息化以其良好的功能效益、可持续发展等优势，使得学校师生更愿意将重要的业务文档、数据报表、个人隐私等重要信息以电子数据形式替代传统的纸质管理模式。这些信息有些集中存储于学校业务数据服务器中，有些分散存放于个人使用的计算机或移动存储介质中。计算机病毒与黑客攻击，软硬件故障、网络干扰与破坏，操作人员安全意识淡薄和管理的疏忽等因素严重威胁着这些信息安全，信息安全事故发生呈快速上升趋势。但是计算机使用者的意识中却普遍存在着一种危险的误区：保护信息安全是IT部门的事情，和其他部门没关系。

　　信息安全是一项系统工程，渗透到学校工作的每一个环节。学校的信息安全需要先进的技术及策略、从上至下的防患意识、严格的管理制度、优秀的执行团队和强有力的法律措施共同来保障。本文以PDRR网络安全模型为理论基础，从安全技术、安全策略和安全管理三个层面进行扩展，提出建立校园信息安全保障体系。

　　1 信息安全模型

　　PDRR网络安全模型即防护(P)检测(D)响应(R)恢复(R)模型，其目的是尽可能地增大对系统的保护，减少对安全威胁的检测和响应时间，在系统遭受破坏之后，应尽可能快的恢复。

　　1.1 防护

　　防护是安全模型第一步也是最重要的一步。防护是预先阻止触发信息安全事件的条件，保护信息的保可用性、机密性、完整性、可控性和不可否认性，可以减少大多数的安全事件。这里说的防护包含了计算机系统的防护、计算机网络的防护和人的防护。

　　1.1.1 加强计算机的防护

　　计算机的防护包括硬件防护和软件防护两方面。硬件防护主要是做好计算机环境保护，包括机房位置、布局、装修、洁净与温湿度、灾害防御系统等因素。软件防护就是要保证软件的完整性、可用性、保密性、运行安全性，即要做到非法用户对软件的防复制、防执行、防篡改、防暴露。在采购或者外包软件时应该考虑软件的自我防护，自我检测和自我修复的功能需求。

　　1.1.2 加强网络边界防御

　　网络防护的重点是网络边界防御。网络边界是指内网与外网之间的接口，要保证只有可信的终端能介入网络，终端和用户接入网络后只能进行安全策略允许的操作，并且具备操作行为审计能力，防止非法外联和敏感信息泄露，对外隐藏内部地址。

　　1.1.3 人的防护

　　人是整个防御安全体系的决定性因素。据统计在学校中安全事件50%～60%发生在人为操作失误，5%～10%来自于恶意的访问和破坏。若用户拥有的权力不超过他执行工作时所需的权限，就可以限制事故、错误、未授权使用带来的损害。基于角色访问控制(RBAC)是将许可授权给角色，角色被授权给用户，用户不直接与许可关联，能够容易地实现最小特权原则。

　　1.2 检测

　　第二个环节就是检测。上面提到通过防御手段可以阻止大多数的威胁到信息安全的事件发生，但它不能阻止所有的威胁。入侵监测系统能在校园网中采用监控的方法，及时检测非法用户的侵入和对机密信息的窃取，从而能及时告警，或者利用网络和安全的跟踪功能，查清入侵者的地址，并收集有关的证据，为及时采取措施和追查责任提供必要的手段。通过配置入侵监测与响应工具，可以发现病毒及计算机黑客等违法行为，并及时采取必要措施，确保系统运行安全，也可预防合法用户对资源的误操作。检测部分主要用到的技术有入侵检测技术、网络实时监控技术和网络安全扫描技术等。

　　1.3 响应

　　响应是已知一个信息安全事件发生之后快速地进行处理或者转移到别的计算机上，阻止对信息的进一步破坏并使损失降到最低。响应包括：向相关部门和上级通报事件情况，收集和保护相关安全事件资料。这当然跟平时安全应急预案技术和制度准备情况是密不可分的。

　　1.4 恢复

　　恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。为了能保证发生安全事件后及时成功地恢复系统及信息，必须在平时做好备份工作，包括对信息系统所存储的有用数据进行备份恢复工作，对信息系统本身进行备份恢复工作等。根据被破坏的程度，备份可选择现场可恢复、在线可恢复、在线不可恢复。

　　2 安全管理

　　所谓“三分靠技术，七分靠管理”，管理在整个信息安全体系中位于核心层，其目的是将安全技术、人和制度组织成为一个整体。

　　2.1 建立完善管理制度

　　建立安全管理制度应首先保证制度的机密性、完整性、可用性、可确认性、保障性和可实施性，每个安全制度中都要明确包含：(1)需要保护的信息资产;(2)实施信息安全的组织架构、角色定义和人员责任;(3)用户正确使用资源所期望的方式;(4)对信息资产的防护策略;(5)针对安全事件的响应机制。这些安全制度应广泛的征求管理层、业务部门、IT部门和职工代表的意见，制定实施计划，保证长期执行并在执行过程中不断改进完善。

　　2.2 加强信息安全管理团队建设

　　专业安全团队是信息安全保障灵魂，是安全保障体系中的智力因素和实施手段。信心安全团队由决策层和执行层组成，主要作用是构建信息系统安全体系，实施安全策略，应急事故响应等。决策层负责：高层决策、高层分析咨询、决策分析支持系统。执行层则负责：事件响应和分析、集中监控、运行维护、安全防护、安全监控和日常维护。

　　2.3 加强安全培训和教育

　　软件升级，硬件维护，定期检查评估，紧急预案演习等安全教育和培训是安全体系中一个重要的环节。在整个信息安全工作中人是核心，提高人员安全意识和素质的最好方法是安全教育和培训。校园网是学生政治思想教育的一个平台，也是学生社会责任感和网络道德约束的建立重要过程，除了对师生进行安全操作、安全意识、以及人身安全等教育之外，还要防止网络不良信息、虚假信息对师生造成的负面影响，更要防止通过互联网络散布谣言、发布反动言论等网络犯罪行为。加强对师生的安排培训和教育是学校信息安全体系必不可少的一环。

　　3 结束语

　　信息化与信息安全历来是一对矛盾体，彼此不能分离。保证信息化能更好的为学校工作服务，就必须保证信息的安全。信息安全不是少数人或者少数部门的事，需要一个安全保障体系来支持，需要安全技术、安全策略和安全管理协同工作，为维持学校、社会稳定，提高学校管理水平，提升教学质量提供一个安全、稳定、高效的信息环境，具有重要的基础作用。

　　作者：杨毅 来源：计算机光盘软件与应用 2014年4期