資源簡(jiǎn)介

第五章 信息系統(tǒng)的安全風(fēng)險(xiǎn)防范
校園網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)防范
—— 以計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)的安全風(fēng)險(xiǎn)防范為例
一、引言
互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，新威脅、新攻擊手段不斷出現(xiàn)，我們需要全面重視與高效落實(shí)信息系統(tǒng)安全問(wèn)題，維護(hù)好國(guó)家利益和
個(gè)人信息安全。2016年底，我國(guó)發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，提出捍衛(wèi)網(wǎng)絡(luò)空間主權(quán)、維護(hù)國(guó)家安全、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、加強(qiáng)網(wǎng)絡(luò)文化 建設(shè)、打擊網(wǎng)絡(luò)恐怖等九項(xiàng)任務(wù)，再次將信息系統(tǒng)應(yīng)用中安全與風(fēng)險(xiǎn)問(wèn)題提升到了國(guó)家安全的重要層面。
二、防范目標(biāo)
通過(guò)對(duì)計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)會(huì)遇到的安全風(fēng)險(xiǎn)以及可以采用的安全 策略進(jìn)行分析，了解保護(hù)計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)安全的常用技術(shù)，嘗試制訂合理安全使用計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)的行為規(guī)范，養(yǎng)成規(guī)范的信息系統(tǒng) 操作習(xí)慣，樹(shù)立信息安全意識(shí)。
三、安全風(fēng)險(xiǎn)分析
影響計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)安全的因素是多方面的，根據(jù)我們?nèi)粘Ｉ畹慕?jīng)驗(yàn)以及搜索到的資料，可整理如表1所示。
表 1 計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)安全風(fēng)險(xiǎn)分析
序號(hào) 因素 安全風(fēng)險(xiǎn)問(wèn)題
1 人為因素 學(xué)生沒(méi)有遵守操作規(guī)范，私自帶U盤(pán)，私自修改電腦設(shè) 置，下載來(lái)歷不明的軟件等。
2 軟硬件因素 沒(méi)有做好防盜門(mén)、消防措施及監(jiān)控安裝等的安防措 施，沒(méi)有設(shè)置進(jìn)入電腦室的權(quán)限。電腦室里的電腦沒(méi)有及 時(shí)更新軟件，沒(méi)有及時(shí)安裝補(bǔ)丁，造成軟件的漏洞。
3 網(wǎng)絡(luò)因素 信息在網(wǎng)絡(luò)傳遞過(guò)程中被竊聽(tīng)、篡改，遭受拒絕服務(wù) 攻擊。
4 數(shù)據(jù)因素 使用電腦室里的電腦處理隱私、秘密數(shù)據(jù)(如試卷、 個(gè)人敏感信息等)未及時(shí)有效清除，導(dǎo)致泄露風(fēng)險(xiǎn)。
四、安全風(fēng)險(xiǎn)防范
信息系統(tǒng)不存在絕對(duì)的安全，因?yàn)榘踩院捅憷约俺杀局g有著矛盾的關(guān)系。在安全策略方面要如何進(jìn)行權(quán)衡呢？通過(guò)閱讀課本以及搜索資料等方式，我們了解到， 目前比較常用的安全模型是P2DR模型，該模型包括策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng) (Response)四個(gè)主要部分。
在制訂計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)的安全策略時(shí)，我們可以從非技術(shù)和 技術(shù)兩個(gè)方面來(lái)考慮。其中非技術(shù)策略方面主要包括預(yù)防意識(shí)、管理保障措施、應(yīng)急響應(yīng)機(jī)制等三個(gè)層面；技術(shù)策略分為物理和邏輯兩大方面，主要包括物理系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等五個(gè)層面，每個(gè)層面都有對(duì)應(yīng)的措施，如物理系統(tǒng)方面的主要措施是防盜、防火、防靜電等。
在進(jìn)行計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)的安全風(fēng)險(xiǎn)防范時(shí)，我們可以考慮使用以下技術(shù)。
(1)加密技術(shù)：如對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密、量子密鑰加密等。
(2)認(rèn)證技術(shù)：如口令字、驗(yàn)證碼、生物識(shí)別等。
(3)主機(jī)系統(tǒng)安全技術(shù)：如操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫(kù)安全技術(shù)等。
(4)網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)：如防火墻技術(shù)、入侵檢測(cè)技術(shù)、
應(yīng)急響應(yīng)技術(shù)等。
(5)惡意代碼檢測(cè)與防范技術(shù)：如特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法等。
(6)人工智能技術(shù)在反病毒中的應(yīng)用：安裝安全軟件等。
五、系統(tǒng)使用規(guī)范制訂
如何合理安全使用計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)是值得探討的問(wèn)題，表2是從四個(gè)因素出發(fā)制訂的計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)使用規(guī)范。
表 2 計(jì)算機(jī)實(shí)驗(yàn)室管理系統(tǒng)使用規(guī)范
序號(hào) 針對(duì)因素 使用規(guī)范
1 人為因素 1．系統(tǒng)管理員應(yīng)妥善設(shè)置相關(guān)密碼，不得泄露，不得過(guò)于簡(jiǎn)單，并定期更改密碼。2．操作人員不得帶入食品與飲料，不得遺留任何垃圾。3．操作人員不得下載來(lái)源不明的文件，不得安裝來(lái)源不明的軟件。4．操作人員不得點(diǎn)擊不明鏈接，不得瀏覽風(fēng)險(xiǎn)網(wǎng)站。
2 軟硬件因素 1．服務(wù)器、交換機(jī)等設(shè)備只能由系統(tǒng)管理員操作，其他人不得隨意觸碰。2．系統(tǒng)管理員與操作人員應(yīng)注意環(huán)境衛(wèi)生，離開(kāi)時(shí)注意關(guān)好門(mén)窗。3．系統(tǒng)管理員應(yīng)定期進(jìn)行設(shè)備運(yùn)行情況的檢查，及時(shí)排除故障。4．操作人員不得拆卸或損壞硬件設(shè)備，不得隨意修改設(shè)備的配置參數(shù)。
3 網(wǎng)絡(luò)因素 1．系統(tǒng)管理員應(yīng)保障網(wǎng)絡(luò)的安全及暢通。2．系統(tǒng)管理員應(yīng)及時(shí)修復(fù)漏洞，安裝各項(xiàng)必要的更新。3．系統(tǒng)管理員應(yīng)安裝網(wǎng)絡(luò)防火墻并設(shè)置嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)策略，保障服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全。
4 數(shù)據(jù)因素 1．系統(tǒng)管理員應(yīng)定期對(duì)重要數(shù)據(jù)設(shè)置不同人員的訪問(wèn)權(quán)限，記錄數(shù)據(jù)使用人員。2．系統(tǒng)管理員應(yīng)定期進(jìn)行數(shù)據(jù)備份。3．系統(tǒng)管理員與操作人員不得泄露相關(guān)重要數(shù)據(jù)。
六、結(jié)語(yǔ)
通過(guò)本單元的學(xué)習(xí)及項(xiàng)目實(shí)踐，我們認(rèn)識(shí)了信息系統(tǒng)應(yīng)用過(guò)程中存 在的風(fēng)險(xiǎn)，熟悉了信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)方法及安全策略。今后，我們要養(yǎng)成規(guī)范的信息系統(tǒng)操作習(xí)慣，樹(shù)立信息安全意識(shí)，合理使用信息系統(tǒng)，負(fù)責(zé)任地發(fā)布、使用與傳播信息，自覺(jué)遵守信息社會(huì)中的道德準(zhǔn)則和法律法規(guī)。
計(jì)算機(jī)實(shí)驗(yàn)室的信息系統(tǒng)安全是校園網(wǎng)網(wǎng)絡(luò)安全重要的一部分，人人都應(yīng)該增強(qiáng)信息安全意識(shí)，養(yǎng)成規(guī)范的信息系統(tǒng)操作習(xí)慣，懂得保護(hù)自己、他人甚至國(guó)家的安全。青少年正值人生觀與價(jià)值觀形成的重要時(shí)期，在這個(gè)現(xiàn)實(shí)空間與虛擬空間相互交織的全新社會(huì)環(huán)境中，應(yīng)加強(qiáng)信息系統(tǒng)安全意識(shí)，提高信息安全風(fēng)險(xiǎn)防范水平，自覺(jué)遵守信息安全法律法規(guī)，擔(dān)當(dāng)起應(yīng)有的信息社會(huì)責(zé)任，做信息社會(huì)的一名合格公民!

展開(kāi)更多......

收起↑