摘 要：隨著教育信息化的飛速發(fā)展，信息安全已然成為學(xué)校戰(zhàn)略安全的一部分，關(guān)系到教學(xué)和管理工作的順利進(jìn)行以及社會的和諧發(fā)展。本文以PDRR安全模型為理論基礎(chǔ)，從安全技術(shù)、安全策略和安全管理三個層面進(jìn)行擴展，提出建立校園信息安全保障體系。

關(guān)鍵詞：PDRR；信息安全；安全管理

中圖分類號：TP309

信息化以其良好的功能效益、可持續(xù)發(fā)展等優(yōu)勢，使得學(xué)校師生更愿意將重要的業(yè)務(wù)文檔、數(shù)據(jù)報表、個人隱私等重要信息以電子數(shù)據(jù)形式替代傳統(tǒng)的紙質(zhì)管理模式。這些信息有些集中存儲于學(xué)校業(yè)務(wù)數(shù)據(jù)服務(wù)器中，有些分散存放于個人使用的計算機或移動存儲介質(zhì)中。計算機病毒與黑客攻擊，軟硬件故障、網(wǎng)絡(luò)干擾與破壞，操作人員安全意識淡薄和管理的疏忽等因素嚴(yán)重威脅著這些信息安全，信息安全事故發(fā)生呈快速上升趨勢。但是計算機使用者的意識中卻普遍存在著一種危險的誤區(qū)：保護信息安全是IT部門的事情，和其他部門沒關(guān)系。

信息安全是一項系統(tǒng)工程，滲透到學(xué)校工作的每一個環(huán)節(jié)。學(xué)校的信息安全需要先進(jìn)的技術(shù)及策略、從上至下的防患意識、嚴(yán)格的管理制度、優(yōu)秀的執(zhí)行團隊和強有力的法律措施共同來保障。本文以PDRR網(wǎng)絡(luò)安全模型為理論基礎(chǔ)，從安全技術(shù)、安全策略和安全管理三個層面進(jìn)行擴展，提出建立校園信息安全保障體系。

1 信息安全模型

PDRR網(wǎng)絡(luò)安全模型即防護（P）檢測（D）響應(yīng)（R）恢復(fù)（R）模型，其目的是盡可能地增大對系統(tǒng)的保護，減少對安全威脅的檢測和響應(yīng)時間，在系統(tǒng)遭受破壞之后，應(yīng)盡可能快的恢復(fù)。

1.1 防護

防護是安全模型第一步也是最重要的一步。防護是預(yù)先阻止觸發(fā)信息安全事件的條件，保護信息的?？捎眯?、機密性、完整性、可控性和不可否認(rèn)性，可以減少大多數(shù)的安全事件。這里說的防護包含了計算機系統(tǒng)的防護、計算機網(wǎng)絡(luò)的防護和人的防護。

1.1.1 加強計算機的防護

計算機的防護包括硬件防護和軟件防護兩方面。硬件防護主要是做好計算機環(huán)境保護，包括機房位置、布局、裝修、潔凈與溫濕度、災(zāi)害防御系統(tǒng)等因素。軟件防護就是要保證軟件的完整性、可用性、保密性、運行安全性，即要做到非法用戶對軟件的防復(fù)制、防執(zhí)行、防篡改、防暴露。在采購或者外包軟件時應(yīng)該考慮軟件的自我防護，自我檢測和自我修復(fù)的功能需求。

1.1.2 加強網(wǎng)絡(luò)邊界防御

網(wǎng)絡(luò)防護的重點是網(wǎng)絡(luò)邊界防御。網(wǎng)絡(luò)邊界是指內(nèi)網(wǎng)與外網(wǎng)之間的接口，要保證只有可信的終端能介入網(wǎng)絡(luò)，終端和用戶接入網(wǎng)絡(luò)后只能進(jìn)行安全策略允許的操作，并且具備操作行為審計能力，防止非法外聯(lián)和敏感信息泄露，對外隱藏內(nèi)部地址。

1.1.3 人的防護

人是整個防御安全體系的決定性因素。據(jù)統(tǒng)計在學(xué)校中安全事件50%～60%發(fā)生在人為操作失誤，5%～10%來自于惡意的訪問和破壞。若用戶擁有的權(quán)力不超過他執(zhí)行工作時所需的權(quán)限，就可以限制事故、錯誤、未授權(quán)使用帶來的損害?；诮巧L問控制（RBAC）是將許可授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)，能夠容易地實現(xiàn)最小特權(quán)原則。

1.2 檢測

第二個環(huán)節(jié)就是檢測。上面提到通過防御手段可以阻止大多數(shù)的威脅到信息安全的事件發(fā)生，但它不能阻止所有的威脅。入侵監(jiān)測系統(tǒng)能在校園網(wǎng)中采用監(jiān)控的方法，及時檢測非法用戶的侵入和對機密信息的竊取，從而能及時告警，或者利用網(wǎng)絡(luò)和安全的跟蹤功能，查清入侵者的地址，并收集有關(guān)的證據(jù)，為及時采取措施和追查責(zé)任提供必要的手段。通過配置入侵監(jiān)測與響應(yīng)工具，可以發(fā)現(xiàn)病毒及計算機黑客等違法行為，并及時采取必要措施，確保系統(tǒng)運行安全，也可預(yù)防合法用戶對資源的誤操作。檢測部分主要用到的技術(shù)有入侵檢測技術(shù)、網(wǎng)絡(luò)實時監(jiān)控技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)等。

1.3 響應(yīng)

響應(yīng)是已知一個信息安全事件發(fā)生之后快速地進(jìn)行處理或者轉(zhuǎn)移到別的計算機上，阻止對信息的進(jìn)一步破壞并使損失降到最低。響應(yīng)包括：向相關(guān)部門和上級通報事件情況，收集和保護相關(guān)安全事件資料。這當(dāng)然跟平時安全應(yīng)急預(yù)案技術(shù)和制度準(zhǔn)備情況是密不可分的。

1.4 恢復(fù)

恢復(fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)，或者比原來更安全的狀態(tài)。為了能保證發(fā)生安全事件后及時成功地恢復(fù)系統(tǒng)及信息，必須在平時做好備份工作，包括對信息系統(tǒng)所存儲的有用數(shù)據(jù)進(jìn)行備份恢復(fù)工作，對信息系統(tǒng)本身進(jìn)行備份恢復(fù)工作等。根據(jù)被破壞的程度，備份可選擇現(xiàn)場可恢復(fù)、在線可恢復(fù)、在線不可恢復(fù)。

2 安全管理

所謂“三分靠技術(shù)，七分靠管理”，管理在整個信息安全體系中位于核心層，其目的是將安全技術(shù)、人和制度組織成為一個整體。

2.1 建立完善管理制度

建立安全管理制度應(yīng)首先保證制度的機密性、完整性、可用性、可確認(rèn)性、保障性和可實施性，每個安全制度中都要明確包含：（1）需要保護的信息資產(chǎn)；（2）實施信息安全的組織架構(gòu)、角色定義和人員責(zé)任；（3）用戶正確使用資源所期望的方式；（4）對信息資產(chǎn)的防護策略；（5）針對安全事件的響應(yīng)機制。這些安全制度應(yīng)廣泛的征求管理層、業(yè)務(wù)部門、IT部門和職工代表的意見，制定實施計劃，保證長期執(zhí)行并在執(zhí)行過程中不斷改進(jìn)完善。

2.2 加強信息安全管理團隊建設(shè)

專業(yè)安全團隊是信息安全保障靈魂，是安全保障體系中的智力因素和實施手段。信心安全團隊由決策層和執(zhí)行層組成，主要作用是構(gòu)建信息系統(tǒng)安全體系，實施安全策略，應(yīng)急事故響應(yīng)等。決策層負(fù)責(zé)：高層決策、高層分析咨詢、決策分析支持系統(tǒng)。執(zhí)行層則負(fù)責(zé)：事件響應(yīng)和分析、集中監(jiān)控、運行維護、安全防護、安全監(jiān)控和日常維護。

2.3 加強安全培訓(xùn)和教育

軟件升級，硬件維護，定期檢查評估，緊急預(yù)案演習(xí)等安全教育和培訓(xùn)是安全體系中一個重要的環(huán)節(jié)。在整個信息安全工作中人是核心，提高人員安全意識和素質(zhì)的最好方法是安全教育和培訓(xùn)。校園網(wǎng)是學(xué)生政治思想教育的一個平臺，也是學(xué)生社會責(zé)任感和網(wǎng)絡(luò)道德約束的建立重要過程，除了對師生進(jìn)行安全操作、安全意識、以及人身安全等教育之外，還要防止網(wǎng)絡(luò)不良信息、虛假信息對師生造成的負(fù)面影響，更要防止通過互聯(lián)網(wǎng)絡(luò)散布謠言、發(fā)布反動言論等網(wǎng)絡(luò)犯罪行為。加強對師生的安排培訓(xùn)和教育是學(xué)校信息安全體系必不可少的一環(huán)。

3 結(jié)束語

信息化與信息安全歷來是一對矛盾體，彼此不能分離。保證信息化能更好的為學(xué)校工作服務(wù)，就必須保證信息的安全。信息安全不是少數(shù)人或者少數(shù)部門的事，需要一個安全保障體系來支持，需要安全技術(shù)、安全策略和安全管理協(xié)同工作，為維持學(xué)校、社會穩(wěn)定，提高學(xué)校管理水平，提升教學(xué)質(zhì)量提供一個安全、穩(wěn)定、高效的信息環(huán)境，具有重要的基礎(chǔ)作用。

參考文獻(xiàn)：

[1]郭濤，李斌，張動.制定信息安全策略的最佳建議[A].第二十次全國計算機安全學(xué)術(shù)交流會論文[C]，2005.

[2]黃遵國，任劍勇，胡光明.一種信息安全事件的快速響應(yīng)與恢復(fù)（r-RR）框架研究[J].計算機工程與科學(xué)，2001（23）.

[3]劉力源.淺談計算機信息安全管理措施計[J].算機光盤軟件與應(yīng)用，2013（05）.

[4]盧衛(wèi)星.淺析信息安全應(yīng)急響應(yīng)體系[J].科技創(chuàng)新導(dǎo)報，2011（05）.

作者單位：四川護理職業(yè)學(xué)院，成都 610100