资源简介

第五章 信息系统的安全风险防范
校园网络信息系统的安全风险防范
—— 以计算机实验室管理系统的安全风险防范为例
一、引言
互联网时代，网络安全形势日益严峻，新威胁、新攻击手段不断出现，我们需要全面重视与高效落实信息系统安全问题，维护好国家利益和
个人信息安全。2016年底，我国发布《国家网络空间安全战略》，提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施、加强网络文化 建设、打击网络恐怖等九项任务，再次将信息系统应用中安全与风险问题提升到了国家安全的重要层面。
二、防范目标
通过对计算机实验室管理系统会遇到的安全风险以及可以采用的安全 策略进行分析，了解保护计算机实验室管理系统安全的常用技术，尝试制订合理安全使用计算机实验室管理系统的行为规范，养成规范的信息系统 操作习惯，树立信息安全意识。
三、安全风险分析
影响计算机实验室管理系统安全的因素是多方面的，根据我们日常生活的经验以及搜索到的资料，可整理如表1所示。
表 1 计算机实验室管理系统安全风险分析
序号 因素 安全风险问题
1 人为因素 学生没有遵守操作规范，私自带U盘，私自修改电脑设 置，下载来历不明的软件等。
2 软硬件因素 没有做好防盗门、消防措施及监控安装等的安防措 施，没有设置进入电脑室的权限。电脑室里的电脑没有及 时更新软件，没有及时安装补丁，造成软件的漏洞。
3 网络因素 信息在网络传递过程中被窃听、篡改，遭受拒绝服务 攻击。
4 数据因素 使用电脑室里的电脑处理隐私、秘密数据(如试卷、 个人敏感信息等)未及时有效清除，导致泄露风险。
四、安全风险防范
信息系统不存在绝对的安全，因为安全性和便利性及成本之间有着矛盾的关系。在安全策略方面要如何进行权衡呢？通过阅读课本以及搜索资料等方式，我们了解到， 目前比较常用的安全模型是P2DR模型，该模型包括策略(Policy)、防护(Protection)、检测(Detection)和响应 (Response)四个主要部分。
在制订计算机实验室管理系统的安全策略时，我们可以从非技术和 技术两个方面来考虑。其中非技术策略方面主要包括预防意识、管理保障措施、应急响应机制等三个层面；技术策略分为物理和逻辑两大方面，主要包括物理系统、操作系统、数据库系统、应用系统和网络系统等五个层面，每个层面都有对应的措施，如物理系统方面的主要措施是防盗、防火、防静电等。
在进行计算机实验室管理系统的安全风险防范时，我们可以考虑使用以下技术。
(1)加密技术：如对称加密、非对称加密、量子密钥加密等。
(2)认证技术：如口令字、验证码、生物识别等。
(3)主机系统安全技术：如操作系统安全技术、数据库安全技术等。
(4)网络与系统安全应急响应技术：如防火墙技术、入侵检测技术、
应急响应技术等。
(5)恶意代码检测与防范技术：如特征代码法、校验和法、行为监测法等。
(6)人工智能技术在反病毒中的应用：安装安全软件等。
五、系统使用规范制订
如何合理安全使用计算机实验室管理系统是值得探讨的问题，表2是从四个因素出发制订的计算机实验室管理系统使用规范。
表 2 计算机实验室管理系统使用规范
序号 针对因素 使用规范
1 人为因素 1．系统管理员应妥善设置相关密码，不得泄露，不得过于简单，并定期更改密码。2．操作人员不得带入食品与饮料，不得遗留任何垃圾。3．操作人员不得下载来源不明的文件，不得安装来源不明的软件。4．操作人员不得点击不明链接，不得浏览风险网站。
2 软硬件因素 1．服务器、交换机等设备只能由系统管理员操作，其他人不得随意触碰。2．系统管理员与操作人员应注意环境卫生，离开时注意关好门窗。3．系统管理员应定期进行设备运行情况的检查，及时排除故障。4．操作人员不得拆卸或损坏硬件设备，不得随意修改设备的配置参数。
3 网络因素 1．系统管理员应保障网络的安全及畅通。2．系统管理员应及时修复漏洞，安装各项必要的更新。3．系统管理员应安装网络防火墙并设置严格的网络访问策略，保障服务器和网络设备的安全。
4 数据因素 1．系统管理员应定期对重要数据设置不同人员的访问权限，记录数据使用人员。2．系统管理员应定期进行数据备份。3．系统管理员与操作人员不得泄露相关重要数据。
六、结语
通过本单元的学习及项目实践，我们认识了信息系统应用过程中存 在的风险，熟悉了信息系统安全风险防范的常用技术方法及安全策略。今后，我们要养成规范的信息系统操作习惯，树立信息安全意识，合理使用信息系统，负责任地发布、使用与传播信息，自觉遵守信息社会中的道德准则和法律法规。
计算机实验室的信息系统安全是校园网网络安全重要的一部分，人人都应该增强信息安全意识，养成规范的信息系统操作习惯，懂得保护自己、他人甚至国家的安全。青少年正值人生观与价值观形成的重要时期，在这个现实空间与虚拟空间相互交织的全新社会环境中，应加强信息系统安全意识，提高信息安全风险防范水平，自觉遵守信息安全法律法规，担当起应有的信息社会责任，做信息社会的一名合格公民!

展开更多......

收起↑