張少宇

摘要：總結(jié)了大數(shù)據(jù)時代背景下國內(nèi)高校實驗教學(xué)信息系統(tǒng)面臨的安全威脅，以《計算機信息系統(tǒng)安全保護等級劃分準則》為參照，對本人所在省金融學(xué)科重點實驗示范中心的信息系統(tǒng)安全問題進行梳理，并從安全意識、制度建設(shè)、人員管理和信息系統(tǒng)安全技術(shù)等方面，提出了關(guān)于高校實驗教學(xué)信息系統(tǒng)安全管理的幾點建議。

關(guān)鍵詞：實驗教學(xué)；信息系統(tǒng)；安全管理

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2018）27-0232-02

實驗教學(xué)中心是高校實驗教學(xué)和學(xué)術(shù)科研的重要場所，承擔學(xué)生實踐能力培養(yǎng)、教學(xué)資源容器、科研學(xué)術(shù)軟件運行載體、校內(nèi)外學(xué)術(shù)交流窗口的重要職能。信息系統(tǒng)是實驗教學(xué)的核心，是中心履行職能的重要工具，是教學(xué)實踐操作的主體。

在大數(shù)據(jù)、云計算和人工智能的時代背景下，計算機網(wǎng)絡(luò)系統(tǒng)特別是高校實驗教學(xué)信息系統(tǒng)正面臨前所未有的信息安全威脅[1]。世界大型互聯(lián)網(wǎng)企業(yè)近幾年推出層出不窮的大數(shù)據(jù)處理系統(tǒng)，借助于這些處理系統(tǒng)的深度學(xué)習(xí)、知識計算、可視化等大數(shù)據(jù)分析技術(shù)迅猛發(fā)展[2]。棱鏡門事件、WannaCry勒索病毒、Meltdown與Spectre英特爾芯片漏洞等事件從管理和軟硬件體系結(jié)構(gòu)方面向人們警示信息安全的嚴峻性。

1 信息系統(tǒng)安全技術(shù)

信息系統(tǒng)安全技術(shù)包括硬件安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、軟件安全、網(wǎng)絡(luò)安全、密碼技術(shù)、惡意軟件防治、信息隱藏、信息設(shè)備可靠性等技術(shù)[3]。本人所在的實驗教學(xué)中心是集金融學(xué)、管理學(xué)、基礎(chǔ)學(xué)科和學(xué)術(shù)研究的省金融學(xué)科重點示范中心。實驗室內(nèi)網(wǎng)隸屬于校園主干網(wǎng)絡(luò)，所有實驗教學(xué)信息系統(tǒng)和實驗用機完全屏蔽在校園網(wǎng)內(nèi)部，由網(wǎng)絡(luò)中心統(tǒng)一管理網(wǎng)絡(luò)出入口和信息交換策略。在管理虛擬實驗銀行、金蝶K3ERP等信息系統(tǒng)的過程中，本人從管理和技術(shù)角度意識到當前高校實驗教學(xué)信息系統(tǒng)面臨的嚴峻安全威脅。

1） 實驗室學(xué)生和教師用機。由于使用了基于內(nèi)容即時分發(fā)的PHANTOSYS管理系統(tǒng)，教師和學(xué)生用機自動從服務(wù)器節(jié)點獲取包括操作系統(tǒng)在內(nèi)的所有數(shù)據(jù)包，該管理模式有效降低了病毒和木馬累積風(fēng)險。但不可忽視在正常教學(xué)工作日師生使用帶病毒的移動存儲設(shè)備及其從網(wǎng)絡(luò)下載的郵件、圖片、視頻和可執(zhí)行文件等攜帶的危險代碼[4]。

2） 內(nèi)部管理人員辦公和值班室常設(shè)計算機。（1）由于實驗室管理人員的認知水平、對信息安全的重視程度、警惕性不足等因素影響，中心內(nèi)部辦公室長期使用的計算機已累積潛藏大量病毒和木馬。（2）由于某類辦公室和值班室等場所的開放性，這些場所的計算機完全暴露在公共的使用環(huán)境下，既沒有專人監(jiān)督，也沒有針對性的安全管理措施，病毒容易寄生且以此為基地掃描整個IP地址空間并伺機傳播。

3） 信息系統(tǒng)建設(shè)階段和維護階段的遠程控制軟件和系統(tǒng)端口管理。在信息系統(tǒng)的建設(shè)階段，由于各院系課題申報的教授、學(xué)術(shù)帶頭人和開發(fā)公司技術(shù)人員等干系人進場，實驗室管理人員在沒有明確的流程規(guī)范指引下為了管理上方便，通常開放操作系統(tǒng)的所有端口和權(quán)限，系統(tǒng)部署完畢后又因安全意識淡薄沒有及時關(guān)閉相應(yīng)的權(quán)限。在信息系統(tǒng)的維護階段，因貪圖管理上的便利任由公司技術(shù)人員使用TimeViwer、XT800、VNC等遠程控制監(jiān)控軟件從外網(wǎng)建立連接，事后又未能及時關(guān)閉服務(wù)和端口，甚至在服務(wù)器上安裝與信息系統(tǒng)管理完全無關(guān)的MS OFFICE、WPS等桌面軟件，違背服務(wù)器管理的最小權(quán)限開放原則，給信息系統(tǒng)留下極大的安全隱患。

4） 服務(wù)器日常維護安全意識薄弱。制度層面缺乏規(guī)章制度的保障、領(lǐng)導(dǎo)層面沒有制定安全執(zhí)行流程或態(tài)度不堅定、執(zhí)行層面管理人員本身對安全的漠視和“多一事不如少一事”的責任心缺失，造成信息系統(tǒng)服務(wù)器存在各種漏洞、抵御風(fēng)險的能力降低以及服務(wù)器間交叉感染難以根治，病毒防御體系和安全保障體系難以建立。

5） 其他方面的安全威脅。教學(xué)大樓的多媒體計算機、教師辦公大樓的計算機、學(xué)生宿舍的學(xué)生自有計算機的網(wǎng)絡(luò)攻擊和病毒感染、由于校園網(wǎng)絡(luò)中心的出口路由設(shè)置和匯聚交換機的策略設(shè)置漏洞導(dǎo)致實驗教學(xué)系統(tǒng)不僅遭受來自校內(nèi)攻擊，還要面臨校外的安全威脅。

2 信息系統(tǒng)安全策略

信息系統(tǒng)安全策略是指針對本單位的計算機業(yè)務(wù)應(yīng)用信息系統(tǒng)的安全風(fēng)險、安全威脅進行有效的識別、評估后所采取的各種措施、手段以及建立的各種管理制度。《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）是建立安全等級保護制度和實施安全等級管理的重要基礎(chǔ)性標準[3]。本人參考上述標準并結(jié)合單位實際情況采取如下措施：

1） 引起領(lǐng)導(dǎo)高度重視，任命專職人員負責信息安全管理。

成立由部門主任領(lǐng)導(dǎo)的信息系統(tǒng)安全領(lǐng)導(dǎo)小組。從管理的角度來看，校園內(nèi)部各單位是職能型組織結(jié)構(gòu)，在此模式下部門間協(xié)同以及部門內(nèi)部協(xié)調(diào)依賴于上級管理部門。信息系統(tǒng)安全管理絕不僅僅是某段時期內(nèi)的技術(shù)攻關(guān)克難，它必須貫穿于整個信息系統(tǒng)建設(shè)和維護生命周期，也即實驗教學(xué)中心本身的存在期。為保證安全管理政策的連續(xù)性和組織協(xié)調(diào)各部門管理人員有效貫徹執(zhí)行，必須依賴于最高領(lǐng)導(dǎo)的權(quán)威、決心和安全意識。

信息系統(tǒng)安全一直得不到重視的原因在于它本質(zhì)上是一個質(zhì)量預(yù)防過程。在這個過程中無論質(zhì)量安全人員運用了什么管理理念、使用了什么先進的安全技術(shù)、具體做了大量的幕后工作，得到的成果是保障系統(tǒng)正常運行，高層管理領(lǐng)導(dǎo)看不到產(chǎn)出成果[5]。必須認識到系統(tǒng)安全是一個不斷制定和改進、持續(xù)執(zhí)行迭代的過程。應(yīng)該在政策層面和項目立項層面為信息系統(tǒng)安全管理提供導(dǎo)向和指引。

2） 規(guī)范信息系統(tǒng)制度建設(shè)和規(guī)范操作流程管理。

從質(zhì)量保證的角度來看，強調(diào)過程的規(guī)范性優(yōu)于僅依賴監(jiān)控結(jié)果的正確。據(jù)統(tǒng)計在信息安全問題上，高達70%的相關(guān)問題是由于缺乏有效管理造成的，而缺乏有效管理造成的與網(wǎng)絡(luò)安全相關(guān)的70%的問題中，有95%是可以通過信息安全管理制度來避免[6]。信息系統(tǒng)的安全三分技術(shù)七分管理。

（1） 建立信息系統(tǒng)管理準入制度。在硬件方面完善實驗教學(xué)機房進出審查制度，完善服務(wù)器安裝維修審批制度。在軟件方面建立軟件系統(tǒng)的部署、建設(shè)和日常維護的準入制度。必須要求相關(guān)發(fā)起人和實施人員填寫準入表格審查通過。必須詳細記錄信息系統(tǒng)軟硬件安裝維護過程的并形成文檔，必須有意識收集整理相關(guān)系統(tǒng)使用說明書，必須形成部門組織過程資產(chǎn)。

公司建設(shè)方維護技術(shù)人員，包括部分實驗教學(xué)內(nèi)部管理人員存在漠視并抵觸信息系統(tǒng)安全管理制度的現(xiàn)象。這是因為管理上的審核審批流程在他們看來妨礙工作。系統(tǒng)開發(fā)技術(shù)人員都希望系統(tǒng)大門為其敞開，而這正是系統(tǒng)安全管理人員警惕并必須堅守的底線。管理制度不僅是工作各階段敦促管理人員必須完成的流程清單，同時也是提示項目發(fā)起人與開發(fā)人員工作嚴肅性的警示牌。

（2） 建立信息系統(tǒng)密碼統(tǒng)一管理機制。必須由專人統(tǒng)一管理服務(wù)器的密碼設(shè)置。密碼的生成必須遵循一定的策略，例如密碼長度必須大于10位、密碼必須包含大小寫字母、數(shù)字組合和特殊字符、密碼由專人統(tǒng)一生成、統(tǒng)一分配和嚴格監(jiān)控管理。所有管理服務(wù)器的人員需要密碼或更新密碼的，必須向密碼管理人員申請和報備。

（3） 建立信息系統(tǒng)備份特別是數(shù)據(jù)庫備份策略。要求每個服務(wù)器對應(yīng)的管理人員必須從信息系統(tǒng)軟件部署的第一天起就要注意熟悉整個體系結(jié)構(gòu)和部署操作，必須收集整理好對應(yīng)的安裝可執(zhí)行文件，例如對應(yīng)的操作系統(tǒng)、數(shù)據(jù)庫和JAVA版本等整套系統(tǒng)。要形成對應(yīng)于該信息系統(tǒng)的專門配置管理文檔，一旦該信息系統(tǒng)癱瘓，要求必須在若干小時內(nèi)在新的服務(wù)器硬件中能重新建立該信息系統(tǒng)服務(wù)。必須制定數(shù)據(jù)庫備份策略，例如規(guī)定管理人員必須每月對信息系統(tǒng)的數(shù)據(jù)庫進行完整備份或差異備份。要保證系統(tǒng)崩潰導(dǎo)致的用戶數(shù)據(jù)丟失最小化。

（4） 加強對管理辦公室和值班室用機的安全審查。必須由專門的系統(tǒng)安全管理人員定期對管理辦公室和值班室內(nèi)的所有用機進行病毒檢查、安全設(shè)置管理。必須形成相應(yīng)的制度和執(zhí)行規(guī)范。對值班室中的公用計算機應(yīng)定期重置。核查學(xué)生U盤和移動存儲設(shè)備等對公業(yè)務(wù)必須指定特定離線計算機，不能與辦公用機混用。加強對兼職學(xué)生的網(wǎng)絡(luò)安全意識培訓(xùn)。

3） 參考安全專家的經(jīng)驗，運用成熟的信息系統(tǒng)安全技術(shù)。

（1） 服務(wù)器外部安全技術(shù)設(shè)置。從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度來看，必須改進當前服務(wù)器網(wǎng)絡(luò)拓撲結(jié)構(gòu)，隔離對外WEB服務(wù)和對內(nèi)數(shù)據(jù)庫服務(wù)。隔離數(shù)據(jù)庫服務(wù)器，單臺數(shù)據(jù)庫服務(wù)器只能被特定的WEB服務(wù)器端口訪問。必須設(shè)法在物理上、交換機VLAN設(shè)置上和IP子網(wǎng)劃分實現(xiàn)網(wǎng)段隔離，實現(xiàn)服務(wù)器、管理員辦公用機和值班室公共用機的網(wǎng)絡(luò)隔離。

根據(jù)實驗室條件部署企業(yè)級硬件防火墻和入侵檢測技術(shù)系統(tǒng)。防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。入侵檢測通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

（2） 服務(wù)器內(nèi)部安全技術(shù)設(shè)置。使用vSphere提供的快照功能備份系統(tǒng)，我們安裝系統(tǒng)補丁防堵已知的緩沖區(qū)溢出漏洞，分別使用不同的殺毒軟件掃描系統(tǒng)盡可能發(fā)現(xiàn)并清除病毒。必須督促各系統(tǒng)管理員啟用操作系統(tǒng)內(nèi)部防火墻，僅開啟系統(tǒng)服務(wù)所必需的通信端口如80、8080、4433等。使用防黑加固工具禁用不必要的系統(tǒng)功能，關(guān)閉不必要的開機啟動程序和服務(wù)。定期審查系統(tǒng)的計劃任務(wù)，檢查是否存在可疑的計劃項。根據(jù)實際關(guān)閉不使用的SQL Server的網(wǎng)絡(luò)協(xié)議，關(guān)閉SQL Server代理服務(wù)器，審查SQL Server的作業(yè)管理任務(wù)是否存在可疑項等[7]。

3 結(jié)束語

總之，實驗教學(xué)活動的正常進行、實驗教學(xué)中心職能的全面履行跟實驗教學(xué)信息系統(tǒng)的安全息息相關(guān)，與整個校園網(wǎng)絡(luò)的安全唇齒相依。保證整個實驗教學(xué)信息系統(tǒng)的安全不僅要從技術(shù)方面，而且還必須從規(guī)章制度、工作人員管理和領(lǐng)導(dǎo)重視程度等方面給予全面的保障。

參考文獻：

[1] 呂臻.大數(shù)據(jù)背景下的計算機信息安全及防護思路[J].電子技術(shù)與軟件工程，2018（9）.

[2] 程學(xué)旗，靳小龍，王元卓，郭嘉豐，張鐵贏，李國杰.大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J].軟件學(xué)報，2014（4）.

[3] 譚志彬，柳純錄，周立新，盧光明.信息系統(tǒng)項目管理師教程（第3版）[M].清華大學(xué)出版社，2017.

[4] 洪家慧，王景陽.高校計算機實驗室開放中的信息安全問題及對策[J].科學(xué)咨詢，2009（1）.

[5] 黃高峰，孫勝春，詹國強.高校實驗室安全性管理的研究與探討[J].實驗室研究與探索，2011（9）.

[6] 陳志.高校計算機類實驗室網(wǎng)絡(luò)安全防范機制[J].電腦迷，2018（5）.

[7] 葉榮誠.高校專業(yè)實驗室信息安全芻議[J].科教文匯，2012（12）.

[通聯(lián)編輯：唐一東]