第五章 信息系统的安全风险防范 校园网络信息系统的安全风险防范（项目范例成果报告）

第五章 信息系统的安全风险防范 校园网络信息系统的安全风险防范 ——— 以计算机实验室管理系统的安全风险防范为例 一、引言 互联网时代，网络安全形势日益严峻，新威胁、新攻击手段不断出现，我们需要全面重视与高效落实信息系统安全问题，维护好国家利益和 个人信息安全。2016年底，我国发布《国家网络空间安全战略》，提出捍卫网络空间主权、维护国家安全、保护关键信息基础设施、加强网络文化 建设、打击网络恐怖等九项任务，再次将信息系统应用中安全与风险问题提升到了国家安全的重要层面。 二、防范目标 通过对计算机实验室管理系统会遇到的安全风险以及可以采用的安全 策略进行分析，了解保护计算机实验室管理系统安全的常用技术，尝试制订合理安全使用计算机实验室管理系统的行为规范，养成规范的信息系统 操作习惯，树立信息安全意识。 三、安全风险分析 影响计算机实验室管理系统安全的因素是多方面的，根据我们日常生活的经验以及搜索到的资料，可整理如表1所示。 表 1 计算机实验室管理系统安全风险分析 序号 因素 安全风险问题 1 人为因素 学生没有遵守操作规范，私自带U盘，私自修改电脑设 置，下载来历不明的软件等。 2 软硬件因素 没有做好防盗门、消防措施及监控安装等的安防措 施，没有设置进入电脑室的权限。电脑室里的电脑没有及 时更新软件，没有及时安装补丁，造成软件的漏洞。 3 网络因素 信息在网络传递过程中被窃听、篡改，遭受拒绝服务 攻击。 4 数据因素 使用电脑室里的电脑处理隐私、秘密数据(如试卷、 个人敏感信息等)未及时有效清除，导致泄露风险。 四、安全风险防范 信息系统不存在绝对的安全，因为安全性和便利性及成本之间有着矛盾的关系。在安全策略方面要如何进行权衡呢？通过阅读课本以及搜索资料等方式，我们了解到， 目前比较常用的安全模型是P2DR模型，该模型包括策略(Policy)、防护(Protection)、检测(Detection)和响应 (Response)四个主要部分。 在制订计算机实验室管理系统的安全策略时，我们可以从非技术和 技术两个方面来考虑。其中非技术策略方面主要包括预防意识、管理保障措施、应急响应机制等三个层面；技术策略分为物理和逻辑两大方面，主要包括物理系统、操作系统、数据库系统、应用系统和网络系统等五个层面，每个层面都有对应的措施，如物理系统方面的主要措施是防盗、防火、防静电等。 在进行计算机实验室管理系统的安全风险防范时，我们可以考虑使用以下技术。 (1)加密技术：如对称加密、非对称加密、量子密钥加密等。 (2)认证技术：如口令字、验证码、生物识别等。 (3)主机系统安全技术：如操作系统安全技术、数据库安全技术等。 (4)网络与系统安全应急响应技术：如防火墙技术、入侵检测技术、 应急响应技术等。 (5)恶意代码检测与防范技术：如特征代码法、校验和法、行为监测法等。 (6)人工智能技术在反病毒中的应用：安装安全软件等。 五、系统使用规范制订 如何合理安全使用计算机实验室管理系统是值得探讨的问题，表2是从四个因素出发制订的计算机实验室管理系统使用规范。 表 2 计算机实验室管理系统使用规范 序号 针对因素 使用规范 1 人为因素 1．系统管理员应妥善设置相关密码，不得泄露，不得过于简单，并定期更改密码。2．操作人员不得带入食品与饮料，不得遗留任何垃圾。3．操作人员不得下载来源不明的文件，不得安装来源不明的软件。4．操作人员不得点击不明链接，不得浏览风险网站。 2 软硬件因素 1．服务器、交换机等设备只能由系统管理员操作，其他人不得随意触碰。2．系统管理员与操作人员应注意环境卫生，离开时注意关好门窗。3．系统管理员应定期进行设备运行情况的检查，及时排除故障。4．操作人员不得拆卸或损坏硬件设备，不得随意修改设备的 ... ...