随着信息化建设步伐的加快和学校安全人才的缺乏,职业院校产生了日益严重的信息安全问题。从应用软件的信息安全角度来讲,首先是要保障智慧校园平台的安全。目前智慧校园平台建设企业众多,在安全意识和防范手段上差异较大。在一个开放式的校园环境内,智慧校园平台很容易成为黑客攻击的目标,给学校数据安全、教务教学工作带来不可估量的损失。攻击者可以通过:窃取用户的口令和数据库的信息;篡改数据库内容、伪造用户身份;删除数据库内容、摧毁平台节点、释放计算机病毒等手段侵入学校网络和系统,影响整个校园的日常运作和教学活动。因此,学校必须采取有效的安全策略与技术手段来保护平台安全。
一、智慧校园平台的安全挑战
智慧校园平台与学校应用的其它平台相比,由于自身技术特点和使用特性使得其安全管理较为复杂,具体体现在以下几个方面:
(一)平台应用人群规模较大
职业院校智慧校园平台用户群体较大,使用人员分布较为密集。除校外的移动应用外,平台的大多使用者都通过校园网络进行登录和操作,很容易被不法分子通过网络宣传,散播不良信息,甚至引发群体事件,导致严重的社会问题。
(二)学校安全防范意识不足由于学校的主要工作是教学和教研,其工作特点决定了学校的大部分主要精力都投入在人才培养和科学研究中,而忽视了校园信息安全管理。从目前大部分职业院校的网络和软件管理来看,学校虽然建立了专门的管理运维部门,但管理还较为松散,缺少统一的安全防范意识和相应的安全防范制度来进行规范和约束。智慧校园平台在宽松的运行环境下,蕴藏着巨大的安全风险,必然会给安全管理带来难度。
(三)安全方面人才储备不足
学校信息中心(或信息化管理部门)都有配备专人对学校网络、设备、应用软件等进行统一管理与维护。但由于职业院校的师资较为紧张,很多信息中心管理维护老师都不是专职,还需要配合学校安排从事其它教学活动,造成专职信息安全管理人才缺乏,让智慧校园平台的安全保障更为艰难。
(四)学生安全防范能力有限
学生是最活跃的网络用户,对网络和信息化新技术充满好奇,勇于尝试。如果没有意识到被网络攻击的严重后果,就会有意识和无意识地使用一些黑客软件、病毒网站,可能会对校园网络造成一定的影响和破坏。
(五)学校安全防范能力有限
职业院校的许多教职工对电脑只有最基础的了解,因此对互联网上出现的病毒毫无警惕。如今Internet病毒传染力越来越强,反计算机病毒技术虽然也在不断更新换代,但总体比较滞后,难以及时应付每次大规模的病毒侵袭。如果职业院校的网络受到攻击,不仅会严重影响校园网的性能,甚至还会造成科研、教学等资料的损失。
二、智慧校园信息安全系统架构
智慧校园安全体系面对的威胁众多,在未知的情况下随时都有可能发生,它们有的来自内部,有的来自外部。所以,职业院校只有同时建立起内部安全体系和外部安全体系,培养人员的安全防范意识,加强学校网络及信息化应用系统的安全防范级别,才能提前有效规避潜在安全风险。
(一)内部安全
内部安全是学校整个安全体系的核心,是安全防范的重点,主要包括:管理流程、人员意识培养和安全运维体系的建立,目的是保障学校资产的安全,保障智慧校园系统平台安全,保障网络安全、主机安全、物理安全及数据安全。
资产:包括应用系统安全、网络安全、主机安全、物理安全、数据安全、容灾备份及恢复等。
人员:对技术人员、管理人员、教职工及学生进行必要安全知识培训。
审计:包括人员安全审核和资产安全审计。
安全运维体系:包括安全事件监控、事件响应、事件审计等。其中对安全事件的监控需要做到安全事件标准化应对机制、日常设备和软件的日志监控。
安全管理体系:包括信息安全管理、信息安全策略管理、信息安全风险管理,具体管理内容如图3所示。
(二)外部安全
外部安全隐患的来源复杂,主要来自黑客攻击及外部系统、接口,具有不易防范、破坏力大等特点。因此,外部安全防范要遵循“有规范,重防范,可追溯”的原则。
三、智慧校园平台安全防范
面对上述安全隐患,学校必须采取有效的安全措施,通过一定的技术手段、安全策略来保护智慧校园平台的安全。以下内容从事前防御、事中处理、事后分析三个方面进行安全防范分析。
(一)事前预防,提升安全意识
1. 设置智慧校园平台安全标准:制定防篡改、防木马安全规范,提出监测和处理机制。本着“预防大于治疗”的方针,在事前充分准备,在遇到安全问题时,可从容应对。
2. 辅助自动化检测工具:定期开展检查工作,采用自动运维平台,进行定期木马病毒检测和扫描,自动更新病毒库,提升病毒处理能力。在发现学校的资产受到威胁的时候,工具会自动提示并且告警。
3. 平台防火墙针对非法和反动的内容进行过滤和屏蔽,防止SQL注入,渗透测试,查找操作系统和应用漏洞,是否挂木马,及时升级更新。
4. 文件防篡改:对智慧校园平台的系统文件进行签名保护,如果文件的数字签名发生变化,表示系统文件可能存在被篡改。通过平台的安全管理中心,自动收集数据进行统计、分析,定期形成系统安全态势分析报告。
5. 请求平台所有访问日志:包括来源IP、请求地址、浏览器类型和请求时间等,对访问日志进行归类和索引建立,通过安全管理中心进行数据统计分析,形成安全态势报告。
6. 关键数据即时备份:做好云端备份、异地备份,让学校多年积累的信息资产在受到攻击之后,数据不被破坏,可以快速恢复并且还原。
(二)事中防御,采用安全产品
1. 安全防火墙可以有效阻止病毒的攻击。计算机病毒在校园网内的传播是惊人的,破坏性也是巨大的,面对这种威胁,学校可以利用硬件防火墙访问控制列表关闭135、139、445、4444等端口,预防“冲击波”等“勒索病毒”事件的发生,防止ping flood的出现。安全防火墙需要定期升级,定期更新安全库。
2. 平台安全管理中心预警控制,在发现突然流量或者异常登录,可自动告警,或者限制访问。
3. 智慧校园平台本身带有WAF防火墙功能,对平台本身的工具具有一定的防范性,比如:CC攻击,SQL注入等。
(三)事后应急处理,快速恢复
在信息安全体系建设到一定成熟度阶段后,业务安全态势感知可监控预警平台建设,梳理基础设施安全基线,获取网络、主机、安全设备、应用支撑系统等安全态势。基于日常流量、威胁情报、日志、用户行为等数据,平台应结合业务现状及特性,梳理业务应用的角色权限,测试业务应用可用性,发现应用漏洞,绘制并监测业务拓扑,实现业务安全态势的感知。多维度感知数据分布情况,梳理数据的操作角色与权限,监测APT、数据泄露等攻击威胁,发现数据库漏洞,保障数据完整性,防止数据泄露、丢失、篡改等。
在被攻击之后,平台安全管理中心能够快速自动恢复平台,保障数据不丢失,系统不受影响,为智慧校园平台提供重要安全保障。在日常安全管理中,学校还应注意收集相关日志,当出现安全事故时,通过查看和分析交换机等设备的日志信息,找到攻击来源,从而堵塞漏洞,将损失降低到最小。
四、结语
智慧校园网络结构日益复杂、开放,安全防护设备和软件投入越多,安全保障就越高。智慧校园平台的安全管理需在建设时充分考虑,规划设计安全方案和策略,做到网络安全可靠又不浪费资源和财力,为全体师生提供先进、可靠、安全的计算机网络环境,保证校园网络的正常运行,更好地为教育教学服务。
