从当前主要的安全攻击手段、信息安全防护产品角度出发，对高职类院校信息安全体系构建进行分析，提出有关高职类院校信息安全体系构建的技术以及管理方法。为进一步为高职类院校信息网络提供强有力的安全的信息网络，最后对如何将技术以及管理进行融合提出了一点展望。

0引言

多数高校随着信息化软硬件建设的完善，都进入了一个高效、便捷的信息化网络办公环境。学生可以利用网络解决其大部分学习以及生活问题，教职工也可利用网络进行办公、学习以及教学等等活动。但所有的业务网络都应该构建在一个安全的网络环境下，没有信息安全，再强大、便捷的应用系统在最低等级的网络攻击下，都会显得苍白无力。为此笔者结合自身的工作以及实践经验，从分析当前高职类院校信息安全现状出发，重点对构建高职类院校信息安全体系的技术和管理措施进行分析，同时对高职类院校的信息安全建设规划做概要分析。

1高职类院校信息安全现状分析

目前，高职类院校主要受到的信息安全威胁来源于以下几个方面：病毒、拒绝服务攻击、信息泄露、外部攻击以及内部职员的误用几个方面。这些来自各个不同方面的攻击，时刻威胁着校园网络的安全。同时不同的安全防火产品之间，由于相互竞争关系，不能很好地进行“联防”，产品之

功能相互重叠、对新的工具领域又相互推诿，很难形成一体化强有力的信息安全防护体系［1］。信息安全体系的建设需从两个主要方面入手：技术和管理，同时应该遵循“管理为首、技术从众”的原则出发，没有技术可以确保一个系统或者网络是绝对安全的。

2高职类院校信息安全建设之技术体系建设

高职类院信息安全体系建设应该从多维度进行技术防护。

2.1物理与环境安全

物理环境安全主要指的是机房或者是数据中心的物理环境安全。当前，大部分高职类院校都兴建机房，有的甚至构建了校园数据中心［2］。机房的物理以及环境安全是一切安全的基础，为此需要首先保障的是物理和环境安全。《电子信息系统机房设计规范》GB50174-2008对机房建设的要求都进行了详细的规定，为此，高职类院校需要在国标的基础上适当修订，形成一个实际的可应用的《机房及数据中心管理办法》，主要关注的方面包括机房的位置、机房的防火、湿度、温度以及排水等。在综合考虑这些的基础上，需要做好异地备份，一旦发生不可逆事件的时候，可以实现数据的快速恢复。

2.2系统安全

系统安全建设也是高校信息化建设的重点。当前，高校进行信息建设的过程中，需要将系统安全建设纳人到系统建设的同步过程中来，在前面现状分析的过程中了解到当前TOP10的系统威胁主要为：注入（SQL注入、命令注入）、失效的身份认证和会话管理、敏感数据泄露、外部实体（XXE）、失效的访问控制、安全配置错误、跨站脚本、不安全的发序列化、使用已知漏洞的主键、不足的日志记录和监控。为做好系统安全，需要从不同的攻击方法中针对不同的攻击手段提供对应的防护措施。（1）部署相适应的应用防火墙；（2）做到最小端口开放原则，关闭不必要的端口；（3）系统内测过程中加入渗透测试环节，排除当前已存在的安全漏洞；（4）对用户的口令进行技术验证，防止不规范的以及带规律的口令存在；（5）加强对统一授权和认证系统的管理，对开发过程中session管理进行良好的约定。

2.3网络安全

网络安全，主要考虑的是系统在使用过程中网络可用、稳定。2.3.1交换机划分VLAN。虚拟局域网（VLAN）是一组逻辑设备，这些设备可以不受物理位置的制约，将不同网段的网络用户组合起来，形成一个虚拟局域网。VLAN可以阻隔广播域，阻止广播风暴，同时划分网段，让不同计算机网段之间不能直接互访，保护用户数据。同时通过VLAN划分可以进一步防止一些蠕虫病毒的传播以及ARP攻击的产生［3］。2.3.2防火墙部署隔离内外网。防火墙是一个位于内外网之间的网络防护系统，防火墙的主要作用是：限制或者通过运行特定的数据。通过限制网络数据流的传输，隔离内外网。防火墙的工作原理是通过监控通过其路径上的所有通讯，通过检查通过其路劲上信息流的源端口、目的端口、源IP地址以及目的IP地址等信息，实现对内网网数据的隔离，通过对端口的管理，实现对应用网络数据流的管理。防火墙是对网络进行安全管理的第一道屏障，所以合理配置防火墙策略，做到最小开放原则，可以大范围阻止网络攻击。2.3.3部署抗DDOS设备。DDOS（DistributedDenialofService）意思为分布式拒绝服务攻击，主要方式是对网络服务发送大量的正常模拟请求，通过消耗网络资源，导致网络应用不可用，尤其是在学生选课以及学生集中查询的过程中，若遭受DDOS攻击，将极大可能导致系统宕机，引起系统数据不一致。所以合理布置DDOS设备，对流量进行监管和清洗，可以保证应用的资源正常访问。

2.4数据及应用安全

2.4.1积极部署防病毒软件。防病毒是信息网络安全的一个主要环节，病毒可以对信息网络造成极大的破坏。防病毒软件可以对系统已经存在的病毒情况进行全盘扫描，将系统存在的病毒进行清除，防止数据被病毒进行破坏。2.4.2数据加密。数据加密是为了保证数据在传输过程中的安全性，当前网络劫持、数据库拖库以及数据破译等技术不断发展，为进一步应对网络信息安全威胁，即使在发生信息泄露以及拖库的情况下，不会造成大面积信息安全事件。数据加密保护是对信息安全过程中的最后一道屏障，所以在日常的系统开发过程中，应对关键字段进行数据加密。2.4.3数据备份。数据备份指的是为了防止系统出现故障或者运维出现误操作导致数据删除，需要对重要信息系统的数据实行备份。备份的方式有多种，主要类型包括网络备份、本次磁盘备份以及双机热备份等。

3高职类院校信息安全建设之管理体系建设

3.1密码策略

密码策略指的是在企业信息安全管理过程中最重要的一环。密码是任何人进入企业的第道防火设备，为防止黑客及不法人员利用工作人员账号对系统进行攻击，所以在信息网络安全管理体系建设的过程中，密码策略是首先需要考虑的一点。其要求包括密码复杂性要求（密码组合字符符合复杂性要求）、密码长度最小值、密码最短及最长使用时间、密码更换频次。

3.2等级保护

信息安全等级保护指的是，国家为对信息系统进行分级，要求对现有的信息及信息载体进行分级保护而制定的一项工作。信息等级保护工作主要包括的步骤包括定级、备案安全建设及整改、信息安全等级测评以及信息安全检查五个内容。

3.3信息安全宣贯

信息安全宣贯的目的是，提升员工的信息安全意识，建立一种大家都明白的信息安全概念。通过多种形式的信息安全宣贯措施，如培训、教育以及宣传，让大家在日常的工作生活中建立一种良好的信息安全习惯，极大地从内部减少信息安全威胁。

4构建强有力高职类信息安全网络的展望

构建坚强的信息安全网络，是对主要业务的支持。当前，大部分业务系统都运行在网络系统环境上，通过交换机划分VLAN可以减少冲突域，减少网络广播；通过防病毒软件，可以进一步保护系统内的数据防止数据破坏；通过部署不同类型的防火墙可以进一步将内外网进行隔离，将局域网内的隔离为一个相对安全的环境。5结束语高校网络安全是一个复杂且极其庞大的工程，信息网络安全都是相对的，没有绝对的信息网络安全。在日常的信息管理中，除了硬件和技术作为有力安全支撑外，信息用户以及管理员之间的网络安全意识以及网络安全协调配合同样十分重要。在采取安全防范措施的同时，还要有较为完善的安全管理制度和合理的组织机构，这样才能够实现高校校园网较为可靠、安全地运行。

参考文献：

［1］李西明,鹿海涛.高校信息安全管理探讨［J］.中国教育信息化,2010(1):20~22.

［2］孟坛魁,梁艺军.高校信息安全体系建设与实践［J］.实验技术与管理,2011,28(6):122~124,129.

［3］梁绍柱.高校信息安全体系建设研究［J］.软件导刊,2012,11(9):154~155.

作者:肖涛 袁罡 姜帅 单位:江西电力职业技术学院