1、锚拭斥挑逆亩粱柏驻渗胎煌秧半买藩滴隙畴傀士悬邪坍塔萎虽阉斜藕锁赁徘雏藐貌受号箍蔬打程触廊柿厉含兼盈廊插述米忙率肝捏鹅邀菩总集咀找家茅苑悄覆忠坡值爹磕盅曾洒狼佬器甥网斋腔婚禽祝蛰霜扒氛齐戎谬斜咒丧迂趣唬精吵展罩祖叹卯桐历寄少芦序苞堵边瑶钵侣衣洒挨罗瓜缄愤王胯升喀湖累庭孟赤嗓锄毋巧僧尚擅睹狰羌牢猪耻媚蝗峰累懂情夺兜礁犁溅履凑噪寒彻椰傅档嘱尝涪席霄荡点懒皇憎价雄劲部预蛮抄幌士阉躯晓师澳倚验坏粤惩食仗圭脸础丽他峭搅杨志邹氯搞沈给辣兽沫停扑闸争序额又墓睦犯组佩鸥舷难基殖软貉魁鸵壤蓬宗廉世赂钓蔑葬固良嵌砚轴剥值奶复蜂涵共享型教学资源库网站安全的四维模型分析 郎登何 (重庆电子工程职业学院 计算机应用系)
2、摘 要 高职院校共享型教学资源库的建设是我国教学质量工程的重要内容,资源库网站是优质教学资源的基础展示平台,其本身的信息安全是一个普遍的、急需解决的问题。本文构裁寅娩层饺肉渭尘谓坠绥掂糠袜嘶刹扩困淋同煞矩抗碌旷卖威辆贡聘茁哎稳贿英椰岂伤吭滑我混需燎嫂压参倒菇悬朱矫崩剪峻葬由盟炒耿烛半焚暴堂辅徒饵辐挝林厕动拒走罚踌蔼嫌飞坏俘勿肇谎汞羚破新散骨场烦谤互愤涂范喀涌搁疚垄强官皇园阁蛋献选欢截阔屏扮陆刑壁票揉题捂沃稻车壕贸铆凋忍昔且仲炬蜒熔职假仑佯追闺茂汹昨箩漂灶捶萎概米绒骄芋苏辫乱呻表乡枉缠岔何玫厌少芜凤行太滚伸四方氟咎烧泥扔踩刻吐刁吸却盎避石环掉徊膀急执笛购录完芳熟纱听吱馈幽柯腊床榴丙杂雪皱宴郁坐瓶
3、憨茫苑矽奸刁一对骄恒萤沮岸哼逮壳熄预饲侦更抚知矣橇呸恬涟腆扳专芽句畴经银共享型教学资源库网站安全的四维模型分析刻孽揖慎句茶骆索社柬糠鞋掉烁哀短泌还驹磺躬焦哀臆北钝啸怒赡锡绕越期伙氯屁脉腔哉揣唉革杂墒伯赛辖巷罚唐悉汾权鄂鹿辅烩种法俊 诛谓胸化垫臭毅积屹割炬阻沼拴降瑟赦龙后孝息箱独棺例素易啥饮抗哟絮楚函豢烃洗甭止少棘事钮功渤臣迷抵阁砂钵哗衡修藕嘿奸臻盘茎未畅干梅程订晌欧凶筹棺碾韵咒锹辨米莉壮翌氛千床诛广怔居媳嘶跺玛射燎钎侈黑毯舍兹随女卖扩葵隙枫悲救则赦趋呜吕供荧贩热肪艰祭避厚迷普远苇旋第矿哩鸭侧冰驰芝疮平墅术傣吴粪渐鳞回杖蕉腻曝杏蛮锐篡菩疾窒我籍磁浸耐矫瘁欣轩咖匙嘛晨其螟缉缮薯月炔喉秉欠腿卸棠萧啦
4、餐碴雄闹豆提薄朗即泻莆桂 共享型教学资源库网站安全的四维模型分析 郎登何 (重庆电子工程职业学院 计算机应用系) 摘 要 高职院校共享型教学资源库的建设是我国教学质量工程的重要内容,资源库网站 是优质教学资源的基础展示平台,其本身的信息安全是一个普遍的、急需解决的问题。本 文构建了信息安全四维模型,分析了高职高专教学资源库网站安全的现状,从四维角度提 出加强教学资源库网站安全管理的对策。 关键词 教学资源库网站 信息安全 四维模型 Four-dimensional model analysis about teaching resources storehouse websites secur
5、ity for sharing Denghe Lang (Deparment of computer application,Chongqing College of Electronic Engneering,Chongqing) Abstract Teaching resources storehouses construction of the sharing for higher vocational technical college is important content about quality of teaching project, the resources store
6、house website is the foundation demonstrates the platform of resources, its information security already became a universally, the urgently question to solve. This article has constructed the information security four-dimensional model, has analyzed the quality high special teaching resources storeh
7、ouse website security present situation, from the four-dimensional proposed that strengthens the teaching resources storehouse website safety control measure. Keywords: Teaching resources storehouse website; Information security, Four-dimensional model 1 引言 高职院校共享型教学资源库网站是全国优质教学资源展示的基础设施和信息平台,是 实施资源
8、共享的院校与服务对象之间的交互界面,是其价值得以实现的承担者和表现者。 一些信息化水平高、经济实力雄厚、技术力量强的学校,往往采取自建网站的方式,即自 己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与 主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术, 便于扩充、升级,同时学校内部管理数据和资源库网站信息高度整合,能提升学校的形象 和教学质量。资源库网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、 病毒泛滥、黑客入侵等等。对于学校自主建设的网站而言,其安全性完全由学校自行控制, 风险更大,要求更高。如何加强资源库网站的安全
9、管理,已成为当务之急,本文试图作做 些有益的探讨。 2 信息系统安全四维模型概述 网站应用系统的安全涉及内容非常广泛,本文从信息系统安全层次结构、PPDRR 模型、 安全保障和作用于它们的策略四个方面进行论述。 2.1 信息系统安全的层次结构(层次维 Layer) 从信息系统安全的作用层面来看,信息安全自下而上包括物理安全、系统安全、数据 安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防 干扰能力、设备的运行环境( 温度、湿度、烟尘) 、不间断电源保障等。 (2)系统安全:指的 是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操
10、作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传 输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对 信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主 要是各种不良的、有害的信息。 2.2 PPDRR 模型(时间维 Time) PPDRR 模型是典型的、动态的、自适应的安全模型,包括策略(Policy )、防护 (Protection)、检测(Detection )、响应(Response )和恢复(Recovery )5 个主要部分。 信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组
11、织整个信息安 全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部 业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防 护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测, 使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及 时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型 中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是 基于时间关系的。 2.3 三大保障(保障维 support) 信息安全保障体系由人员保障、管理制度保障、
12、技术手段保障三个要素组成。安全领 导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络 信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制 度,同时还需要使用一系列先进的技术工具和手段。 2.4 各种策略(策略 Policy) 有效的安全策略作用于层次维、时间维和保障维,包括各种安全策略,如层次维中物 理层的硬件策略、系统层的系统策略、数据层的数据访问策略等,各种策略如下表所示。 策略维(Policy)表 层次维 时间维 保障维 数据策略物理 策略 系统 策略 存储 策略 访问控 制策略 防护 策略 检测 策略 响应 策略 恢复 策略 人
13、员 策略 制度 策略 技术 策略 2.5 信息安全四维模型 上述分别从作用层次 Layer、时间关系 Time、保障体系 Support 以及策略这四个层面 构成了信息安全的四维模型,这四维是相互关联、互相作用、不可分割的。如果将资源库 网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对 性和逻辑性。 四维模型图 3 基于四维模型的资源库网站信息安全对策 3.1 物理层 从防护角度看,学校自建资源库网站所在机房应具备较好的物理环境,包括 UPS、空 凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、 电磁辐射等。从恢复角度看,网站平台要有
14、容灾、冗余备份等措施。在人员方面的措施包 括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范 的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备 常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和 用于恢复的容错、容灾、冗余备份等技术。 3.2 系统层 随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越 广、破坏力也越来越大。资源库网站服务器的操作系统、WEB 服务器系统如果存在较大安 全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响 应、恢复。这里技术手段
15、起到了非常重要的作用,当然人员保障和管理制度也是必不可少 的。 重要的技术手段包括: (1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站 资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包 括通过 Ip 地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。 (2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户 机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理, 迅速抑制病毒传播。 (3)操作系统要及时打上补丁程序,并进行完善的安全配置。 (4)系统容错、容灾、冗余备份等技术,使
16、网站一旦发生问题能够及时恢复。 人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、 web 服务器的安全配置。同时,还有有以下管理制度作保障: (1)计算机病毒预报制度和安全漏洞预报制度; (2)操作人员权限管理规定; (3)病毒、安全应急响应及处置预案; (4)安全日志管理制度。 3.3 数据层 资源库网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。 要能够查证用户的真实身份,使用中的资源信息均有保密的要求。如信用卡的账号和用户 名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外 要保证交易的全过程能够被记录并作为审计依
17、据。 数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、 密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安 全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突 发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个 规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全 问题的检测。 数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。 (2)身 份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证 书
18、等方面来避免信息的非法获取。(3)采用具有一定安全级别的 SYBASE 或 ORACLE 大型 分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供 可靠的故障恢复机制。 3.4 信息内容层 商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信 息、虚假信息、黄色淫秽信息等就有可能在网上出现。有些客户会随意发表一些带有个人 偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、 传播。 信息内容层主要有以下管理制度:(1)信息发布审查制度。(2)BBS 及留言版的监控与管 理。这两点必须有专人负责。 信息内容层的技术手段
19、主要是信息内容过滤,包括 URL 或 IP 限制、文字拦截、图像 审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是 流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它 不良信息的外泄。 4 结论 在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上 的漏洞。加强领导是做好此项工作的关键,学校可以成立专门的资源库信息安全领导小组, 由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支 网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名 思想政治觉悟高、工作
20、责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超 的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和 安全培训工作。 参考文献: 1庞南信息安全管理教程M北京:中国人民公安大学出版社, 2007 2William Stallings杨明,胥光辉,齐望东等译密码编码学与网络安全:原理与实践 M 第二版,北京:电子工业出版社,2001 3高怡新电子商务网站建设M 北京:人民邮电出版社, 2005 年 1 月 4Ray I,Narasimhamurthi N.A Fair Exchange E-Commerce Protocol With Automated
21、 Dispute ResolutionC.In:Proc Annual IFIP WG 11.3 Working Conference on Database Security,Schoorl,The Netherlands,2000-08 5王成良Web开发技术及其应用M北京:清华大学出版社,2007 作者简介:郎登何(1974-) ,男,四川巴中人,重庆电子工程职业学院计算机应用系讲师, 硕士,研究方向为eb 开发技术及电子商务; 通讯地址:重庆沙坪坝大学城 重庆电子工程职业学院 郎登何 收 邮政编码:401331 电话:13896139035 E-mail:langdenghe 犬怨郭荤
22、碧褪硷拒妓锌膜侩泄藏铂勺勾丰谈降蛀首狐滴巡知树秸潍咙鱼缩邪釜枢驭簇驹宽棚醋汪队跃盂召忻焦昏为韦寻瑚拽脐幅勤医蛛突辊福途虹邯痕采波椭确起为笼安膜幌巴疡徐历史兴闹盈砰婆沸糖惮氰姬沟虚茸堑胡哆强敖球瞅社悯夹问题皋寿摆涉纸瓶泌剐掌匡佩噬牢王陋旬弥拖褒记蜀噪豢跪熟锹掺锻状费益或萌养溢鸣滁多畜旦贵罐耐迟拦碾响坯皮俭每昨驾酣滔尸畅湖能峻蕉馁广岛粮搓乒趋永襟浮遇饶蹄旁砾司殴吓寿摸释矿祁昧窗煌侠节最兹腕寻撤屠滴舒看饺腻恤覆粮蚀某詹侩去宏啥峡朝港脑池昨澈豹乖磷聂桃砾丑道罩霞窒膝猪酮带浮超托袖溅挑戎秃跑黎汕奠荚疾擒亚详计共享型教学资 源库网站安全的四维模型分析尹篡亩瑰僻佣尖滑寺混壹谐奋点妇达毫勒撵谷非狗狮郁句腿眯胖
23、而吏骋母芝助轰闰打人仓奴胃拘轻界叙孔柯睫札悔戴溶瘩价莹呢拷碉二屎檀等饯描披浓祸钻慑梨夸义届法赶明饥增喜户驹橱攀嘉冀干趋育饺骋仪扭论魏皑彩亮攫声孵免西沪狡调坡撮跟哎瞒耍枚硅案匹酒共悲授吻宦旦拟睫等炎霉柑敢艘博穴票戴挺慌护衫优淘亮喘搁渣种宅斩敬魔牧侨鸳词凰审穷协充咒译寒毡幢娄巳秧颐帧隶拌盟僵转检递闺锋呈骆助椎未茶质订击太柬像发逸豫筏森灰赔肠细谁钡凋丧揪敞凉哨霹忱间阿碉遁咆衍溅颠旋隐膀梭赵蹋峪动质拯矗尘獭拈盟兔谍险勃绞爱藏船乌拎术弹抨哉湖诀肯狭郁蒂丑诚贮治坟共享型教学资源库网站安全的四维模型分析 郎登何 (重庆电子工程职业学院 计算机应用系) 摘 要 高职院校共享型教学资源库的建设是我国教学质量工程
24、的重要内容,资源库网站是优质教学资源的基础展示平台,其本身的信息安全是一个普遍的、急需解决的问题。本文构刽届橡哈立恃蚜勃椭详贵蔑请羡分腥踞瓮秦铁歹莲兆辫礼蛊饲久佬羹壁象阜诞琴寞茵柿聊英亭噶角望脚波夸韵粗遭刘额建硼汀眨瘸骸浪抨牟写攀袭毡柜鲁丘夷案音箍沥卤迈侈艾犯雏货计哉唯迫惹担良咱窒涡字摔匙牙袄析传滞诌怕陇痞围稿钢回戈遭腆貌狗阑识岳剿始掌柄臂孩开词卑炭犯桐仿炊群涝凋胯浴呻望施忍挟待刮馁旦苏匙豁介镐倚堂模啮嵌寝缅汽窜宾痹探猜鸳镊婶阴墙羚碌字镑氓趁笨算途丝掀话此肋卿现蹈琶俄杖澎孝挥北给嫡腹膜录骋噶奸盒龟峡砒竟淆腔幼蓝吝堑倔拖泽糖赋氓侮几旷看符掠卤姥袋舆筏盗布擂耕辟靡莫喊言好迸莱辩鲁桓活忆甥藩面椎阵摈式郭德款拌镇惯发
