高校檔案遠程服務安全問題研究

趙悅

摘 要：信息時代的發(fā)展加快了高校檔案遠程服務的步伐，也使檔案遠程服務安全問題日益突顯。本文將結合高校檔案遠程服務工作，對檔案遠程服務出現(xiàn)的問題進行解析，并進一步提出解決方法，以期為高校檔案遠程服務安全問題提供建議和參考。

關鍵詞：高校檔案;遠程服務;檔案安全

一、引言

隨著信息化時代的到來和《高等學校信息公開辦法》的頒布，高校檔案向社會開放的呼聲越來越高，檔案遠程服務逐漸成為檔案信息公開的重要渠道之一。高校檔案的遠程服務以電子檔案為基礎，而電子檔案具有易被攻擊、易被竊取、易被修改、易于傳播、易于丟失等特征，再加上檔案遠程服務必須依托網(wǎng)絡，更加大了檔案遠程服務的安全風險。因此，檔案遠程服務安全問題成為高校檔案工作亟待解決的重要課題。

二、高校檔案遠程服務面臨的安全問題

（一）服務器安全

服務器位于學校機房內，其安全主要涉及物理線路安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、管理安全。物理線路安全是指服務器所處環(huán)境的安全，機房的安全，主要體現(xiàn)在物理傳輸介質的可靠，硬件設備的安全指數(shù)，硬件設備的防災能力，緊急斷電下數(shù)據(jù)的安全等方面。網(wǎng)絡安全指服務器所處網(wǎng)絡的安全性，包括訪問的資源控制，入侵檢測手段，網(wǎng)絡層身份認證等方面。系統(tǒng)安全是指服務器所使用的操作系統(tǒng)的安全性，包括操作系統(tǒng)本身漏洞，安全配置，針對操作系統(tǒng)的病毒等方面。應用安全指服務器提供檔案信息遠程服務所使用的應用軟件的安全性，在使用應用軟件過程中的安全。管理安全指檔案遠程服務管理制度的完善性，部門和人員的組織規(guī)劃。管理安全是保證服務器安全最重要的方式，而服務器的不安全會造成非授權訪問、檔案信息的丟失或泄露、檔案信息的非法篡改、服務器癱瘓甚至利用服務器向用戶端傳播病毒等風險。

（二）用戶端安全

用戶端位于檔案遠程服務的服務對象手中，主要包括手機、個人電腦等設備，其安全問題主要涉及身份識別，用戶端系統(tǒng)安全，數(shù)據(jù)端丟失，數(shù)據(jù)泄露。身份識別是指檔案遠程服務中訪問服務器的人員身份確定，其核心是識別訪問者是否為系統(tǒng)的合法用戶，是否為管理用戶，防止非法用戶進入系統(tǒng)。用戶端系統(tǒng)安全是指用戶用來訪問服務器的終端是否安全，用戶本身使用的設備是否受到入侵、感染病毒，是否為第三方操作的僵尸機等方面，進而攻擊服務器。數(shù)據(jù)端丟失是指由于管理大意或處理不當導致數(shù)據(jù)端丟失，從而引發(fā)身份識別、數(shù)據(jù)泄露等多個問題。用戶端的不安全會造成數(shù)據(jù)泄露、服務器被攻擊、檔案信息被篡改刪除等風險。

（三）信息傳輸安全

信息傳輸安全問題是指服務器向用戶端發(fā)送數(shù)據(jù)的過程中，檔案的遠程服務依托于互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)本身具有不安全性，數(shù)據(jù)在傳輸?shù)倪^程中極易被非法截取、復制、修改，最終產生服務器被攻擊或檔案信息被竊取的情況。

三、高校檔案遠程服務安全策略

（一）服務器安全處理措施

一是物理線路安全，主要包括以下方面：

服務器必須位于專屬的機房中，機房具備基本防火、防雷擊、防靜電等環(huán)境要求，同時必須保證服務器所在環(huán)境溫度不得過高，防止由于外在的環(huán)境因素損壞服務器，進一步造成數(shù)據(jù)丟失;

服務器機房必須合理布局，服務器所屬機箱等設備布置在標準機柜之上，機房布線使用集線器合理布局。

二是計算機系統(tǒng)，主要包括網(wǎng)絡安全、系統(tǒng)安全、應用安全，具體內容如下：

服務器需安裝正版操作系統(tǒng)，同時定期通過網(wǎng)絡將服務器操作系統(tǒng)更新為最新版;

在服務器上安裝正版防病毒軟件，定期更新并查殺病毒，保證防病毒軟件的正常工作;

服務器系統(tǒng)在建立時，必須使用考慮成熟、技術透明、方便使用等因素，必須要保證技術的可靠性，保證即使管理員不懂計算機安全相關知識，也能夠正常、安全使用服務器系統(tǒng);

服務器系統(tǒng)軟件建立備份機制，一旦主服務器系統(tǒng)遇到故障或受到攻擊不能正常運行，保證備用服務器系統(tǒng)能及時替代主服務器系統(tǒng)提供服務;

服務器禁止普通USB、光驅等常規(guī)數(shù)據(jù)輸入手段，必須有專人管理使用專用光驅或U盤導入導出必備數(shù)據(jù)，每次導入導出備份并使用殺毒軟件殺毒。

三是人員權限管理方面安全，主要包括以下方面：

服務器支持人員權限管理，操作人員、管理人員、維護人員、超級管理員權限必須僅掌握在1到2個人手里;

由超級管理員設置共享數(shù)據(jù)庫信息的訪問權限，并設置相應的密碼及賬戶ID，不同的人員密碼必須定期更換，嚴禁操作人員泄漏自己的密碼;

對操作人員的權限嚴格按照崗位職責設定，并由超級管理定期檢查人員權限，如遇到人員變更、離職等情況，必須立即收回相應權限;

服務器平時要處于鎖定狀態(tài)，僅允許特定客戶端執(zhí)行查檔、復制檔案等有限操作;

管理員遠程連接時，必須綁定IP及MAC地址，以防他人登陸。

（二）用戶端安全處理措施

一是用戶端身份識別方面，主要包括以下內容：

用戶和管理員區(qū)分，在遠程登錄時，管理員必須綁定IP地址和MAC地址，并由超級管理員審批通過時，才能夠使用該IP地址和MAC地址遠程登錄管理，而且審批必須位于機房服務器，使用超級管理員權限才能夠通過，每次審批后，使用日期不能超過6個月，6個月后必須重新審批;

將需要高校遠程服務的用戶類型劃分為六類，在校學生、已畢業(yè)學生、在校教職工、離職職工、退休職工、普通人員，不同類型用戶具備不同操作權限，除普通人員外，其他類型用戶必須使用有效證件才能夠進行注冊，注冊后可使用賬號密碼或手機驗證碼進行登錄查閱;

根據(jù)不同用戶權限，提供不同級別檔案查閱權限，其中在校學生能夠查閱和自身相關的全部檔案，已畢業(yè)學生除自身全部檔案外，還能夠查閱成績總表、派遣信息、就業(yè)信息等額外數(shù)據(jù)，在校教職工根據(jù)職位不同，可以查閱和自身工作崗位相關檔案，而離職職工、退休員工只能夠查詢自身相關檔案信息，普通員工只能查詢公開檔案信息。

二是用戶端操作安全方面，主要包括以下方面：

用戶必須有效保管好自身的賬號密碼，不得外借，否則管理員有權限收回用戶賬號密碼;

用戶在查詢到需要的檔案信息后，除公開檔案信息外，不得將數(shù)據(jù)公布或轉交他人，否則管理員有權限收回用戶賬號密碼;

除普通用戶外，用戶在注冊時，必須提供自身有效身份信息和聯(lián)系方式，否則管理員有權拒絕注冊;

用戶端的信息登錄、查詢內容、通信控制、檔案接收等操作必須封裝在一個個模塊中，這些模塊只對外提供接口，無法修改模塊內容，模塊通過加密信息和計算機進行通信;

服務器隨時對用戶端通信內容進行監(jiān)控，如發(fā)現(xiàn)異常流量數(shù)據(jù)、攻擊服務器等現(xiàn)象時，立即斷開用戶端鏈接并上報管理員，同時鎖定該用戶;

用戶查詢方式在邏輯上和用戶本身操作系統(tǒng)是分開的，即必須通過專用檔案查詢軟件或微信公眾號等方式才能夠進行遠程檔案服務，在客戶端或公眾號之外，均為加密信息，無法被用戶直接識別，禁止直接通過瀏覽器的方式進行檔案服務;

在校職工和在校學生僅能通過學校內部IP地址進行檔案信息查詢，如通過外部網(wǎng)絡進行登錄操作，只能查詢公開檔案和部分個人檔案信息。

（三）信息傳輸安全處理措施

高校檔案遠程服務依托于互聯(lián)網(wǎng)進行工作，而互聯(lián)網(wǎng)本身的不可靠性會導致數(shù)據(jù)泄露，所以在數(shù)據(jù)傳輸過程中，必須使用成熟可靠的信息加密技術;

在傳輸信息內容時，除檔案信息內容外，需要校驗信息，如循環(huán)冗余校驗位、海明校驗碼等內容，用戶端在接收到數(shù)據(jù)后，對數(shù)據(jù)的完整性進行檢查，僅接收完整數(shù)據(jù);

用戶端在每次接收到數(shù)據(jù)后，需要對服務器發(fā)送使用特定加密算法保護回饋信息（如RSA算法、密鑰等），回饋信息最少包括當前用戶的IP地址、用戶ID、查詢信息內容等信息，服務器在接收到用戶的回饋后使用本地的數(shù)字證書或私鑰進行解密操作，解密成功后存儲相關信息，如果服務器查詢到僅有查詢數(shù)據(jù)信息但是沒有接收到反饋數(shù)據(jù)，則直接鎖定該用戶并上報管理員;

服務器需具備防重放攻擊的能力，客戶端在提供回饋信息時，必須在傳輸?shù)男畔⒅刑砑訒r間戳或序列號，如果服務器收到重復序列號和時間信息，就立即鎖定該用戶并上報管理員;

服務器需要大致估算檔案信息數(shù)據(jù)量大小，如學生成績檔案僅為一張表格，大小為幾KB，如果在查詢學生成績檔案時發(fā)現(xiàn)出現(xiàn)大量流量數(shù)據(jù)，立即鎖定該用戶并上報管理員。

四、結語

計算機網(wǎng)絡技術的廣泛應用推動了高校檔案遠程服務的飛速發(fā)展，但給高校師生和社會公眾提供了更加便捷的檔案信息服務的同時，帶來了諸多安全隱患。檔案遠程服務安全是高校檔案服務的前提和基礎，也是新時代高校必須面臨的重要任務和課題。高校檔案館應充分認識到檔案遠程服務安全問題的重要性，從服務器安全、用戶端安全、信息傳輸安全三個方面，多管齊下，解決好高校檔案遠程服務中遇到的安全問題，為高校檔案服務安全保駕護航，助力高校檔案信息化和智慧校園發(fā)展進程。

參考文獻：

[1]周玲，范秀琴.大數(shù)據(jù)對高校非保密檔案信息遠程服務的影響[J].中國科技信息，2019（23）：43-44.

[2]馬夢華，牛慶瑋.軟件工程視角下高校檔案遠程服務系統(tǒng)的設計與實現(xiàn)——以中國石油大學（華東）為例[J].黑龍江檔案，2018（4）：38-39.

[3]邊媛.高校檔案利用遠程服務發(fā)展現(xiàn)狀——南昌大學檔案利用遠程服務調查問卷分析[J].中國檔案，2017（6）：40-41.

[4]陳玲.制約高校檔案遠程服務的因素分析[J].蘭臺世界，2018（3）：87-89.