校园网络安全风险评估

校园网络安全风险评估（通用12篇）

校园网络安全风险评估 篇1

0 引 言

作为一种定性与定量相结合的多目标决策分析方法, 层次分析法AHP (Analytic Hierarchy Process) 可应用于安全风险评估过程。目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析, 解决用纯参数数学模型方法难以解决的决策分析问题。但在评估准则重要性比较时, AHP只考虑了评估者主观判断的两种可能极端情况, 无法处理主观判断的不确定性与模糊性[1], 因此很多的研究者将模糊数学引入到AHP中形成现在常用的FAHP (模糊层次分析法) , FAHP可以较好地解决主观判断带来的不确定性与模糊性。

现有的FAHP风险评估方法的缺陷主要表现在两个方面:一是判断矩阵中不允许没有把握地判断空缺, 从而导致判断矩阵的失真;二是当某些风险因素的值严重偏离正常值时, 综合评判的结果仍然正常, 不能真实地反映风险的状态。鉴于以上不足, 在建立判断矩阵时允许没有把握的判断空缺。指标的权重先由层次分析法确定常权重, 然后引入变权模式, 对常权进行修正得到变权, 以提高风险评估的准确性, 为信息系统安全风险评估提供了一种新的思路。

1 FAHP存在的问题分析

1.1 判断矩阵问题

在基于模糊理论和基于FAHP的信息系统安全风险评估中, 如文献[1-3]都需要由专家对同一层次的n个因素进行成对比较, 专家必须构造出完整的判断矩阵, 对n个因素, 为了给出判断矩阵, 需进行n (n-1) /2次两两比较。当n较大时, 工作量很大, 对有些因素之间要做出确切判断没有充分把握而导致失真。这时, 没有把握的判断应该空缺, 即形成残缺矩阵。

设残缺判断矩阵A*具有空缺项aij (这时aji也必定空缺, 且i≠j) , A是A*中空缺项作了合理填补后的判断矩阵且A的第一特征值λ1所对应的特征向量为W (w1, w2, …, wn) T, 因为当$A=\left(\frac{w{}_i}{w{}_j}\right){}_{n\times n}$时具有“完全”的一致性, 可以令空缺$a{}_{ij}=\frac{w{}_i}{w{}_j}$, 据此可以构造一个新的矩阵, 使得在求λ1和λ1所对应的特征向量W时按上述方法填补空缺项后的判断矩阵是等效的。

对于给定的残缺判断矩阵A*, 将所有空缺项记做0, 在将具有k个 (k≥0) 空缺项的行 (列) 的对角线元素改为k+1 (无空缺的项仍然保持1) , 得到新的矩阵A。求A的第一特征值及其对应的特征向量W= (w1, w2, …, wn) , 归一化$({\displaystyle \sum _{i=1}^{n}w}{}_i=1)$后就是权向量[4]。

1.2 模糊权重问题

用层次分析法确定各因素的权重是固定的, 不会因状态或评判因素的不同而改变, 这使得其在实际问题的应用中常因客观因素的变化而出现决策不灵活、不合理现象。在信息安全风险评估中, 当某些风险因素的值严重偏离正常值时, 表示该风险因素风险值急剧上升, 需要特别加以控制。然而, 在信息安全风险评估中, 由于考虑的风险因素很多, 各指标的权重影响有限, 因此综合评判的结果还是正常, 不能真实地反映风险的状态, 为了避免这一问题, 此时应采用变权综合的方法, 根据评价结果对权值进行适当的调整。

变权理论是因素空间论的重要建模原理之一。变权综合与常权综合的不同之处在于, 变权综合不仅考虑了各基本因素的重要性, 而且考虑了目标值关于决策变量的水平状态, 这两方面的作用共同体现在可变的权重之中。因此, 在本文中考虑采用变权方式。

在文献[2]和文献[3]中计算各个层相对于上一层的权重或是权重分配时均采用的常权法, 即在综合评判中把每个因素所作的权重视为定值。将权重视为[0, 1]上的Fuzzy数, 用Wij表示第j个因素获得权重w的隶属度, 体现了权重的不确定性。使用变权法, 权重可以依据评估值变化的情形, 获得各自的评估指标 (指标越大, 风险就越大) 再进行综合。为了引起有关部门的警惕, 加大风险大的 (评估指标较大) 部分权重, 促使综合指标增大, 以便说明整体的风险性。变权法使得综合评估中权数随评估向量 (各因素评估值组成的向量) 改变而改变。

使用变权法的计算方法如下[4]:

(1) 设对总体而言, 涉及A1, A2, …, An共n个因素 (或n个部分, 或n个方面) 分析获得单因素评估指标u1, u2, …, un, 且它们都是无量纲的或有相同的计算单位。取ui∈[0, um], 常取um=1。

(2) 设A1, A2, …, An分别取评估值u1, u2, …, un, 记Ai相对上一层某个元素而言的权重为:

Wi=wi (u1, u2, …, un) i=1, 2, …, n

即因素Ai的权重依赖于各因素的单因素评估值。其中wi∈ (0, 1) 且${\displaystyle \sum _{i=1}^{n}w}{}_i=1,w{}_{mi}\in (0‚1)‚{\displaystyle \sum _{i=1}^{n}w}{}_{mi}=1$。wmi表示总体功能十分完善时, 因素Ai所占的权重, 称为基础权重。

(3) 令w0i是因素Ai所占权重的上确界, 该值可以由专家给定或是通过下式计算:

$w{}_{0i}=\frac{w{}_{mi}}{\text{m}\text{i}\text{n}w{}_{mj}+\text{m}\text{a}\text{x}w{}_{mj}}1\le j\le n$且j=1, 2, …, n (1)

(4) 设对于给定的一组单因素评估值u1, u2, …, un, 找到λi (ui) , 则令:

$w{}_i(u{}_1,u{}_2,\cdots ,u{}_n)=\frac{\lambda {}_i(u{}_i)}{{\displaystyle \sum _{j=1}^n\lambda }{}_j(u{}_j)}i=1,2,\cdots ,n(2)$

wi (u1, u2, …, un) 作为变权数。其中λi (ui) 的计算方法如下:

根据上面的wmi和w0i计算λ0i、λ${}_{\cdot i}^{*}$、ki:

$\lambda {}_{0i}=\frac{w{}_{0i}{\displaystyle \sum _{j\ne i}w}{}_{mj}}{1-w{}_{0i}}(3)$

$\lambda {}_{.i}^{*}={\displaystyle \sum _{j\ne i}\lambda }{}_{0j}(4)$

$k{}_i=1+\frac{1}{\lambda {}_{.i}^{*}\ln \frac{w{}_{mi}}{\lambda {}_{0i}}}i=1,2,\cdots ,n(5)$

$\lambda {}_i(u)=\lambda {}_{0i}\exp (-\frac{1}{(1-k{}_i)\lambda {}_{.i}^{*}}\left(\frac{u}{u{}_m}\right){}^{1-k{}_i})i=1,2,\cdots ,n(6)$

Wi随λi的增大而增大, 第i因素的权重的上升速度与其评估值ki (ki≤1) 次方成反比, 与自身大小成正比, 符合加大风险因素值大的部分权重。

2 改进后的FAHP风险评估模型

2.1 构造递阶层次结构

(1) 确定系统的安全风险因素集

设U为信息系统的所有安全风险因素集, 将性质相近的因素分在一组。假设U中的因素分为n组, 即U={U1, U2, …, Un}, Ui代表U中的第i组因素, 针对每个Ui有n个风险因素集, 表示成Ui={Ui1, Ui2, …, Uin}。这样, 将安全风险因素集合分为多层次集合, 形成递阶层次结构, 如图1所示。

(2) 建立评判指标集

安全风险指标V表示信息系统安全风险发生的概率, 将评判指标分为7个级别, V={V1, V2, V3, V4, V5, V6, V7}, V1可忽略的, V2很低, V3低, V4中等, V5高, V6很高, V7极高[2]。

2.2 确定安全风险因素单层基础权重

2.2.1 计算第二层因素的基础权重

首先根据2.1节建立的阶梯层次结构, 为第二层风险因素建立相对第一层的评判矩阵An×n。aij表示依据Ui中各因素对安全风险影响的严重程度而定, 赋值采用1-9标度法[4]。赋值过程中如果对某个判断没有充分的把握, 可以先空缺, 建立空缺矩阵A*n×n。

$A=\left[\begin{array}{ccc}a{}_{11}& \cdots & a{}_{1n}\\ ⋮& \ddots & ⋮\\ a{}_{m1}& \cdots & a{}_{mn}\end{array}\right]$

求判断矩阵A或是残缺矩阵A*的最大特征根和所对应的特征向量, 步骤如下[2]:

(1) 对每一个判断矩阵A计算对应的特征向量M (m1, m2, …, mn) , 这里:

$m{}_i=\sqrt[n]{a{}_{i1},a{}_{i2},\cdots ,a{}_{in}}(7)$

对M归一化得:

$w{}_i=\frac{m{}_i}{{\displaystyle \sum _{i=1}^{m}m}{}_i}(8)$

于是计算矩阵的最大特征值:

$\lambda {}_{\max }={\displaystyle \sum \frac{(AW){}_i}{nw{}_i}}(9)$

如果是残缺矩阵, 采用1.1节中介绍的方法计算λ和权重w。

(2) 利用一致性指标C.I.做一致性检验当C.I.<0.1时, 表明矩阵一致性成立, 各项权重无逻辑错误。其中:

$C.{\rm I}.=\frac{\lambda {}_{\max }-n}{n-1}(10)$

(3) 若通过检验即C.I.<0.1则将上面计算出权重向量, 采用1.2节的变权计算方法计算变权数, 记为W。

(4) 若C.R<0.1不成立, 则需重新构造成对比较矩阵。

2.2.2 计算第三层因素的基础权重

根据第三个层次的风险因素相对上一层因素的重要性, 采用1-9标度法建立判断矩阵, 分别记为A1, A2, …, An。Ai表示相对上一层第i个因素Ui的判断矩阵。

通过 (1) - (4) 步骤计算出每个矩阵Ai的权重向量wi, 并采用1.2节中的变权法计算出变权数, 记为Ai。

2.3 模糊综合评判

根据评判指标集为每个因素Ui所对应的风险因素集建立单因素模糊评判矩阵R1, R2, …, Rn。Ri表示对第i个主因素所组成的子因素的模糊评判矩阵。Rij表示第i个子因素对第j个评判指标发生的概率大小。如果各个子因素的权重分配为Ai, 模糊评判矩阵为Ri, 则得到第i个主因素对评判指标的综合评判结果为[5]:

$B=\left[\begin{array}{l}B{}_1\\ ⋮\\ B{}_n\end{array}\right]$

式中:

$B{}_j={\displaystyle \sum _{i=1}^{n}a}{}_i\times r{}_{ij}(11)$

如果U中的各个因素的权重分配为W, 则可得到总的评判结果:

Z=[z1, z2, z3, z4, z5, z6, z7]=WB (12)

即得到整体相对评判指标的结果, 哪个指标取值最高, 说明系统满足该指标的概率最高, 从而得到整个系统的风险大小。

3改进后的FAHP风险评估方法在校园网中的应用

为了验证风险评估模型的正确性, 阐明该模型在信息系统风险评估领域中的应用及优势, 以新疆大学的数据库服务器为例, 利用上述安全风险评估综合模型, 综合计算数据库服务器的安全风险。

(1) 确定风险因素

影响数据库服务器安全风险的风险因素U包括5组, 即U={U1, U2, U3, U4, U5}={数据库管理系统, 数据库服务器操作系统, 数据库服务器应用系统, 硬件, 通信设备}

这5组风险因素分别U1={U11, U12, U13, U14}= {数据文件遭到破坏, 查询或恢复过程出错, 数据修改出错, 删除出错}

U2={U21, U22, U23, U24, U25}= {缓冲区溢出, 寄存器遭到破坏, 文件及目录结构破坏, 用户帐户及优先权重写, 不同应用程序之间冲突}

U3={U31, U32, U33, U34}= {功能错误, 不能访问所需的资源, 非法数据输入, 与操作系统版本冲突}

U4={U41, U42, U43, U44, U45}= {内存出现故障, CPU出现故障, 硬件驱动出现故障, 电源出现故障, 总线出现故障}

U5={U51, U52, U53}= {网关硬件或接口出现故障, 通信协议出现故障, 路由表出现故障}

(2) 计算基础权重

通过对新疆大学网络中心的管理人员和技术人员进行充分的沟通和交流后, 参考近五年的系统运行情况报告和系统各个部件的技术说明书, 组织五名知名专家进行评估, 根据五人的知识结构与水平和在信息安全方面的经验, 建立第二层相对第一层的判断矩阵, 采用式 (7) -式 (8) 计算得w=[0.1707, 0.0803, 0.0373, 0.4410, 0.2706], 采用式 (9) 计算λmax=5.2208, 采用公式 (10) 计算C.I.=0.0552<0.1, 表明判断矩阵一致性成立。采用变权法计算公式 (1) - (6) , 计算变权数W′=[0.1483, 0.0995, 0.0362, 0.4890, 0.2269], w中权重最大者为0.4410, 由变权计算方法修正为0.4890。该计算结果验证了采用变权法能够加大了风险评估指标较大部分的权重, 突出了单因素评估时评估值高的部分。

建立第三层相对第二层的判断矩阵分别为:

$\begin{array}{l}A{}_1=\left[\begin{array}{cccc}1& 7& 5& 3\\ 1/7& 1& 1/4& 1/6\\ 1/5& 4& 1& 1/2\\ 1/3& 6& 2& 1\end{array}\right]A{}_2=\left[\begin{array}{ccccc}1& 1/3& 1/8& 1/6& \times \\ 3& 1& 1/5& \times & 1/2\\ 8& 5& 1& 5& 4\\ 6& \times & 1/5& 1& 2\\ \times & 2& 1/4& 1/2& 1\end{array}\right]\\ A{}_3=\left[\begin{array}{cccc}1& 3& 8& 2\\ 1/3& 1& 1/5& 1/4\\ 1/8& 5& 1& 1/3\\ 1/2& 4& 3& 1\end{array}\right]A{}_4=\left[\begin{array}{ccccc}1& 2& 3& 1/6& 1/5\\ 1/2& 1& 3& 1/7& 1/6\\ 1/3& 1/3& 1& 1/8& 1/7\\ 6& 7& 8& 1& 2\\ 5& 6& 7& 1/2& 1\end{array}\right]\\ A{}_5=\left[\begin{array}{ccc}1& 2& 3\\ 1/2& 1& 4\\ 1/3& 1/4& 1\end{array}\right]\end{array}$

对矩阵A1、A3、A4和A5采用式 (7) -式 (8) 计算得权重:

A1=[0.5627, 0.0488, 0.1398, 0.2487]

A3=[0.5031, 0.0687, 0.1291, 0.2991]

A4=[0.0936, 0.0663, 0.0372, 0.4751, 0.3278]

A5=[0.5171, 0.3856, 0.1243]

通过计算矩阵A1、A3、A4、A5均通过一致性检验。

矩阵A2是残缺矩阵, 采用1.1节中介绍的计算方法得A2=[0.0394, 0.0844, 0.5503, 0.1966, 0.1293], λ (1) =5.0659, C.I.=0.0165, 通过一致性检验。

采用变权计算式 (1) -式 (6) 对以上A1, A2, A3, A4, A5分别计算变权值为:

A1=[0.6427, 0.0434, 0.1164, 0.1975]

A2=[0.0339, 0.0693, 0.6423, 0.1512, 0.1032]

A3=[0.5585, 0.0662, 0.1189, 0.2564]

A4=[0.0876, 0.0636, 0.0371, 0.5329, 0.2789]

A5=[0.5539, 0.3275, 0.1186]

(3) 模糊综合评判

由专家对风险因素U进行概率评价, 每个专家对各个风险因素确定其风险概率为V1, V2, …, V7中的一种。结合各个专家的评定意见, 获得以下模糊判断矩阵:

$\begin{array}{l}R{}_1=\left[\begin{array}{ccccccc}0.7& 0.8& 0.9& 0.2& 0.1& 0.0& 0.0\\ 0.1& 0.2& 0.4& 0.5& 0.3& 0.2& 0.1\\ 0.3& 0.4& 0.5& 0.6& 0.3& 0.2& 0.1\\ 0.2& 0.3& 0.4& 0.5& 0.4& 0.3& 0.1\end{array}\right]\\ R{}_2=\left[\begin{array}{ccccccc}0.2& 0.3& 0.4& 0.6& 0.3& 0.2& 0.1\\ 0.3& 0.4& 0.5& 0.7& 0.2& 0.1& 0.0\\ 0.2& 0.4& 0.6& 0.8& 0.4& 0.2& 0.1\\ 0.1& 0.3& 0.4& 0.5& 0.3& 0.2& 0.1\\ 0.1& 0.2& 0.3& 0.4& 0.2& 0.1& 0.0\end{array}\right]\\ R{}_3=\left[\begin{array}{ccccccc}0.6& 0.7& 0.8& 0.3& 0.2& 0.1& 0.0\\ 0.5& 0.6& 0.7& 0.8& 0.3& 0.2& 0.1\\ 0.1& 0.2& 0.3& 0.5& 0.4& 0.3& 0.1\\ 0.7& 0.8& 0.9& 0.3& 0.2& 0.1& 0.0\end{array}\right]\\ R{}_4=\left[\begin{array}{ccccccc}0.6& 0.7& 0.8& 0.2& 0.1& 0.0& 0.0\\ 0.8& 0.9& 1.0& 0.2& 0.1& 0.0& 0.0\\ 0.7& 0.8& 0.9& 0.5& 0.4& 0.2& 0.1\\ 0.8& 0.9& 0.9& 0.3& 0.2& 0.1& 0.0\\ 0.8& 0.9& 0.9& 0.3& 0.2& 0.1& 0.0\end{array}\right]\\ R{}_5=\left[\begin{array}{ccccccc}0.7& 0.8& 0.9& 0.4& 0.3& 0.2& 0.1\\ 0.6& 0.7& 0.8& 0.5& 0.4& 0.2& 0.1\\ 0.8& 0.9& 0.9& 0.3& 0.2& 0.1& 0.0\end{array}\right]\end{array}$

根据式 (11) 计算各因素Ui的综合评判分别为:

B1=[0.5287, 0.6287, 0.7330, 0.3188, 0.1912, 0.0912, 0.0357]

B2=[0.1815, 0.3608, 0.5250, 0.6996, 0.3470, 0.1827, 0.0827]

B3=[0.5596, 0.6596, 0.7596, 0.3569, 0.2304, 0.1304, 0.0185]

B4=[0.7789, 0.8789, 0.8977, 0.2923, 0.1923, 0.0886, 0.0037]

B5=[0.6791, 0.7791, 0.8673, 0.4209, 0.3209, 0.1881, 0.0881]

根据式 (12) 计算数据库服务器的综合评判结果为:

Z=[0.6517, 0.7596, 0.8242, 0.3682, 0.2374, 0.1224, 0.0360]

由此计算出对数据库服务器来说, 风险低的概率最大为0.8242, 数据库服务器的风险级别为低, 结果符合实际情况。

4 结束语

信息系统是大型复杂系统, 而且是由软件、硬件、人等多种不确定因素组成的系统, 因此系统安全风险不仅涉及因素多, 而且很难测定度量。本文提出了在信息安全风险评估中, 将残缺矩阵和变权法引入到FAHP模型中, 有效解决了FAHP中有时难以构造完整判断矩阵的困难导致无法确定权重的问题, 并克服了传统“常权法”的不足, 使得风险评估体系更加完善。通过校园网中数据库服务器风险的计算, 验证了本文提出的方法能更加有效、准确、方便地完成信息系统的安全风险等级的确定, 为决策者提供了定量好的依据。

摘要：结合当前信息安全风险评估的特点和发展现状, 提出了一种基于FAHP的信息安全风险评估模型的改进, 并将该模型应用到校园网中。首先, 在信息安全风险评估中引入了残缺矩阵, 解决了专家对有些因素之间没有充分把握而导致判断矩阵失真的问题。其次, 将变权法引入到权重向量的计算过程, 加大风险大的部分权重, 促使综合指标增大, 以提高风险评估的准确性。通过校园网的实例分析, 证明该方法可以有效地应用到信息系统安全风险评估中去, 实验结果符合实际。

关键词：信息安全,风险评估,FAHP,残缺矩阵,变权法

参考文献

[1]秦大力, 张利, 李吉惠.基于FAHP的信息安全风险群组决策评估方法[J].计算机应用研究, 2009, 26 (7) :2744-2746.

[2]赵冬梅, 马建峰, 王跃生.信息系统的模糊风险评估模型[J].通信学报, 2007, 28 (4) :51-56.

[3]杨宏宇, 李勇, 陈创希.基于模糊理论的信息系统风险计算[J].计算机工程, 2007, 33 (16) :44-46.

[4]彭祖赠, 孙韫玉.模糊 (Fuzzy) 数学及其应用[M].武昌:武汉大学出版社, 2007:78-110.

[5]梁保松, 曹殿立.模糊数学及其应用[M].科学出版社, 2007:127-151.

校园网络安全风险评估 篇2

为强化我校周边安全风险防控工作，认真贯彻落实《国务院办公厅关于加强中小学幼儿园安全风险防控体系建设的意见》《教育部办公厅关于加强中小学（幼儿园）周边安全风险防控工作的紧急通知》等文件精神，积极响应省市区委政府和教育局有关工作要求，努力加强我校“美丽学校”建设步伐，根据学校要求，制定本方案。

一、明确工作目标

以十九大会议精神为指导，以创建“平安校园”为目标，始终牢固树立安全工作红线意识和底线思维，不断完善学校周边安全风险防控机制，建立健全与公安、综治等部门联动机制，及时会商和处理涉及学校周边地区安全稳定的突出问题，切实保障广大师生生命安全。

二、成立领导小组，加强组织领导

成立以校长为组长，各副校长为副组长的校园安全风险防控领导小组，名单如下：

组

长：

（校长）

副组长：

（副校长）

成员：中层领导，年级组长，班主任

领导小组下设办公室在政教处，由政教处主任担任办公室主任，负责日常工作。

三、工作重点

（一）校园周边安全防控重点工作

1、改善校园周边道路条件。学校周边现有道路条件较差，大门口位置小商小贩占道经营现象严重，校园南侧学生必经之路有一段道路路面破损严重，晴天扬尘，雨天积水，而学生上学放学多以骑车或步行为主，通过此路段存在较大安全隐患。校园后门处由于卫生死角，处于长期无人管理地带，常有周边居民、施工单位将生活垃圾、建筑垃圾违规倾倒，造成臭气弥漫、蚊蝇滋生。

安全防控措施：专题报告市教育局，恳请市局协调城管执法局、卫生局、道路管理处等主管部门，进行联合整治，对小商小贩进行清理，修缮破损道路，同时对校后门进行专项整治，提升学校周边环境卫生。

2、在学校周边设置监控点。通过监控及时掌握学校周边动态，能第一时间发现异常情况，并采取有效措施进行应急处置，确保安全。

安全防控措施：提升技防力量，3、密切与当地派出所联系。力求得到开展校园周边治理工作的配合与支持。及时发现不法商贩，不断地提高发现、防范和控制能力，牢牢掌握安全整治的主动权。

4、积极与学校周边门店负责人沟通，宣传学习相关安全、治安法律知识，提高店主、店员的安全意识和警觉性，在发现不法份子时能第一时间报警。

（二）校内安全防控重点

1、加强室内环境卫生整治。各科室、年级教室、教师工作间、学生宿舍、值班室、教师周转房等活动、工作、生活场所按属地管理原则，由使用人负责打扫。粉刷校园建筑室内外污垢墙体，做到无积尘、无蛛网、无乱贴乱画、无污垢手脚印，门净窗明，灯具、风扇、讲台、黑板洁净无尘，教师办公、学生学习用品摆放整齐，走廊、阶梯、扶手干净无污迹、无死角。

2、加强食堂食品和学生就餐卫生环境管理。加大对学校食堂食品和学生就餐卫生环境的监管，落实责任、强化监督，每月至少一次进行食品安全检查，并不定期进行抽查，保证食堂食品卫生环境的干净整洁和食堂从业人员的个人良好卫生养成。

3、改善学校公共厕所卫生环境。每个厕所明确专人打扫冲洗，有严格管理的工作机制，做到无污水横流，无手纸乱丢，无污垢，无苍蛆，无异味。

4、加强保安人员管理。落实学校的保安人员的日常监管，明确工作要求，落实巡检制度，至少每两小时巡检一次；加强外来人员的检查和登记工作，防止无关人员混入校内。

5、落实消防器材等应急物资的巡查工作。落实消防器材巡检工作，至少每月对教学楼内的灭火器普查一次，每半月抽检一次，确保消防器材处于安全使用状态。

6、完善应急管理工作。制定并完善学校各类突发事件应急预案，每半年至少组织一次应急逃生演练，提高学校师生的应急逃生能力。

四、实施步骤

我校根据市教育局的统一部署开展校园及周边安全风险防控工作，分为宣传发动、全面排查、整治防控、总结提高四个阶段。

（一）宣传发动阶段（201X年10月至11月）。

组织开展校长工作会议，全面部署校园安全风险防控方案，成立工作领导小组，明确工作责任。

（二）全面排查阶段（201X年12月至201X年2月）。

在201X年放寒假和春季开学两个重点时段，集中开展校园及周边安全隐患排查工作，由校长总牵头，分管教学副校长负责校内的安全隐患排查，分管行政副校长负责学校周边的安全隐患排查，于2月底形成隐患清单。

（三）整治防控阶段（201X年3月至8月）。

对前一阶段排查出的隐患进行深入分析，落实整治工作存在的重点、难点问题，建立健全工作机制，制定详细的防控措施，并对防控措施的效果进行评价，确保防控措施切实有效。

（四）总结提高阶段（201X年9月至11月）。

对开展校园安全风险防控工作的情况进行总结，认真开展自查，分析存在的不足之处，不断提高学校周边的安全防控能力。

五、工作要求

1、学校全体教职员工要充分认识本次活动的重要性，积极配合学校开展有关校园安全风险防控创建活动。

大学生校园网络借贷的风险及防范 篇3

关键词：大学生；网络借贷；风险；风险防范

一、大学生网络借贷的背景

在没有任何担保的情况下，校园里的大学生通过提交有关身份资料的方式，就可以向有关的网络平台获得一定数额的贷款。在获得这些贷款之后，校园里的大学生经常会用于购买苹果等数码产品，再通过兼职的方式偿还所获得的贷款。除此之外，也会出现在继续资金的情况下，大学生向有关的网络平台进行借款。因而，在校的大学生向网络平台进行借款，其原因有两类：一类是因为经济拮据，无法支付相应商品的价款，即我们所谓的“穷”；另外一类是因为急需用钱，如家里出现变故，需要使用较大数额的资金，即我们所谓的“急”。[1]2016年3月，河南某学校的学生因沉迷网络赌球，利用多位同学的身份信息向网络平台进行了数次借款，前后共借款达数十万元，因为到期无法偿还借款，其和家人受到借贷公司多次的催款，甚至是威胁，最终该学生跳楼去世。[2]而后，通过将身份证放在胸前，然后自拍，将此种方式所拍的“照片”作为信用抵押给借贷平台从而获得贷款，也就是所谓的“裸条”。“裸条”借贷事件引起了各大媒体的关注，再次将网络借贷推向了公众的视野。校园网贷通常分为三种类型：其一是针对在校大学生的购物平台，其最大的特点在于能够分期购物；其二是网络借贷平台，其主要的功能在于助学大学生或者帮助大学生创业；其三是电商提供的信贷服务，如京东白条。[3]校园网络借贷所引发的社会高度关注，始终都绕不过一个问题：校园网络借贷该如何进行监管。

今年4月，教育部办公厅和中国银监会办公厅联合发布了《关于加强不良网络借贷风险防范和教育引导工作的通知》，着手对校园网络借贷进行监管。在社会高度关注校园网络借贷的情况下，从法律角度分析大学生网络借贷所存在的风险显得尤为重要。在明晰大学生网络借贷存在巨大风险的前提下，如何引导大学生对校园网络借贷进行风险防范更是重中之重。

二、大学生网络借贷的风险分析

在校大学生作为网络借贷的主体，其在网络借贷中的角色可以分为两类：

1.大学生作为网络借贷中的出借人。网络借贷出借人主要涉及以下法律风险：首先，网络借贷所涉及的资金交易，均签订的是电子合同，因而网络借贷出借人面临着电子合同的合规性的问题。依据《合同法》第33条[4]，出借人和借款人双方所签订的合同应当具有确认书。此外，电子合同的合规性问题还体现在是否按照法律规定的形式生成，是否存在电子签名或者手写签名，是否明确了借贷双方鄂主体；其次，网络借贷中出借人所拥有的债券的合法性的风险。依据《民法通则》、《合同法》和《最高人民法院关于审理借贷案件的若干意见》，对于出借人的债券的合法性作了相关的规定，同时对于所约定的利息也应符合相关的法律法规的规定；再次，网络借贷中出借人面临着个人隐私被泄露的风险。在网络借贷平台中需要借贷双方将相关的个人信息提供给网络借贷平台，因而可能存在网络借贷平台将出借人的个人信息泄露给其他人的情况；最后，因为网络借贷平台的特殊性，网络借贷的出借人通过平台所发布的类似于资产证券化的借款标的欣慰，可能被认定为非法公开发行证券的行为。[5]

2.大学生作为网络借贷中的借款人。网络借贷的借款人可能面临着以下风险：首先，大学生作为网络借贷的借款人，可能存在被诈骗的风险。网络借贷平台管理不够规范，缺少风险的应对机制，对贷款诈骗分子难以识别；其次，大学生作为借款人可能因为经济问题而被强迫接受利息较高的贷款，远超过银行同期利率，对于尚未有经济收入的大学生而言是有害的；再次，在履行完相关的贷款手续之后，因在校大学生并未有收入来源或者仅有很小部分的收入，因而在还款日期到来时难以按期偿还，很多学生被迫接受利滚利，最终导致借款数额巨大；最后，由于网络借贷平台要求提供相关的身份信息，因而同样存在个人信息被泄露的风险。[6]

三、大学生网络借贷的风险防范

大学生面对各种网络借贷的风险，做好风险防范至关重要。2016年4月，教育部办公厅和银监会办公厅共同发布了《关于加强校园不良网络借贷风险防范和教育引导工作的通知》，对于大学生网络借贷风险的防范，应从以下几个方面着手[7]：

1.对于不良网络借贷应该加大监管力度。网络借贷平台的确为大学生理财提供了很好的机会，但是因为P2P等网络借贷平台的监管不够，因而出现了上述部分的风险。因而，对于网络借贷风险的防范，首先应当从加强对网络借贷平台的借贷开始，即要求应出台对网络借贷平台尤其是高校大学生比较集中的校园网络借贷平台的监管规定，同时网络借贷平台的经营应在各个环节符合相关法律的规定。

2.对在校学生应加强网络借贷方面知识的普及。很多大学生在网络借贷方面的知识尤其风险防范的意识基本为零，很多大学生因为网络借贷而面临各种问题，甚至是付出生命的代价，就是因为对于网络借贷方面的知识缺乏，尤其是法律方面的知识的缺乏。

3.加强大学生资助体系和征信系统的建设。如前所述，大学生进行网络借贷的原因主要有两个：一是因为“穷”；二是因为“急”。因此，加强大学生资助体系的建设十分必要。此外，大学生之所以能够“拆东墙，补西墙”地进行网络借贷，其中一个很重要的原因在于征信系统的建设不够完善，因而加强大学生征信系统的建设也十分必要。

注释：

[1]参见潘从武、武运波：《校园网贷流行易纵容不理性消费——法律界人士呼吁加强行业监管》，载《法制日报》2015年2月27日，第4版。

[2]参见史洪举：《对“校园贷款”不能放松监管》，载《民主与法制时报》2016年3月22日，第2版。

[3]参见张燕：《记者卧底女大学生“裸条”借贷调查：疯狂的校园借贷》，载《中国经济周刊》2016年第25期。

[4]《中华人民共和国合同法》第三十三条规定：“当事人采用信件、数据电文等形式订立合同的，可以在合同成立之前要求签订确认书。签订确认书是成立。”

[5]王家卓，徐红伟主编：《2013中国网络借贷行业蓝皮书》，知识产权出版社2014年版，第129页。

[6]参见季振华、郑依晴：《大学生P2P网络借贷风险研究及其管理对策》，载《现代经济信息》2016年第3期。

[7]具体内容参见《教育部办公厅、中国银监会关于加强校园不良网络借贷风险防范和教育引导工作的通知》（教思政厅函[2016]15号）。

校园网络安全风险评估 篇4

1998年,因美国前副总统戈尔最先提出“数字化地球”的概念而引出“数字化城市”和“数字化校园”的定义。 数字化校园是指通过计算机相关技术、网络通讯的相关技术对学校的教学、管理和生活等都进行全面的数字化信息系统管理, 在一定程度上最大限度地存储、整合、利用和共享这些数据,实现统一的身份认证、数据采集平台和信息管理平台, 从而简化传统的工作流程,最终实现高效率、高竞争力、数字化管理的校园平台。

近十年来,国内各本科院校对于数字化校园的建设都比较重视,大中专院校也紧随其后,进行了数字化校园建设的思考和行动。大家建设的目标都以教学、管理、消费和身份认证等服务为一体的新型的工作、学习和生 活环境为中心,并且在建设上已经取得了一定的成效。

2 现状

随着信息化的进一步发展和学校业务的不断深化, 海南软件职业技术学院也开始数字化校园建设的步伐。1996年即开始使用食堂一卡通, 随着后来考勤系统、教务系统、财产管理系统的开发使用,使用过程中暴露出的安全隐患问题越来越多,而这些安全问题在数字化校园的建设中值得我们深思。如表1所示。

3 初步解决方案

3.1 自然灾害

自然灾害是无法避免和预防的,对于天灾造成的任何风险我们都不可避免,也就无法通过任何技术降低风险,只能在灾难发生后想办法恢复或者提前备份等。

那么对于自然灾害发生之后的安全问题,管理者需提前制定一套完整可行的事件救援、灾难恢复计划及方案,做好计算机系统、网络、应用软件及各种资料数据的备份,建立备份数据库系统。

3.2 软、硬件环境故障

校园网络设备的正常工作对网络安全的影响巨大, 如果电力设备、UPS、空调等设备规划设计出错、参数设置不当、维护不及时或者维护方法不对等,都可能间接影响校园网络的信息安全。

对于硬件故障,应确保不超负荷运行、建立完善完备的管理制度并且严格执行,保证温度、湿度、设备的参数设置等处于可监管的状态,平时需定时审计,以保证制度的执行力度。软件故障中的设计缺陷,一经发现应立即修正;安装新软件时,充分考虑兼容性的要求,提前保护已经存在的被共享使用的DLL文件, 防止安装过程中被其他文件覆盖;出现非法操作提示或者蓝屏等信息时,仔细研究其原因并纠错;对于系统的资源占用情况,及时监察并进行有效清理。

3.3 学校网站面临的安全威胁

网站是学校对外信息交流的主要工作平台,但因其共享性较高,也易成为黑客的攻击对象。部分学校的官方网站被恶意挂马时有发生, 经调查挂马率甚至达到3.15%。主要原因是服务程序本身存在漏洞 ,如Apache或IIS的漏洞; 也存在网页程序编写不完善导致的安全漏洞,如SQL注入、缓冲区溢出等;同时也存在因管理缺失而导致的服务器感染病毒。

对于数字化校园网站安全面对的威胁,除了定期查杀分析原因,且需定期检查访问流量,对于流量高峰要得随时监视处理,还有完善管理制度避免类似问题再次发生,用以保证网站安全。

3.4 应用系统数据信息面临的威胁

海南软件职业技术学院的教务、人事、财务、一卡通等应用系统的重要数据是数字化校园信息安全防护的重中之重。这些重要数据一旦被篡改甚至丢失,其后果是不堪设想。目前应用系统数据信息面临的主要风险有数据库弱口令及默认用户名易被破解;DBA的权限没有严格的限制; 有些权限控制功能嵌套在应用程序中, 攻击者很可能利用程序编写的漏洞将普通用户的权限转化为管理员的权限;数据库管理方式和管理流程编制不得当,造成数据不准和修改错误等。

对于这些系统数据面临的威胁,我们所能处理的就是进行数据访问控制、提醒用户进行密码强口令、权限设置一定要合理合法,并且及时检查日志,统计因操作不当、密码输入错误等原因引起的错误,对错误进行及时统计分析,查清原因,从制度上杜绝此类事件发生。

3.5 校园网内部用户的安全隐患

校园网内部用户的安全威胁不容忽视。一方面,校园网终端用户的木马、蠕虫、病毒等是校园网络安全威胁之一;另一方面,校园网络出口带宽受限,有P2P应用占用资源严重,可能造成正常工作时段网络拥堵,影响了教学、科研、管理工作的正常运行。

对于巨大流量问题只能通过办公时间限制端口等问题进行解决,而网络拥堵则可通过限制网络访问人数等解决, 当然这些都应该形成正常的监测程序和制度, 不能因工作人员的变换等影响其执行。

4 结束语

校园网络安全风险评估 篇5

摘要：随着互联网的发展，由此衍生出来的网络借贷业务层出不穷，并且不断向高校拓展业务。受不良网贷平台诱导而过度消费的大学生成了争抢的客户。申请手续简单、放款速度快的网络贷款给大学生带来了便利，却也有可能让他们陷入难以自拔的利益陷阱，进而给学生和家庭带来了沉重压力和经济负担，也给校园安全和社会治安埋下隐患。因此理性地看待大学生网贷问题，不仅关系着大学生的未来健康成长，更关系着社会的稳定和发展。关键词：大学校园，大学生，网络借贷，风险，应对策略

随着近年来互联网的快速发展，网络技术逐渐被各个行业大量引入并不断结合，催生出许多新的行业模式，其中的互联网金融更是以前所未有的姿态出现在人们面前备受关注，而大学生网络借贷就是互联网金融的一种体现[1-3]。据2015中国人民大学信用管理研究中心发布的《全国大学生信用认知调研报告》显示：在弥补资金短缺时，有8.77%的大学生会选择通过网络信贷获取资金，并且这一数据有逐年递增的趋势[4]。手头拮据却充满消费欲的大学生群体成为互联网金融业争夺的阵地，面向大学生提供分期购物和现金消费等服务的互联网金融服务平台自2014年以来呈爆发式增长，因此在网络信贷蓬勃发展的今天，探讨大学生网络信贷风险已成为社会关注的焦点问题[5]。本文结合天津大学仁爱学院学生实际情况和学院应对策略，对大学生网络信贷存在的问题进行探讨，并针对性地阐述如何加强监管、引导和管理等方面提出建议，希望能够培养大学生正确的消费观和价值观，维护高校校园稳定，规避网络信贷风险，促进大学生网络信贷行业的健康发展。

根据对本校大学生调查访问的结果分析总结得到，造成网络借贷火爆的主要原因有三点：其一是大学生群体特别容易接受新鲜事物，超前消费的观念早已被他们接受；其二是整个校园市场经过传统消费金融平台前期培育已有一定规模，随后在线分期平台的崛起，加上电商巨头的涌入，校园分期市场竞争非常激烈；其三是大学生群体往往没有固定的工作和经济来源，并且申请相对简单，只要是在校学生，网上提交资料，通过审核，支付一定手续费，就能轻松申请网络信贷。大学生本身并不具备足够的承担借贷风险的能力，借贷的学生中有很多人贷款到期不能如约归还，他们作为弱势群体，在贷款到期后便会经常遭遇债主恐吓、暴力威胁，甚至通过强行控制人身自由等违法手段逼债，而公安机关通常不愿参与到经济金融纠纷中，他们一般只是制止和打击因高利贷而引起的暴力违法犯罪行为，而法院往往难于认定和判断高利贷的事实和疑点[6]。大学生网络平台借贷存在诸多问题和隐患，也给学校安全稳定工作带来了巨大的压力和挑战，因此应该采取相应策略来规避这一问题。

一、开展引导学生正确消费观念的宣传，让学生学会选择和判断。高校要高度重视校园网络借贷风险防范和教育引导工作，把此项工作逐渐纳入到日常的学生教育管理工作之中，不断完善工作机制，制定相关条例制度，强化监督检查，有计划、分步骤地开展教育和引导工作。加强宣传，普及金融常识。通过校园网站、校园广播、海报、微博、微信公众号等多种渠道，结合主题班会、观看宣传片等形式，积极开展有关金融网络安全知识的普及与宣传，以增强学生金融、网络安全防范意识。

二、完善高校相关网络监管的校规校纪，提高社会团体进入学校的准入门槛。注意防范网络借贷信息中介机构开展虚假片面宣传或促销活动、误导出借人或借款人，防范网络借贷信息中介机构向不具备还款能力的大学生群体开展的营销宣传活动，形成校园不良网络借贷实时预警机制，对侵犯学生合法权益、存在安全风险隐患、未经学校批准在校园内宣传推广信贷业务的不良网络借贷平台和个人，任何人都有权在第一时间向学校保卫、学工、院办等部门报告，或报地方政府金融监管部门、各银监局、公安、网信、工信等部门依法处置。

三、建立家长联系机制，加强家庭经济困难学生资助。

家庭对大学生的消费观的养成有着潜移默化的影响，父母在日常生活中所表现出来的消费原则和方法在无形中也会被子女所效仿，因此，父母要秉持健康理性的消费观，给孩子树立良好的榜样。此外，家长作为大学生的至亲和监护人，要尽量对孩子多一些学生和生活上的关心和关注，掌握孩子学生、生活的近况和现状，多一些对孩子在校园借贷等可能存在的隐患方面的教育和要求，担起应有的监护职责，让学生远离校园借贷。

总而言之，网络借贷应时而出，对支持大学生继续学业、提高学生消费水平、促进大学生创业还是优化传统金融结构、推动社会经济发展等方面有其积极的意义，但对于涉世不深的学生来说，风险识别能力相对欠缺，学校在应对网络借贷风险策略上要注意培养同学们正确价值观和消费观，形成良好的投资理财习惯，只有趋利避害才能充分发挥网络金融的巨大优势，让大学校园在合理监管下更加健康和安全。

参考文献

校园网络安全风险评估 篇6

小陈是武汉某高校的一名大三学生，对电子产品非常感兴趣，他家境不算太好，但父母对他很宠爱，在他入学时给他买了手机和手提电脑。

入学后不久，小陈又看上了一款数码相机，便向家里要钱购买，并如愿以偿。一个月后，iPhone6上市，小陈看到有同学购买，心里痒痒，可刚跟家里要了买相机的钱，他不好意思再跟父母张口。说来也巧，这天，有人在校园里摆摊推销iPhone6，打出的广告是：“零首付，还款周期长，买到等于赚到！”小陈上前咨询，得知5288元的手机，零首付购机，分期一年，每月只需支付400多元。父母每个月固定给小陈2000元生活费，他粗略一算，分期买手机没问题。

确认学生证、身份证等信息并填写本校好友电话号码、现场拍照……仅10分钟就完成了所有手续，推销人员随后拿出一份分期购机合同让小陈签。看到梦寐以求的新款手机就要到手，小陈无比激动，对合同条款没有细看便签了字。

第一个月还款490元，其中包括50元服务费，可第二个月还款时还是490元，小陈质疑，对方告诉他，50元服务费每月都要付，合同里写得清清楚楚。小陈依稀记得当时推销人员说过有50元的服务费，现在他才明白，这个50元并非一次性的，而是每个月还款时都要付，小陈顿时有种强烈的上当受骗的感觉。

接受采访时小陈这么算了一笔账：每个月50元服务费，一年分期就是600元，而手机售价5288元，仅此一项，就相当于年利率10%；从另一个角度讲，他分期付款买这部手机比市价多付了600元，而手机却从他购买之日起就在不断贬值。因此，小陈深感不值、不爽。

但也有人力挺校园贷，理由是能解燃眉之急。

伶伶来自农村，上的是三本，学费每年1万多元，因家境不好，父母倾其所有，也仅能帮她交学费，生活费得靠她自己解决。伶伶自己解决的办法最初是摆地摊，很辛苦，在繁重的学业之余要进货、守摊，常常要经受风吹日晒甚至雨淋。2015年她想开个网店，但1万元的启动资金难住了她。一筹莫展之际，有人给她出主意，说现在有很多专门针对大学生消费、创业的网贷平台，可提供小额贷款，手续简单。伶伶上网一搜，信息非常多。经过认真筛选，她最终从一家客户反响较好的贷款公司贷了1万元，虽然利息一年算下来有2000元，不算低，但解决了她急需的资金问题。伶伶签合同时特地请学法律的朋友帮忙把关，然后每月按时还款，一年下来，她还清了贷款，网店也开始赢利。

现如今，像小陈和伶伶这样有过网贷经历的大学生不在少数，贷款的目的多为购买电脑、手机等电子产品，也有的是用来创业、旅游或教育培训等。

“无担保、无抵押，当日放款。”“轻松易贷2000～10000元现金。”“首次500元以内免息，最高3000元提现……”类似的广告在校园内、微信朋友圈、QQ群里随处可见。贷款手续简单，只需提供身份证、学生证和一张银行卡，再留下老师、家长和同学的电话即可，无需任何抵押就能放款，少则几百元，多则数万元。一位使用过校园贷的同学说，这种借款方式很方便，而相比之下去银行办理手续就麻烦得多，还不一定贷得到。

“现在银行已经叫停了大学生信用卡业务，而大学生日常生活中又有买电脑、手机等大件产品的用钱需求。”中国人民大学法学院副院长杨东说，“爸妈给的钱不够，又不好意思跟同学借，面向在校生的小额贷款平台就有了市场空间。”

的确，校园贷在某种程度上给大学生们提供了便利。假如开展校园贷业务的平台能规范操作，而大学生们又能合理使用校园贷，这一新生事物无疑为大学生们打开了一扇“经济解困”的大门。可事实并非如此。

越便捷，越便“劫”

校园贷程序的简单化，在给申请者带来便捷的同时也给一些别有用心的人提供了可乘之机。校园贷市场鱼龙混杂，许多校园网络借贷平台唯利是图，让一些涉世未深、自控能力差的学生陷入“高利贷”“连环贷”陷阱。不少有过校园贷经历的同学都追悔莫及。

家在农村的大学生小余在大二时交了女朋友。为了在女友面前显得大方，每次约会他都挑有情调的咖啡馆或酒吧、餐厅、影院等，一次消费至少200元以上，有时一周要花掉过去一个月的生活费。

为钱犯愁的小余在校园广告栏里看到有关校园贷的小广告：“月息低至0.99%，90%借款一小时内到账，最高可借5万元！”当时口袋里只剩100元的他顿时眼前一亮，立马打通了某贷款平台校园代理人的电话，迅速办理了1万元的贷款手续，分24期还。3个小时后，审核通过，小余的银行卡上到账8000元，根据办理时签的合同，余下2000元作为押金在他全额还款后到账。

nlc202309082141

手上有钱的小余一边乐得跟女友约会，一边按时还贷。按照当时广告上宣传的0.99%的月利率，借款1万元，分24期还款，采用标准的等额本息还款法，每月应还470多元。而事实上，小余每月却要还510多元，比应还款多40多元，原因是网贷平台每月的利息都是以本金1万元来计算，并不会随着每月还款本金的减少而减少。这样算下来，月利率在1.78%左右，远高于广告宣传中的0.99%。

5个月后，小余银行卡上的余额已不足500元。这天又到了还款的日子，他不得不找同学借钱。借了几个人，只有一个人答应借他500元，但要到第二天才能给他。小余心想，不就晚一天还款嘛，大不了多出几块钱的利息。可让他万万没有想到的是，第二天还款时，对方告诉他，因为他逾期还款，那2000元押金没收，剩下的尾款也必须一次性还清，否则就通知他学校和他父母。

小余当时就蒙了，不仅2000元押金没了，还要一次性还清余款数千元，他根本无能为力。但如果不还，对方一旦通知学校和家长，不仅事情更麻烦，他在女友面前也会颜面扫地。这么一想，小余决定撒个谎跟父母要钱，没承想，他一拨通家里的电话，妹妹就带着哭腔跟他说：“哥，咱爸被车撞了，正在医院抢救，妈怕你分心不让跟你说……”妹妹话还没说完，小余就晕了过去……

该来的最终都来了：女友离开了小余；学校政工干事出面帮他要回了2000元押金，动员同学筹钱帮他还了余款，但同时在全系对他进行了通报批评。

比起小余，大二学生“豪哥”因为校园贷闹的动静要大得多。

“豪哥”家境不错，父母开了三家建材连锁店，他上大学后每个月仅生活费就高达七八千元。因为有钱，他出手大方，周围很快聚集了一帮爱玩的同学，大家都尊称他“豪哥”。

去年底，“豪哥”迷上了游戏机赌博。像大多数赌徒一样，他的运气总是不佳，家里给的生活费大都被他喂进了赌博机。为了扳本，他编各种理由跟家里要钱，但很快被识破。家里对他采取了经济控制，这让他雪上加霜。已赌红眼的“豪哥”就是这个时候接触校园贷的。第一次，他贷了1万元，以为立即就能赢钱扳本，每个月几百元利息不算什么。可不幸的是，1万元很快就输光了。为了补窟窿，他不得不再次贷款……如此恶性循环，拆东墙补西墙，很快他就上了网贷“黑名单”，不仅贷不到款，还天天被催债、要挟。走投无路，他想到了身边那帮跟他蹭吃蹭喝的哥们儿，以家里让他新开一家连锁店急需资金为由，找同学们要身份证、学生证办理校园贷。“到时候我会按投资数额给大家分红，不会亏待哥们儿的！”他信誓旦旦。知道他家有钱，同学们都深信不疑。

仅仅一个多月，“豪哥”便输掉十几万元，这些钱，都是他以同学名义办理的贷款。同学们很快就陆续收到了莫名其妙的催债电话，他们这才知道，自己被“豪哥”拉进了连环贷陷阱。

事情败露后，虽然父母最终出面帮“豪哥”还了贷款，但所有参与贷款的人，包括“豪哥”和他的十几名同学，都背上了不良信用记录。

而女大学生小美的校园贷经历，则更像是一场噩梦。

小美性格外向，是个开朗、泼辣的女孩。她追求时尚，吃穿用玩都喜欢赶时髦，但跟一般追求高消费的同学不一样，她非常自立，从不向家里多要钱，一上大学就开网店、炒股票，自己挣钱自己花，一开始她还真赚了些钱，是不折不扣的校园“款姐”。2015年下半年，因为股灾，小美持有的股票被深套，而网店又急需资金周转，一向敢“吃螃蟹”的她选择到校园借贷平台筹资救急。

10月初，小美加入了一个QQ群，里面都是某借贷平台上的借款人和用款人。聊天中小美得知，有一种借款方式叫“裸持”，即以手持身份证的裸照为抵押进行借款。而“裸持”的借款额度是普通借款额度的2至5倍，但逾期不还也将面临裸照被网上公布的危险。小美明知“裸持”的风险，但她想周转个把星期应该没问题，即便到时候网店抽不出资金来还款，她至少可以割肉抛股票。

可事情偏偏就那么赶巧。小美通过“裸持”以30%的周利率贷款

1万元，却进了一批质量有问题的货，一周后要还款时，网店却遭遇大量退货，而更为不幸的是，她持有的3只股票，虽然合计市值近20万元，但居然同时停牌，想割肉套现都不能。眼看“裸持”借来的1万元已滚成1.3万元，小美束手无策。而借款方却威胁她：“我有你的裸照，不按时还钱的后果你懂的！”小美六神无主之际，群里有人给她出主意：可以向其他借款人贷款缓解一下。小美知道这是权宜之计，但除此之外也别无他法。就这样，高利贷越滚越多，小美通过借贷平台总共向10位出借人先后借款13万余元，短短4个月时间连本带息就滚到了26万余元。幸好她持有的三只股票先后复牌，虽然都亏损累累，但小美毫不犹豫地割肉出局，还了26万元欠债中的17万元，剩余9万元分属5名债主，就是说，还有5个人手里有她的裸照，若她不能按期还钱，还有裸照随时被公之于众的危险。

事已至此，好强的小美决定一了百了。一个周末的晚上，趁室友回家，她服下了大量安眠药。幸运的是，有一位同学前来找她，发现状况后把她送进了医院。

最终，家人借遍亲友替小美还清了贷款，但她从此郁郁寡欢，不愿见人，父母只好给她办了休学手续。如今，小美的家人在承担债务压力的同时，还要面对周围人对女儿的指指点点，更让他们担心的是，女儿不知何时才能恢复正常。

债务缠身、名声扫地、身心受伤、殃及同学、累及家人，甚至有的人在虚假宣传诱导下走上违法犯罪道路……不良校园贷给大学生带来的危害已经到了不容忽视的程度。

向不良校园贷说不

从众多校园贷案例中不难看出，许多校园网贷平台存在审核不严、高利率、高违约金的特点。长期关注校园贷问题的河南豫龙律师事务所律师付建认为，这些校园贷平台实际上是高利贷平台，是利用大学生金融知识匮乏以及心智不成熟，钻监管空子，打法律擦边球牟取暴利。

有业内人透露校园贷陷阱：一是看似优惠，实则采取“阴阳利率”，暗中取利。低分期利率是不少网贷平台吸引学生的手段，标示月利率一般为0.99%至2.38%，但实际利率往往远超信用卡分期费率，比如他们在按照标明利率收取利息的同时，再以收押金和服务费的方式重复取利，业内称之为“阴阳利率”，两项一合计，往往远超广告宣传中的标示利率。而且，一旦逾期还款，更要支付高得吓人的违约金。二是看似额度小，可一旦陷入“连环贷”就没有尽头。贷款人往往自身存在或经借贷方诱导后出现超强的消费欲望和侥幸心理，同时接触十几种贷款，拆东补西，越滚越大，最后一家家加起来就成了巨额欠债。三是看似一人贷款，实则牵连父母和同学。一旦贷款公司找到学校，这些学生怕父母知道，一般会寻求同学、朋友的帮助，最后走投无路时还得由父母兜底。

nlc202309082141

不久前，银率网总结了不良校园贷的四大原罪：其一，向没有还款能力的在校学生发放贷款，且在还款期限等方面未考虑学生还款来源及可能性，违背了金融业务的适当性原则，是风险和问题的根源。其二，虚假宣传、过度诱导，甚至采用类传销方式推广，致使学生非理性或被引诱借款。其三，利息及各种费用畸高，形成了变相高利贷。据银率网统计，目前涉及校园借贷的平台，借款利率普遍较高。近日爆出“裸条”借贷事件的借贷宝，其利率更是高得惊人，周利息30%，折算成年利率竟高达1560%。其四，催收手段野蛮，很多带有人身威胁性质，甚至丧失道德底线。

针对高发的校园贷案件，2016年4月，教育部和银监会联合下发了《关于加强校园不良网络借贷风险防范和教育引导工作的通知》，要求加大不良网络借贷日常监测、实时预警、应对处置机制。通知要求，各高校要建立校园不良网络借贷日常监测机制，联合银监局等相关部门密切关注网络借贷业务在校园内的拓展情况；高校辅导员、班主任、学生骨干要密切关注学生异常消费行为；各方要及时提醒风险，及时预警。

虽然《通知》对加强校园贷管理做了明确规定，但有关专家认为，更重要的是规范网络借贷平台，严格管控其资金流向及渠道，确保资金被合法利用。一方面，应严格审核借贷平台资质，提高贷款公司的准入门槛；另一方面，限制网络贷款的利率，特别是针对大学生的网络借贷利率不能高于一定水平。“目前信用体系还不完善。有关部门应该对平台加强监管，借贷平台要对大学生贷款资质进行较为严格的审核，对虚假信息审核不实的，平台要承担责任。”中国人民大学法学院副院长杨东建议。

绷紧风险教育这根弦也至关重要。不管是学校还是家长，都应做好防范措施，教育学生理性消费，合理规划。保护大学生，教育大学生，校方与父母更是责无旁贷。学校和家长理应在思想引导、财商培养、风险教育上下功夫。只有家庭和学校教育都跟上了，才有助于提升大学生的责任意识，让他们树立正确的借贷与消费观。

作为大学生本人，面对校园贷时也应擦亮眼睛。青少年维权在线日前发布了校园贷风险警示：在签署贷款协议时，一定要仔细阅读协议条款，尤其要注意协议中除利息以外的手续费、违约金等项目，不要轻信商家宣传；要保管好自己的身份证件和其他个人信息，不要将证件借给他人使用；如果已经申请贷款，一定要按时还款，若遇到还款困难应及时向父母或老师求助，切忌同时在多家平台间互贷互还；如果确有提前消费需要，可向父母说明情况预支生活费，或向同学、朋友求助；使用分期付款消费时，选择信誉度较高的购物平台。

公安部门则特别提醒，万一因校园贷发生纠纷或受到威胁，应及时报警，寻求警方帮助。

〔编辑：冯士军〕

校园一卡通系统的安全评估分析 篇7

一、信息安全风险评估研究

随着网络和信息技术的发展, 互联网技术应用高速发展, 很大范围内出现了大量黑客攻击的现象, 信息战的理论逐步发展, 政治、经济、军事和社会活动对电子信息的依赖程度达到了空前的高度, 因此对信息系统安全评估和研究日趋完善。国内由于信息系统的应用相对较晚, 关于安全风险评估研究起步也较晚, 目前整体处于起步和借鉴阶段, 在信息安全风险评估的研究上还处于跟随国际标准的探索阶段。

二、校园一卡通系统信息安全风险评估的要素

根据对信息安全风险评估要素模型的研究, 我国国务院信息化工作办公室发布的《信息安全风险评估指南》。校园一卡通系统信息的安全不同于一般的信息安全, 是学生与家长关注的重点, 依据国际上的安全评估标准和我国的《信息安全风险评估指南》对校园一卡通系统信息安全评估模型进行研究。

目前行业里面数字化校园一卡通系统的安全性问题主要包括以下几点:数据库安全、网络安全、买卖时卡片安全和交易时信息的安全, 可以说, 安全决定校园一卡通系统的生存, 所以一卡通系统必须把安全放在首位。由于校园一卡通系统既要为学校人员信息、资产信息、教学资源、生活资源等的数据信息, 提供数据平台, 又要为师生等提供校内消费的交易平台, 为此对每一环节的安全细节都要仔细考虑, 思索能不能防止、要不要防护, 该如何排除相关安全隐患等一系列问题, 通过技术和管理手段, 去构建一个全面的、可靠的安全防范体系, 确保一卡通系统能够高效、安全、可持续运转。

三、校园一卡通系统信息安全风险评估模型的构建

学校一卡通信息系统目前没有一个完全成型的关于风险评估的指标体系, 因此在筛选评估指标的时候要参照评估标准, 以满足安全的需要。通过进行调研, 参考相关文献, 融合技术因素和管理因素中的人员、软件、硬件、网络、信息资源, 充分考虑系统中信息资源安全的重要性, 结合改进后的校园一卡通信息系统安全风险评估模型, 筛选建立一卡通信息系统安全风险评估的分层次指标体系, 构建基于层次分析法 (AHP) 的信息安全风险评估模型。

层次分析法 (AHP) 是一种能将定性与定量分析相结合的分析法, 对于不能建立数学模型的问题进行定量分析, 是人们对复杂问题分析思维过程的数量化、模型化的过程, 分析多目标、多准则的复杂大系统时可以将复杂问题分解为若干层次和诸多指标, 在各层指标之间进行元算和比较, 具有思路清晰、方法简便、系统性强的特点。

构建层次分析模型的步骤:首先, 把要解决的问题分层化, 即根据问题的性质和达到的目标, 将问题分解成为不同的组成因素, 按照因素之间的因素影响和隶属关系将其分层聚类组合, 形成了一个递阶的、有序的层次结构模型。其次, 对模型中每一层次每一因素的相对重要性, 依据人们对客观现实的判断给予定量表示, 再利用数学方法确定每一层次全部因素相对重要性次序的权值。最后, 通过综合计算各层因素相对重要性的权值, 得到最低层相对于最高层的相对重要性次序的组合权值, 以此作为评价和选择方案的依据。

为了全面客观地评估校园一卡通系统信息安全风险, 需要设计校园一卡通系统信息安全风险评估指标体系, 为此建立以下六个维度的指标体系:物理环境安全 (机房物理设施、温湿度、物理监控、电源安全) , 网络设备安全 (路由器、交换机、服务器、网线、网络接口) , 人员安全 (人员安全管理制度、使用人员能力、使用人员安全意识、人员岗位职责、机房访问策略、身份认证、权限管理控制) , 通信操作安全 (防火墙控制、防病毒、介质安全、配置管理、入侵检测、网络隔离、通信加密、文档、重要信息分类、数据备份) , 组织安全战略 (信息安全组织机构、组织安全意识、安全保障能力、预警能力、组织安全教育与培训、信息安全发展规划) , 系统安全 (操作系统访问控制、数据库访问控制、应用系统访问控制、系统开发与维护) 。

建立完层次结构模型将所有的因素进行分级后, 把每一组作为一个层, 按照最高层、相关的中间层和最低的措施层的形式排列起来。结合一卡通系统安全风险评估的指标体系, 最高层表示解决问题的目的, 即目标层, 校园一卡通系统信息安全风险评估目标 (A) ;中间层准则层, 影响目标实现的准则, 包含六个方面 (B) ;最低层措施层, 实现目标的方法或措施共计三十六项 (C) 。

根据层次模型递阶结构中相邻层次指标间的相关程度, 构造判断矩阵, 通过数学方法, 进行层次单排序, 判断矩阵各因素针对其准则的相对权重, 并对判断矩阵进行一致性检验;通过矩阵运算, 计算各层元素对系统目标的合成权重, 进行层次总排序, 为了评价层次总排序的结果的一致性, 需要进行一致性检验, 一致性检验结果小于0.10时, 获得层次总排序的计算结果具有满意的一致性, 分析结果可以提供相应的安全决策依据。

目前AHP主要是作为一种辅助决策工具, 它只有和其他方法有机结合, 才能取得比较好的使用效果。从现有的研究成果看, 与AHP结合使用的其他方法有模糊集理论、模糊逻辑、数字规划、成本收益分析、人工神经网络、证据推理、数据包络分析、仿真、数据挖掘等。

校园网络安全风险评估 篇8

一、效果评估指标体系的确立

确立评估指标体系是能否有效发挥文化建设效果评估作用的关键, 是高校校园安全文化建设量化管理实施的关键环节。指标体系的设置要体现科学性、客观性和全面性, 通过该指标体系, 要能够客观公正地反映高校的安全文化建设现状。根据安全文化学的形态体系, 评估范畴可分为安全观念文化、安全行为文化、安全管理文化、安全物态文化。本文依据安全文化的本质内涵, 结合高校安全文化建设的实践, 确立了高校校园安全文化建设评估的指标体系, 见表3。

二、效果评估指标权重的确定

指标权重的确定与指标体系本身的设计同等重要, 是决定效果评估是否科学的重要方面。

(一) 权重的定义

权重是指该指标在同类指标中重要度的量化, 或是某个客体在同类可比客体中的客观事实的量化。在整个高校校园安全文化指标体系设计中包含了两种权重的设计, 一种为评估指标权重的设计 (以下简称为指标权重) , 另一种为下属单位的评比加权系数 (以下简称为加权系数) 。

(二) 权重的确定

目前, 权重的确定方法较多, 其中, 层次分析法 (AHP) 可对原始观测数直接加权运算进行综合排序, 未减弱原始信息量, 使评价指标逻辑判断量化, 且可保持判断思维全过程的一致性。在综合评价中为了突出主要的影响因素, 客观合理地评价安全文化建设成效。为此, 本文采用AHP来确定指标的权重。

层次分析法的提出者, 美国运筹学教授T.L.Saaty认为, 若某个实际问题涉及到n个因素, 要问每个因素在整体中各占多大比重, 当确切依据很不充分时, 就只有凭专家经验进行判断了。但是只要n≥3, 任何专家都很难说出一组确切的数据。然而, 若从所有因素中任取两个因素进行对比, 在行的专家一般都可以用“同等重要”、“稍微重要”、“明显重要”、“十分重要”、“极其重要”等定性语言说明其中一个因素比另一个因素对总体而言的重要性程度。Saaty建议将这些定性语言量化, 并引入函数表示对总体而言因素x比因素y的重要性标度。若>1, 说明x比y重要, 若<1, 说明y比x重要, 当且仅当=1, 说明x与y同等重要, 且约定=1/

。在高校校园安全文化建设评估体系中一级指标有4个, 根据安全文化建设的实际情况, 专家对这4个指标的重要性进行打分。相对重要性与分值对应关系见表1。表1相对重要性与分值对应关系

从而得到判断矩阵A为

A为正互反矩阵, 可以采用和法或根法近似求解A的特征向量, 现采用和法求解。将A按列归一化得到矩阵

将矩阵按行相加, 得到向量W'= (1.175, 1.0007, 1.0275, 0.7969) T, 将W'归一化得到= (0.2937, 0.2502, 0.2569, 0.1992) T

然后根据公式 (1)

计算出

再根据公式 (2)

代入数值, 计算出

Saaty给出了一致性指标RI值如表2。

根据, 得到<0.1, 满足一致性要求。从而确定评估体系中一级指标的权重, 可以确定相应各级指标相对上级指标的权重, 如表3。

三、效果评估的实施

根据现代评估理论, 有效的评估全过程是闭合循环的过程, 即PDCA循环过程, 它所表示的是计划、实施、检查、提高, 是全面质量管理的基本思想。囿于篇幅, 本文仅阐述计划与实施两个阶段。

(一) 计划阶段

安全文化评估的计划准备阶段一是要设立评估组, 并进行培训, 确定评估方法和时间;二是要对评估表格进行优化和修改, 确定符合实际的权重指标, 并通知被评估单位。安全文化评估通常由上级相关部门牵头组织, 可以选取院校相关领域专家和地方管理经验丰富的领导同志共同组成评估组, 负责评估的具体实施。评估对象选择应当合理, 应当能够代表高校的安全文化建设水平, 既可以采用分层抽样的方式, 即按照各级领导、教职员工、学生的比例分别抽出具有代表性的人员参与评估, 也可以采用区域抽样的方式, 按照不同的工作单位、不同的专业特长选择部分人员进行评估。

(二) 实施阶段

主要是评估者有计划的集中实施评估, 在评估过程中, 每个三级指标均取满分为100分, 评估者采用抽样问卷、统计确认、专家评定等方法, 对高校安全文件记录、现行法规执行情况、安全文化活动组织情况等进行打分, 得出各项的分值。然后将每个指标的得分乘以相对权重, 累加求上一级指标的得分, 从而确定高校校园安全文化建设情况的总分值。其计算公式为:T=

其中, T表示总分, TM表示下一级指标Μ的得分, 表示指标M的相对权重。例如, 二级指标a1的得分Ta1计算公式如下:Ta1=

评估满分为100分, 按照90分以上为优秀, 80分~89分为良好, 70分~79分为一般, 60分~69分为及格, 59分以下为不及格的评价标准, 逐一划分。将每个下属单位的总得分乘以相对加权系数后相加得出该单位的得分, 各下属单位的得分用于各个下属单位间安全文化建设水平的横向比较, 得到的总分即为单位安全文化建设量化评价结论。

摘要：加强高校校园安全文化建设, 实现“要我安全”到“我要安全”转变, 是新时期高校安全管理的永恒课题, 是实现安全发展的必由之路。论文以安全文化的基本概念和功能为起点, 构建了高校校园安全文化建设效果评估体系, 阐明了安全文化建设的评估实施过程。

关键词：高等学校,安全管理,安全文化,效果评估

参考文献

[1]徐德蜀, 邱成.安全健康新知丛书——安全文化通论[M].化学工业出版社, 2004

[2]解放军报, 2006;3;29, 第一版

[3]彭祖赠, 孙韫玉编著.模糊 (Fuzzy) 数学及其应用[M].武汉大学出版社, 2002

校园网风险分析及安全管理技术 篇9

1 校园网面临的安全问题

互联网的使用情况和涉及范围扩展到全世界的各个角落, 互联网技术有着开放且系统的特点, 并且它本身资源共享能力极强;这也进一步刺激了现今网络多媒体的技术革新与迅猛发展。然而, 凡事都有两面性, 互联网新时代的到来和普及, 虽然方便了我们的生活, 但是它本身在一定的程度上也十分的脆弱。由于因特网本身的开放性很强, 因此, 也就为各种各样的信息提供了可以传播的途径, 这也就使得计算机在进行网络连接的时候处在危险的网络传播情况之下;科技在更新, 时代在进步, 随之而产生的安全隐患问题也在滋生和泛滥, 这种情况严重影响了学生在校园所接触的校园网络安全性。笔者从校园网络建设的实际角度出发, 对校园网络安全建设和风险分析进行了相关阐述, 就目前的调查取证来看, 现今校园网络安全所面对的问题有以下几点。

1.1 网络蠕虫对校园网络安全的侵蚀隐患

在我国, 计算机的主要侵害来源于电脑黑客和网络蠕虫病毒, 这种蠕虫病毒会在用户进行计算机与网络的使用时对电脑和网络进行侵蚀, 使得用户受到危害, 同时也威胁到了个人信息和网络整体结构的安全。

1.2 网络电脑黑客

大部分人对黑客并不陌生, 然而很多普通人并没有直接被黑客入侵过, 黑客主要会对有重要价值的目标进行攻击, 他们的存在是造成校园网络风险的直接隐患;因为校园网络的用户较多, 因此有一些人就会通过网络协议或者是操作系统的漏洞钻空子, 进行非法内容的浏览下载, 或是随意删改数据, 甚至于很多的黑客会直接将魔爪伸向高中校园的网络和系统当中, 对重要资料及资源进行窃取。

1.3 校园网络资源的内部滥用

我们所搭建的校园网络是一个低价格面向学生的网络平台, 因此学校内部的用户会进行大量注册, 并且在网络上进行大面积的资源下载, 这使得网络造成拥堵, 不仅影响了其他的用户, 同时还可能造成校园网络系统的崩溃。

1.4 不良网络信息的传播

在各种占用校园网络的因素中, 最为可恨的就是那些垃圾邮件和不良信息的下载传播, 大量的下载不但造成网络塞车, 而且还会使得不良信息在学生之间进行大肆传播, 毒害学生的思想。

2 校园网风险

2.1 物理风险隐患

学校网络的物理安全是整体安全建设的基础, 它直接影响到整个校园网络环境及学生教师之间使用设备的安全性, 然而校园的网络范围涉及非常广泛, 任何组织和个人都不可能随时随地的进行实时监控, 这对于校园来说是一个很严重的障碍隐患, 物理安全隐患可以直接破坏整个校园网络的软件和硬件设备, 后果极其可怕。

2.2 校园网络安全

由于各大学校的网络在设计的时候都是从安全角度出发, 因此网络安全就相应出现一定漏洞和不足, 因此校园计算机互联网中也就存在着非常多的安全隐患和潜在威胁。

2.3 系统层次的安全隐患

现今我国校园网络当中的内部用户所使用的系统, 其本身不会十分完美, 并且各种软件的代码研发范围较广, 使得系统经常性的出现各种漏洞, 这些安全漏洞存在着极大的风险, 学生的网络和电脑使用都时时刻刻在受到威胁。

2.4 应用层面的安全风险

在高校网络设施当中, 普遍的网络设施都存在着公共的信息服务器, 比如网页服务与网络邮件服务等等, 然而这些服务当中也有着各种各样的风险和漏洞, 同时又不容易被安全软件和用户所察觉出来, 因此也就时时刻刻在威胁着学生的安全。

3 校园网络的风险安全有效管理制度

学校网络的安全构建最为关键的环节就在于应用软件的控制, 由于各种软件争先恐后的翻新, 为提高自身竞争力, 许多软件应用加入了自己的技术, 使得管理变得更为复杂, 因此校园网络的安全监控和主动防御策略显得尤为重要。

3.1 安全防护措施

校园网络想要保证自身安全, 必要的一点就是进行有效地安全防护, 这种防护能够有效保证网络洁净, 阻止一切不文明信息的介入和传播, 同时, 它还能有效抵抗校园网络自身对于防火墙外的威胁。这种策略制度主要实行方案为:加强网络病毒的杀查, 对网络用户进行身份信息实名认证, 对主机和主体系统进行有效的加密及备份, 加强校园网络的防火墙等。

3.2 安全审核措施

对于校园网络进行安全审核策略, 主要体现在网络登记、实时监控、随机检查及网络环境监测等。一旦发现漏洞或有攻击入侵行为的病毒或软件, 要立刻进行全面杀查, 对网络流通的信息要进行严格的审核检查, 确保校园网络的环境安全及高效运行。

4 结语

随着信息时代的发展更替, 社会和校园对于网络的依赖也变得越来越严重, 因此如何合理化的建设安稳高效的校园网络是我们相关研究人员的重要课题, 对于学生而言, 校园网络不但方便了学习, 同时也增添了课余时间的乐趣;因此社会各界要严格加强对于校园网络文明和谐的严格把关控制, 真正建设起一个让学生使用起来更加安全干净的网络环境。

参考文献

[1]马宜兴.安全与病毒防范[M].上海:上海交通大学出版社, 2015 (9) .

校园网络安全风险评估 篇10

学校、政府部门、金融机构、企事业单位和商业组织等对信息系统的依赖程度日益加深,而高校校园网作为高校教育科研的一项重要基础设施,其规模逐年扩大,网络本身具有的开放性和互联性等特点,使校园网面临着外部黑客入侵、局域网内部攻击、 蠕虫病毒、信息失窃、物理故障等各种网络安全威胁。此时信息安全风险评估尤为重要,可以利用风险评估的结果来确定随后的控制策略并选择成本效益合理的、适用的安全对策来规避网络威胁。因此,针对校园网选用适合、高效的风险评估方法非常关键。 本文将基于动态Bayes网络的评估方法应用到校园网风险评估中,建立的模型更加合理可行,评估结果准确度更高,给决策者提供了有力的支持。

1动态Bayes网络介绍

Bayes网络是一种概率网络,它是包含概率信息的有向无环图,包括网络结构和网络参数。网络结构是由节点及连接这些节点有向边构成,节点代表随机变量,有向边代表节点间互相关系, 网络参数即表征节点间关系强度的条件概率表。Bayes网络是一种将因果和概率相结合的信息表示框架,并逐渐成为不确定知识表达和推理领域最有效的模型之一,它没有固定的输入或输出节点,任何节点证据的获得都会对其它节点的状态造成影响,同时支持由果及因的诊断推理和由因及果的预测推理。

动态Bayes网络是Bayes网络的一个特例,表示一个时变过程,由有限或无限个时间维度上的切片组成,每一切片均为一个Bayes网络,相邻切片的Bayes网络通过由网络中节点指向下一时刻相同节点的有向边相连,有向边可以通过X0(初始变量)的概率分布P(X0)及相邻两个节点的条件概率分布量化。动态Bayes网络适用于随时间变化的结构或系统,能加入结构或系统的测量信息,进行实时更新。

2基于动态Bayes网络的信息安全风险评估方法

基于动态Bayes网络的信息安全风险评估方法就是将动态贝叶斯网络应用到信息安全风险评估模型建立中,它是一种基于模型的评估方法。基于模型的评估方法可以分析出系统自身内部机制中存在的各种危险性因素还能够发现系统与外界环境交互中不正常、有害的行为,从而定性分析系统脆弱点和安全威胁。基于建模的风险评估方法主要有基于图的建模方法和模型检测等, 如基于模糊-小波神经网络的评估方法、基于逻辑渗透图模型的评估方法、基于模糊层次法的评估方法、基于离散动态Bayes网络的评估方法等。其中的基于模糊层次法的评估方法、基于模糊-小波神经网络的评估方法可以应用于各个风险因素级别的计算;基于逻辑渗透图模型的评估方法、基于离散动态Bayes网络的评估方法可以动态实时的对网络信息系统进行风险评估。

基于动态Bayes网络风险评估方法基本推理过程如下所述: 首先初始化模型,使用指定的网络初始状态和条件概率进行;在某一时刻如果检测到新的风险指标变量信息,也就是说更新网络的叶结点信息或网络的观测结点的信息时,则进行网络模型的推理,使用相应的推理算法后得到网络风险的后验概率,即可更新整个网络结点状态的概率分布,而下一时刻推理的依据就是刚刚更新过的后验概率分布;然后不断往模型中输入时序观测数据, 就可得到网络实时风险,进而采取相应的措施实时的控制风险。

这种评估方法可定量化描述评估过程,本身贝叶斯在数学上的可靠性使得此方法建立模型相对标准,也能够反映评估的连续性和累积性。

3高校校园网的特点及风险分析

3.1高校校园网的特点

高校校园网是局域网基础上发展而来的,它与电子政务、电子商务网站相比有很大不同,具体体现在以下两个方面。

(1)用户群体:大学生是校园网的主要用户群体,他们计算机应用水平较高且用户数量大,表现欲、好奇心会让他们尝试更多的网络攻击技术,对信息安全意识和版权意识也相对薄弱, 会浪费网络带宽并带来很多的安全隐患。

(2)网络环境:校园网用户量大、带宽高,网络安全问题蔓延速度快,影响也就比较严重;校园网络环境具有开放性、计算机系统的复杂性的特点,这样就会带来安全管理上的难度。

3.2校园网的风险分析

校园网目前主要面临的风险有:教室和机房计算机等公共用机病毒交叉感染、泛滥,导致重要数据的破坏和丢失;机房报警系统,设备供电故障,火灾、雷电,人为操作失误或错误等物理安全风险;网络自身存在的安全缺陷;校园网接入点多、公共资源多,容易受到各种非法入侵和攻击,破坏信息的有效性和完整性;管理制度不够健全、定期检查不够深入导致管理人员对突发危机事件处理能力较差等。

规避这些风险除了加强技术支持外,更重要的就是进行信息安全管理,其中风险评估是最关键的一环。要对威胁网络安全的因素和漏洞进行更好地掌握进行有效的控制风险,必须有效地对校园网网络系统所面临的风险进行评估。校园网风险评估是动态循环的,须对网络系统的风险进行长期的周期性评估和改进,降低校园网的安全风险,从而使校园网更安全。使用哪一种风险评估方法进行有效的评估是非常重要的工作。

4基于动态Bayes网络的风险评估方法在高校校园网中的应用

针对校园网风险评估动态性、周期性、实时性等特点,本文提出可将基于离散动态Bayes网络的评估方法应用到高校校园网风险评估中。

4.1评估过程

(1)识别网络中的风险要素。例如对校园网来说识别出的资产包括路由器、交换机和计算机硬件设备,软件资源还有电子数据与文档等;根据对校园网的特点和风险分析,识别出的威胁包括非授权访问、资产丢失、人为失误和网络攻击等;识别出的脆弱性包括物理保护措施不足、访问控制措施不严格、系统软件和网络设备安全漏洞等方面。

(2)建立风险评估模型。先建立基于专家知识的先验网络模型;对它进行扩展,根据相邻时刻变量之间的相互影响建立因果关系,从而得到转移模型,转移模型能够反映相邻时刻变量间的概率关系及其随时间变化的情况;把转移模型与时间信息结合起来,得到最终的评估模型。信息安全风险评估模型是一个带有隐含结点和观测结点的有向图,比如隐含结点有风险等级、资产价值、威胁和脆弱性,观测结点有物理保护措施不足、访问控制、 有形资产、数据与文档、非授权访问等,模型的结构反映了所有变量之间的因果关系,而这些因果关系的强弱由变量之间的条件概率表来表示。

(3)建立模型参数。采用专家咨询的Delphi方法确定网络中的条件概率,列出资产价值、威胁严重性、脆弱性发生频率的条件概率表;同样的,可得到有形资产、数据与文档、非授权访问、物理措施保护不足、访问控制不足等的条件概率表;列出在网络随时间变化的同时着这两个时间片间转换的状态转移概率表。

(4)模型推理。建立模型的目的就是对模型进行分析找到解决问题的方法,也就是要对对模型图中各个变量进行分析并对感兴趣的变量或事件结果进行推理,在此模型中可以通过观测结点变量的状态计算出隐含结点的概率。整个推理过程可以使用Netica软件得出仿真结果。

4.2评估方法的分析

基于动态Bayes网络的评估方法中建立的动态模型具有信息的时间累积的特点,对风险的评估能够较客观的考虑风险积累因素,其推理精度相比静态Bayes网络好很多,条件概率表中的数据更精确,更加符合实际情况,给决策者提供了有力的支持。

5总结

校园网络安全风险评估 篇11

关键词 网络安全 安全风险评估 仿真

中图分类号：TP393 文献标识码：A

当今时代是信息化时代，计算机网络应用已经深入到了社会各个领域，给人们的工作和生活带来了空前便利。然而与此同时，网络安全问题也日益突出，如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。网络安全风险评估技术很早前就受到了信息安全领域的关注，但发展至今，该技术尚需要依赖人员能力和经验，缺乏自主性和实效性，评价准确率较低。本文主要以支持向量机为基础，构建一个网络安全风险评估模型，将定性分析与定量分析相结合，通过综合数值化分析方法对网络安全风险进行全面评价，以期为网络安全管理提供依据。

1网络安全风险评估模型的构建

网络安全风险模型质量好坏直接影响评估结果，本文主要基于支持向量机，结合具有良好泛化能力和学习能力的组合核函数，将信息系统样本各指标特征映射到一个高维特征空间，构成最优分类超平面，构造网络信息安全风险二分类评估模型。组合核函数表示为：

K（x，y）=d1Kpoly（x，y）+d2KRBF（x，y） d1+d2=1

Kpoly为多项式核函数，KRBF为径向基核函数。

组合核函数能够突出测试点附近局部信息，也保留了离测试点较远处的全局信息。本文主要选用具有良好外推能力的d=2，d=4阶多项式。另外一方面，当€%l=1时，核函数局部性不强，当€%l=0.5时，核函数则具有较强局部性，所以组合核函数选用支持向量机d=2，€%l=0.5的组合进行测试。

2仿真研究

2.1数据集与实验平台

构建网络安全风险评估模型前，需要在深入了解并归纳网络安全影响因素的基础上，确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标，根据网络安全三要素，确定资产（通信服务、计算服务、信息和数据、设备和设施）、威胁（信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断）和脆弱性（威胁模型、设计规范、实现、操作和配置的脆弱性）为网络安全风险评估指标，从网络层、传输层和物理层三方面出发，构建一个完整的网络安全评估指标体系。将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。在此之后，建立网络评估等级，将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。确定评价指标后，构造样本数据集，即训练样本集和测试样本集。

为验证模型可行性和有效性，基于之前研究中所使用的有效的网络实验环境，构建实验网络，在实验网络中设计网络中各节点的访问控制策略，节点A为外网中的一台PC机，它代表的是目标网络外的访问用户；节点B网络信息服务器，其WWW服务对A开放，Rsh服务可监听本地WWW服务的数据流；节点C为数据库，节点B的WWW服务可向该数据库读写信息；节点D为管理机，可通过Rsh服务和Snmp服务管理节点B；节点E为个人计算机，管理员可向节点C的数据库读写信息。

2.2网络安全风险评估模型实现

将数据分为训练数据和测试数据，如果每一个训练数据可表示为1€？6维的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那么，整个网络信息系统安全性能指标矩阵为：

Rm=[R0，R1，R2，……Rm-1]

将这M个项目安全性能指标矩阵作为训练数据集，利用训练数据集对二分类评估模型进行训练，作非线性变换使训练数据成为线性可分，通过训练学习，寻找支持向量，构造最优分类超平面，得出模型决策函数，然后设定最小误差精度和最大训练次数，当训练精度小于预定目标误差，或是网络迭代次数达到最大迭代次数，停止训练，保存网络。

采用主成分析法即“指标数据标准化——计算协方差矩阵——求解特征值和U值——确定主成分”对指标进行降维处理，消除冗余信息，提取较少综合指标尽可能多地将原有指标信息反映出来，提高评价准确率。实际操作中可取前5个主成分代表16个指标体系。在训练好的模型中输入经过主成分析法处理后的指标值，对待评估的网络进行评估，根据网络输出等级值来判断网络安全分等级。

2.3实验结果与分析

利用训练后的网络对测试样本集进行测试后，得到测试结果。结果表明，基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价，评估准确率高达100%，结果与实际更贴近，评估结果完全可以接受。但即便如此，在日常管理中，仍需加强维护，采取适当网络安全技术防范黑客攻击和病毒侵犯，保证网络正常运行。

3结语

总之，网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。本文主要提出了一种基于支持向量机的二分类评估模型，通过仿真分析，得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。未来，我们还应考虑已有安全措施和安全管理因素等对网络安全的影响，通过利用网络数据，进一步改进评估模型和相关评估方法，以达到完善评估效果的目的。

参考文献

[1] 步山岳，张有东.计算机安全技[M].高等教育出版社，2005，10.

[2] 张千里.网络安全新技术[M].人民邮电出版社，2003.

校园网络安全风险评估 篇12

近年来, 校园治安事件频发, 昆明明通小学发生踩踏事件、湖北十堰学校校园内社会人员滋扰在校师生事件等, 严重侵害学生和学校权益的治安事件日益突出, 对安防系统的防范能力构成严重威胁。再加上早期安防系统设计时防护对象风险不明确, 防范威胁的手段的权重不分, 导致前期投入的财力、人力和系统取得整体效果相比性价比较低, 甚至出现安防系统形同虚设。为此公安部、教育部、中央综治办等部门联合出动制定了一系列的安防措施, 随着国家相关政策的出台, “平安校园”建设相继展开。因此本文借鉴“房地产投资风险”的概念, 提出了基于中小学校园安防风险级别设置安防保护等级的安防设计方法。

1 安防系统风险评价模型建立的程序

安防系统风险评价模型建立的程序图见图1。

2 根据不同防护目标的风险特性和安防需求, 对其进行相匹配的设计

1) 深入了解被防护对象的相关情况。

2) 根据实际情况, 需重点对防护目标进行风险级别的评价和安全防护设计。由于功能和业务性质的不同, 能够充分结合监控事件、报警信息和学校日常运行业务信息, 深入了解各部门有各自的安防需求, 确定各部门的关键保护对象。

3) 通过对防护目标的深入了解, 并参考大量资料分析防护目标可能面临的威胁事件, 对防护目标运用预先危险性分析法进行风险辨识, 制定出预先危险性分析表。

4) 防护目标的了解过程中只有固有基础防范设施, 从风险本身而言, 越早对其干涉, 产生的效果也越明显, 这就需要进一步设置防护目标风险评价其他参数建立风险评价模型。

5) 确定系统总体目标、功能目标和性能目标:总体目标保证系统的防护级别与被防护对象的风险等级相适应, 探测、延迟、反应相协调, 保护学校师生的人身安全, 避免财产损失, 使风险水平可控、可接受;功能目标保证物防、技防、人防无缝覆盖防护目标;性能目标提高人员反应能力, 增加防护措施。

6) 确定入侵场景, 针对具体项目的安全防范系统的不足之处, 寻找新的预警及备用方案, 更好使被防护对象风险达到可接受水平。

7) 指定初步设计方案。对照风险评价分析表可知此场景下风险等级, 对应级防护级别, 根据研究院相关人员及专家确认我们设计防范措施的选择范围。

8) 风险防护等级验证。在不改变外界风险变量条件下, 如果风险防护等级不可接受, 总体设计控制目标不理想。需要局部调整安防设计方案。局部调整时, 尽量采用技防或物防手段实现, 不得已时采用人防措施。再验证风险水平可接受, 总体设计控制目标得以实现。

3 安防系统

安防系统示意框图见图2。

4 系统功能

1) 平安校园综合安防系统包括视频监控系统、入侵报警系统等。采用集中监控管理系统平台, 把中校园不同安防子系统无缝整合在一起, 堵塞了管理漏洞, 各系统相互联动, 化被动预防为主动预警, 加强了对防范目标的有效控制, 提高了安防区域自防自卫能力和处置各种突发事件的快速反应能力, 保证了校园正常的工作和生活的秩序。

2) 系统设置学校安防专网, 专网能够实现与上级教育主管部门安防系统对接, 通过教育网可实现教育局和公安局以及相关政府部门的安防资源共享。

5 系统设计亮点

1) 全高清应用:设置高清摄像机、光端机、IP-SAN存储、高清解码器、视频综合平台以及高清显示大屏设备, 确保从视频采集、传输、存储、解码到最终视频显示的整个过程均为高清, 保证视频画面质量。

2) 降低传输带宽和存储空间:系统部分前端摄像机采用H.264 High Profile高压缩比的编码格式及高效的编码平台, 大大提升了视频的编码效率, 摄像机编码后, 720P分辨率仅占1 M~2 M带宽, 1080P分辨率仅占3 M~4 M带宽, 有效节省网络传输带宽和磁盘存储空间。

3) 系统自动诊断:视频质量诊断系统是对视频信号中存在的问题进行判断和告警, 该系统对前端设备的码流进行解码, 对图像质量进行分析、诊断与预警。若发现设备工作异常, 如清晰度异常, 亮度异常, 偏色, 噪声干扰, 画面冻结, 信号丢失等, 会及时提供报警信息和通知, 有效预防因硬件设备而导致的图像质量问题, 解决了传统设计不考虑安防设备自身存在的风险问题。

4) 系统联动:利用集中监控应用管理系统, 将学校各安防子系统有机结合, 实现系统间的联动, 并设计多种联动提醒机制, 如短信提示、客户端弹图、联动抓图录像等。化被动处理为主动响应, 提高事件的处理效率。

5) 与第三方系统无缝对接:系统基于先进的技术架构, 采用SOA面向服务的体系架构, 管理平台的联网设计基于GA/T 669, DB33及GB/T 28181等多项标准协议, 能够和上级管理系统或公安系统信息共享。

6 结语

安防系统风险评价模型的程序成功实现了对风险的检测与预告, 对风险有清晰的认识和理解, 在此基础上设立对应模型, 将所有安防信息有机组合并赋予不同的权重、综合分析潜藏在表象后的本质风险原因, 根据风险级别建立多级构架的校园综合安防系统, 客观、全面、科学的设置安防系统, 做到设防有主次, 投资有方向, 经济效益明显。笔者认为, 安防设计要定性、定量对外界环境和安防设备自身的风险级别进行评估, 根据风险评估级别合理设置防护等级, 使防护等级匹配被防护对象的风险级别, 是当下安防系统的新需求。

摘要：依据相关国家规范标准, 基于中小学校园存在安防风险设计多级构架的数字化校园安防系统, 全方位、科学的设置了综合安防监控系统, 实现了各种报警联动, 提升了学校处理突发事件的能力和全面监管工作的水平, 形成人防、技防、物防三防并举的立体防范格局。

关键词：视频监控,系统风险,联动,入侵报警,系统防护

参考文献

[1]GB/T 29315—2012, 中小学、幼儿园安全技术防范系统要求[S].

[2]GB 50395—2007, 视频安防监控系统工程设计规范[S].

[3]GB 50394—2007, 入侵报警系统工程设计规范[S].

[4]陈宝智.系统安全评价与预测[M].北京:冶金工业出版社, 2005:138-145.