張 晶

貴州大學(xué) 貴州貴陽(yáng) 550025

基于校園網(wǎng)的高校教務(wù)信息管理系統(tǒng)安全探討

張 晶

貴州大學(xué) 貴州貴陽(yáng) 550025

依托校園網(wǎng)建立的高校教務(wù)信息管理系統(tǒng)是現(xiàn)代化教學(xué)管理的一個(gè)重要手段。因此如何保障整個(gè)教務(wù)信息管理系統(tǒng)安全有效運(yùn)行是一個(gè)急需解決的問(wèn)題。并就教務(wù)信息管理系統(tǒng)安全存在的問(wèn)題，提出了實(shí)現(xiàn)系統(tǒng)安全應(yīng)達(dá)到的目標(biāo)和采取的措施。

校園網(wǎng)；教務(wù)信息管理系統(tǒng)；系統(tǒng)安全

隨著以網(wǎng)絡(luò)的廣泛、全面、深入運(yùn)用為特征的信息化時(shí)代的到來(lái)，學(xué)校校園網(wǎng)絡(luò)迅猛發(fā)展，以數(shù)字化校園網(wǎng)為依托，高校的教務(wù)信息管理也由原來(lái)的手工、桌面單用戶數(shù)據(jù)庫(kù)管理變?yōu)榻⒃谝訠/S,C/S模式下的網(wǎng)絡(luò)教務(wù)信息管理系統(tǒng)?；谛@網(wǎng)的教務(wù)信息管理系統(tǒng)，既可將教務(wù)工作的手工管理轉(zhuǎn)化為計(jì)算機(jī)網(wǎng)絡(luò)化管理，從根本上減輕教務(wù)人員的工作強(qiáng)度和壓力，也更好地利用了現(xiàn)有的校園網(wǎng)資源和環(huán)境，有助于學(xué)校管理工作的信息化、規(guī)范化，使各項(xiàng)工作更加準(zhǔn)確、方便、快速和安全。教務(wù)信息管理系統(tǒng)中包含著各種重要信息：教學(xué)計(jì)劃、學(xué)籍信息、選課信息、考試安排、學(xué)生成績(jī)等，一旦這些信息受到破壞就會(huì)對(duì)學(xué)校的正常教學(xué)產(chǎn)生極大的影響。因此確保教務(wù)信息管理系統(tǒng)安全正常的運(yùn)行是確保高校教學(xué)管理秩序穩(wěn)定和提高教學(xué)質(zhì)量的重要保障。

1 教務(wù)信息管理系統(tǒng)中主要存在的安全問(wèn)題

一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享性促進(jìn)了教務(wù)管理的信息化，另一方面也正是這方面的開放性和計(jì)算機(jī)本身的脆弱性導(dǎo)致了網(wǎng)絡(luò)安全方面諸多漏洞。由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征,致使計(jì)算機(jī)網(wǎng)絡(luò)在帶給人們便利的同時(shí)也導(dǎo)致網(wǎng)絡(luò)的不安全性，網(wǎng)絡(luò)被攻擊、侵害事件時(shí)有發(fā)生。

在C/S,B/S模式架構(gòu)下的教務(wù)信息管理系統(tǒng)在安全問(wèn)題上主要表現(xiàn)在以下幾個(gè)方面：

1.1 用戶安全

用戶密碼簡(jiǎn)單、賬號(hào)或密碼泄露、沒有安全退出應(yīng)用系統(tǒng)、用戶機(jī)感染病毒等，都直接影響到數(shù)據(jù)安全從而影響了學(xué)生網(wǎng)上選課和教師網(wǎng)上發(fā)布成績(jī)的真實(shí)性等，并降低了教務(wù)工作的效率。

1.2 服務(wù)器安全配置

一方面是Web服務(wù)器上系統(tǒng)代碼缺陷，由于設(shè)計(jì)不當(dāng)，使得代碼安全性過(guò)于脆弱，目前較為流行的Web入侵方式都是通過(guò)尋找程序的漏洞先得到網(wǎng)站的Webshell然后再根據(jù)服務(wù)器的配置來(lái)找到相應(yīng)的可以利用的方法進(jìn)行提權(quán)，進(jìn)而拿下服務(wù)器權(quán)限的。另一方面是來(lái)自服務(wù)器配置的問(wèn)題，當(dāng)安裝好服務(wù)器后，應(yīng)根據(jù)系統(tǒng)的實(shí)際運(yùn)行環(huán)境對(duì)服務(wù)器的配置參數(shù)進(jìn)行設(shè)置、調(diào)整，否則配置不當(dāng)?shù)姆?wù)器容易被一些未公布的系統(tǒng)漏洞攻破，嚴(yán)重威脅數(shù)據(jù)安全。

1.3 網(wǎng)絡(luò)負(fù)載缺陷

由于DDOS(分布式拒絕服務(wù)攻擊)的巨大威脅以及服務(wù)器網(wǎng)絡(luò)缺乏對(duì)數(shù)據(jù)的有效過(guò)濾，導(dǎo)致學(xué)生選課受阻，教師無(wú)法正常登錄考試成績(jī)，并發(fā)各類的網(wǎng)絡(luò)堵塞，影響教學(xué)管理工作的正常進(jìn)行。

1.4 病毒感染

病毒一直是教務(wù)信息管理系統(tǒng)安全最直接的威脅。病毒可以借助文件在網(wǎng)絡(luò)中進(jìn)行傳播和蔓延，利用被控制的計(jì)算機(jī)為平臺(tái)，破壞數(shù)據(jù)信息，毀損硬件設(shè)備，阻塞整個(gè)網(wǎng)絡(luò)的正常信息傳輸。

2 實(shí)現(xiàn)教務(wù)信息管理系統(tǒng)安全的目標(biāo)

根據(jù)計(jì)算機(jī)安全體系，我們可以把教務(wù)信息管理系統(tǒng)的安全結(jié)構(gòu)設(shè)計(jì)成如圖1所示的層次結(jié)構(gòu)：

圖1 教務(wù)信息管理系統(tǒng)安全層次結(jié)構(gòu)

2.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是最高級(jí)別的安全。它要求支撐教務(wù)信息管理系統(tǒng)的網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

2.2 系統(tǒng)安全包括兩方面

2.2.1 硬件方面的安全

服務(wù)器和客戶端計(jì)算機(jī)的安全，要保護(hù)這些硬件設(shè)施不受損害，能夠正常工作。

2.2.2 軟件方面的安全

操作系統(tǒng)安全和教務(wù)信息管理系統(tǒng)軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

2.3 用戶安全

只有那些真正被授權(quán)的用戶才能夠使用系統(tǒng)中的資源和數(shù)據(jù)。

2.4 程序安全

只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn)行合法的操作。

2.5 數(shù)據(jù)安全

教務(wù)信息管理系統(tǒng)中存儲(chǔ)及流通數(shù)據(jù)的安全，要保護(hù)在教務(wù)系統(tǒng)中流動(dòng)、交換數(shù)據(jù)的完整性、保密性、可用性，使其不被篡改、非法增刪、復(fù)制、解密、顯示、使用等，它是保障教務(wù)信息管理系統(tǒng)安全最根本的目的。

3 加強(qiáng)教務(wù)信息管理系統(tǒng)安全應(yīng)采取的措施

3.1 網(wǎng)絡(luò)安全措施

與校園網(wǎng)的安全機(jī)制相結(jié)合，在服務(wù)器上安裝安全性高的防火墻。利用防火墻,我們可以將教務(wù)管理系統(tǒng)所在的網(wǎng)絡(luò)和Internet分開,并在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度,允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)內(nèi)部網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)內(nèi)的重要信息。在教務(wù)信息管理系統(tǒng)的網(wǎng)絡(luò)中必須有專門的管理員對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控,由于防火墻只能基于IP層對(duì)訪問(wèn)進(jìn)行控制,不能監(jiān)控用戶的其他行為,對(duì)于內(nèi)部人員對(duì)服務(wù)器實(shí)施的攻擊也無(wú)能為力,所以管理員還需要利用入侵檢測(cè)系統(tǒng)實(shí)時(shí)地監(jiān)測(cè)所有訪問(wèn)服務(wù)器資源的用戶行為,對(duì)可能出現(xiàn)危害服務(wù)器的行為做出及時(shí)報(bào)警、阻斷響應(yīng)、同時(shí)提供日志記錄以供分析。

3.2 服務(wù)器安全措施

(1)由于FAT32文件格式不能限制用戶對(duì)文件的訪問(wèn)從而導(dǎo)致系統(tǒng)的不安全，因此服務(wù)器的數(shù)據(jù)分區(qū)應(yīng)該設(shè)置成NTFS的格式，防止用戶的越權(quán)訪問(wèn)，同時(shí)有利于防止病毒蔓延。

(2)安裝功能強(qiáng)大的防病毒軟件并及時(shí)對(duì)操作系統(tǒng)打補(bǔ)丁。

(3)配置完善的訪問(wèn)控制規(guī)則，嚴(yán)格分配用戶權(quán)限。權(quán)限的選項(xiàng)包括“訪問(wèn)”和“管理”兩種，“訪問(wèn)”表示用戶或角色能訪問(wèn)應(yīng)用系統(tǒng)資源的權(quán)限，“管理”表示用戶或者角色可以把相應(yīng)的資源進(jìn)行二次授權(quán)，即可以給別人授權(quán)。通過(guò)判定某個(gè)賬戶是否擁有某個(gè)資源的訪問(wèn)權(quán)限，就可以操控應(yīng)用系統(tǒng)的權(quán)限和對(duì)該資源進(jìn)行二次授權(quán)并根據(jù)不同的安全級(jí)別將用戶分為若干等級(jí),每一等級(jí)的用戶只能訪問(wèn)與其等級(jí)相應(yīng)的系統(tǒng)資源和數(shù)據(jù)。

3.3 用戶安全措施

任何一位系統(tǒng)用戶必須通過(guò)密碼登陸，并且密碼強(qiáng)度能夠應(yīng)付一般的密碼猜解程序的破解。對(duì)于B/S用戶的查詢?cè)L問(wèn)，系統(tǒng)提供密碼修改功能，且操作須在規(guī)定時(shí)間內(nèi)完成，否則應(yīng)重新登錄；對(duì)于進(jìn)行數(shù)據(jù)維護(hù)的訪問(wèn)，如進(jìn)行網(wǎng)上教師成績(jī)錄入，系統(tǒng)在每次開放錄入狀態(tài)之際，更新密碼并允許修改密碼，同時(shí)在登錄時(shí)，首先通過(guò)安全通道。

3.4 數(shù)據(jù)安全措施

教務(wù)信息管理系統(tǒng)中有大量的數(shù)據(jù)在互聯(lián)網(wǎng)中傳輸，其中部分信息可以以明文的形式存在于數(shù)據(jù)庫(kù)中,以提高數(shù)據(jù)存取、處理的效率,但重要信息在傳輸過(guò)程中必須加密以保證證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄浴⒖煽啃砸约巴暾?。因此在?shí)現(xiàn)的過(guò)程中,可以根據(jù)數(shù)據(jù)對(duì)安全性的不同要求選擇不同的加密方法?？梢圆捎肦SA公鑰體制對(duì)數(shù)據(jù)進(jìn)行加密。該體制保密性高,密碼分析的難度大,缺點(diǎn)是加密過(guò)程復(fù)雜、耗時(shí)長(zhǎng),安全性要求高的數(shù)據(jù)可以采用這種方法。傳統(tǒng)的DES加密標(biāo)準(zhǔn)加密速度快,但是算法相對(duì)簡(jiǎn)單,容易被攻擊者破解。例如教務(wù)管理系統(tǒng)的用戶密碼,信息量不大,一旦使用明文,有攻擊者或系統(tǒng)權(quán)限不夠的用戶進(jìn)入數(shù)據(jù)庫(kù)后,通過(guò)訪問(wèn)該表,即能獲得系統(tǒng)的最高訪問(wèn)權(quán)限。

3.5 數(shù)據(jù)備份措施

系統(tǒng)可采取完整備份、增量備份和差異備份相結(jié)合的數(shù)據(jù)備份策略對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)是管理信息系統(tǒng)最寶貴的資源，維護(hù)數(shù)據(jù)的實(shí)時(shí)性、完整性和一致性是確保教務(wù)管理系統(tǒng)正常有效運(yùn)行的最重要的環(huán)節(jié)。當(dāng)系統(tǒng)遭遇災(zāi)難性破壞或進(jìn)行歷史性數(shù)據(jù)查詢時(shí)，備份的數(shù)據(jù)能夠及時(shí)恢復(fù)或再現(xiàn)歷史數(shù)據(jù)的實(shí)時(shí)狀態(tài)。

3.6 完善操作日志管理

對(duì)于登錄教務(wù)信息管理系統(tǒng)的用戶，系統(tǒng)自動(dòng)記錄下該用戶操作的模塊、操作時(shí)間、操作地點(diǎn)等信息；對(duì)于登錄選課系統(tǒng)的學(xué)生，系統(tǒng)亦自動(dòng)記錄學(xué)號(hào)、時(shí)間、地點(diǎn)、選課狀態(tài)、地址等信息。完善的日志管理，以備日后查詢、落實(shí)責(zé)任、數(shù)據(jù)統(tǒng)計(jì)、防止黑客等。

3.7 加強(qiáng)教務(wù)信息管理系統(tǒng)管理人員隊(duì)伍的建設(shè)

俗話說(shuō)“三分技術(shù)，七分管理”，技術(shù)與管理不是孤立的，教務(wù)信息管理系統(tǒng)的安全不僅僅是一個(gè)技術(shù)問(wèn)題，也是一個(gè)安全管理問(wèn)題。要保證系統(tǒng)安全的關(guān)鍵，首先要做到重視安全管理，可以說(shuō)，教務(wù)信息系統(tǒng)的安全，是一個(gè)整體的問(wèn)題，制定與時(shí)俱進(jìn)的整體管理策略，并切實(shí)認(rèn)真地實(shí)施這些策略，才能達(dá)到提高教務(wù)信息管理系統(tǒng)安全性的目的。

4 結(jié)束語(yǔ)

開放性和互聯(lián)性越來(lái)越強(qiáng)的網(wǎng)絡(luò)環(huán)境對(duì)教務(wù)信息管理系統(tǒng)的安全提出了更高的要求，因而保障教務(wù)信息管理系統(tǒng)安全可靠運(yùn)行的策略也應(yīng)不斷地進(jìn)行完善以適應(yīng)出現(xiàn)的新問(wèn)題。

[1]李芳.基于局域網(wǎng)的信息系統(tǒng)安全監(jiān)控體系研究[J].上海理工大學(xué)學(xué)報(bào),2007,29(6)：562～566

[2]張明.數(shù)字化校園環(huán)境下高校教務(wù)管理系統(tǒng)的安全性[J].長(zhǎng)沙大學(xué)學(xué)報(bào),2008,22(5)：76～78

[3]王春彥.網(wǎng)絡(luò)信息安全存在的問(wèn)題及對(duì)策[J].跨世紀(jì),2008，16(5)：117～118

[4]宣華.清華大學(xué)綜合教務(wù)系統(tǒng)在教務(wù)管理中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用,2002,12：236～238

[5]褚建立.構(gòu)建多層次校園網(wǎng)安全體系[J].計(jì)算機(jī)信息技術(shù),2006，z1：98～100

Abstract: The security of educational administration information system in college network is one of the most important means in modern teaching managements. How to ensure the security of educational administration information system is an urgent proplem for educational functioning. We present a security goal and measure in this paper in solving this problem.

Key words: college networks； educational administration information system； system security

Discussion for security of educational administration information system in college network

Zhang Jing
Guizhou university, Guiyang, 550025, China

2010-09-25

張晶，碩士，高級(jí)工程師。