文/喬暢 騫憲忠 曾超

（山西醫(yī)科大學(xué) 山西省太原市 030001）

研究生導(dǎo)師立德樹人評價體系平臺是高校教務(wù)系統(tǒng)的重要組成部分。在互聯(lián)網(wǎng)環(huán)境下，校園網(wǎng)絡(luò)平臺面臨著一定的安全風(fēng)險，直接影響著立德樹人評價體系平臺的穩(wěn)定運行。

在高校教務(wù)系統(tǒng)中，研究生導(dǎo)師立德樹人評價體系平臺主要用于記錄和自動統(tǒng)計校內(nèi)各類導(dǎo)師人員在立德樹人中的考核結(jié)果，將其作為導(dǎo)師年度工作考核和工作量評定的重要依據(jù)。但是，在互聯(lián)網(wǎng)環(huán)境下，校園內(nèi)部網(wǎng)絡(luò)與外網(wǎng)對接，易受到黑客攻擊、非授權(quán)訪問、網(wǎng)絡(luò)病毒入侵以及系統(tǒng)平臺漏洞等安全風(fēng)險因素的影響，對立德樹人評價體系平臺構(gòu)成安全威脅。為此，高校有必要針對立德樹人評價體系平臺構(gòu)建起完善的安全防護(hù)技術(shù)體系。

1 立德樹人評價體系平臺概述

研究生導(dǎo)師立德樹人評價系統(tǒng)基于WAMP 平臺進(jìn)行開發(fā)，采用PHP 程序設(shè)計語言、MySQL 數(shù)據(jù)庫管理系統(tǒng)和MVC 模式架構(gòu)。本評價體系平臺的開發(fā)過程如下：

1.1 需求調(diào)研

利用軟件工程需求分析的方法，深入調(diào)研學(xué)校各學(xué)院研究生導(dǎo)師的日常管理工作內(nèi)容，并整合研究生導(dǎo)師、研究生管理層、導(dǎo)師部門領(lǐng)導(dǎo)以及人事工作人員的需求，確定立德樹人評價體系平臺的設(shè)計理念、計算方法和功能模塊。

1.2 功能模塊

本平臺在整合使用者需求的基礎(chǔ)上，將平臺設(shè)計成五大功能模塊，具體包括基礎(chǔ)數(shù)據(jù)設(shè)置管理模塊、立德樹人申報模塊、立德樹人算分及結(jié)果模塊、多級審批模塊、人事統(tǒng)計模塊。在系統(tǒng)平臺的功能模塊中，需對研究生導(dǎo)師項目經(jīng)費、科研論文、學(xué)術(shù)論著、研究成果獎勵、授權(quán)專利、成果應(yīng)用、研究基地、學(xué)會任職、項目申報、學(xué)術(shù)交流等相關(guān)信息內(nèi)容進(jìn)行管理。

1.3 設(shè)計與運行

本平臺采用三層結(jié)構(gòu)，如圖1 所示，具體包括：

（1）使用者層，用戶為研究生導(dǎo)師、研究生管理層、導(dǎo)師部門領(lǐng)導(dǎo)以及人事工作人員；

（2）業(yè)務(wù)邏輯層，包括上述五大功能模塊；

（3）數(shù)據(jù)訪問層，包括基礎(chǔ)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)。本平臺采用統(tǒng)一的數(shù)據(jù)接口，可與學(xué)校教務(wù)系統(tǒng)進(jìn)行對接。

本平臺能夠?qū)ρ芯可鷮?dǎo)師教學(xué)工作、實驗工作、德育工作以及科研工作進(jìn)行評價，完成對研究生導(dǎo)師的年度考核。

2 計算機(jī)網(wǎng)絡(luò)安全面臨的威脅

在開放式的網(wǎng)絡(luò)環(huán)境下，研究生導(dǎo)師立德樹人評價體系平臺的運行易受到計算機(jī)網(wǎng)絡(luò)安全隱患的威脅，出現(xiàn)平臺運行故障、信息丟失、數(shù)據(jù)篡改等問題。具體體現(xiàn)在以下方面：

2.1 黑客攻擊

立德樹人評價體系平臺運行于校園內(nèi)部網(wǎng)，鏈接于外網(wǎng)，方便用戶利用內(nèi)外部網(wǎng)絡(luò)登錄系統(tǒng)。在這種情況下，使得該平臺易受到黑客的攻擊，增大了計算機(jī)網(wǎng)絡(luò)安全風(fēng)險。如，黑客針對Web 應(yīng)用程序中的安全漏洞進(jìn)行攻擊，向目標(biāo)服務(wù)器發(fā)送大量垃圾信息，造成服務(wù)器超負(fù)荷運行，導(dǎo)致服務(wù)器死機(jī)，進(jìn)而造成立德樹人評價體系平臺無法正常運行；黑客利用分布式拒絕服務(wù)攻擊（DDoS攻擊）對網(wǎng)絡(luò)服務(wù)終端進(jìn)行入侵，致使主機(jī)無法正常獲取信息。

2.2 非授權(quán)訪問

立德樹人評價體系平臺以校園網(wǎng)為依托運行，只有擁有相應(yīng)權(quán)限的人員，才能對本平臺進(jìn)行訪問，而非授權(quán)訪問會對本平臺的運行安全構(gòu)成一定的威脅。非授權(quán)訪問是在未經(jīng)授權(quán)的前提條件下，對本平臺中的資源進(jìn)行非法訪問，越權(quán)訪問也屬于非授權(quán)訪問的范疇。由此可能會導(dǎo)致本平臺中重要的信息丟失，并且還可能造成系統(tǒng)的安全機(jī)制遭到破壞。IP 地址欺騙及利用平臺漏洞獲得控制權(quán)是非授權(quán)訪問較為常用的兩種攻擊手段。

2.3 網(wǎng)絡(luò)病毒入侵

立德樹人評價體系平臺是一個依托校園網(wǎng)運行的計算機(jī)信息系統(tǒng)，并與外網(wǎng)相連接，由此使得該平臺容易受到網(wǎng)絡(luò)病毒的入侵，一旦有病毒侵入本平臺當(dāng)中，輕則會對平臺的正常使用造成影響，嚴(yán)重時可能會導(dǎo)致整個平臺崩潰。由此可見，網(wǎng)絡(luò)病毒是本平臺運行中面臨的主要安全威脅之一。網(wǎng)絡(luò)病毒具有潛伏性、傳播性等特點，不僅如此，病毒的種類相對較多，還會不斷更新，并且部分病毒會產(chǎn)生變異，這在一定程度上增大了病毒入侵的防范難度。

2.4 系統(tǒng)平臺漏洞

立德樹人評價體系平臺在建立的過程中，程序編輯人員為了方便編程，會留下一些后門，當(dāng)程序編寫完畢后，需要將后門全部關(guān)閉，如果某個后門沒有關(guān)閉，則會使其成為系統(tǒng)平臺的漏洞。而非法人員可以利用這個漏洞，對本平臺進(jìn)行攻擊，從而使平臺的運行安全受到威脅。漏洞是本平臺自身的安全隱患，通過升級、更新等方法，能夠?qū)β┒催M(jìn)行及時修補，但若是忘記升級或更新，則會使漏洞始終存在，由此會給攻擊者入侵本平臺提供渠道，當(dāng)攻擊者經(jīng)漏洞侵入平臺后，除了能對其中的信息進(jìn)行獲取之外，還能修改程序，將會給本平臺造成會毀滅性的打擊。

3 計算機(jī)網(wǎng)絡(luò)安全防范技術(shù)

3.1 登錄認(rèn)證技術(shù)

為保證立德樹人評價體系平臺安全運行，防范網(wǎng)絡(luò)攻擊入侵行為，本平臺可采用令牌認(rèn)證加密技術(shù)、生物特征認(rèn)證技術(shù)等身份認(rèn)證技術(shù)。針對本平臺可能面臨的定向威脅攻擊（APT 攻擊），可設(shè)計USB Key 定點登錄認(rèn)證系統(tǒng)，提高本平臺的安全等級。USB Key 定點登錄認(rèn)證系統(tǒng)只能由指定用戶使用特定的USB Key 和計算機(jī)登錄平臺，并且要求用戶輸入正確的Key PIN 碼，以完成登錄認(rèn)證過程。在該認(rèn)證系統(tǒng)中，只有用戶知道自己的USB PIN 碼，且USB Key 設(shè)置為只讀模式，不可刪除和修改。當(dāng)用戶使用USB Key 和PIN 碼登錄系統(tǒng)時，USB Key 可向數(shù)據(jù)庫發(fā)出驗證請求，當(dāng)序列號與預(yù)留用戶信息相符時，才能認(rèn)定為客戶端用戶為合法用戶。通過在以德樹人評價體系中運用登錄認(rèn)證技術(shù)，可有效防范APT攻擊入侵校園內(nèi)部網(wǎng)絡(luò)。

3.2 物理隔離技術(shù)

為給立德樹人評價體系平臺提供一個安全的運行環(huán)境，并對來自于外網(wǎng)的威脅進(jìn)行有效地防范和規(guī)避，本平臺可以采用物理隔離技術(shù)，這是一種較為有效的安全防范技術(shù)措施，通過它的應(yīng)用能夠避免平臺中重要信息泄露的情況發(fā)生。

3.2.1 隔離卡

在本平臺中可加裝物理隔離卡，通過物理隔離卡能夠?qū)⑵脚_中的主機(jī)系統(tǒng)分成兩臺虛擬機(jī)，這樣便可以實現(xiàn)物理隔離。具體做法如下：在主機(jī)系統(tǒng)中增設(shè)一個的硬盤，以控制硬盤和切換網(wǎng)線的方法，在校園網(wǎng)與外網(wǎng)環(huán)境中匯總，使硬盤只對一個網(wǎng)絡(luò)有效，它的網(wǎng)絡(luò)物理連線為完全分離狀態(tài)，其中不存在公用的存儲信息，從而實現(xiàn)校園網(wǎng)與外網(wǎng)之間的物理隔離，這樣黑客很難經(jīng)外網(wǎng)對本平臺進(jìn)行攻擊，平臺的安全性得到保障。

3.2.2 隔離網(wǎng)閘

在物理隔離技術(shù)中，隔離網(wǎng)閘的效果非常好，并且相關(guān)的產(chǎn)品也比較多。因此，在本平臺中，可以安裝隔離網(wǎng)閘，由此可將校園網(wǎng)與外網(wǎng)的物理連接斷開，從而避免數(shù)據(jù)包在校園網(wǎng)與外網(wǎng)之間流動，網(wǎng)絡(luò)威脅隨之消除，平臺中重要信息的安全性得到保障。為使隔離網(wǎng)閘的作用得以最大限度地發(fā)揮，要選擇性能過硬的產(chǎn)品。可選用聯(lián)想網(wǎng)御SIS 系列產(chǎn)品，以此作為本平臺網(wǎng)絡(luò)鏈路層的物理隔離裝置，與普通的防火墻相比，該隔離網(wǎng)閘的安全性能更高。該隔離網(wǎng)閘采用的是專屬通信協(xié)議，能夠隨時完成校園網(wǎng)與外網(wǎng)的物理隔離。在數(shù)據(jù)信息傳輸方面，該網(wǎng)閘使用的是信息擺渡機(jī)制，大幅度提升數(shù)據(jù)傳輸?shù)陌踩?。該網(wǎng)閘的操作系統(tǒng)為嵌入式，能夠確保平臺系統(tǒng)的安全性。

3.3 防火墻技術(shù)

立德樹人評價體系平臺是在校園網(wǎng)中運行，并與外網(wǎng)相連接，平臺的運行會受到來自于外網(wǎng)的威脅，為提高平臺的運行安全性，可對防火墻技術(shù)進(jìn)行應(yīng)用。防火墻是不同網(wǎng)絡(luò)間的訪問控制設(shè)備，能對網(wǎng)絡(luò)訪問行為進(jìn)行控制。傳統(tǒng)的防火墻雖然在網(wǎng)絡(luò)安全防護(hù)方面具有一定的效果，但其缺陷較多。因此，可選用智能防火墻，此類防火墻適用于教育領(lǐng)域，能夠?qū)W(wǎng)絡(luò)攻擊和高級威脅進(jìn)行全面應(yīng)對，它集多種防御能力于一身，如精細(xì)化訪問控制、深度應(yīng)用識別、高性能應(yīng)用層威脅防御等等，可對網(wǎng)絡(luò)中的異常行為進(jìn)行自動分析，通過與云端聯(lián)動，可在網(wǎng)絡(luò)邊界構(gòu)建起以大數(shù)據(jù)為核心的動態(tài)防御體系，并且可以針對全網(wǎng)威脅進(jìn)行智能防御。智能防火墻采用的操作系統(tǒng)可靠性非常高，借助SMAC（安全管理分析中心）能夠?qū)ζ脚_中的所有網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，可對安全策略進(jìn)行批量下發(fā)，在提高網(wǎng)絡(luò)設(shè)備管理效率的基礎(chǔ)上，使網(wǎng)絡(luò)安全得到有效保障。

3.4 漏洞掃描技術(shù)

為避免立德樹人評價體系平臺中的系統(tǒng)漏洞給攻擊者提供入侵的渠道，本平臺可以對漏洞掃描技術(shù)進(jìn)行應(yīng)用。借助功能強(qiáng)大的漏洞掃描軟件，對本平臺中關(guān)鍵的網(wǎng)絡(luò)設(shè)備進(jìn)行全面的漏洞掃描，如交換機(jī)、服務(wù)器、終端等。當(dāng)軟件完成掃描之后，會自行對結(jié)果進(jìn)行分析，從中找出存在的漏洞問題，提供相應(yīng)的修補方案。為使漏洞掃描軟件的作用得以最大限度地發(fā)揮，可按照如下方案對掃描軟件進(jìn)行部署：由于本平臺中的節(jié)點較多，為使掃描軟件能夠同時滿足不同節(jié)點的掃描需要，可將軟件安裝到本平臺中的高性能主機(jī)上，以此來實現(xiàn)全方位的漏洞掃描，從而達(dá)到增強(qiáng)系統(tǒng)平臺安全性的目的。為杜絕平臺中安全漏洞的產(chǎn)生，可引入虛擬主機(jī)IP 地址，并在這一基礎(chǔ)上對MAC 地址加以隱藏。因部分漏洞能夠通過升級和更新進(jìn)行修復(fù)，所以要及時對系統(tǒng)進(jìn)行升級，消除漏洞，不給攻擊者以可乘之機(jī)，保證立德樹人評價體系平臺的運行安全性。

3.5 入侵檢測技術(shù)

對于立德樹人評價體系平臺而言，非法入侵是其安全運行的主要威脅之一，為有效解決這一問題，本平臺可以采用入侵檢測技術(shù)。通過入侵檢測技術(shù)的應(yīng)用，能夠?qū)W(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)視，當(dāng)發(fā)現(xiàn)其中存在可疑的傳輸時，入侵檢測系統(tǒng)會自行發(fā)出報警提示，并作出主動防御。為使入侵檢測系統(tǒng)在保障本平臺運行安全方面的作用得以最大限度地發(fā)揮，可以將入侵檢測系統(tǒng)安裝在交換機(jī)上。這是因為交換機(jī)中匯集了大量的網(wǎng)絡(luò)流量，并且外網(wǎng)也是經(jīng)智能防火墻與交換機(jī)進(jìn)行互連，從而使得交換機(jī)成為數(shù)據(jù)信息的重要節(jié)點，也是黑客非法入侵的主要對象。所以，為對入侵與攻擊行為進(jìn)行全面監(jiān)測，可將入侵檢測系統(tǒng)安裝在交換機(jī)上。除此之外，本平臺在管理上可以采用如下安全措施：信息分流、權(quán)限管理、密碼管理等，避免非授權(quán)人員對平臺內(nèi)的重要信息進(jìn)行訪問，進(jìn)一步保證本平臺的運行安全。

3.6 防病毒技術(shù)

網(wǎng)絡(luò)病毒對立德樹人評價體系平臺的安全性具有一定的威脅，尤其是一些頑固和變異的病毒，為降低網(wǎng)絡(luò)病毒對本平臺安全運行的影響程度，可以采用防病毒技術(shù)。在本平臺中，對防病毒系統(tǒng)進(jìn)行部署時，應(yīng)當(dāng)選取性能可靠的防病毒產(chǎn)品，通過對不同產(chǎn)品的技術(shù)性能進(jìn)行比較，從中選出性價比最高的產(chǎn)品。如果沒有適合本平臺的產(chǎn)品，學(xué)?？膳c國內(nèi)知名的廠商取得聯(lián)系，針對本平臺的特點，開發(fā)定制版的防病毒系統(tǒng)，這樣可以使網(wǎng)絡(luò)病毒的防范更加全面、具體。雖然定制版的防病毒系統(tǒng)開發(fā)需要投入一定的資金，但由于是量身定做，所以在病毒的防范上效果更佳，平臺基本上不會受到病毒的威脅，安全性得到保障。

4 結(jié)論

總而言之，高校要加強(qiáng)研究生導(dǎo)師立德樹人評價體系平臺的安全防范，在平臺安全防范體系建設(shè)中，合理運用登錄認(rèn)證技術(shù)、物理隔離技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)等先進(jìn)的防范技術(shù)，不斷提高系統(tǒng)平臺的安全防護(hù)能力，從而保證系統(tǒng)平臺安全、穩(wěn)定運行，這對于平臺作用的發(fā)揮具有重要的現(xiàn)實意義。