新疆農職院教學管理系統的安全設計初探

傅峰

（新疆農業職業技術學院 新疆 昌吉 831100）

互聯網在帶給人們便捷的同時，安全的問題最近幾年也日益凸顯[1]。高校的教學管理系統存在時常被惡意攻擊等現象，給高校的教學管理帶來很多不良的影響[2]。新疆農業職業技術學院的教學管理系統的應用，很大程度上提高了教學管理的效率，使得教師和教學管理人員從繁重的手工操作工作脫離出來，但是還存在著如下的問題：最近幾年，學院的教學管理系統的服務器常常被黑客攻擊，導致服務中斷，影響學校正常的教學，給教師、管理人員和學生帶來極大的不便。同時，存在學生成績被篡改、數據被刪除等更加嚴重的問題，從而影響學生的畢業、升學、獎助學金評定等等一系列的工作，同時帶來不少的負面影響。

1 系統在安全方面改進的需求分析

在高校教學管理系統的設計過程中，如何保證系統的自我糾錯能力，或者說是解決輸入數據的完整性，即防止輸入數據萬一出現錯誤也不會對系統造成嚴重的影響，是一個非常重要的問題[3]。

系統數據庫安全性的高低，決定了數據能否被充分共享[4]。通過對新疆農業職業技術學院在教學管理的過程中數據安全分析及查閱相關資料，發現要解決安全問題首先采用的安全措施是用戶識別，教學管理系統會對每個用戶，包括學生和老師設置一個賬號，用戶登錄的時候要通過自己唯一的賬號和密碼才能夠進入系統進行操作。教學管理系統采用的第二個安全措施是權限（角色）管理，系統針對不同的角色賦予不同的權限，這樣就避免了不同用戶之間的相互干擾和非法操作。系統的第3個安全措施是建立操作日志，對每一個用戶的每一步操作都記錄下來，如有問題則有據可循。第四個安全措施是建立教學管理系統數據庫的數據備份機制，避免特殊原因造成的損失。另外防范SQL注入攻擊、防范跨站攻擊、防范IIS漏洞攻擊是在設計該系統是要重點考慮的問題。

2 采用分層用戶管理的安全需求分析建模

通過對新疆農業職業技術學院的業務流程分析，現在新的安全需求就是，對用戶采用分層管理的方式，每層的用戶權限有嚴格的規定，這樣使得系統更加的安全。原來的系統管理員具備所有的權限，存在的安全隱患是如果系統管理出現誤操作或者密碼被非法用戶獲取，則會給系統帶來災難性后果。新的用戶需求是希望改進的系統不僅采用分層的方式來分派用戶權限，而且對系統管理員的權限有所限制，降低系統安全的風險。

系統管理員是本系統權限最高的參與者。它能夠完成日志管理、用戶管理、數據管理和系統配置等任務。日志管理包括日志查詢、日志刪除和日志備份。從安全的角度考慮，最好先將日志備份后再做日志刪除操作，這樣便于以后發生問題可以通過查詢日志而找到對應的原因，為系統維護和信息安全提供保障[5]。用戶管理包含用戶創建、用戶刪除、用戶修改和用戶權限的分派操作；用戶管理是系統管理最重要的角色，而且出于安全考慮，在分派用戶權限時要特別的謹慎。數據管理包含數據查詢、數據備份和數據恢復，特別要強調的是不允許系統管理員修改數據，這是出于成績修改必須符合規定的審批程序，根據分權的思想，系統管理員只能分派權限給教師修改成績，這樣可以防止系統管理員權限過大而導致帶來的潛伏的危害[6]。系統配置包含密碼設置、模塊定制和系統參數設置等。

教學秘書是此系統管理員權限低一級的參與者，它主要的任務是文件管理、教室管理、模塊定制、成績管理和課程管理等。文件的管理包含文件發布、文件查看、文件刪除和文件修改，其中的文件指的是教學通知、課程檢查、實訓安排、學生就業等各種與教學相關的文件。教室管理包含教室的空閑狀況查看、上課班級安排、上課班級的調整等。成績管理主要包含成績查詢和統計系部學生成績的幾個情況，從而確定補考學生的人數和所補考的課程。課程管理主要包含對本學期本系部所開課程的錄入、修改、刪除等操作。

教師是本系統中重要的參與者，其主要的用例有成績管理、查看文件和課程管理。課程管理主要的功能就是對自己所任的課程信息發布。成績管理包含成績輸入、成績修改、成績查詢和成績統計分析，其中成績的輸入和修改在規定的時間內完成，一旦提交成績則不能修改成績。

學生是本系統的主體參與者，其用例包含查看課程、查看成績、查看文件和學生評教。

3 系統安全方面改進設計與實現

如果一個不法分子通過非正常的手段入侵到該系統，進行權限的變更、數據的修改等非法操作，將會帶來嚴重的后果，因為這些非法的操作影響到學院每個學生的能否順利畢業、能否獲取獎助學金等重點問題，影響學院正常的教學管理。

在設計該系統時主要從以下幾個方面保證該系統的安全，防止非法操作的出現。

1）用戶權限的管理改進措施。

系統管理員的賬戶為admin。其密碼必須符合密碼設置的策略要求和復雜度要求。系統管理員必須嚴格的保護好自己的密碼，而且每隔一段時間，必須修改密碼，防止非法用戶獲取該密碼而帶來災難性后果。

教學秘書的權限是成績查看、模塊添加、模塊刪除、課程管理、文件管理、教室管理。

教師的用戶密碼由進入系統的用戶維護模塊來設置。任課教師必須在規定的時間段內完成有輸入成績和統計、分析自己所帶課程等操作。除此時間段之外的其余時間就只能查看成績。為了防止教師隨意的修改成績，在完成輸入成績后，一旦點擊確認提交按鈕后，則教師無法修改該課程的成績。如果要修改成績，則需打申請，通過教研室主任、教學副院長、教務處長簽字后才能被系統管理員修改。任課教師要有效的保護好密碼，嚴禁讓學生代替自己錄入數據等操作。

表1 用戶權限分派表Tab.1 User rights assignment table

學生只能查看本人的成績和在年級中的排序、考務安排、課表安排等信息。

2）完善的日志記錄改進措施。

該系統日志模塊記錄了在教學管理系統中操作的對象、客戶端IP值、事件、時間等信息。系統管理員可以通過該信息分析系統的安全狀況、用戶的操作行為。如果發生非法操作，為跟蹤非法用戶提供依據。

表2 日志內容表Tab.2 The log table of contents

3）防止SQL注入保護改進措施

利用SqlCommand傳參數的方法，在代碼中將系統敏感的信息過濾或屏蔽，這樣防止不法分子利用這些信息對系統進行入侵。

4）防跨站注入保護改進措施

新疆農業職業技術學院教學管理系統在防跨站注入的做法如下：

測試教學管理系統的應用代碼，如果有漏洞則馬上修補；

開發人員在開發教學管理系統時，過濾用戶的輸入；

教學管理系統的管理員在系統維護時，關閉瀏覽器的腳本功能。

教學管理系統的開發在開發的整個過程都遵循安全建模、開發的原則，讓開發人員始終存在安全意識。

5）數據完整性改進設計

當用戶輸入信息時，做判斷信息的格式、類型是否正確，如果符合信息錄入規范則可以提交，否則給出用戶提示。

在數據庫設計時，通過設置約束條件和規則來判斷用戶提交數據的合法性和完整性。

6）新增數據備份和恢復功能提高在數據保護能力。

教學管理系統中的所有數據要按照備份的要求備份。通過教學管理系統中的備份模塊來實現，在備份的正果過程中要對信息加密。對于備份的數據要做加密處理，及時黑客獲得數據，還需要做進一步的破解，提高非法獲取的成本。

4 結 論

該教學管理系統在新疆農業職業技術學院應用之后，經過各個部門不同層次的測試，得出如下結論。第一，該教學管理系統符合新疆農業職業技術學院開放辦學的要求，也完全滿足其對安全性的需求。第二，該教學管理系統在安全方面的設計達到了保護學生成績、教學資料的目標。

[1]趙峰.加強醫院信息管理系統安全的策略[J].網友世界，2013（13）:4-5.ZHAO Feng.Strengthening hospital management information system security strategy[J].Net World，2013（13）:4-5.

[2]成桂玲.基于SOA的教學管理系統web服務的設計與實現[J].電子世界，2013（3）:64-65.CHENG Gui-ling.Design and implementation of teaching system of Web service management based on SOA[J].The Electronic World，2013（3）:64-65.

[3]李超，于博，周立.校園網絡安全管理策略綜述[J].電腦知識與技術，2008（34）：1595-1596.LI Chao，YU Bo，ZHOU Li.The campus network security management strategy in[J]. Computer Knowledge and Technology，2008（34）：1595-1596.

[4]吳玉萍.基于Web的網上教學管理系統的設計與開發[J].職業技術教育，2002（10）:9-10.WU Yu-ping.Design and development of online teaching management system based on Web[J].Occupation Technology Education，2002（10）:9-10.

[5]林成，云長海，韓雙.學生成績網絡管理系統[J].齊齊哈爾醫學院學報，2003（4）:20-22.LIN Cheng，YUN Chang-hai，HAN Shuang.Student achievement management network system[J].Journal of Qiqihar Medical School，2003（4）:20-22.

[6]郝麗娟.淺談信息系統安全與保密[J].科協論壇，2009（9）:58-59.HAO Li-juan.The security and confidentiality of information systems[J].Association for Science and Technology Forum，2009（9）:58-59.