高校教務(wù)管理系統(tǒng)安全策略的探討

趙美名

摘 要：教務(wù)管理系統(tǒng)在高校占據(jù)著重要地位，它是學(xué)校日常工作中不可或缺的一部分。該文主要從高校教務(wù)管理系統(tǒng)安全重視的必要性入手，分析了高校教務(wù)管理系統(tǒng)存在的安全隱患，并提出了相應(yīng)的安全防范策略。

關(guān)鍵詞：教務(wù)管理系統(tǒng) 安全隱患 安全策略

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2014）08（a）-0183-01

1 高校教務(wù)管理系統(tǒng)安全重視的必要性

眾所周知，一般在教務(wù)管理當(dāng)中會涉及到很多數(shù)據(jù)的信息，包括學(xué)生信息、教師信息，學(xué)生成績，選課信息等等。由于教務(wù)管理系統(tǒng)信息存放的分散化、處理信息網(wǎng)絡(luò)化及應(yīng)用模式的不完善等原因還不能提供足夠信息安全保護(hù)，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具也有了新的發(fā)展，校園網(wǎng)作為一個開放的網(wǎng)絡(luò)平臺，越來越多的安全問題凸顯出來。基于這一原因，教務(wù)管理工作的安全性越來越受重視，同時，國家在進(jìn)行教學(xué)評估時，教務(wù)管理系統(tǒng)也作為重要評定因素之一。如何使現(xiàn)有的教務(wù)管理系統(tǒng)更加科學(xué)化、規(guī)范化、現(xiàn)代化，“提升教務(wù)管理檔次，將教務(wù)交給計算機管理”正成為亟待解決的問題。

2 高校教務(wù)管理系統(tǒng)存在的安全問題

2.1 服務(wù)器存在的安全隱患

服務(wù)器安全隱患主要包括：（1）教務(wù)系統(tǒng)幾乎要面對高校中所有的學(xué)生和教師，使用人群非常龐大而復(fù)雜。這既增加了服務(wù)器被使用者有意或無意的破壞幾率，又增加了用戶終端病毒感染服務(wù)器的可能性；（2）服務(wù)器的硬件故障（如硬盤故障等）也會給系統(tǒng)帶來很大的安全隱患；（3）服務(wù)器自身的安全措施不到位存在的安全隱患，如未及時給操作系統(tǒng)打補丁，未及時升級殺毒軟件病毒庫等；（4）用戶身份認(rèn)證機制缺陷造成的安全隱患，如用戶的身份證僅靠密碼識別，由于用戶密碼泄漏而給系統(tǒng)帶來安全隱患；（5）管理系統(tǒng)自身的軟件漏洞（如SQL注入漏洞）帶來的安全隱患。

2.2 網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)安全隱患主要包括以下方面：（1）數(shù)據(jù)傳輸隱患。如果敏感數(shù)據(jù)不使用加密傳輸，入侵者就可以通過網(wǎng)絡(luò)嗅探工具獲得用戶的賬號和口令；（2）網(wǎng)絡(luò)負(fù)載過重。隨著各高校的大規(guī)模招生，教務(wù)管理系統(tǒng)用戶的數(shù)量急劇增加，這可能會造成因并發(fā)用戶太多無法及時響應(yīng)而造成服務(wù)器死機，影響服務(wù)器的正常運行。

3 高校教務(wù)管理系統(tǒng)的安全策略

針對上文提到的各種安全隱患，必須制定相應(yīng)的安全策略，才能保障教務(wù)管理系統(tǒng)的安全、穩(wěn)定運行。

3.1 校園網(wǎng)絡(luò)安全體系的構(gòu)建

（1）物理安全。

在建立安全的校園網(wǎng)絡(luò)的時候，要注意機房的建設(shè)，特別是場館建設(shè)的設(shè)備，重要的是要留下足夠的空間，根據(jù)實際的網(wǎng)絡(luò)建設(shè)需求，對房間進(jìn)行分隔，尤其是自動化的開關(guān)，光集群設(shè)備，網(wǎng)絡(luò)管理系統(tǒng)，完成設(shè)備的測量，控制和系統(tǒng)操作，無需頻繁進(jìn)入，從而減少了人為因素對設(shè)備。另外我們還要考慮機房的消防設(shè)計，根據(jù)消防防火級別設(shè)置的機房，煙霧，溫度檢測裝置，安裝在機房設(shè)備的分布按照實際情況來確定設(shè)計。

（2）邏輯安全。

選擇VLAN技術(shù)，將網(wǎng)絡(luò)按照不同的安全要求劃分成幾個邏輯子網(wǎng)，對在網(wǎng)絡(luò)傳播的信息進(jìn)行阻隔，在網(wǎng)絡(luò)內(nèi)部，我們要盡量控制的IP地址隨意更換及盜用，將有助于提高網(wǎng)絡(luò)的整體安全性。

3.2 網(wǎng)絡(luò)操作系統(tǒng)的安全性

網(wǎng)絡(luò)操作系統(tǒng)作用是管理網(wǎng)絡(luò)信息的傳輸以及資源共享問題，提供軟件和網(wǎng)絡(luò)設(shè)備常見的標(biāo)準(zhǔn)接口協(xié)議并服務(wù)于網(wǎng)絡(luò)用戶。

3.3 數(shù)據(jù)庫安全

（1）選擇適合的網(wǎng)絡(luò)操作系統(tǒng)。例如 Window2000、Window2003、Linux 等。

（2）及時更新系統(tǒng)漏洞。現(xiàn)在網(wǎng)絡(luò)上比較常見的網(wǎng)絡(luò)攻擊一般都是針對系統(tǒng)漏洞或者安裝的一些軟件漏洞來進(jìn)行的。因此要定期對系統(tǒng)及相應(yīng)軟件進(jìn)行更新。

（3）建立堡壘主機。對服務(wù)器建立堡壘主機并配合防火墻的使用，阻止外界用戶的訪問，并對來訪信息進(jìn)行記錄。教務(wù)系統(tǒng)配置前置反向代理服務(wù)器，實現(xiàn)隔離用戶對教務(wù)服務(wù)器的直接訪問，同時實現(xiàn)負(fù)載均衡，教務(wù)服務(wù)器只對前置代理服務(wù)器和數(shù)據(jù)庫服務(wù)器信任，所配置的防火墻規(guī)則對其他電腦一律不信任，禁止訪問配置前置代理服務(wù)器防火墻：

/sbin/iptables -F

/sbin/iptables -X

/sbin/iptables -Z

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A INPUT -m state --state RELATED，ESTABLISHED -j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 10.1.2.9 --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 10.1.2.9 --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 10.1.2.8 --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -d 10.1.2.8 --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -s 10.1.1.0/24 -j ACCEPT

/sbin/iptables -A INPUT -s 10.1.2.0/24 -j ACCEPT

/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP

10.1.2.9和10.1.2.8是實現(xiàn)前置代理服務(wù)器HA和負(fù)載均衡的虛擬IP（VIP），外網(wǎng)有硬件防火墻，并且只做端口映射。

10.1.1.0/24 管理網(wǎng)段

10.1.2.0/24 服務(wù)器網(wǎng)段

數(shù)據(jù)庫服務(wù)器的安全也是只信任業(yè)務(wù)服務(wù)器，就是功能層的服務(wù)器，其他連前置服務(wù)器都不信任。

3.4 安全等級域的具體劃分

將學(xué)院的網(wǎng)絡(luò)應(yīng)用按照安全等級的不同進(jìn)行了層級劃分，首先我們建立了一個核心區(qū)域，它包含了數(shù)字化校園所有的應(yīng)用系統(tǒng)，重點是教務(wù)管理系統(tǒng)，及學(xué)院的門戶網(wǎng)站，這個區(qū)域也是我們層級劃分的第一層；校園網(wǎng)管理服務(wù)器和教育信息電腦作為層級劃分的第二層；教師電腦作為第三層；學(xué)生電腦作為第四層；最后第五層是外部用戶域。那么核心業(yè)務(wù)服務(wù)放在一級區(qū)域里。并且我們設(shè)定一級區(qū)域的東西能訪問二層以上的以上的東西，一、二層之間的相互訪問需要獲取一個加密證書認(rèn)證。三層區(qū)域和四層區(qū)域的電腦不管是否獲取證書均不能訪問以上兩層區(qū)域的主機。那么作為互聯(lián)網(wǎng)中的那些外部用戶，如果想訪問各應(yīng)用系統(tǒng)和門戶網(wǎng)站，可以通過SSL VPN來獲取加密證書，同時得到網(wǎng)絡(luò)中心管網(wǎng)的認(rèn)可，方可進(jìn)行訪問，通過這樣的一個層級建設(shè)，我們按照用戶不同安全性的需要進(jìn)行了不同的網(wǎng)絡(luò)安全保護(hù)，從而保證教務(wù)管理系統(tǒng)的安全性，同時對外部域用戶的訪問進(jìn)行相應(yīng)的監(jiān)控，保證系統(tǒng)數(shù)據(jù)的安全。

參考文獻(xiàn)

[1] 陳松，孔琳俊.教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全現(xiàn)狀及對策分析[J].軟件，2011（5）.

[2] 王樹利.高校教務(wù)管理系統(tǒng)數(shù)據(jù)備份與安全審計方案設(shè)計[J].科教文匯，2009（9）.endprint