高校教務(wù)管理系統(tǒng)安全策略的探討

高校教務(wù)管理系統(tǒng)安全策略的探討高校教務(wù)管理系統(tǒng)平安策略的探討

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1674-098X〔2022〕08〔a〕-0183-01

1高校教務(wù)管理系統(tǒng)平安重視的必要性

眾所周知，一般在教務(wù)管理當(dāng)中會(huì)波及到很多數(shù)據(jù)的信息，包括學(xué)生信息、教師信息，學(xué)生成績(jī)，選課信息等等。由于教務(wù)管理系統(tǒng)信息寄存的分散化、處理信息網(wǎng)絡(luò)化及應(yīng)用模式的不完善等原因還不能提供足夠信息平安愛(ài)護(hù)，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具也有了新的開(kāi)展，校園網(wǎng)作為一個(gè)開(kāi)放的網(wǎng)絡(luò)平臺(tái)，越來(lái)越多的平安問(wèn)題凸顯出來(lái)?；谶@一原因，教務(wù)管理工作的平安性越來(lái)越受重視，同時(shí)，國(guó)家在進(jìn)行教學(xué)評(píng)估時(shí)，教務(wù)管理系統(tǒng)也作為重要評(píng)定因素之一。如何使現(xiàn)有的教務(wù)管理系統(tǒng)更加科學(xué)化、標(biāo)準(zhǔn)化、現(xiàn)代化，“提升教務(wù)管理檔次，將教務(wù)交給計(jì)算機(jī)管理〞正成為亟待解決的問(wèn)題。

2高校教務(wù)管理系統(tǒng)存在的平安問(wèn)題

2.1效勞器存在的平安隱患

效勞器平安隱患主要包括：〔1〕教務(wù)系統(tǒng)幾乎要面對(duì)高校中所有的學(xué)生和教師，使用人群非常龐大而復(fù)雜。這既增加了效勞器被使用者有意或無(wú)意的破壞幾率，又增加了用戶終端病毒感染效勞器的可能性；〔2〕效勞器的硬件故障〔如硬盤故障等〕也會(huì)給系統(tǒng)帶來(lái)很大的平安隱患；〔3〕效勞器自身的平安措施不到位存在的平安隱患，如未及時(shí)給操作系統(tǒng)打補(bǔ)丁，未及時(shí)升級(jí)殺毒軟件病毒庫(kù)等；〔4〕用戶身份認(rèn)證機(jī)制缺陷造成的平安隱患，如用戶的身份證僅靠密碼辨認(rèn)，由于用戶密碼泄漏而給系統(tǒng)帶來(lái)平安隱患；〔5〕管理系統(tǒng)自身的軟件漏洞〔如SQL注入漏洞〕帶來(lái)的平安隱患。

2.2網(wǎng)絡(luò)平安隱患

網(wǎng)絡(luò)平安隱患主要包括下列方面：〔1〕數(shù)據(jù)傳輸隱患。如果敏感數(shù)據(jù)不使用加密傳輸，入侵者就可以通過(guò)網(wǎng)絡(luò)嗅探工具獲得用戶的賬號(hào)和口令；〔2〕網(wǎng)絡(luò)負(fù)載過(guò)重。隨著各高校的大規(guī)模招生，教務(wù)管理系統(tǒng)用戶的數(shù)量急劇增加，這可能會(huì)造成因并發(fā)用戶太多無(wú)法及時(shí)響應(yīng)而造成效勞器死機(jī)，影響效勞器的正常運(yùn)行。

3高校教務(wù)管理系統(tǒng)的平安策略

針對(duì)上文提到的各種平安隱患，必須制定相應(yīng)的平安策略，才能保障教務(wù)管理系統(tǒng)的平安、穩(wěn)定運(yùn)行。

3.1校園網(wǎng)絡(luò)平安體系的構(gòu)建

〔1〕物理平安。

在建立平安的校園網(wǎng)絡(luò)的時(shí)候，要注意機(jī)房的建設(shè)，特別是場(chǎng)館建設(shè)的設(shè)備，重要的是要留下足夠的空間，根據(jù)實(shí)際的網(wǎng)絡(luò)建設(shè)需求，對(duì)房間進(jìn)行分隔，尤其是自動(dòng)化的開(kāi)關(guān)，光集群設(shè)備，網(wǎng)絡(luò)管理系統(tǒng)，完成設(shè)備的測(cè)量，控制和系統(tǒng)操作，無(wú)需頻繁進(jìn)入，從而減少了人為因素對(duì)設(shè)備。另外我們還要考慮機(jī)房的消防設(shè)計(jì)，根據(jù)消防防火級(jí)別設(shè)置的機(jī)房，煙霧，溫度檢測(cè)裝置，安裝在機(jī)房設(shè)備的分布按照實(shí)際情況來(lái)確定設(shè)計(jì)。

〔2〕邏輯平安。

選擇VLAN技術(shù)，將網(wǎng)絡(luò)按照不同的平安要求劃分成幾個(gè)邏輯子網(wǎng)，對(duì)在網(wǎng)絡(luò)傳播的信息進(jìn)行阻隔，在網(wǎng)絡(luò)內(nèi)部，我們要盡量控制的IP地址隨意更換及盜用，將有助于提高網(wǎng)絡(luò)的整體平安性。

3.2網(wǎng)絡(luò)操作系統(tǒng)的平安性

網(wǎng)絡(luò)操作系統(tǒng)作用是管理網(wǎng)絡(luò)信息的傳輸以及資源共享問(wèn)題，提供軟件和網(wǎng)絡(luò)設(shè)備常見(jiàn)的規(guī)范接口協(xié)議并效勞于網(wǎng)絡(luò)用戶。

3.3數(shù)據(jù)庫(kù)平安

〔1〕選擇適合的網(wǎng)絡(luò)操作系統(tǒng)。示例Window2000、Window2022、Linux等。

〔2〕及時(shí)更新系統(tǒng)漏洞?，F(xiàn)在網(wǎng)絡(luò)上比擬常見(jiàn)的網(wǎng)絡(luò)攻擊一般都是針對(duì)系統(tǒng)漏洞或者安裝的一些軟件漏洞來(lái)進(jìn)行的。因此要定期對(duì)系統(tǒng)及相應(yīng)軟件進(jìn)行更新。

〔3〕建立堡壘主機(jī)。對(duì)效勞器建立堡壘主機(jī)并配合防火墻的使用，阻止外界用戶的訪問(wèn)，并對(duì)來(lái)訪信息進(jìn)行記錄。教務(wù)系統(tǒng)配置前置反向代理效勞器，實(shí)現(xiàn)隔離用戶對(duì)教務(wù)效勞器的直接訪問(wèn)，同時(shí)實(shí)現(xiàn)負(fù)載均衡，教務(wù)效勞器只對(duì)前置代理效勞器和數(shù)據(jù)庫(kù)效勞器信任，所配置的防火墻規(guī)那么對(duì)其他電腦一律不信任，禁止訪問(wèn)配置前置代理效勞器防火墻：

/sbin/iptables-F

/sbin/iptables-X

/sbin/iptables-Z

/sbin/iptables-PINPUTACCEPT

/sbin/iptables-POUTPUTACCEPT

/sbin/iptables-PFORWARDACCEPT

/sbin/iptables-AINPUT-ilo-jACCEPT

/sbin/iptables-AINPUT-mstate--stateRELATED，ESTABLISHED-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.9--dport80-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.9--dport443-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.8--dport80-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.8--dport443-jACCEPT

/sbin/iptables-AINPUT-s10.1.1.0/24-jACCEPT

/sbin/iptables-AINPUT-s10.1.2.0/24-jACCEPT

/sbin/iptables-AINPUT-s10.0.0.0/8-jDROP

10.1.2.9和10.1.2.8是實(shí)現(xiàn)前置代理效勞器HA和負(fù)載均衡的虛擬IP〔VIP〕，外網(wǎng)有硬件防火墻，并且只做端口映射。

10.1.1.0/24管理網(wǎng)段

10.1.2.0/24效勞器網(wǎng)段

數(shù)據(jù)庫(kù)效勞器的平安也是只信任業(yè)務(wù)效勞器，就是功能層的效勞器，其他連前置效勞器都不信任。

3.4平安等級(jí)域的具體劃分

將學(xué)院的網(wǎng)絡(luò)應(yīng)用按照平安等級(jí)的不同進(jìn)行了層級(jí)劃分，首先我們建立了一個(gè)核心區(qū)域，它包含了數(shù)字化校園所有的應(yīng)用系統(tǒng)，重點(diǎn)是教務(wù)管理系統(tǒng)，及學(xué)院的門戶網(wǎng)站，這個(gè)區(qū)域也是我們層級(jí)劃分的第一層；校園網(wǎng)管理效勞器和教育信息電腦作為層級(jí)劃分的第二層；教師電腦作為第三層；學(xué)生電腦作為第四層；最后第五層是外部用戶域。則核心業(yè)務(wù)效勞放在一級(jí)區(qū)域里。并且我們?cè)O(shè)定一級(jí)區(qū)域的東西能訪問(wèn)二層以上的以上的東西，一、二層之間的相互訪問(wèn)需要獲取一個(gè)加密證書認(rèn)證。三層區(qū)域和四層區(qū)域的電腦不論是否獲取證書均不能訪問(wèn)以上兩層區(qū)域的主機(jī)。則作為互聯(lián)網(wǎng)中的那些外部