高校教务管理系统安全性问题探讨摘要:教务管理系统的使用改善了高校的管理手段和管理水平,同时因特网的发展与普及又使教务管理系统面临风险。为确保管理平台和数据的安全,构建一个安全可靠的硬件和软件系统,本文对数据库常见的一些威胁进行概括和分类,根据问题提出相应对策,一定程度上解决数据库安全中存在的问题。关键词:教务管理;系统;安全性中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2013)04-0000-02教务管理系统中存储着学生成绩、学生学籍数据、选课数据、教学质量评价数据等大量重要的信息。数据库是教务管理系统的一个基础平台,也是整个信息系统的核心。数据库安全问题是整个教务管理系统信息安全的重要内容。1高校教务管理系统面临的安全问题随着黑客技术的发展、各类病毒层出不穷,信息系统环境导致的安全隐患,人为操作导致的安全隐患,高校“信息化”的管理系统正面临着重大挑战,在稳定性、安全性和效率等方面均需要做更多的改进。信息安全保护是指保护计算机信息系统中的资源免受毁坏、替换、盗窃或丢失等。目前教务管理系统安全问题主要有如下几方面:1.1服务器存在的安全隐患(1)服务器的硬件故障会给系统带来很大的安全隐患,学校要加大硬件投入,提高服务器的相关配置,提高工作的可靠性和效率,以确保硬件系统正常的运行;(2)服务器自身的安全措施不到位存在的安全隐患。如服务器维护人员密码的设置较为简单,容易造成用户信息泄漏;未及时升级杀毒软件病毒库致使服务器受到黑客的攻击;使用移动硬盘等移动存储设备感染病毒;(3)操作系统和管理系统自身的软件漏洞带来的安全隐患。随着软件系统规模的不断扩大,系统中的安全漏洞和“后门”也不可避免地存在。操作系统和应用软件存在的漏洞给一些黑客和非法入侵者可乘之机。1.2网络安全隐患网络安全的核心是网络上的信息安全。在目前的公用通信网络中存在着各种各样的安全漏洞与威胁,网络安全性就是网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。(1)数据传输隐患。如果敏感数据不使用加密传输,入侵者就可以通过网络嗅探工具获得用户的账号和口令;(2)网络负载过重。如在学期初或期末在一集中的时间段内进行网上评教、网上选课、网上录分时,系统用户的数量急剧增加,会造成并发用户太多无法及时响应而造成服务器死机,影响服务器的正常运行。(3)系统用户的安全意识淡薄。学校对网络安全设备的设入不足、教务员缺乏计算机维护知识等因素都会给系统带来一定的安全隐患。1.3客户端安全(1)角色管理与访问控制。若教务管理系统中用户管理比较混乱,权限设置不够合理,给教务系统的信息安全带来了隐患,会造成用户越权使用权限。(2)随着办学规模的扩大,教务管理系统用户数量多,为了方便管理,教师和学生使用的用户名和密码通常默认为教师职工号和学号,且许多教师和学生未对默认密码进行更改,造成内部人员对数据库进行攻击,如恶意的修改密码、恶意选退课、恶意评教等。(3)人为的操作失误而导致的数据错误或丢失。教学管理人员缺乏数据库管理的知识,如误删了学生基本信息表中的学生记录后,造成成绩表中所删除学生记录的成绩丢失;在教学计划管理模块中,删除了专业中的教学计划后,造成计划任务安排中教学任务表(含教师、教学场地等信息)报错;没有按照系统中表格数据类型的要求进行数据的录入等。2教务管理系统的安全性策略针对上文提到的各种安全隐患,必须制定相应的安全策略,才能保障教务管理系统的安全、稳定运行。2.1用户安全策略(1)采取相应的技术措施对计算病毒、网络入侵和攻击破坏等危害网络安全的行为进行防范,安装杀毒软件并及时升级病毒库,及时更新操作系统补丁程序。(2)对于用户未及时对初始密码进行更改的情况,在用户首次登陆操作数据前强制要求用户设置安全级别较高的密码。(3)对于系统中的重要数据,跟踪记录用户使用教务管理系统的详细记录。定期对教务管理系统的操作日志进行全面的检查,发现有用户超越权限操作,及时采取有效措施进行补救,保证数据的完整性和保密性。(4)教务管理系统管理员根据各级用户的使用权限逐条对系统权限进行划分,减少用户无意或恶意操作给系统带来破坏。教职工从进入学校为其创建账号开始,到实际应用账号过程,直至教职工离职其账号删除,做好完整的记录。2.2数据的备份与恢复经常备份教务管理系统数据库中的全局数据是非常有必要的。设置应用服务器的任务计划启动教务管理系统数据的自动备份,每日做数据的备份。由于进行数据备份时会减慢系统的运行速度,影响用户正常使用教务管理系统,可选择凌晨进行数据的自动备份。2.3网络安全策略(1)网络隔离及访问控制系统。为了防止网络恶意用户、黑客工具软件和病毒对服务器的攻击,使用防火墙技术加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源。有利于黑客攻击的能力和系统的安全性。(2)网络安全检测。采用网络安全检测工具对网络安全性进行分析,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。(3)数字认证技术。数字证书是一个经证书认证中心数字签名的,包含数字申请者(公开密钥拥有者)个人信息以及公开密钥的文件。基于公开密钥体制(pki)的数字证书是利用公共密钥加密系统来保护与验证公众的密钥。2.4管理安全策略(1)系统管理员应设置安全性高的密码,保管好并定期更换密码。做好系统管理日志,并定期做好备份。(2)确保在权限分配时不分配多余的账号,无论是哪一级别的用户,账号口令必须符合口令安全要求,密码长度一定要在8位以上,且必须包含字母、数字和符号且不连续。(3)仅仅依赖技术安全措施,并不能完全保障系统的安全,还需建立完善的安全管理策略。在管理上提升现有教务管理人员的计算机应用能力。使他们不仅需要懂得教学管理的有关知识,还要懂得计算机专业的知识,定期对其进行培训。参考文献:[1]马涛.数据库技术及应用(第2版)[m].北京:电子工业出版社,2010,3:1-9.[2]邹新国.计算机信息与网络安全技术[m].济南:黄河出版社,2008:10-14.[3]胡芳,柳超.教务管理系统安全性设计与实现[j].教育信息化,2006.[4]张明,杨路明.数字化校园环境下高校教务管理系统的安全性[j].长沙大学学报,2008.[5]陈松,孔琳俊.教务管理系统数据库安全现状及对策分析[j].软件,2011.[6]翟宏昌,刘畅,李恒嵬.高校教务管理信息化建设规划及安全对策初探[j].辽宁高职学报,2009.[作者简介]职晓晓(1985.9-),女,大学本科学历,现就职于商丘学院,目前助教职称,长期从事于计算机科学技术教学工作与教学管理工作,研究方向为数据库技术;宋城(1986.11-),男,大学本科学历,现就职于商丘学院,目前助教职称,长期从事于计算机科学技术教学工作与教学管理工作,研究方向为网络技术。