高校教务管理系统安全策略的探讨
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2014)08(a)-0183-01
1 高校教务管理系统安全重视的必要性
众所周知,一般在教务管理当中会涉及到很多数据的信息,包括学生信息、教师信息,学生成绩,选课信息等等。由于教务管理系统信息存放的分散化、处理信息网络化及应用模式的不完善等原因还不能提供足够信息安全保护,网络攻击技术和攻击工具也有了新的发展,校园网作为一个开放的网络平台,越来越多的安全问题凸显出来。基于这一原因,教务管理工作的安全性越来越受重视,同时,国家在进行教学评估时,教务管理系统也作为重要评定因素之一。如何使现有的教务管理系统更加科学化、规范化、现代化,“提升教务管理档次,将教务交给计算机管理”正成为亟待解决的问题。
2 高校教务管理系统存在的安全问题
2.1 服务器存在的安全隐患
服务器安全隐患主要包括:(1)教务系统几乎要面对高校中所有的学生和教师,使用人群非常庞大而复杂。这既增加了服务器被使用者有意或无意的破坏几率,又增加了用户终端病毒感染服务器的可能性;(2)服务器的硬件故障(如硬盘故障等)也会给系统带来很大的安全隐患;(3)服务器自身的安全措施不到位存在的安全隐患,如未及时给操作系统打补丁,未及时升级杀毒软件病毒库等;(4)用户身份认证机制缺陷造成的安全隐患,如用户的身份证仅靠密码识别,由于用户密码泄漏而给系统带来安全隐患;(5)管理系统自身的软件漏洞(如SQL注入漏洞)带来的安全隐患。
2.2 网络安全隐患
网络安全隐患主要包括以下方面:(1)数据传输隐患。如果敏感数据不使用加密传输,入侵者就可以通过网络嗅探工具获得用户的账号和口令;(2)网络负载过重。随着各高校的大规模招生,教务管理系统用户的数量急剧增加,这可能会造成因并发用户太多无法及时响应而造成服务器死机,影响服务器的正常运行。
3 高校教务管理系统的安全策略
针对上文提到的各种安全隐患,必须制定相应的安全策略,才能保障教务管理系统的安全、稳定运行。
3.1 校园网络安全体系的构建
(1)物理安全。
在建立安全的校园网络的时候,要注意机房的建设,特别是场馆建设的设备,重要的是要留下足够的空间,根据实际的网络建设需求,对房间进行分隔,尤其是自动化的开关,光集群设备,网络管理系统,完成设备的测量,控制和系统操作,无需频繁进入,从而减少了人为因素对设备。另外我们还要考虑机房的消防设计,根据消防防火级别设置的机房,烟雾,温度检测装置,安装在机房设备的分布按照实际情况来确定设计。
(2)逻辑安全。
选择VLAN技术,将网络按照不同的安全要求划分成几个逻辑子网,对在网络传播的信息进行阻隔,在网络内部,我们要尽量控制的IP地址随意更换及盗用,将有助于提高网络的整体安全性。
3.2 网络操作系统的安全性
网络操作系统作用是管理网络信息的传输以及资源共享问题,提供软件和网络设备常见的标准接口协议并服务于网络用户。
3.3 数据库安全
(1)选择适合的网络操作系统。例如 Window2000、Window2003、Linux 等。
(2)及时更新系统漏洞。现在网络上比较常见的网络攻击一般都是针对系统漏洞或者安装的一些软件漏洞来进行的。因此要定期对系统及相应软件进行更新。
(3)建立堡垒主机。对服务器建立堡垒主机并配合防火墙的使用,阻止外界用户的访问,并对来访信息进行记录。教务系统配置前置反向代理服务器,实现隔离用户对教务服务器的直接访问,同时实现负载均衡,教务服务器只对前置代理服务器和数据库服务器信任,所配置的防火墙规则对其他电脑一律不信任,禁止访问配置前置代理服务器防火墙:
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 10.1.2.9 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 10.1.2.9 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 10.1.2.8 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 10.1.2.8 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -s 10.1.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -s 10.1.2.0/24 -j ACCEPT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP
10.1.2.9和10.1.2.8是实现前置代理服务器HA和负载均衡的虚拟IP(VIP),外网有硬件防火墙,并且只做端口映射。
10.1.1.0/24 管理网段
10.1.2.0/24 服务器网段
数据库服务器的安全也是只信任业务服务器,就是功能层的服务器,其他连前置服务器都不信任。
3.4 安全等级域的具体划分
将学院的网络应用按照安全等级的不同进行了层级划分,首先我们建立了一个核心区域,它包含了数字化校园所有的应用系统,重点是教务管理系统,及学院的门户网站,这个区域也是我们层级划分的第一层;校园网管理服务器和教育信息电脑作为层级划分的第二层;教师电脑作为第三层;学生电脑作为第四层;最后第五层是外部用户域。那么核心业务服务放在一级区域里。并且我们设定一级区域的东西能访问二层以上的以上的东西,一、二层之间的相互访问需要获取一个加密证书认证。三层区域和四层区域的电脑不管是否获取证书均不能访问以上两层区域的主机。那么作为互联网中的那些外部用户,如果想访问各应用系统和门户网站,可以通过SSL VPN来获取加密证书,同时得到网络中心管网的认可,方可进行访问,通过这样的一个层级建设,我们按照用户不同安全性的需要进行了不同的网络安全保护,从而保证教务管理系统的安全性,同时对外部域用户的访问进行相应的监控,保证系统数据的安全。
