張志強(qiáng)

（西安外事學(xué)院 陜西 西安 710077）

21世紀(jì)，由于社會的不斷進(jìn)步和科學(xué)技術(shù)的不斷向前發(fā)展，企業(yè)對高素質(zhì)，具有良好操作技能的人才青睞有加。為了提高國民素質(zhì)，自從20世紀(jì)90年代以來，我國的高等教育得到了突飛猛進(jìn)的發(fā)展，到2008年生數(shù)和在校學(xué)生數(shù)分別增長了6.6倍和7.3倍。到2008年，我國已有高職高專院校1 184多所，占全國普通高校總數(shù)的52.3%[1]。由于學(xué)校管理工作的主要對象就是廣大在校的學(xué)生，所以在校學(xué)生的人數(shù)不斷增多，為了提高學(xué)校管理工作效率，也為了求學(xué)期間為廣大學(xué)生建立一個完整的、準(zhǔn)確的檔案資料，在管理工作當(dāng)中率先使用信息管理系統(tǒng)，是提高管理效率，減輕管理負(fù)擔(dān)，促使學(xué)校發(fā)展的一個強(qiáng)有力措施。但是由于現(xiàn)在的信息管理系統(tǒng)為了突破時間和使用空間的限制，往往采用的是現(xiàn)在比較流行的B/S架構(gòu)體系進(jìn)行信息管理系統(tǒng)的開發(fā)，并且以互聯(lián)網(wǎng)作為不同地域?qū)崿F(xiàn)管理功能的基礎(chǔ)。但是由于網(wǎng)絡(luò)的公開性，將使系統(tǒng)遭攻擊的可能性大大增加。為了提高學(xué)生信息管理系統(tǒng)的安全性，以下內(nèi)容從計算機(jī)網(wǎng)絡(luò)、系統(tǒng)以及數(shù)據(jù)庫安全等幾方面進(jìn)行了闡述。

1 學(xué)生信息管理系統(tǒng)的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是現(xiàn)在人們從海量的信息社會當(dāng)中獲取自己所需要信息的一種非常重要的手段。對于一個學(xué)校來說，其主要的服務(wù)對象就是廣大學(xué)生，所以擁有巨大信息量的學(xué)生管理系統(tǒng)系統(tǒng)對于那些想獲得學(xué)生信息的那些別有用心的人來說，會通過在物理線路上采取竊聽、撥號進(jìn)入；通過系統(tǒng)設(shè)計過程中由于算法考慮不完全的漏洞、破解密碼等身份鑒別的方式以及在整個信息系統(tǒng)當(dāng)中植入木馬和通過系統(tǒng)漏洞的方式侵入學(xué)生信息管理系統(tǒng)，從而對整個系統(tǒng)從網(wǎng)絡(luò)方面造成了安全威脅。所以網(wǎng)絡(luò)安全也是整個系統(tǒng)安全方面不可忽略的一部分，對于學(xué)生信息管理系統(tǒng)來說，其網(wǎng)絡(luò)方面的安全圖如圖1所示。

圖1 學(xué)生信息管理系統(tǒng)網(wǎng)絡(luò)安全圖Fig.1 Network security diagram of student information management system

首先，我們應(yīng)該在校園網(wǎng)和互聯(lián)網(wǎng)中間人為添加一道屏障，就是在確保網(wǎng)絡(luò)安全方面常用的防火墻。它可以將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行通信期間的訪問規(guī)則，消除了大量對學(xué)生信息管理系統(tǒng)的隨意性訪問，在某種程度上限制了惡意性質(zhì)的攻擊，防止惡意更改、拷貝、毀壞重要信息[2]。

其次，為了保證學(xué)生管理信息系統(tǒng)的完全性，對于那些需要確保安全性的數(shù)據(jù)最好是能添加入侵檢測系統(tǒng)，通過實時監(jiān)測網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，確保及時發(fā)現(xiàn)對網(wǎng)絡(luò)的不合法操作，通過發(fā)出警報等多種方式將入侵操作記錄下來或者調(diào)用安全性措施確保系統(tǒng)安全。

還有，為了減少學(xué)生信息管理系統(tǒng)被植入病毒的幾率，要實時對安裝的殺毒軟件進(jìn)行更新，使其獲得最新的病毒庫，在系統(tǒng)在正常的運(yùn)行過程當(dāng)中，減少受攻擊的可能性。

再者，我們?yōu)榱吮ＷC基于網(wǎng)絡(luò)實現(xiàn)的學(xué)生信息管理系統(tǒng)的安全，我們可以為遠(yuǎn)程的使用的客戶端建立一個虛擬的專用網(wǎng)絡(luò)（VPN）。將遠(yuǎn)程客戶端的IP地址和學(xué)生信息管理系統(tǒng)所用到網(wǎng)絡(luò)服務(wù)器建立成點對點的虛擬連接通道。通過這種專業(yè)通道，可以將客戶端和學(xué)生信息管理系統(tǒng)所用到的服務(wù)器的消息傳遞的規(guī)則以及方式通過協(xié)定的方式進(jìn)行實現(xiàn)。使其對系統(tǒng)的安全、服務(wù)效率得到了保證，并使其保持有較好的擴(kuò)展性和操作的靈活性，管理起來也是非常方便。

在網(wǎng)絡(luò)方面，是否允許操作者對網(wǎng)絡(luò)進(jìn)行訪問也對系統(tǒng)的安全又非常重要的影響。并且對網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)男袨榭刂?，是信息管理系統(tǒng)當(dāng)中確保數(shù)據(jù)數(shù)據(jù)安全的核心操作，也是保證數(shù)據(jù)完整性的一項重要措施。訪問控制只要是有客體、訪問策略以及訪問主體等要素組成。訪問策略主要是用戶訪問網(wǎng)絡(luò)當(dāng)中被訪問的對象而形成的行為約束規(guī)則集合。這個規(guī)則采用通過分布式的客戶端/服務(wù)器結(jié)構(gòu)來完成對密碼保護(hù)的Radius技術(shù)以及有思科公司提出的Tacacs+等技術(shù)手段實現(xiàn)從用戶鑒別、授權(quán)和記錄信息等方面來維護(hù)網(wǎng)絡(luò)方面的安全。

2 學(xué)生信息管理系統(tǒng)操作系統(tǒng)本身自身安全

操作系統(tǒng)作為任何一款應(yīng)用軟件運(yùn)行的軟環(huán)境，其安全性在很大程度直接影響到它所支持的學(xué)生信息管理系統(tǒng)軟件。雖然在目前，隨著電腦的普及程度，微軟公司所開發(fā)的windows操作系統(tǒng)被更多的家庭和辦公室人員所接受，但是如果使用正版的操作系統(tǒng)需要付出一定的經(jīng)濟(jì)成本、并且由于其核心源代碼的保密性，相對于開源的Linux操作系統(tǒng)來說，其安全性就稍微遜色了。由于Linux本身具有性能優(yōu)良、良好的擴(kuò)展性、方便維護(hù)等特點，并且由于其具有完全Free的特性，促使了越來越多的技術(shù)人員參與到對其功能、性能、安全等方面的改良當(dāng)中，使其性能和功能更加完善、安全更加有保障[3]。所以Linux作為桌面操作系統(tǒng)由于其具有獨(dú)特的優(yōu)勢使得該操作系統(tǒng)被許多像銀行、大型的信息管理部門所采用。所以在該學(xué)生信息管理系統(tǒng)當(dāng)中也采用了安全性相對較高的Linux操作系統(tǒng)。但是作為任何一款較為流行的操作系統(tǒng)來講，由于其經(jīng)常收到攻擊、所以在某種程度上都會對系統(tǒng)造成一定的危害，所以，為了保證學(xué)生信息管理系統(tǒng)的安全性，首先要通過驗證身份、文件控制訪問和及時審查系統(tǒng)日志等技術(shù)手段保證其運(yùn)行的操作系統(tǒng)安全。

眾所周知，一個操作系統(tǒng)的最基本的安全方式就是設(shè)置用戶名和密碼，對于Linux系統(tǒng)來說也不例外，對于支持學(xué)生信息管理系統(tǒng)的操作系統(tǒng)來說，我們設(shè)置的用戶名和密碼要適當(dāng)增加密碼的長度，并且在設(shè)置的時候，要采用字母和數(shù)字等其他控制符號混合編寫的方式來進(jìn)行。對于該系統(tǒng)的管理者來說，要將系統(tǒng)當(dāng)中存儲密碼的相對應(yīng)文件（/etc/passwd）和（/etc/shadow）進(jìn)行適當(dāng)?shù)谋４妫沟眠@兩個文件不能被無關(guān)人員得到，這樣就不能對用戶名和密碼進(jìn)行破解，作為系統(tǒng)的管理人員，要養(yǎng)成定期檢查密碼文件的習(xí)慣，例如用John程序模擬等文件進(jìn)行攻擊，如果發(fā)現(xiàn)密碼存在著不安全因素的時候，馬上進(jìn)行密碼替換。

其次，作為該系統(tǒng)的管理人員要充分地利用日志記錄工具，記錄等操作系統(tǒng)相關(guān)訪問，根據(jù)需要，通過對所有日志文檔查找出所有具有一定威脅性的操作，采取相對應(yīng)的安全手段。并且在Linux操作環(huán)境下，要用專用的測試和連接工具進(jìn)行遠(yuǎn)程登錄。由于Telnet進(jìn)行遠(yuǎn)程登錄服務(wù)，會將用戶名和密碼信息用明文的方式進(jìn)行傳遞的，會造成用戶名和密碼進(jìn)行泄露，特別是超級用戶會對系統(tǒng)造成不可估量的損失。由于該系統(tǒng)所具有的分布式數(shù)據(jù)處理功能，是將計算機(jī)資源在整個網(wǎng)絡(luò)中處于共享狀態(tài)，為了避免這種錯誤造成的損失，系統(tǒng)的管理人員要對容易造成數(shù)據(jù)丟失的端口利用ypbind的secure選項，限制相關(guān)端口的使用。

作為服務(wù)器所使用的操作系統(tǒng)，具備文件的上傳和下載功能是不可缺少的，但是文件的上傳和下載功能所用到的用戶安全信息也是用明文的方式進(jìn)行傳播的，所以要通過對/etc/ftpuser文件的相關(guān)選項進(jìn)行修改，并且要禁止采用匿名的方式來使用文件的上傳和下載功能。

在Linux操作系統(tǒng)中，無論是采用本地或者是通過遠(yuǎn)程登錄的方式登錄到計算機(jī)中，那么其登錄信息就被記錄在finger文件當(dāng)中，那些無法登錄的人員就可以這些漏洞獲取信息，達(dá)到進(jìn)入操作系統(tǒng)的目的。所以為了系統(tǒng)的安全，最好禁止提供finger服務(wù)，即從/usr/bin下刪除finger命令。如果要保留finger服務(wù)，應(yīng)將finger文件換名，或修改權(quán)限為只允許root用戶執(zhí)行 finger命令[4]。

3 學(xué)生信息管理系統(tǒng)數(shù)據(jù)庫自身安全

學(xué)生信息管理系統(tǒng)設(shè)計的目的就是為了是對學(xué)生的相關(guān)信息通過網(wǎng)絡(luò)跨區(qū)域進(jìn)行及時管理，作為信息管理系統(tǒng)其主要的就是利用系統(tǒng)當(dāng)中的數(shù)據(jù)庫都數(shù)據(jù)進(jìn)行存儲、篩選等一系列的操作，所以數(shù)據(jù)庫本身是否安全，直接將決定該系統(tǒng)能否有效地對學(xué)生信息進(jìn)行管理。為了確保該系統(tǒng)當(dāng)中的數(shù)據(jù)庫的安全性，在該系統(tǒng)實現(xiàn)時，從加密、訪問控制、身份識別、存取控制等方面進(jìn)行了有效設(shè)計。

1）身份識別

身份識別就是在登錄系統(tǒng)的時候所進(jìn)行的身份認(rèn)證，在身份識別通過以后，根據(jù)其所隸屬于的角色，對其授予不同的權(quán)限，讓其登陸到該角色才能的登陸的管理或者是使用界面上，如果在登陸過程中對于不是該角色權(quán)限所操作的事情，則提出警告。在身份識別方面也有原來的單一方式，增加為物體和用戶名、密碼認(rèn)證相結(jié)合的方式來進(jìn)行確保用戶安全。

2）加強(qiáng)對數(shù)據(jù)安全漏洞的修補(bǔ)

一些沒有權(quán)限的操作人員通過利用系統(tǒng)漏洞來獲取所需要的信息，也是一種破壞數(shù)據(jù)完整性和影響數(shù)據(jù)安全性的攻擊手段。所以在學(xué)生信息管理系統(tǒng)當(dāng)中應(yīng)當(dāng)引入專業(yè)的數(shù)據(jù)庫漏洞掃描工具，通過利用掃描工具對數(shù)據(jù)庫視圖、過程等對象進(jìn)行掃描，從而得到在數(shù)據(jù)庫各個方面所查出的系統(tǒng)漏洞，最終打上相應(yīng)的補(bǔ)丁，使得數(shù)據(jù)的安全性得到進(jìn)一步提高。

3）數(shù)據(jù)加密

數(shù)據(jù)加密就是將數(shù)據(jù)庫當(dāng)中存儲的重要數(shù)據(jù)減少以明文方式存儲的概率，減少了那些沒有必要知道數(shù)據(jù)內(nèi)容的人員的概率，即使是通過非法的途徑得到了加密后的數(shù)據(jù)，但是由于進(jìn)行了數(shù)據(jù)加密，他們無法得到數(shù)據(jù)庫密鑰和無法利用數(shù)據(jù)庫原來的運(yùn)行環(huán)境，得到的數(shù)據(jù)也是無用的，是不能用到其他服務(wù)器的數(shù)據(jù)庫當(dāng)中的。

4）定期對數(shù)據(jù)庫進(jìn)行備份

由于學(xué)生信息管理系統(tǒng)當(dāng)中存儲了大量的學(xué)生信息，假如信息一旦丟失，其損失是不可估量的，所以時常對數(shù)據(jù)庫當(dāng)中的數(shù)據(jù)進(jìn)行定期備份以及不定時的對備份的數(shù)據(jù)進(jìn)行及時檢查是一個成熟的信息管理系統(tǒng)應(yīng)該必備的一項基本功能。并且數(shù)據(jù)庫數(shù)據(jù)的備份是一項時常經(jīng)常的工作，并且數(shù)據(jù)庫的備份一般都是在使用數(shù)據(jù)較少的凌晨進(jìn)行操作，所以要恰當(dāng)?shù)乩矛F(xiàn)在較為流行的數(shù)據(jù)庫當(dāng)中具備的任務(wù)計劃功能，不但能減輕工作人員的工作負(fù)擔(dān)，還能確保數(shù)據(jù)的安全性。

5）充分利用角色訪問控制

訪問控制只要是通過適當(dāng)?shù)募夹g(shù)手段，避免沒有該權(quán)限的操作人員進(jìn)入系統(tǒng)后者是合法用戶對系統(tǒng)當(dāng)中的數(shù)據(jù)進(jìn)行不合理的使用。訪問控制一般可以有自主訪問控制和強(qiáng)制訪問控制以及角色方式控制3種[5]。

相對于角色訪問控制來說，自主訪問控制可以自己決定其所擁有數(shù)據(jù)信息的訪問主體，具有非常大的靈活性，但是安全性能不高；強(qiáng)制性訪問控制是由系統(tǒng)的管理人員通過對不同的數(shù)據(jù)訪問客體進(jìn)行授權(quán)，來決定是否能使用系統(tǒng)當(dāng)中的數(shù)據(jù)，由于具有管理集中的特點，造成了管理人員的工作量巨大，并且訪問數(shù)據(jù)庫的主體和客體對適應(yīng)新環(huán)境的能力比較差。基于以上兩種訪問控制的缺點，利用角色進(jìn)行訪問控制的優(yōu)勢就凸現(xiàn)出來。角色訪問控制相對于其他兩種訪問控制來說有很強(qiáng)的適應(yīng)性、以及良好的擴(kuò)展性能。由于角色在某種程度上來說就是大量權(quán)限的集合，所以相對于用戶和權(quán)限之間的關(guān)系來說，變化的內(nèi)容不會太多 ，所以穩(wěn)定性會比較強(qiáng)，這樣在某種程度上會降低管理的工作難度和工作量，從而降低管理成本[6]。在角色訪問控制當(dāng)中，系統(tǒng)管理人員根據(jù)不同的功能創(chuàng)建不同的角色，來實現(xiàn)不同的策略，為每個角色賦予不同的權(quán)限，用來控制用戶訪問數(shù)據(jù)的合法性，從而使用戶和權(quán)限之間沒有了直接聯(lián)系，從而使得用戶和權(quán)限之間在邏輯方面是兩個相對獨(dú)立的兩個實體。其具體模型定義如圖2所示。

圖2 角色訪問控制Fig.2 Role based access control

4 結(jié)束語

總之，由于在校人數(shù)規(guī)模越來越大，造成了對學(xué)生信息管理系統(tǒng)的功能要求也越來越完善，但是隨著學(xué)生信息管理系統(tǒng)功能的不斷增加，以及計算機(jī)技術(shù)和通信技術(shù)的不斷進(jìn)步，想要確保學(xué)生信息管理系統(tǒng)的絕對安全是非常困難的。所以學(xué)生信息管理系統(tǒng)的安全性是一個不斷探討的問題，只有不斷將新思想，新技術(shù)運(yùn)用到學(xué)生信息管理系統(tǒng)當(dāng)中，系統(tǒng)的安全性才會越來越高。

[1]曾琦斐.對高職教育發(fā)展現(xiàn)狀的理性思考[J].當(dāng)代教育論壇，2009（2）：81-83.ZENG Qi-fei.Rationalthinking on the statusofthe development of higher vocational education[J].Forum on Contemporary Education，2009（2）：81-83.

[2]龔建明.淺談網(wǎng)站的日常維護(hù)與安全管理[J].計算機(jī)光盤軟件與應(yīng)用，2011（22）：139.GONG Jian-ming Maintenance of the site and security management[J].Computer CD Software and Applications，2011（22）：139.

[3]田光宇，王東來.淺析Linux操作系統(tǒng)的發(fā)展前景[J].光盤技術(shù)，2009（1）：43.TIAN Guang-yu，WANG Dong-lai.A shallow analysis of the development prospect of operating system based on Linux[J].CD Technology，2009（1）：43.

[4]張學(xué)亮，左小翠.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略和保護(hù)措施[J].大眾科技，2009（10）：183-187.ZHANG Xue-liang，ZUO Xiao-cui.Based on the network security policies and protection measures[J].Popular Science&Technology，2009（10）：183-187.

[5]謝雪蓮，李蘭友.面向Web的強(qiáng)制訪問控制模型及其應(yīng)用[J].微計算機(jī)信息，2011（10）：132-133.XIE Xue-lian，LI Lan-you.Application study on MAC model forWebcontrolandautomation[J].MicroocomputerInformation，2011（10）：132-133.

[6]唐建國.淺析數(shù)據(jù)庫安全及其防范措施[J].數(shù)字技術(shù)與應(yīng)用，2011（10）142-144.TANG Jian-guo.Analysis of database security precautions[J].Digital Technology and Application，2011（10）：142-144.