◆顧雯雯

（無錫機(jī)電高等職業(yè)技術(shù)學(xué)校 江蘇 214028）

數(shù)字化實(shí)驗(yàn)教學(xué)管理系統(tǒng)的硬件構(gòu)架與安全體系解決方案

◆顧雯雯

（無錫機(jī)電高等職業(yè)技術(shù)學(xué)校 江蘇 214028）

隨著信息技術(shù)的普及，實(shí)驗(yàn)教學(xué)作為傳統(tǒng)教學(xué)模式的擴(kuò)展亟需順應(yīng)時代和技術(shù)的潮流實(shí)現(xiàn)數(shù)字化。合理的硬件架構(gòu)設(shè)計能使實(shí)驗(yàn)教學(xué)管理系統(tǒng)安全穩(wěn)定的運(yùn)行，良好的安全體系設(shè)計為學(xué)校日常工作事務(wù)的處理和諸多教育政策文件提供重要安全保證。

數(shù)字化實(shí)驗(yàn)教學(xué)；硬件架構(gòu)；安全體系

0 引言

隨著信息技術(shù)的普及，數(shù)字化技術(shù)已經(jīng)深入滲透到各大專院校的教務(wù)工作中。實(shí)驗(yàn)教學(xué)的數(shù)字化建設(shè)不僅能夠?qū)⒔虒W(xué)管理層次不斷提升，還可以全方位地改善學(xué)校的教學(xué)模式，從而大大提升學(xué)校的整體教學(xué)質(zhì)量。

通過計算機(jī)網(wǎng)絡(luò)技術(shù)和通訊技術(shù)構(gòu)建校園公共管理服務(wù)網(wǎng)絡(luò)平臺——實(shí)驗(yàn)教學(xué)系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的管理與服務(wù)，以適應(yīng)信息時代的需求。

1 平臺硬件架構(gòu)設(shè)計

合理的硬件架構(gòu)設(shè)計能使系統(tǒng)安全穩(wěn)定的運(yùn)行，基于實(shí)驗(yàn)教學(xué)管理系統(tǒng)的特性，在硬件架構(gòu)方面，充分考慮到平臺的使用性能、可擴(kuò)展性等因素，具體的硬件架構(gòu)如圖1所示。其中，兩臺服務(wù)器必須是高性能的，通過虛擬化技術(shù)各自虛擬化實(shí)現(xiàn)出兩臺虛擬服務(wù)器，作為數(shù)據(jù)的備份服務(wù)器，通過這種配置形式來進(jìn)行實(shí)現(xiàn)數(shù)據(jù)的冗余備份。此外，數(shù)據(jù)的存儲需要采用分布式的部署方式，各服務(wù)器之間通過光纖來進(jìn)行互聯(lián)。

圖1 硬件架構(gòu)設(shè)計

上圖所示的架構(gòu)設(shè)計方式具有如下優(yōu)點(diǎn)：

（1）傳輸數(shù)據(jù)的高速性。通過光纖來實(shí)現(xiàn)互聯(lián)網(wǎng)、異地志愿服務(wù)器、服務(wù)器和光纖存儲這四者之間的網(wǎng)絡(luò)互聯(lián)，光纖鏈路連接的極速傳輸使得各硬件見的資源共享速度得到快速地提升，效率也有很大提高。

（2）高安全性以及強(qiáng)大的容災(zāi)和備份能力。任何一個系統(tǒng)的正常運(yùn)行都應(yīng)該充分考慮到備份的問題，在B/S模式下，一旦服務(wù)器數(shù)據(jù)超負(fù)荷運(yùn)行發(fā)生“崩潰”，后果將是災(zāi)難性的。如果服務(wù)器的數(shù)據(jù)丟失，通過配置的備份服務(wù)器可以最快地還原應(yīng)用數(shù)據(jù)，框架中通過虛擬化技術(shù)配置的虛擬化服務(wù)器即可實(shí)現(xiàn)數(shù)據(jù)的備份，是數(shù)據(jù)安全的關(guān)鍵所在。如果網(wǎng)絡(luò)環(huán)境發(fā)生變化導(dǎo)致資源的丟失，可以在虛擬化數(shù)據(jù)服務(wù)器進(jìn)行數(shù)據(jù)的恢復(fù)。而且兩臺數(shù)據(jù)備份服務(wù)器確保一臺發(fā)生故障崩潰時，還有一臺可以正常運(yùn)行，以確保數(shù)據(jù)的完整性和實(shí)時性。除此之外，異地的資源服務(wù)器上還存儲有數(shù)據(jù)的備份，多種數(shù)據(jù)保護(hù)機(jī)制的結(jié)合使用確保系統(tǒng)應(yīng)對數(shù)據(jù)損壞及丟失情況時仍然能正常地運(yùn)行。

（3）存儲的高擴(kuò)展性。因?yàn)閷?shí)驗(yàn)教學(xué)管理系統(tǒng)面向的用戶非常龐大，相應(yīng)需要存儲的用戶信息和信息資源數(shù)據(jù)也是海量的，所以系統(tǒng)的存儲介質(zhì)必須是可以根據(jù)需要進(jìn)行擴(kuò)展的。通常情況下，需要進(jìn)行存儲擴(kuò)展的容量限制時80%，一旦超過該限制，就需要立即對增加系統(tǒng)的存儲容量。上圖所示的硬件平臺方式中，存儲的擴(kuò)展比較簡單，在服務(wù)器端增加硬盤即可。

2 系統(tǒng)安全體系設(shè)計

各大專院校的內(nèi)部網(wǎng)絡(luò)通常進(jìn)行學(xué)校日常工作事務(wù)的處理，有很多教育政策文件、領(lǐng)導(dǎo)階層政府任職信息都具有很明顯的敏感性。此外，內(nèi)部網(wǎng)絡(luò)的信息安全與學(xué)生權(quán)益、學(xué)生數(shù)據(jù)安全都有很強(qiáng)的關(guān)聯(lián)性。更而甚之，與學(xué)校的利益、校園安全穩(wěn)定甚至國家安全等都有關(guān)系。本系統(tǒng)所處理的所有校園內(nèi)部數(shù)據(jù)，拋卻有關(guān)于敏感的教育政策信息之外，還包括師生隱私的信息，包括學(xué)生身份、手機(jī)等安全信息。因此，保證系統(tǒng)網(wǎng)絡(luò)安全，防范來自外部網(wǎng)絡(luò)的非法入侵的攻擊，建立有效強(qiáng)健的網(wǎng)絡(luò)信息安全防范系統(tǒng)是非常必要的。

實(shí)驗(yàn)教學(xué)管理系統(tǒng)的應(yīng)用環(huán)境要求通過已有網(wǎng)絡(luò)技術(shù)對校園網(wǎng)絡(luò)進(jìn)行配置，使其具有如下特點(diǎn)：安全區(qū)域被嚴(yán)格劃分，內(nèi)外網(wǎng)連接處必須要確保安全；安全認(rèn)證、鑒別、用戶授權(quán)和數(shù)據(jù)加密機(jī)制必須存在；實(shí)行網(wǎng)絡(luò)監(jiān)控以確保服務(wù)器的安全。要學(xué)校內(nèi)部信息的安全教育工作必須落實(shí)；定時地進(jìn)行網(wǎng)絡(luò)安全漏洞的檢查并及時修復(fù)；實(shí)時監(jiān)控網(wǎng)絡(luò)的情況，是否被入侵，安裝殺毒軟件，防毒于未然；建立緊急事故處理機(jī)制，事故發(fā)生時可最快解決。

實(shí)驗(yàn)教學(xué)管理系統(tǒng)采用的安全防范策略如下：

（1）系統(tǒng)采用防火墻技術(shù)來確保網(wǎng)絡(luò)信息安全。防火墻是一種網(wǎng)絡(luò)訪問控制技術(shù)，目的是保障網(wǎng)絡(luò)的信息安全。防火墻通過在要設(shè)置的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間部署相關(guān)障礙，禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)所有資源的非法入侵，同時也禁止內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問，以造成內(nèi)部信息的泄露。

為在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立的唯一通道，設(shè)置防火墻只是其中一種方法。如果沒有設(shè)立防火墻，則需要在每臺服務(wù)器上安裝安全防御軟件或系統(tǒng)，并要定期檢查。缺少了防火墻的第一道防護(hù)閘口，每個主機(jī)都處于被直接攻擊的范圍之內(nèi)。通過防火墻，可以濾掉不安全的服務(wù)，防止外部網(wǎng)絡(luò)的非法入侵，可以隱藏一些敏感信息，防止攻擊者通過網(wǎng)絡(luò)進(jìn)行信息搜集。

系統(tǒng)防火墻系統(tǒng)主要由三部分組成：網(wǎng)絡(luò)防火墻，主機(jī)防火墻和中心策略服務(wù)器。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖2所示。

（2）作為防火墻的合理補(bǔ)充，入侵監(jiān)測實(shí)現(xiàn)對系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)）的擴(kuò)展，可以提升系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊的能力，很好地完善了信息安全的基礎(chǔ)結(jié)構(gòu)。通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)來收集所需要的信息，并根據(jù)定義的規(guī)則對它們進(jìn)行分析，以查看網(wǎng)絡(luò)中是否存在與安全策略相違背的行為或者遭受到入侵的現(xiàn)象。入侵檢測是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下可以對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的即時保護(hù)。

（3）在諸多信息安全相關(guān)的技術(shù)中，密碼是保護(hù)信息安全的較為有效的技術(shù)之一，而且居于技術(shù)的核心地位。數(shù)據(jù)加密的使用使得數(shù)據(jù)傳輸?shù)陌踩詴鄳?yīng)的提升，而且對數(shù)據(jù)的完整性也有相應(yīng)的保證。通常情況下，加密算法、明文、密文及密鑰多層完整的數(shù)據(jù)加密系統(tǒng)。其中，加密及解密的過程是由密鑰控制的。而且密鑰會決定加密系統(tǒng)的安全性，而不是我們一般認(rèn)為的加密算法。由此易知，密鑰的管理工作必須要謹(jǐn)慎、安全。所謂的數(shù)據(jù)加密過程簡單來說就是把明文轉(zhuǎn)變?yōu)槊芪牡倪^程。其中明文表示的是初始的數(shù)字信息，密文表示的是與明文完全不同的數(shù)字信息，它們之間的轉(zhuǎn)換是以加密算法為依據(jù)進(jìn)行實(shí)現(xiàn)的。

數(shù)據(jù)傳輸加密技術(shù)的加密對象主要是傳輸中的數(shù)據(jù)流，鏈路加密、節(jié)點(diǎn)加密及端到端加密是數(shù)據(jù)加密的接種主要實(shí)現(xiàn)方法。

本系統(tǒng)采用嚴(yán)格的端到端加密技術(shù)以及DES加密算法。系統(tǒng)是由100%的Java代碼編寫，傳輸數(shù)據(jù)是二進(jìn)制數(shù)據(jù)流，這些二進(jìn)制數(shù)據(jù)流在發(fā)送端被加密，在接收端解密，中間節(jié)點(diǎn)處的數(shù)據(jù)并不是以明文的方式而存在，中間過程沒有解密；保證數(shù)據(jù)在傳輸過程中不被泄露和篡改，提高了數(shù)據(jù)傳輸?shù)陌踩院屯暾浴＜用苓^程示意圖如圖3所示。

圖3 加密解密過程示意圖

（4）系統(tǒng)的用戶注冊方面，鑒于安全性考慮，采用用戶名重復(fù)檢測機(jī)制，檢測用戶名的可用性；另外，輸入的用戶信息會與系統(tǒng)用戶信息庫進(jìn)行匹配，成功后方能順利注冊。注冊界面如圖4所示。

系統(tǒng)用戶注冊模塊主要包括注冊信息的獲取和注冊兩個步驟。

步驟一：注冊信息的獲取主要實(shí)現(xiàn)從用戶在注冊頁面輸入的注冊信息中提取出具體的取值，將它們賦值到相應(yīng)的變量。

步驟二：用戶注冊主要是根據(jù)輸入的注冊信息，與已有的用戶信息庫進(jìn)行匹配，如果用戶名已經(jīng)存在的話，則返回進(jìn)行重新注冊；如果前后兩次輸入的密碼不一致的話，也無法注冊。

圖4 用戶注冊

（5）實(shí)驗(yàn)教學(xué)管理系統(tǒng)的系統(tǒng)登錄模塊，如圖5所示，采用JSP+AJAX技術(shù)相結(jié)合來實(shí)現(xiàn)，確保平臺用戶的安全瀏覽，登錄模塊輸入信息檢查、用戶名存在檢驗(yàn)和用戶名和密碼匹配檢驗(yàn)等方面。

圖5 用戶登錄

其中，當(dāng)輸入信息檢查主要是檢查用戶輸入的信息有沒有缺失，如用戶名缺失、密碼缺失等。登錄信息驗(yàn)證主要實(shí)現(xiàn)對輸入的用戶名判斷是否存在，如果存在的話，進(jìn)行密碼與用戶名的匹配檢驗(yàn)，否則，報出相應(yīng)異常信息。用戶名和密碼的匹配檢驗(yàn)是通過檢索用戶信息庫，進(jìn)行密碼與用戶名的匹配檢驗(yàn)，如果匹配成功，即可順利錄成功，否則登錄失敗。

3 總結(jié)

合理的硬件架構(gòu)設(shè)計能使實(shí)驗(yàn)教學(xué)管理系統(tǒng)安全穩(wěn)定的運(yùn)行，良好的安全體系設(shè)計為學(xué)校日常工作事務(wù)的處理和諸多教育政策文件提供重要安全保證，本系統(tǒng)有效地利用數(shù)字化技術(shù)，在保證安全可靠的前提下，大大提高了實(shí)驗(yàn)教學(xué)工作的質(zhì)量和效率。

[1]馬駿．計算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J]．電子技術(shù)與軟件工程，2016．

[2]肖云．基于Spring Security安全的Web應(yīng)用開發(fā)．計算機(jī)與現(xiàn)代化，2011．

[3]胡啟敏，薛錦云，鐘林輝．基于Spring框架的輕量級J2EE架構(gòu)與應(yīng)用．計算機(jī)工程與應(yīng)用，2008．