◆顧雯雯

（無錫機電高等職業(yè)技術學校 江蘇 214028）

數(shù)字化實驗教學管理系統(tǒng)的硬件構架與安全體系解決方案

◆顧雯雯

（無錫機電高等職業(yè)技術學校 江蘇 214028）

隨著信息技術的普及，實驗教學作為傳統(tǒng)教學模式的擴展亟需順應時代和技術的潮流實現(xiàn)數(shù)字化。合理的硬件架構設計能使實驗教學管理系統(tǒng)安全穩(wěn)定的運行，良好的安全體系設計為學校日常工作事務的處理和諸多教育政策文件提供重要安全保證。

數(shù)字化實驗教學；硬件架構；安全體系

0 引言

隨著信息技術的普及，數(shù)字化技術已經(jīng)深入滲透到各大專院校的教務工作中。實驗教學的數(shù)字化建設不僅能夠將教學管理層次不斷提升，還可以全方位地改善學校的教學模式，從而大大提升學校的整體教學質量。

通過計算機網(wǎng)絡技術和通訊技術構建校園公共管理服務網(wǎng)絡平臺——實驗教學系統(tǒng)，實現(xiàn)網(wǎng)絡化、數(shù)字化的管理與服務，以適應信息時代的需求。

1 平臺硬件架構設計

合理的硬件架構設計能使系統(tǒng)安全穩(wěn)定的運行，基于實驗教學管理系統(tǒng)的特性，在硬件架構方面，充分考慮到平臺的使用性能、可擴展性等因素，具體的硬件架構如圖1所示。其中，兩臺服務器必須是高性能的，通過虛擬化技術各自虛擬化實現(xiàn)出兩臺虛擬服務器，作為數(shù)據(jù)的備份服務器，通過這種配置形式來進行實現(xiàn)數(shù)據(jù)的冗余備份。此外，數(shù)據(jù)的存儲需要采用分布式的部署方式，各服務器之間通過光纖來進行互聯(lián)。

圖1 硬件架構設計

上圖所示的架構設計方式具有如下優(yōu)點：

（1）傳輸數(shù)據(jù)的高速性。通過光纖來實現(xiàn)互聯(lián)網(wǎng)、異地志愿服務器、服務器和光纖存儲這四者之間的網(wǎng)絡互聯(lián)，光纖鏈路連接的極速傳輸使得各硬件見的資源共享速度得到快速地提升，效率也有很大提高。

（2）高安全性以及強大的容災和備份能力。任何一個系統(tǒng)的正常運行都應該充分考慮到備份的問題，在B/S模式下，一旦服務器數(shù)據(jù)超負荷運行發(fā)生“崩潰”，后果將是災難性的。如果服務器的數(shù)據(jù)丟失，通過配置的備份服務器可以最快地還原應用數(shù)據(jù)，框架中通過虛擬化技術配置的虛擬化服務器即可實現(xiàn)數(shù)據(jù)的備份，是數(shù)據(jù)安全的關鍵所在。如果網(wǎng)絡環(huán)境發(fā)生變化導致資源的丟失，可以在虛擬化數(shù)據(jù)服務器進行數(shù)據(jù)的恢復。而且兩臺數(shù)據(jù)備份服務器確保一臺發(fā)生故障崩潰時，還有一臺可以正常運行，以確保數(shù)據(jù)的完整性和實時性。除此之外，異地的資源服務器上還存儲有數(shù)據(jù)的備份，多種數(shù)據(jù)保護機制的結合使用確保系統(tǒng)應對數(shù)據(jù)損壞及丟失情況時仍然能正常地運行。

（3）存儲的高擴展性。因為實驗教學管理系統(tǒng)面向的用戶非常龐大，相應需要存儲的用戶信息和信息資源數(shù)據(jù)也是海量的，所以系統(tǒng)的存儲介質必須是可以根據(jù)需要進行擴展的。通常情況下，需要進行存儲擴展的容量限制時80%，一旦超過該限制，就需要立即對增加系統(tǒng)的存儲容量。上圖所示的硬件平臺方式中，存儲的擴展比較簡單，在服務器端增加硬盤即可。

2 系統(tǒng)安全體系設計

各大專院校的內(nèi)部網(wǎng)絡通常進行學校日常工作事務的處理，有很多教育政策文件、領導階層政府任職信息都具有很明顯的敏感性。此外，內(nèi)部網(wǎng)絡的信息安全與學生權益、學生數(shù)據(jù)安全都有很強的關聯(lián)性。更而甚之，與學校的利益、校園安全穩(wěn)定甚至國家安全等都有關系。本系統(tǒng)所處理的所有校園內(nèi)部數(shù)據(jù)，拋卻有關于敏感的教育政策信息之外，還包括師生隱私的信息，包括學生身份、手機等安全信息。因此，保證系統(tǒng)網(wǎng)絡安全，防范來自外部網(wǎng)絡的非法入侵的攻擊，建立有效強健的網(wǎng)絡信息安全防范系統(tǒng)是非常必要的。

實驗教學管理系統(tǒng)的應用環(huán)境要求通過已有網(wǎng)絡技術對校園網(wǎng)絡進行配置，使其具有如下特點：安全區(qū)域被嚴格劃分，內(nèi)外網(wǎng)連接處必須要確保安全；安全認證、鑒別、用戶授權和數(shù)據(jù)加密機制必須存在；實行網(wǎng)絡監(jiān)控以確保服務器的安全。要學校內(nèi)部信息的安全教育工作必須落實；定時地進行網(wǎng)絡安全漏洞的檢查并及時修復；實時監(jiān)控網(wǎng)絡的情況，是否被入侵，安裝殺毒軟件，防毒于未然；建立緊急事故處理機制，事故發(fā)生時可最快解決。

實驗教學管理系統(tǒng)采用的安全防范策略如下：

（1）系統(tǒng)采用防火墻技術來確保網(wǎng)絡信息安全。防火墻是一種網(wǎng)絡訪問控制技術，目的是保障網(wǎng)絡的信息安全。防火墻通過在要設置的內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間部署相關障礙，禁止外部網(wǎng)絡對內(nèi)部網(wǎng)絡所有資源的非法入侵，同時也禁止內(nèi)部網(wǎng)絡對外部網(wǎng)絡的訪問，以造成內(nèi)部信息的泄露。

為在內(nèi)部網(wǎng)與外部網(wǎng)之間設立的唯一通道，設置防火墻只是其中一種方法。如果沒有設立防火墻，則需要在每臺服務器上安裝安全防御軟件或系統(tǒng)，并要定期檢查。缺少了防火墻的第一道防護閘口，每個主機都處于被直接攻擊的范圍之內(nèi)。通過防火墻，可以濾掉不安全的服務，防止外部網(wǎng)絡的非法入侵，可以隱藏一些敏感信息，防止攻擊者通過網(wǎng)絡進行信息搜集。

系統(tǒng)防火墻系統(tǒng)主要由三部分組成：網(wǎng)絡防火墻，主機防火墻和中心策略服務器。網(wǎng)絡拓撲結構圖如圖2所示。

（2）作為防火墻的合理補充，入侵監(jiān)測實現(xiàn)對系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應）的擴展，可以提升系統(tǒng)應對網(wǎng)絡攻擊的能力，很好地完善了信息安全的基礎結構。通過計算機網(wǎng)絡系統(tǒng)中的若干關鍵點來收集所需要的信息，并根據(jù)定義的規(guī)則對它們進行分析，以查看網(wǎng)絡中是否存在與安全策略相違背的行為或者遭受到入侵的現(xiàn)象。入侵檢測是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下可以對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的即時保護。

（3）在諸多信息安全相關的技術中，密碼是保護信息安全的較為有效的技術之一，而且居于技術的核心地位。數(shù)據(jù)加密的使用使得數(shù)據(jù)傳輸?shù)陌踩詴鄳奶嵘覍?shù)據(jù)的完整性也有相應的保證。通常情況下，加密算法、明文、密文及密鑰多層完整的數(shù)據(jù)加密系統(tǒng)。其中，加密及解密的過程是由密鑰控制的。而且密鑰會決定加密系統(tǒng)的安全性，而不是我們一般認為的加密算法。由此易知，密鑰的管理工作必須要謹慎、安全。所謂的數(shù)據(jù)加密過程簡單來說就是把明文轉變?yōu)槊芪牡倪^程。其中明文表示的是初始的數(shù)字信息，密文表示的是與明文完全不同的數(shù)字信息，它們之間的轉換是以加密算法為依據(jù)進行實現(xiàn)的。

數(shù)據(jù)傳輸加密技術的加密對象主要是傳輸中的數(shù)據(jù)流，鏈路加密、節(jié)點加密及端到端加密是數(shù)據(jù)加密的接種主要實現(xiàn)方法。

本系統(tǒng)采用嚴格的端到端加密技術以及DES加密算法。系統(tǒng)是由100%的Java代碼編寫，傳輸數(shù)據(jù)是二進制數(shù)據(jù)流，這些二進制數(shù)據(jù)流在發(fā)送端被加密，在接收端解密，中間節(jié)點處的數(shù)據(jù)并不是以明文的方式而存在，中間過程沒有解密；保證數(shù)據(jù)在傳輸過程中不被泄露和篡改，提高了數(shù)據(jù)傳輸?shù)陌踩院屯暾?。加密過程示意圖如圖3所示。

圖3 加密解密過程示意圖

（4）系統(tǒng)的用戶注冊方面，鑒于安全性考慮，采用用戶名重復檢測機制，檢測用戶名的可用性；另外，輸入的用戶信息會與系統(tǒng)用戶信息庫進行匹配，成功后方能順利注冊。注冊界面如圖4所示。

系統(tǒng)用戶注冊模塊主要包括注冊信息的獲取和注冊兩個步驟。

步驟一：注冊信息的獲取主要實現(xiàn)從用戶在注冊頁面輸入的注冊信息中提取出具體的取值，將它們賦值到相應的變量。

步驟二：用戶注冊主要是根據(jù)輸入的注冊信息，與已有的用戶信息庫進行匹配，如果用戶名已經(jīng)存在的話，則返回進行重新注冊；如果前后兩次輸入的密碼不一致的話，也無法注冊。

圖4 用戶注冊

（5）實驗教學管理系統(tǒng)的系統(tǒng)登錄模塊，如圖5所示，采用JSP+AJAX技術相結合來實現(xiàn)，確保平臺用戶的安全瀏覽，登錄模塊輸入信息檢查、用戶名存在檢驗和用戶名和密碼匹配檢驗等方面。

圖5 用戶登錄

其中，當輸入信息檢查主要是檢查用戶輸入的信息有沒有缺失，如用戶名缺失、密碼缺失等。登錄信息驗證主要實現(xiàn)對輸入的用戶名判斷是否存在，如果存在的話，進行密碼與用戶名的匹配檢驗，否則，報出相應異常信息。用戶名和密碼的匹配檢驗是通過檢索用戶信息庫，進行密碼與用戶名的匹配檢驗，如果匹配成功，即可順利錄成功，否則登錄失敗。

3 總結

合理的硬件架構設計能使實驗教學管理系統(tǒng)安全穩(wěn)定的運行，良好的安全體系設計為學校日常工作事務的處理和諸多教育政策文件提供重要安全保證，本系統(tǒng)有效地利用數(shù)字化技術，在保證安全可靠的前提下，大大提高了實驗教學工作的質量和效率。

[1]馬駿．計算機網(wǎng)絡安全中的防火墻技術應用研究[J]．電子技術與軟件工程，2016．

[2]肖云．基于Spring Security安全的Web應用開發(fā)．計算機與現(xiàn)代化，2011．

[3]胡啟敏，薛錦云，鐘林輝．基于Spring框架的輕量級J2EE架構與應用．計算機工程與應用，2008．