陳宏宇

吉林省廣播電視大學(xué)

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全問題與應(yīng)對(duì)策略探析

陳宏宇

吉林省廣播電視大學(xué)

教務(wù)管理系統(tǒng)數(shù)據(jù)庫運(yùn)行安全直接關(guān)系到其中所存儲(chǔ)的教學(xué)管理數(shù)據(jù)信息的安全性與完整性。本文以高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全問題概述為切入點(diǎn)，探討了高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全管理應(yīng)對(duì)策略。

教務(wù)管理系統(tǒng) 數(shù)據(jù)庫安全 問題 對(duì)策

1 高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全問題概述

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫的安全包括教務(wù)管理信息資源的獨(dú)立性、完整性與安全性等。隨著高校教務(wù)部門對(duì)信息技術(shù)的廣泛應(yīng)用，數(shù)據(jù)庫技術(shù)亦得到普遍重視，不過數(shù)據(jù)庫運(yùn)行安全問題隨之而來?，F(xiàn)階段高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全問題涵蓋下述幾點(diǎn)：

1.1 管理人員權(quán)限威脅

此種威脅首先表現(xiàn)為管理權(quán)限不當(dāng)使用問題，如管理員能夠利用其被賦予的合法管理權(quán)限，對(duì)未經(jīng)授權(quán)行為加以實(shí)現(xiàn)，如管理員能夠獲取教務(wù)管理系統(tǒng)中所儲(chǔ)存的教師信息，在其未對(duì)這些信息進(jìn)行妥善保管的情形下，極易因計(jì)算機(jī)被木馬攻擊而發(fā)生教師隱私信息外泄的情況；其次，此種威脅表現(xiàn)為黑客通過端口攻擊的形式，獲得管理員權(quán)限，進(jìn)而對(duì)數(shù)據(jù)庫中儲(chǔ)存的信息資源進(jìn)行篡改，如黑客侵入數(shù)據(jù)庫后對(duì)學(xué)生的成績進(jìn)行篡改等。

1.2 操作系統(tǒng)安全漏洞威脅

操作系統(tǒng)中的安全漏洞極易成為黑客或病毒攻擊的目標(biāo)，黑客往往借助這些漏洞實(shí)現(xiàn)非法訪問，并對(duì)數(shù)據(jù)信息資源進(jìn)行破壞。

1.3 SQL注入攻擊威脅

此種威脅乃是指侵入者將未獲授權(quán)的數(shù)據(jù)庫語句注入到存在安全漏洞的SQL數(shù)據(jù)信道中。通常攻擊對(duì)象為數(shù)據(jù)信道，其后未獲授權(quán)注入入的語句被傳遞至數(shù)據(jù)庫中執(zhí)行，從而使侵入者能夠隨意訪問數(shù)據(jù)庫，造成教務(wù)系統(tǒng)數(shù)據(jù)信息資源發(fā)生外泄。

1.4 身份驗(yàn)證產(chǎn)生的威脅

一些高校的教務(wù)管理系統(tǒng)身份驗(yàn)證方案設(shè)置較為簡單，因而使侵入者獲得了可乘之機(jī)。從以往發(fā)生的侵入者非法獲得登錄憑據(jù)的方式來看，主要包括：（1）侵入者使用自動(dòng)程序持續(xù)地枚舉用戶名和密碼，最終實(shí)現(xiàn)對(duì)登錄憑據(jù)的獲?。唬?）侵入者在得到教務(wù)管理人員信任后，以不當(dāng)手段獲取登錄憑據(jù)；（3）教務(wù)管理人員未能形成數(shù)據(jù)庫安全管理意識(shí)，習(xí)慣于將登錄憑據(jù)記載于記事本上，使侵入者能夠伺機(jī)獲得。

1.5 備份數(shù)據(jù)暴露引發(fā)威脅

數(shù)據(jù)備份是確保數(shù)據(jù)安全管理的有效方式，然而如若教務(wù)管理人員對(duì)所備份的數(shù)據(jù)信息資源未能實(shí)現(xiàn)妥善保管，被侵入者獲取，則將造成嚴(yán)重的后果。

2 高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全管理應(yīng)對(duì)策略

結(jié)合前文對(duì)國內(nèi)高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫安全問題的闡釋，筆者認(rèn)為，確保教務(wù)管理系統(tǒng)數(shù)據(jù)庫運(yùn)行安全應(yīng)當(dāng)從下述方面著手實(shí)施：

2.1 數(shù)據(jù)庫物理安全層面保障

數(shù)據(jù)庫物理安全指架構(gòu)數(shù)據(jù)庫的硬件、數(shù)據(jù)庫的設(shè)置環(huán)境等要素應(yīng)當(dāng)實(shí)現(xiàn)物理安全。具體包括：（1）教務(wù)管理人員應(yīng)當(dāng)保證服務(wù)器相關(guān)硬件設(shè)施以及設(shè)置場所的物理安全；（2）制定嚴(yán)格的管理制度。高校教務(wù)管理部門通過制定管理制度，確保只有管理員與服務(wù)器供應(yīng)商能夠接觸到服務(wù)器；（3）注重提升管理員的職業(yè)素養(yǎng)，使其能夠忠于職守，在日常的服務(wù)器管理工作中能夠做到勤勉履職；（4）在設(shè)置服務(wù)器的場所內(nèi)安裝全天候監(jiān)控設(shè)施；（5）在設(shè)置服務(wù)器的場所內(nèi)安裝溫濕度表與預(yù)警系統(tǒng)，如若場所內(nèi)溫度、濕度出現(xiàn)異常，預(yù)警系統(tǒng)能夠及時(shí)通知到管理員。

2.2 數(shù)據(jù)安全備份層面保障

數(shù)據(jù)安全備份能夠效度化地提升數(shù)據(jù)庫安全性，作為教務(wù)管理人員應(yīng)當(dāng)從如下方面著手：（1）應(yīng)當(dāng)先期性進(jìn)行系統(tǒng)備份測試與恢復(fù)過程，從而對(duì)數(shù)據(jù)備份運(yùn)行易出現(xiàn)的問題做到精準(zhǔn)掌握；（2）注重儲(chǔ)備各類故障恢復(fù)所需備份，以便在數(shù)據(jù)庫出現(xiàn)運(yùn)行故障時(shí)進(jìn)行備份還原；（3）根據(jù)工作需要制定具體的數(shù)據(jù)備份周期。

2.3 訪問控制安全層面保障

（1）防止用戶帳號(hào)被人列舉。教務(wù)管理人員必須加強(qiáng)對(duì)登錄憑據(jù)的保密，避免登錄憑據(jù)不當(dāng)外泄，避免非管理員獲取全部數(shù)據(jù)庫用戶帳號(hào)列表；（2）教務(wù)人員所設(shè)置的賬號(hào)密碼應(yīng)當(dāng)確保安全性，密碼長度應(yīng)當(dāng)保持在八位以上，不得設(shè)置連續(xù)的數(shù)字和字母，應(yīng)當(dāng)使用數(shù)字與字母的組合；（3）做好訪問審計(jì)。依托訪問審計(jì)實(shí)現(xiàn)對(duì)用戶操作痕跡的掌握。

3 結(jié)束語

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫的安全同高校日常教學(xué)管理工作息息相關(guān)，本文結(jié)合現(xiàn)階段國內(nèi)高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫可能面臨的安全問題，提出了具體的應(yīng)對(duì)策略。不過需要指出的是，作為高校教務(wù)管理人員而言，應(yīng)當(dāng)清醒地意識(shí)到數(shù)據(jù)庫安全工作是一項(xiàng)長期的工作，唯有在日常工作中不斷提升自身信息技術(shù)水平，方才能夠確保數(shù)據(jù)庫的安全性。

[1]馮勤群. 大數(shù)據(jù)背景下數(shù)據(jù)庫安全保障體系研究[J]. 軟件導(dǎo)刊. 2013(1)

[2]賀蘊(yùn)彬. 基于SQL Server數(shù)據(jù)庫安全機(jī)制問題的研究與分析[J]. 信息安全與技術(shù). 2014(1)

[3]張洋. 數(shù)據(jù)庫安全技術(shù)研究與應(yīng)用[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用. 2013(1)

陳宏宇（1979-），男，漢族，吉林長春人，副教授，碩士，吉林省廣播電視大學(xué)，計(jì)算機(jī)應(yīng)用與技術(shù)。