陳宏宇
吉林省廣播電視大學
高校教務管理系統(tǒng)數(shù)據(jù)庫安全問題與應對策略探析
陳宏宇
吉林省廣播電視大學
教務管理系統(tǒng)數(shù)據(jù)庫運行安全直接關系到其中所存儲的教學管理數(shù)據(jù)信息的安全性與完整性。本文以高校教務管理系統(tǒng)數(shù)據(jù)庫安全問題概述為切入點,探討了高校教務管理系統(tǒng)數(shù)據(jù)庫安全管理應對策略。
教務管理系統(tǒng) 數(shù)據(jù)庫安全 問題 對策
高校教務管理系統(tǒng)數(shù)據(jù)庫的安全包括教務管理信息資源的獨立性、完整性與安全性等。隨著高校教務部門對信息技術(shù)的廣泛應用,數(shù)據(jù)庫技術(shù)亦得到普遍重視,不過數(shù)據(jù)庫運行安全問題隨之而來。現(xiàn)階段高校教務管理系統(tǒng)數(shù)據(jù)庫安全問題涵蓋下述幾點:
1.1 管理人員權(quán)限威脅
此種威脅首先表現(xiàn)為管理權(quán)限不當使用問題,如管理員能夠利用其被賦予的合法管理權(quán)限,對未經(jīng)授權(quán)行為加以實現(xiàn),如管理員能夠獲取教務管理系統(tǒng)中所儲存的教師信息,在其未對這些信息進行妥善保管的情形下,極易因計算機被木馬攻擊而發(fā)生教師隱私信息外泄的情況;其次,此種威脅表現(xiàn)為黑客通過端口攻擊的形式,獲得管理員權(quán)限,進而對數(shù)據(jù)庫中儲存的信息資源進行篡改,如黑客侵入數(shù)據(jù)庫后對學生的成績進行篡改等。
1.2 操作系統(tǒng)安全漏洞威脅
操作系統(tǒng)中的安全漏洞極易成為黑客或病毒攻擊的目標,黑客往往借助這些漏洞實現(xiàn)非法訪問,并對數(shù)據(jù)信息資源進行破壞。
1.3 SQL注入攻擊威脅
此種威脅乃是指侵入者將未獲授權(quán)的數(shù)據(jù)庫語句注入到存在安全漏洞的SQL數(shù)據(jù)信道中。通常攻擊對象為數(shù)據(jù)信道,其后未獲授權(quán)注入入的語句被傳遞至數(shù)據(jù)庫中執(zhí)行,從而使侵入者能夠隨意訪問數(shù)據(jù)庫,造成教務系統(tǒng)數(shù)據(jù)信息資源發(fā)生外泄。
1.4 身份驗證產(chǎn)生的威脅
一些高校的教務管理系統(tǒng)身份驗證方案設置較為簡單,因而使侵入者獲得了可乘之機。從以往發(fā)生的侵入者非法獲得登錄憑據(jù)的方式來看,主要包括:(1)侵入者使用自動程序持續(xù)地枚舉用戶名和密碼,最終實現(xiàn)對登錄憑據(jù)的獲??;(2)侵入者在得到教務管理人員信任后,以不當手段獲取登錄憑據(jù);(3)教務管理人員未能形成數(shù)據(jù)庫安全管理意識,習慣于將登錄憑據(jù)記載于記事本上,使侵入者能夠伺機獲得。
1.5 備份數(shù)據(jù)暴露引發(fā)威脅
數(shù)據(jù)備份是確保數(shù)據(jù)安全管理的有效方式,然而如若教務管理人員對所備份的數(shù)據(jù)信息資源未能實現(xiàn)妥善保管,被侵入者獲取,則將造成嚴重的后果。
結(jié)合前文對國內(nèi)高校教務管理系統(tǒng)數(shù)據(jù)庫安全問題的闡釋,筆者認為,確保教務管理系統(tǒng)數(shù)據(jù)庫運行安全應當從下述方面著手實施:
2.1 數(shù)據(jù)庫物理安全層面保障
數(shù)據(jù)庫物理安全指架構(gòu)數(shù)據(jù)庫的硬件、數(shù)據(jù)庫的設置環(huán)境等要素應當實現(xiàn)物理安全。具體包括:(1)教務管理人員應當保證服務器相關硬件設施以及設置場所的物理安全;(2)制定嚴格的管理制度。高校教務管理部門通過制定管理制度,確保只有管理員與服務器供應商能夠接觸到服務器;(3)注重提升管理員的職業(yè)素養(yǎng),使其能夠忠于職守,在日常的服務器管理工作中能夠做到勤勉履職;(4)在設置服務器的場所內(nèi)安裝全天候監(jiān)控設施;(5)在設置服務器的場所內(nèi)安裝溫濕度表與預警系統(tǒng),如若場所內(nèi)溫度、濕度出現(xiàn)異常,預警系統(tǒng)能夠及時通知到管理員。
2.2 數(shù)據(jù)安全備份層面保障
數(shù)據(jù)安全備份能夠效度化地提升數(shù)據(jù)庫安全性,作為教務管理人員應當從如下方面著手:(1)應當先期性進行系統(tǒng)備份測試與恢復過程,從而對數(shù)據(jù)備份運行易出現(xiàn)的問題做到精準掌握;(2)注重儲備各類故障恢復所需備份,以便在數(shù)據(jù)庫出現(xiàn)運行故障時進行備份還原;(3)根據(jù)工作需要制定具體的數(shù)據(jù)備份周期。
2.3 訪問控制安全層面保障
(1)防止用戶帳號被人列舉。教務管理人員必須加強對登錄憑據(jù)的保密,避免登錄憑據(jù)不當外泄,避免非管理員獲取全部數(shù)據(jù)庫用戶帳號列表;(2)教務人員所設置的賬號密碼應當確保安全性,密碼長度應當保持在八位以上,不得設置連續(xù)的數(shù)字和字母,應當使用數(shù)字與字母的組合;(3)做好訪問審計。依托訪問審計實現(xiàn)對用戶操作痕跡的掌握。
高校教務管理系統(tǒng)數(shù)據(jù)庫的安全同高校日常教學管理工作息息相關,本文結(jié)合現(xiàn)階段國內(nèi)高校教務管理系統(tǒng)數(shù)據(jù)庫可能面臨的安全問題,提出了具體的應對策略。不過需要指出的是,作為高校教務管理人員而言,應當清醒地意識到數(shù)據(jù)庫安全工作是一項長期的工作,唯有在日常工作中不斷提升自身信息技術(shù)水平,方才能夠確保數(shù)據(jù)庫的安全性。
[1]馮勤群. 大數(shù)據(jù)背景下數(shù)據(jù)庫安全保障體系研究[J]. 軟件導刊. 2013(1)
[2]賀蘊彬. 基于SQL Server數(shù)據(jù)庫安全機制問題的研究與分析[J]. 信息安全與技術(shù). 2014(1)
[3]張洋. 數(shù)據(jù)庫安全技術(shù)研究與應用[J]. 計算機光盤軟件與應用. 2013(1)
陳宏宇(1979-),男,漢族,吉林長春人,副教授,碩士,吉林省廣播電視大學,計算機應用與技術(shù)。