提高教务管理系统安全性探讨
【摘 要】本文在笔者侦破天津民航大学破坏计算机系统案后,分析国内现有主要教学教务管理系统提供商的主流产品,和国内高校教务管理系统安全性现状,针对基于Internet的高校教务管理系统的安全性,从技术管理、组织管理、人事管理以及法律管理四个方面进行了关于如果提高高校教务管理系统的安全性的探讨,为提高高校教务管理系统的安全性工作提供有益参考。
【关键词】教务管理系统;网络安全;安全技术;信息安全
1 教务管理系统安全性现状
随着信息技术与网络技术的发展,越来越多的高校开始使用教务管理系统,以便于统一管理本校学生的学习情况、教师教学情况与教学资源的使用情况。据统计,全国共有97%的高校利用教务管理系统等现代化管理手段来提高管理效率与管理水平。
但是,近年来出现了不少关于教务管理系统被破坏的案件,具备系统破坏直接动机的往往是在校大学生,他们计算机水平和网络技术普遍较好,再加上职业黑客的参与,因此,如何提高教务管理系统的安全性是众多高校面临的普遍问题。信息系统的安全性是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统连续正常运行。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。各个高校建立各自的教务管理系统的方式主要是通过招标购买和自主开发两种方式建立的,但是由于资金与技术的限制,通过招标购买的占了所有教务管理系统的83%,投标企业的规模基本以中小型企业为主,他们由于资金预算有限,基本上只关注客户需求的表面性功能模块的研发,对于网络安全这种一般客户难以有效验收的性能层面,往往不愿意进行过多投入。企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内高校教务管理系统网络安全水平参差不齐,普遍处于不乐观的状况。
2 国内教务管理系统安全性分析
2012年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%),可见防火墙和杀毒软件的重要性也不能忽视。
高校教务服务器一般放在校园网的IDC中心或有自己独立的区域,教务处服务器承担着学籍、学分、档案排选课和教评等多项关键内容。因此,教务处网络架常常设在内网,只是通过三层交换机与校园网连接,很有可能遭受到来自内网的网络层攻击,如学生使用网络扫描,密码破解等多种方式对教务处网络中的服务器进行渗透,篡改重要的学籍、学分等数据。据统计,来自计算机系统内部的安全威胁高达60%,这是因为目前的信息系统不同于早期的集中式应用,现在企业的计算机系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,在这样的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等都是供出入的“门户”,因为网络不仅是系统网络设备的威胁也是一个新的攻击点。
3 几款主流教务管理系统提供商产品安全性评价
以下对国内市场上出售投标的几款典型的教务管理系统的结构框架与安全性进行分析比较。文中隐去产品及公司名称,以字母替代。
A产品,服务器常采用Windows Server操作系统,数据库采用Oracle Database,Web端编程语言采用ASP与ASP.net,客户端利用Delphi语言编写,功能结构清晰,稳定性也较强。但是安全性却较差,这突出表现在客户端登陆时密码验证在客户端进行,且加密方式简单,常常受到黑客攻击。Web端的跨站攻击与SQL注入漏洞也屡见不鲜。
B产品,集Client/Server和Browser/Web Server技术于一体,涉及教务、教学管理各环节,面向学校各部门以及各层次用户的大型集成教务管理信息系统。其结构主要采用J2EE技术,Web端采用JSP语言编写,服务器采用Oracle数据库,安全性较高,其漏洞常常发生在跨站攻击等网络渗透攻击形式。
C产品,分为三层结构,包括数据表现层,业务逻辑层和数据存储层,数据表现层采用了PowerBuilder 9.0集成开发环境,业务逻辑层采用了ASP语言开发,应用服务器采用Microsoft Transaction Server(MTS),数据存储层采用了Oracle、SQL Server等多种数据库管理系统。这样的三层结构使项目结构更清楚,分工更明确。虽然系统设计了安全审计功能、防火墙等方式保护系统安全,这样可以减少大量的客户端攻击,但是C产品也常常受到SQL注入攻击与跨站攻击。
经过上面的分析,我们可以看出,除了A产品的客户端存在严重的缺陷之外,跨站攻击与SQL注入攻击时主要的攻击方式。
4 提高教务系统安全的综合管理
随着教务管理系统的广泛建立和各种不同网络的互联互通,要求使用者不能从单个安全功能、单个网络来孤立的考虑安全问题,而必须从体系结构上系统的、全面的考虑安全管理。这就是说,教务管理系统安全管理的对象是整个系统而不是系统中得某个或某些方面,一般来说,系统内外所有因素都是管理的内容。从系统内部看,有通信安全、计算机安全、操作安全、人事安全、资源安全等,从系统外部环境看,有法律、道德、文化传统、社会制度等方面的内容。按照系统的观点,信息系统安全追求并强调均衡性,因而各项因素管理要互相协调,不能重此轻彼,这就是信息系统安全的综合性原则。要想有效的保护信息安全技术、组织机构与人事管理、信息安全法制建设等方面采取综合治理措施。
4.1 技术管理
信息安全技术包括:防火墙技术、入侵检测技术、密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术等等:
