高校教务管理系统安全策略的探讨

高校教务管理系统安全策略的探讨高校教务管理系统平安策略的探讨

中图分类号：TP393文献标识码：A文章编号：1674-098X〔2022〕08〔a〕-0183-01

1高校教务管理系统平安重视的必要性

众所周知，一般在教务管理当中会波及到很多数据的信息，包括学生信息、教师信息，学生成绩，选课信息等等。由于教务管理系统信息寄存的分散化、处理信息网络化及应用模式的不完善等原因还不能提供足够信息平安爱护，网络攻击技术和攻击工具也有了新的开展，校园网作为一个开放的网络平台，越来越多的平安问题凸显出来。基于这一原因，教务管理工作的平安性越来越受重视，同时，国家在进行教学评估时，教务管理系统也作为重要评定因素之一。如何使现有的教务管理系统更加科学化、标准化、现代化，“提升教务管理档次，将教务交给计算机管理〞正成为亟待解决的问题。

2高校教务管理系统存在的平安问题

2.1效劳器存在的平安隐患

效劳器平安隐患主要包括：〔1〕教务系统几乎要面对高校中所有的学生和教师，使用人群非常庞大而复杂。这既增加了效劳器被使用者有意或无意的破坏几率，又增加了用户终端病毒感染效劳器的可能性；〔2〕效劳器的硬件故障〔如硬盘故障等〕也会给系统带来很大的平安隐患；〔3〕效劳器自身的平安措施不到位存在的平安隐患，如未及时给操作系统打补丁，未及时升级杀毒软件病毒库等；〔4〕用户身份认证机制缺陷造成的平安隐患，如用户的身份证仅靠密码辨认，由于用户密码泄漏而给系统带来平安隐患；〔5〕管理系统自身的软件漏洞〔如SQL注入漏洞〕带来的平安隐患。

2.2网络平安隐患

网络平安隐患主要包括下列方面：〔1〕数据传输隐患。如果敏感数据不使用加密传输，入侵者就可以通过网络嗅探工具获得用户的账号和口令；〔2〕网络负载过重。随着各高校的大规模招生，教务管理系统用户的数量急剧增加，这可能会造成因并发用户太多无法及时响应而造成效劳器死机，影响效劳器的正常运行。

3高校教务管理系统的平安策略

针对上文提到的各种平安隐患，必须制定相应的平安策略，才能保障教务管理系统的平安、稳定运行。

3.1校园网络平安体系的构建

〔1〕物理平安。

在建立平安的校园网络的时候，要注意机房的建设，特别是场馆建设的设备，重要的是要留下足够的空间，根据实际的网络建设需求，对房间进行分隔，尤其是自动化的开关，光集群设备，网络管理系统，完成设备的测量，控制和系统操作，无需频繁进入，从而减少了人为因素对设备。另外我们还要考虑机房的消防设计，根据消防防火级别设置的机房，烟雾，温度检测装置，安装在机房设备的分布按照实际情况来确定设计。

〔2〕逻辑平安。

选择VLAN技术，将网络按照不同的平安要求划分成几个逻辑子网，对在网络传播的信息进行阻隔，在网络内部，我们要尽量控制的IP地址随意更换及盗用，将有助于提高网络的整体平安性。

3.2网络操作系统的平安性

网络操作系统作用是管理网络信息的传输以及资源共享问题，提供软件和网络设备常见的规范接口协议并效劳于网络用户。

3.3数据库平安

〔1〕选择适合的网络操作系统。示例Window2000、Window2022、Linux等。

〔2〕及时更新系统漏洞。现在网络上比拟常见的网络攻击一般都是针对系统漏洞或者安装的一些软件漏洞来进行的。因此要定期对系统及相应软件进行更新。

〔3〕建立堡垒主机。对效劳器建立堡垒主机并配合防火墙的使用，阻止外界用户的访问，并对来访信息进行记录。教务系统配置前置反向代理效劳器，实现隔离用户对教务效劳器的直接访问，同时实现负载均衡，教务效劳器只对前置代理效劳器和数据库效劳器信任，所配置的防火墙规那么对其他电脑一律不信任，禁止访问配置前置代理效劳器防火墙：

/sbin/iptables-F

/sbin/iptables-X

/sbin/iptables-Z

/sbin/iptables-PINPUTACCEPT

/sbin/iptables-POUTPUTACCEPT

/sbin/iptables-PFORWARDACCEPT

/sbin/iptables-AINPUT-ilo-jACCEPT

/sbin/iptables-AINPUT-mstate--stateRELATED，ESTABLISHED-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.9--dport80-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.9--dport443-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.8--dport80-jACCEPT

/sbin/iptables-AINPUT-ptcp-d10.1.2.8--dport443-jACCEPT

/sbin/iptables-AINPUT-s10.1.1.0/24-jACCEPT

/sbin/iptables-AINPUT-s10.1.2.0/24-jACCEPT

/sbin/iptables-AINPUT-s10.0.0.0/8-jDROP

10.1.2.9和10.1.2.8是实现前置代理效劳器HA和负载均衡的虚拟IP〔VIP〕，外网有硬件防火墙，并且只做端口映射。

10.1.1.0/24管理网段

10.1.2.0/24效劳器网段

数据库效劳器的平安也是只信任业务效劳器，就是功能层的效劳器，其他连前置效劳器都不信任。

3.4平安等级域的具体划分

将学院的网络应用按照平安等级的不同进行了层级划分，首先我们建立了一个核心区域，它包含了数字化校园所有的应用系统，重点是教务管理系统，及学院的门户网站，这个区域也是我们层级划分的第一层；校园网管理效劳器和教育信息电脑作为层级划分的第二层；教师电脑作为第三层；学生电脑作为第四层；最后第五层是外部用户域。则核心业务效劳放在一级区域里。并且我们设定一级区域的东西能访问二层以上的以上的东西，一、二层之间的相互访问需要获取一个加密证书认证。三层区域和四层区域的电脑不论是否获取证书均不能访问以上两层区域的主机。则作为互联网中的那些外部