C/S架构视角下高校教务管理系统安全策略探析

　　摘要：伴随着社会经济的不断发展，网络技术得到了进一步的发展，但网络攻击工具与技术也随之而来。校园网属于公众开放网络平台，可促使访问者实现资源共享，但考虑到网络安全问题逐渐突出，故基于C/S架构的教务管理系统优化已成为了目前高校研究的重要课题。本文主要立足于C/S架构视角下，深入探究高校教务管理系统存在的安全问题，并提出针对性安全策略，旨在保障系统安全，实现数据完整性、保密性、有效性。
　　关键词：C/S架构 高校教务管理系统 安全策略
　　中图分类号：TP311.52 文献标识码：A 文章编号：1007-9416（2014）06-0196-01
　　伴随着我国教育事业的不断发展，诸多高校教务管理工作的信息化水平得到了进一步提升，教务管理系统普及速度逐渐加快，教学计划及学生考试、学籍、成绩等教务工作开始进行网络化管理。目前，应用广泛的教务管理系统架构主要包括三种模式：一是C/S模式，二是B/S模式，三是C/S与B/S结合模式。但在教务管理信息化建设过程中，管理系统安全性问题日益突出。笔者主要综合自身多年来实践经验，简要论述基于C/S架构视角下教务管理系统存在的安全问题，并提出针对性安全策略，旨在提高高校教务管理工作的信息化水平。
　　1 C/S架构视角下高校教务管理系统安全问题
　　1.1 数据库系统
　　目前，就高校教务数据库管理系统而言，其服务器端主要应用微软SQL Server 2000系统，往往容易忽视了数据库的密码管理，设置异常简单，多为电话号码、生日等，导致攻击者极其容易把控数据库服务器。另外，在对教务管理系统开展程序规划与设计计时，诸多信息存储方式多为明文，入侵者易于控制数据库管理系统，可在sql表中修改或删除帐号密码、用户名、浏览信息表等。另外，诸多系统管理员未对数据库信息进行备份处理，系统遭到攻击后无法还原至初始状态。
　　1.2 系统未与Internet隔绝
　　与教务管理系统相连的客户机在与教务管理服务器连接时，可接入Internet，浏览网页，应用MSN、QQ等软件可与他人进行通话，此类客户机与Internet处于未隔绝状态。攻击者能轻易攻击客户机，进而控制客户机与服务器连接，获取用户密码、帐号，破坏系统数据。
　　1.3 操作系统
　　基于C/S架构视角下，多数教务管理系统的服务器端多应用微软操作系统，内核虽具有一定的可靠性，但亦存在系统漏洞，易被木马程序或病毒利用。此外，诸多高校教务管理员易忽视这类细节问题，未定期对操作系统补丁进行更新，基于此状况下，硬盘数据往往容易遭到恶意删除。
　　1.4 系统帐号管理
　　在现阶段，主要教务管理员缺乏系统安全认识，往往容易忽视网络安全，帐号、密码管理不当。譬如密码设置多为阿拉伯数字，异常简单，且长期未做修改。同时，离开电脑时系统仍为登录状态，易威胁教务管理系统安全。
　　2 C/S架构视角下高校教务管理系统安全策略
　　2.1 培养系统维护习惯
　　高校教务管理工作者必须要积极采用正版操作系统，禁止采用盗版软件，确保系统中无后门程序，以防被攻击。此外，必须要对系统补丁进行及时更新，应用重命名，禁用默认账户与默认共享及IPC连接。针对易被网络与病毒利用的服务与端口而言，必须要及时关闭，并对权限作修改处理，避免木马或病毒遭到破坏。
　　2.2 应用访问控制机制
　　积极应用访问控制，有助于避免用户越权访问，保障系统信息安全。究其根源，访问控制主要以最小特权为基本原则。具体而言，在对用户进行权限分配时，按照用户任务特征，促使其获取最低权限，未赋予其任务之外的权力。角色访问控制主要以将角色与访问权限进行有机结合为基本思想，分配用户适宜角色，促使其联系访问权限。而角色多以系统内任务需要而进行设置的，按照用户在系统中责任或职务来设定。用户可转换角色，而系统可对角色或角色权限进行删除或添加。
　　2.3 强化数据库安全管理
　　在进行数据库设置时，sa密码尽量要复杂，将阿拉珀数字与字母及字符进行有机组合，密码长度>16位，也可应用专门密码自动生成软件密码。而针对学生信息表、用户信息表、学生成绩表等敏感数据而言，可作字段加密处理。此外，积极构建系统备份管理体系，实现其异地性与实时性。必须情况下，将移动硬盘备份与数据库同步异地备份进行有机结合，保证数据库遭到破坏后可还原至初始状态。
　　2.4 重视防火墙管理
　　2.4.1 强化网络地址转换管理
　　网络地址转换主要是指将两个IP地址进行转换，可将内部网络IP地址进行隐藏，促使外网用户无法对内网状况进行判定，无法与内网连接。另外，还可对端口地址进行变换，促使入侵者无法获取网络地址，保障内部网络安全。
　　2.4.2 保证接入控制安全
　　为了解决教务系统客户机与Internet隔绝问题，可对客户机进行双网卡配置，促使客户机两个网络接口接入外网与内网。客户机经由内网网卡连接教务管理系统服务器，保证整个网络处于逻辑网络控制中，构建一个系统的网络环境。客户机经由外网网卡与Internet连接，将网络接口IP包转发功能关闭，禁止内网与外网直接通信。
　　2.4.3 积极应用包过滤路由器系统
　　内网路由器添加包过滤功能，给内网中需与服务器连接的客户机进行IP地址指定处理，拒接其它IP主机及主机指定端口连接，同时拒绝本地网络或主机与其它网络或主机及指定端口连接。在执行数据分组路由前提下检查数据包IP地址与端口，并依据系统既定策略对数据包作过滤处理，保证授权信息顺利通过。
　　2.4.4 完善防火墙代理服务
　　在连网路由器上经由防火墙代理服务对指定客户端进行设定，才能与服务器连接，允许与教务系统相关程序应用协议通过。当用户应用其它协议连接通入时，记录动作并告知系统管理员。基于代理服务下，由代理服务器进行请求发送。代理服务器需明确代理服务，并为服务提供访问日志记录。
　　3 结语
　　综上所述，目前基于C/S架构视角下高校教务管理系统安全问题逐渐突出，必须要积极培养系统维护习惯，应用访问控制机制，强化数据库安全管理，并重视防火墙管理，保证接入控制安全，只有这样，才能提升教务管理系统安全性。
　　参考文献
　　[1]张艳.高校教务管理系统安全策略研究[J].电脑知识与技术，2010（06）：1438-1439.
　　[2]杨辉.基于C/S和B/S结构的高校教务管理系统的设计与实现[D].中南大学，2010.
　　[3]邵玉兰，曹亚君.高校教务管理系统的安全风险及策略研究[J].铜仁职业技术学院学报，2012（06）：63-65.
　　[4]刘菲.基于.NET的高校教务管理系统设计与实现[D].电子科技大学，2012.