陳宏宇

吉林省廣播電視大學(xué)

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全問(wèn)題與應(yīng)對(duì)策略探析

陳宏宇

吉林省廣播電視大學(xué)

教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)運(yùn)行安全直接關(guān)系到其中所存儲(chǔ)的教學(xué)管理數(shù)據(jù)信息的安全性與完整性。本文以高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全問(wèn)題概述為切入點(diǎn)，探討了高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全管理應(yīng)對(duì)策略。

教務(wù)管理系統(tǒng) 數(shù)據(jù)庫(kù)安全 問(wèn)題 對(duì)策

1 高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全問(wèn)題概述

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)的安全包括教務(wù)管理信息資源的獨(dú)立性、完整性與安全性等。隨著高校教務(wù)部門(mén)對(duì)信息技術(shù)的廣泛應(yīng)用，數(shù)據(jù)庫(kù)技術(shù)亦得到普遍重視，不過(guò)數(shù)據(jù)庫(kù)運(yùn)行安全問(wèn)題隨之而來(lái)?，F(xiàn)階段高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全問(wèn)題涵蓋下述幾點(diǎn)：

1.1 管理人員權(quán)限威脅

此種威脅首先表現(xiàn)為管理權(quán)限不當(dāng)使用問(wèn)題，如管理員能夠利用其被賦予的合法管理權(quán)限，對(duì)未經(jīng)授權(quán)行為加以實(shí)現(xiàn)，如管理員能夠獲取教務(wù)管理系統(tǒng)中所儲(chǔ)存的教師信息，在其未對(duì)這些信息進(jìn)行妥善保管的情形下，極易因計(jì)算機(jī)被木馬攻擊而發(fā)生教師隱私信息外泄的情況；其次，此種威脅表現(xiàn)為黑客通過(guò)端口攻擊的形式，獲得管理員權(quán)限，進(jìn)而對(duì)數(shù)據(jù)庫(kù)中儲(chǔ)存的信息資源進(jìn)行篡改，如黑客侵入數(shù)據(jù)庫(kù)后對(duì)學(xué)生的成績(jī)進(jìn)行篡改等。

1.2 操作系統(tǒng)安全漏洞威脅

操作系統(tǒng)中的安全漏洞極易成為黑客或病毒攻擊的目標(biāo)，黑客往往借助這些漏洞實(shí)現(xiàn)非法訪(fǎng)問(wèn)，并對(duì)數(shù)據(jù)信息資源進(jìn)行破壞。

1.3 SQL注入攻擊威脅

此種威脅乃是指侵入者將未獲授權(quán)的數(shù)據(jù)庫(kù)語(yǔ)句注入到存在安全漏洞的SQL數(shù)據(jù)信道中。通常攻擊對(duì)象為數(shù)據(jù)信道，其后未獲授權(quán)注入入的語(yǔ)句被傳遞至數(shù)據(jù)庫(kù)中執(zhí)行，從而使侵入者能夠隨意訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，造成教務(wù)系統(tǒng)數(shù)據(jù)信息資源發(fā)生外泄。

1.4 身份驗(yàn)證產(chǎn)生的威脅

一些高校的教務(wù)管理系統(tǒng)身份驗(yàn)證方案設(shè)置較為簡(jiǎn)單，因而使侵入者獲得了可乘之機(jī)。從以往發(fā)生的侵入者非法獲得登錄憑據(jù)的方式來(lái)看，主要包括：（1）侵入者使用自動(dòng)程序持續(xù)地枚舉用戶(hù)名和密碼，最終實(shí)現(xiàn)對(duì)登錄憑據(jù)的獲??；（2）侵入者在得到教務(wù)管理人員信任后，以不當(dāng)手段獲取登錄憑據(jù)；（3）教務(wù)管理人員未能形成數(shù)據(jù)庫(kù)安全管理意識(shí)，習(xí)慣于將登錄憑據(jù)記載于記事本上，使侵入者能夠伺機(jī)獲得。

1.5 備份數(shù)據(jù)暴露引發(fā)威脅

數(shù)據(jù)備份是確保數(shù)據(jù)安全管理的有效方式，然而如若教務(wù)管理人員對(duì)所備份的數(shù)據(jù)信息資源未能實(shí)現(xiàn)妥善保管，被侵入者獲取，則將造成嚴(yán)重的后果。

2 高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全管理應(yīng)對(duì)策略

結(jié)合前文對(duì)國(guó)內(nèi)高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)安全問(wèn)題的闡釋?zhuān)P者認(rèn)為，確保教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)運(yùn)行安全應(yīng)當(dāng)從下述方面著手實(shí)施：

2.1 數(shù)據(jù)庫(kù)物理安全層面保障

數(shù)據(jù)庫(kù)物理安全指架構(gòu)數(shù)據(jù)庫(kù)的硬件、數(shù)據(jù)庫(kù)的設(shè)置環(huán)境等要素應(yīng)當(dāng)實(shí)現(xiàn)物理安全。具體包括：（1）教務(wù)管理人員應(yīng)當(dāng)保證服務(wù)器相關(guān)硬件設(shè)施以及設(shè)置場(chǎng)所的物理安全；（2）制定嚴(yán)格的管理制度。高校教務(wù)管理部門(mén)通過(guò)制定管理制度，確保只有管理員與服務(wù)器供應(yīng)商能夠接觸到服務(wù)器；（3）注重提升管理員的職業(yè)素養(yǎng)，使其能夠忠于職守，在日常的服務(wù)器管理工作中能夠做到勤勉履職；（4）在設(shè)置服務(wù)器的場(chǎng)所內(nèi)安裝全天候監(jiān)控設(shè)施；（5）在設(shè)置服務(wù)器的場(chǎng)所內(nèi)安裝溫濕度表與預(yù)警系統(tǒng)，如若場(chǎng)所內(nèi)溫度、濕度出現(xiàn)異常，預(yù)警系統(tǒng)能夠及時(shí)通知到管理員。

2.2 數(shù)據(jù)安全備份層面保障

數(shù)據(jù)安全備份能夠效度化地提升數(shù)據(jù)庫(kù)安全性，作為教務(wù)管理人員應(yīng)當(dāng)從如下方面著手：（1）應(yīng)當(dāng)先期性進(jìn)行系統(tǒng)備份測(cè)試與恢復(fù)過(guò)程，從而對(duì)數(shù)據(jù)備份運(yùn)行易出現(xiàn)的問(wèn)題做到精準(zhǔn)掌握；（2）注重儲(chǔ)備各類(lèi)故障恢復(fù)所需備份，以便在數(shù)據(jù)庫(kù)出現(xiàn)運(yùn)行故障時(shí)進(jìn)行備份還原；（3）根據(jù)工作需要制定具體的數(shù)據(jù)備份周期。

2.3 訪(fǎng)問(wèn)控制安全層面保障

（1）防止用戶(hù)帳號(hào)被人列舉。教務(wù)管理人員必須加強(qiáng)對(duì)登錄憑據(jù)的保密，避免登錄憑據(jù)不當(dāng)外泄，避免非管理員獲取全部數(shù)據(jù)庫(kù)用戶(hù)帳號(hào)列表；（2）教務(wù)人員所設(shè)置的賬號(hào)密碼應(yīng)當(dāng)確保安全性，密碼長(zhǎng)度應(yīng)當(dāng)保持在八位以上，不得設(shè)置連續(xù)的數(shù)字和字母，應(yīng)當(dāng)使用數(shù)字與字母的組合；（3）做好訪(fǎng)問(wèn)審計(jì)。依托訪(fǎng)問(wèn)審計(jì)實(shí)現(xiàn)對(duì)用戶(hù)操作痕跡的掌握。

3 結(jié)束語(yǔ)

高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)的安全同高校日常教學(xué)管理工作息息相關(guān)，本文結(jié)合現(xiàn)階段國(guó)內(nèi)高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫(kù)可能面臨的安全問(wèn)題，提出了具體的應(yīng)對(duì)策略。不過(guò)需要指出的是，作為高校教務(wù)管理人員而言，應(yīng)當(dāng)清醒地意識(shí)到數(shù)據(jù)庫(kù)安全工作是一項(xiàng)長(zhǎng)期的工作，唯有在日常工作中不斷提升自身信息技術(shù)水平，方才能夠確保數(shù)據(jù)庫(kù)的安全性。

[1]馮勤群. 大數(shù)據(jù)背景下數(shù)據(jù)庫(kù)安全保障體系研究[J]. 軟件導(dǎo)刊. 2013(1)

[2]賀蘊(yùn)彬. 基于SQL Server數(shù)據(jù)庫(kù)安全機(jī)制問(wèn)題的研究與分析[J]. 信息安全與技術(shù). 2014(1)

[3]張洋. 數(shù)據(jù)庫(kù)安全技術(shù)研究與應(yīng)用[J]. 計(jì)算機(jī)光盤(pán)軟件與應(yīng)用. 2013(1)

陳宏宇（1979-），男，漢族，吉林長(zhǎng)春人，副教授，碩士，吉林省廣播電視大學(xué)，計(jì)算機(jī)應(yīng)用與技術(shù)。