孔賀 王泳銘 吳秋蘭

摘? ?要：網(wǎng)絡(luò)信息安全是必須重視并加以有效防范的問題。針對近年來高校新生網(wǎng)上報(bào)到系統(tǒng)頻發(fā)的學(xué)生信息泄露問題，文章分析了新生報(bào)到系統(tǒng)數(shù)據(jù)安全隱患來源，主要包括網(wǎng)絡(luò)漏洞、數(shù)據(jù)丟失及加密情況、網(wǎng)絡(luò)病毒威脅等;探討了保障數(shù)據(jù)安全的對策，主要包括加強(qiáng)系統(tǒng)框架設(shè)計(jì)、加強(qiáng)數(shù)據(jù)存儲安全、加強(qiáng)數(shù)據(jù)的保密性以及數(shù)據(jù)備份等內(nèi)容。

關(guān)鍵詞：新生報(bào)到;數(shù)據(jù)安全;對策

Abstract： Network information security is an issue that must be taken seriously and effectively prevented. Aiming at the problem of student information leaks frequently reported by the online registration system of college freshmen in recent years， this paper analyzes the sources of hidden dangers to the data security of the freshmen report system， mainly including network vulnerabilities， data loss and encryption， and network virus threats. ， Mainly including strengthening local storage security， enhancing data confidentiality， strengthening system framework design， and data backup.

Key words： freshman registration; data security; countermeasures

1 引言

隨著大數(shù)據(jù)時(shí)代的來臨，“互聯(lián)網(wǎng)+”智慧校園的快速發(fā)展，新生報(bào)到系統(tǒng)的出現(xiàn)，使新生報(bào)到繁瑣的事情變得簡單、便捷，報(bào)到時(shí)間大大縮短。網(wǎng)頁端和微信端的多種方式使學(xué)生報(bào)到有多種選擇，提高了報(bào)到效率。新生報(bào)到系統(tǒng)在給學(xué)校和學(xué)生帶來便利的同時(shí)，也產(chǎn)生了新生報(bào)到數(shù)據(jù)安全問題。

新生信息存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。新生報(bào)到系統(tǒng)在提供“一站式”服務(wù)中，每個環(huán)節(jié)、每個瞬間都在產(chǎn)生數(shù)據(jù)，一旦數(shù)據(jù)被篡改、泄露，將對新生及學(xué)校造成極大的影響。

新生報(bào)到系統(tǒng)數(shù)據(jù)易成為網(wǎng)絡(luò)攻擊目標(biāo)。新生報(bào)到系統(tǒng)中的數(shù)據(jù)包括學(xué)生的身份證號、銀行卡號、家庭住址等敏感信息。這些敏感信息易成為一些黑客攻擊的重要目標(biāo)，通過攻擊系統(tǒng)獲取新生的個人信息，或者篡改關(guān)鍵節(jié)點(diǎn)信息，造成系統(tǒng)故障或重大安全事故。

本文通過新生報(bào)到系統(tǒng)的安全現(xiàn)狀，分析了威脅系統(tǒng)安全的主要因素，并提出了加強(qiáng)系統(tǒng)安全的策略。

2 系統(tǒng)的數(shù)據(jù)安全分析

數(shù)據(jù)安全包括數(shù)據(jù)安全保密性、完整性、可用性三個特性。新生報(bào)到系統(tǒng)數(shù)據(jù)安全所帶來的挑戰(zhàn)即三個特性的實(shí)現(xiàn)及完善。

保密性即要求報(bào)到系統(tǒng)存儲數(shù)據(jù)的時(shí)候不要使用明文存儲，應(yīng)使用MD5加鹽加密技術(shù)保障數(shù)據(jù)安全，特別是銀行卡號、身份證號、考生號等敏感性數(shù)據(jù)。

完整性即新生完善信息過程中要保證不被篡改或者篡改數(shù)據(jù)能被監(jiān)測發(fā)現(xiàn)，要求系統(tǒng)要加強(qiáng)系統(tǒng)防護(hù)，防止SQL攻擊和XSS攻擊篡改數(shù)據(jù)，一旦數(shù)據(jù)遭到攻擊，監(jiān)管者應(yīng)把損失降到最小。

可用性指即使別人獲取到密碼等數(shù)據(jù)也沒辦法使用，每次登錄的密碼根據(jù)密鑰動態(tài)變化，即密碼的一次性。這三種特性使得報(bào)到系統(tǒng)數(shù)據(jù)安全得以保障，但是同時(shí)也給系統(tǒng)的開發(fā)帶來了挑戰(zhàn)性[1]。

2.1 網(wǎng)絡(luò)漏洞

一般情況下，系統(tǒng)級網(wǎng)絡(luò)漏洞大都是由于存在的軟硬件協(xié)議不匹配以及硬件、軟件的單獨(dú)漏洞等原因造成的。新生在入學(xué)時(shí)的信息需要被系統(tǒng)采集、傳輸，最后被存儲在加密數(shù)據(jù)庫中。在這些操作過程中，系統(tǒng)需要強(qiáng)有力的處理模式、洞察漏洞能力以及系統(tǒng)自動優(yōu)化能力。系統(tǒng)隱藏的網(wǎng)絡(luò)漏洞如果不及時(shí)發(fā)現(xiàn)解決，輕則報(bào)到系統(tǒng)停止使用，重則可能會導(dǎo)致新生隱私數(shù)據(jù)大范圍泄露從而使利益受到嚴(yán)重?fù)p害[2]。

2.2 黑客入侵

報(bào)到系統(tǒng)必須要保證最基本的新生信息隱私權(quán)，防止黑客等不法分子的惡意入侵。當(dāng)新生在系統(tǒng)中進(jìn)行個人信息查看或完善個人信息等操作時(shí)很有可能會進(jìn)入黑客的“陷阱”攻擊中，這些“陷阱”往往會通過惡意的代碼進(jìn)行各種破壞性的竊取活動[3]。

2.3 數(shù)據(jù)未加密

數(shù)據(jù)一般采用明文存儲的方式存放在后臺數(shù)據(jù)庫中。明文存儲數(shù)據(jù)雖然靈活性強(qiáng)、傳輸效率高，但是存在著嚴(yán)重的數(shù)據(jù)泄露的風(fēng)險(xiǎn)。這就需要一些計(jì)算機(jī)加密算法和加密密鑰將一些重要的不可公開的新生數(shù)據(jù)轉(zhuǎn)換為密文，在需要使用時(shí)再進(jìn)行解碼。

2.4 數(shù)據(jù)丟失

大量的新生數(shù)據(jù)一般都會存放在后臺的數(shù)據(jù)庫中，面對如此多的數(shù)據(jù)必須要防止數(shù)據(jù)的丟失，數(shù)據(jù)庫出現(xiàn)損害、數(shù)據(jù)庫誤刪、無法啟動都是常見的數(shù)據(jù)丟失情況，人為的操作失誤和黑客攻擊數(shù)據(jù)庫的情況也是數(shù)據(jù)丟失的隱患。

2.5 網(wǎng)絡(luò)病毒威脅

近年來網(wǎng)絡(luò)病毒入侵的案例呈現(xiàn)著逐年增多的跡象，病毒的入侵開始成為非法獲取用戶信息的重要渠道。學(xué)生在使用系統(tǒng)中，極有可能在不知情的情況下進(jìn)入網(wǎng)絡(luò)病毒的威脅之中。網(wǎng)絡(luò)病毒具有十分強(qiáng)的不可見性和破壞性，輕則它可能會未經(jīng)學(xué)生的允許就將數(shù)據(jù)非法獲取甚至是刪除，重則會通過數(shù)據(jù)傳輸?shù)慕涌谠斐烧麄€管理系統(tǒng)的癱瘓。

3 數(shù)據(jù)安全防范對策

3.1 數(shù)據(jù)安全架構(gòu)

要保證新生報(bào)到系統(tǒng)的數(shù)據(jù)安全性，首先是做好數(shù)據(jù)安全架構(gòu)設(shè)計(jì)，主要包括網(wǎng)絡(luò)入口、框架設(shè)計(jì)和數(shù)據(jù)環(huán)境，如圖1所示。

3.1.1 網(wǎng)絡(luò)入口

在整個新生系統(tǒng)中，網(wǎng)絡(luò)入口就像一個水閘，需要“放水”也需要“取水”，網(wǎng)絡(luò)的入口承擔(dān)著控制數(shù)據(jù)包流入與流出的功能。當(dāng)然為了保“水”的安全，管理系統(tǒng)中就引入了網(wǎng)站應(yīng)用級入侵防御系統(tǒng)（Web Application Firewall，WAF）來保證其安全。WAF相對于傳統(tǒng)的防火墻和IPS能夠?qū)τ诰W(wǎng)站系統(tǒng)應(yīng)用層的攻擊進(jìn)行有效地抵抗，它是一種基礎(chǔ)的安全模塊，能夠根據(jù)特征提取和分塊檢索進(jìn)行特征匹配，特別是針對HTTP訪問的外部Web程序的過濾。加裝了WAF的管理系統(tǒng)能夠分析校驗(yàn)每個學(xué)生請求的網(wǎng)絡(luò)包，確保每個學(xué)生數(shù)據(jù)的請求有效并且安全，對于各種無效或者惡意的攻擊行為進(jìn)行阻斷或者隔離。

3.1.2 框架設(shè)計(jì)

新生報(bào)到系統(tǒng)采用MD5為加密算法，采用Spring Boot框架作為主體架構(gòu)，整合Spring Boot Admin、Druid、Shiro、Quartz等框架實(shí)現(xiàn)系統(tǒng)的設(shè)計(jì)。Spring Boot Admin實(shí)現(xiàn)對系統(tǒng)監(jiān)控和管理，實(shí)現(xiàn)健康檢查，盡可能的避免和查找潛在漏洞，確保數(shù)據(jù)遠(yuǎn)離網(wǎng)絡(luò)漏洞的干擾。Druid數(shù)據(jù)源實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)實(shí)時(shí)攝入，實(shí)時(shí)可查，實(shí)時(shí)監(jiān)控的數(shù)據(jù)存放，還可監(jiān)控?cái)?shù)據(jù)庫訪問性能，通過SQL執(zhí)行日志詳細(xì)統(tǒng)計(jì)SQL的執(zhí)行性能，而且可實(shí)時(shí)監(jiān)控新生報(bào)到系統(tǒng)數(shù)據(jù)庫性能，一旦出現(xiàn)危害數(shù)據(jù)庫的非完整數(shù)據(jù)將會立即終止操作。Shiro使用方便，能夠非常清晰的處理認(rèn)證、授權(quán)，進(jìn)而控制訪問的權(quán)限，使新生報(bào)到系統(tǒng)更加安全可靠。Quartz為作業(yè)調(diào)度框架，可定時(shí)設(shè)置任務(wù)，從而實(shí)現(xiàn)新生數(shù)據(jù)自動備份。

3.1.3 數(shù)據(jù)環(huán)境

在新生報(bào)到系統(tǒng)中主要是以數(shù)據(jù)文件和數(shù)據(jù)信息為主體的數(shù)據(jù)環(huán)境，為了維護(hù)一個龐大完整的大數(shù)據(jù)環(huán)境，引入了一個面對數(shù)據(jù)訪問控制時(shí)使用的鑒權(quán)—ACL鑒權(quán)。ACL就像是一個憑證，控制著數(shù)據(jù)的訪問流向，同時(shí)監(jiān)控不良數(shù)據(jù)。通過將系統(tǒng)分級以及增加系統(tǒng)鑒權(quán)等措施，將整個新生的報(bào)到信息全部投入到一個堅(jiān)固的“堡壘”中，為整個系統(tǒng)提供一個良好的保障。

3.2 加強(qiáng)數(shù)據(jù)存儲安全

加強(qiáng)新生報(bào)到系統(tǒng)存儲數(shù)據(jù)的安全，應(yīng)對系統(tǒng)內(nèi)新生數(shù)據(jù)采用加密技術(shù)，保護(hù)新生信息數(shù)據(jù)傳輸?shù)陌踩煽?。本系統(tǒng)主要采用MD5加密算法，MD5的特點(diǎn)就是輸入兩個不同的明文數(shù)據(jù)不會得到相同的輸出值，對新生的登陸密碼使用MD5算法進(jìn)行加密能很大程度上避免信息泄露情況的發(fā)生，從而保護(hù)數(shù)據(jù)存儲安全。另外，對MD5進(jìn)行加鹽操作，即在明文中固定位置加入隨機(jī)字串，以增加解密難度，黑客就算攻破數(shù)據(jù)庫也無法對數(shù)據(jù)進(jìn)行解密，增加數(shù)據(jù)的不可泄露性，更加有效地保障了數(shù)據(jù)安全。此外，少量數(shù)據(jù)根據(jù)密鑰動態(tài)變化，即生成動態(tài)密鑰，根據(jù)獲得的密鑰制備器對新生數(shù)據(jù)實(shí)施壓縮、加密，以確保密鑰的安全性，實(shí)現(xiàn)數(shù)據(jù)讀取的“一次性”[4]。

此外，面對隨時(shí)可能產(chǎn)生的系統(tǒng)漏洞，定期檢查系統(tǒng)的安全性，從而保護(hù)系統(tǒng)數(shù)據(jù)安全。例如，一旦出現(xiàn)漏洞或非法侵入現(xiàn)象，系統(tǒng)日志進(jìn)行記錄并觸發(fā)郵箱報(bào)警功能，及時(shí)用系統(tǒng)補(bǔ)丁來處理修復(fù)。比較典型的系統(tǒng)漏洞有SQL注入漏洞和XSS攻擊漏洞，針對SQL注入漏洞在后臺代碼采用不安全字符屏蔽的功能進(jìn)行防御，而XSS漏洞使用Web過濾器將請求參數(shù)修改來防止XSS攻擊，從而解決XSS漏洞[5]。

3.3 系統(tǒng)數(shù)據(jù)備份

為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致新生數(shù)據(jù)丟失，系統(tǒng)中使用Quartz框架設(shè)置定時(shí)任務(wù)導(dǎo)出數(shù)據(jù)信息。系統(tǒng)中設(shè)有監(jiān)控系統(tǒng)任務(wù)的執(zhí)行情況的功能。例如，對數(shù)據(jù)庫的操作日志進(jìn)行定期統(tǒng)計(jì)分析，監(jiān)控備份情況，若定時(shí)任務(wù)出現(xiàn)長期停止現(xiàn)象，則人工備份數(shù)據(jù)信息。從本系統(tǒng)的存儲架構(gòu)出發(fā)，數(shù)據(jù)的備份主要分為了兩個層次，這兩個層次從外至內(nèi)分別是冷備份和熱備份。

首先，先對數(shù)據(jù)庫進(jìn)行的數(shù)據(jù)操作進(jìn)行冷備份，備份這一部分的主要目的是防范重大的數(shù)據(jù)安全事故，以便在能夠在最極端的情況下恢復(fù)整個系統(tǒng)的最基礎(chǔ)的操作功能。

第二層是熱備份，這一部分備份的是新生的一些數(shù)據(jù)，采用不同類型的多種存儲方式相互連接備份，也相當(dāng)于對整個存儲系統(tǒng)的備份。這相當(dāng)于將同樣的一套數(shù)據(jù)分布在不同的存儲系統(tǒng)中，從備份的存儲系統(tǒng)中恢復(fù)數(shù)據(jù)[6]。

3.4 訪問權(quán)限控制

訪問控制是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源的能力。系統(tǒng)采用Shiro框架對用戶操作進(jìn)行攔截，服務(wù)端攔截到請求，認(rèn)證用戶角色，根據(jù)角色進(jìn)行授權(quán)。例如，用戶進(jìn)行登陸操作，Shiro根據(jù)認(rèn)證角色向客戶端發(fā)放Token，客戶端獲取Token，根據(jù)Token判斷用戶權(quán)限，根據(jù)權(quán)限分配訪問頁面，即新生和工作人員的操作頁面，從而使新生報(bào)到正常運(yùn)行。根據(jù)日志文件對用戶其操作進(jìn)行監(jiān)控，確保學(xué)生對各種功能信息資源在合理的授權(quán)范圍內(nèi)使用，同時(shí)也防范了非法用戶侵權(quán)進(jìn)入系統(tǒng)造成重要的信息泄露[7]。

3.5 增強(qiáng)防范意識

新生系統(tǒng)運(yùn)行的服務(wù)器通過殺毒軟件的主動防御全面檢測，防御外界網(wǎng)絡(luò)病毒的進(jìn)入，確保服務(wù)器系統(tǒng)安全。管理新生系統(tǒng)的人員也應(yīng)進(jìn)行定期檢查，了解訪問者的來源，在服務(wù)器上停止無關(guān)服務(wù)，關(guān)閉無關(guān)端口，正確設(shè)置防火墻，及時(shí)更新系統(tǒng)補(bǔ)丁。同時(shí)強(qiáng)化管理人員的安全防范意識，不在服務(wù)器上訪問無關(guān)網(wǎng)站，以免將外界病毒引入到服務(wù)器中;外部設(shè)備接入服務(wù)器時(shí)應(yīng)注意查毒殺毒，防止黑客通過各種手段植入木馬攻擊系統(tǒng)[8]。

4 結(jié)束語

新生報(bào)到系統(tǒng)存在因網(wǎng)絡(luò)漏洞、黑客入侵、數(shù)據(jù)未加密、病毒等多種因素引起的數(shù)據(jù)安全問題，直接影響到新生的切身利益。隨著人工智能、云計(jì)算、大數(shù)據(jù)的不斷發(fā)展，應(yīng)從系統(tǒng)架構(gòu)、數(shù)據(jù)存儲、訪問權(quán)限控制等多方面入手保障系統(tǒng)數(shù)據(jù)安全，加強(qiáng)對新生數(shù)據(jù)的保護(hù)，保障新生的切身利益。

參考文獻(xiàn)

[1] 陳映村，程鵬飛.淺析大數(shù)據(jù)時(shí)代個人信息數(shù)據(jù)安全的新威脅及其保護(hù)[J].中國管理信息化，2019，22（04）：164-165.

[2] 陳國良. Web系統(tǒng)的網(wǎng)絡(luò)安全分析及應(yīng)對方式[J].科技傳播， 2015（15）：45-46.

[3] 毛穎.大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全探討[J].科學(xué)技術(shù)創(chuàng)新， 2019（20）：74-75.

[4] 王海峰.網(wǎng)絡(luò)數(shù)據(jù)安全存儲的優(yōu)化管理[J].網(wǎng)絡(luò)空間安全， 2017， 8（Z5）：63-66.

[5] 王俊.面向Web系統(tǒng)的安全信息搜集平臺的設(shè)計(jì)與實(shí)現(xiàn)[D].2017.

[6] 趙濤.網(wǎng)絡(luò)的數(shù)據(jù)安全分析與防范對策[J].西部廣播電視， 2019（15）：247-248.

[7] 涂萌， 張綿偉.第三方支付用戶個人信息安全風(fēng)險(xiǎn)及對策研究[J].情報(bào)理論與實(shí)踐， 2018， 41（12）：74-79.

[8] 趙潔，張凱，田鵬.高校數(shù)據(jù)安全治理實(shí)踐[J].網(wǎng)絡(luò)空間安全， 2019，10（03）：81-84.