浅议教学管理系统安全问题和改进方案.doc

浅议教学管理系统安全问题和改进方案 　　摘 要：随着网络技术的不断发展和应用的普及，教学管理系统已经成为学校重要的信息管理平台，它的安全状况直接影响着学校的教学活动。本文结合教学管理系统安全的现状，探讨了威胁教学管理系统安全的主要问题和解决方案。 关键词：教学管理；信息存储；信息传输 中图分类号：TP311.52 文献标识码：A 文章编号：1674-7712 （2013） 08-0000-01 快速发展的网络技术为信息化管理提供了更好的平台，使教学管理可以在没有区域限制的环境下完成从前不可能想象的任务量。网络的优点就在于覆盖范围广泛，资源共享程度高。正是由于这种网络协议的开放性，系统的通用性，无人管理状态，使得在传播信息的同时，也面临着不可预测的威胁和攻击。教学管理系统一旦处于联网状态，就将面临着网络攻击、网络窃密的威胁。可以说，网络安全问题将始终伴随着网络的发展而存在。 一、教学管理系统安全分析 教学管理系统是一个信息管理平台，网上选课、自动排课、成绩管理、学生学籍管理、教材管理、教师管理等各项工作的能否顺利进行，取决于是否有一个稳定而安全的网络环境。但是，随着网络技术的不断推广，越来越多的“黑客”利用各种黑客工具不断地破坏网络的安全和稳定，入侵服务器，恶性堵塞网络端口，盗取口令和篡改成绩等各种恶性事件不断发生。教学管理系统面临着如此严峻的安全挑战。安全问题主要表现为以下几个方面。 （一）用户访问问题 原教学管理系统是通过使用用户名和口令的方式来实现对用户的访问控制的，由于管理系统的使用者比较复杂，使用者的多重身份及职责范围不同，使得对数据库信息访问控制和管理就显得非常的复杂和凌乱。学校教务部门与各系教学秘书权限过大，能够任意查询、修改师生信息；教师可以在任意时间修改学生成绩；学生可以查询其他同学信息，这对学校及个人都有不便的影响。 （二）存储安全问题 原教学管理系统数据库信息，存储在SQLServer2005构建的数据库平台中，且未启动任何加密功能或第三方加密引擎。 大多数的数据库在研发中考虑并不全面，认识只局限在账户密码的安全，而对于数据库的核心―数据库内容的安全并没有引起重视，数据库信息如果出现损坏或泄密，将会使信息在管理方面出现严重问题，如不及时解决，将造成重大的经济或物质损失。 SQLServer2005本身的加密技术不太完善，须引入内建数据加密的能力，使用证书、密钥和系统函数的组合来完成。即使用户权限完善，信息能够安全传输，也不能禁止窃取者直接登录数据库硬盘，拷贝数据库文件，读取存储内容。 （三）网络传输问题 原教学管理系统的网络间的信息传输，只是直接应用网络传输技术，未进行任何的加密或认证措施，使得信息在传输的过程中，如果遇到拦截、信息篡改、再传输给使用者的攻击方式，那么就无法保证信息的完整性和可靠性。 二、教学管理系统改进方案 （一）用户访问改进方案 对用户访问进行改进，可以采用基于角色的访问控制模型，它的基本思想就是在用户和访问权限之间引入角色的概念，从而将用户与权限进行逻辑性分离。在用户和权限之间建立一个关联关系，通过对角色的授权，将访问控制权分配给角色，然后用户通过扮演不同的角色获得角色所拥有的访问控制权，达到为用户配置权限的目的。 角色是访问权限的集合，用户用过赋予不同的角色，来拥有角色的访问权限。一个用户可以赋予多个角色，一个角色也可以授权给多个用户；一个角色可以包含多个权限，一个权限可以被多个角色包含。用户通过角色获得权限，但它不直接与权限相关联，权限对信息对象的操作许可是通过角色来实现的。 （二）信息存储改进方案 教学管理系统首要解决的问题就是数据库系统的安全问题。采用数据库加密的方式能够有效地保证数据的安全。通过加密，将数据库信息转换为密文，读取时再转换为明文。既能保证授权用户的读取与修改，又能防止非授权者的窃取。即使窃取者窃取了关键数据，因为所有的数据都已成为密文，没有对应有效的算法或解密工具，他仍然难以得到所需的信息。从而能减少因数据库信息失窃或丢失而造成的损失。另外，数据库加密以后，可以设定非教学人员的系统管理员无法查看数据库信息，大大提高了关键数据的安全性。作为一个数据库管理系统，能否保护数据库自身安全也是检验一个系统安全与否的标准。 经比较发现，在只对关键信息加密或解密运算时，采用双重手段，加密效果最好。因此，针对数据库信息的存储安全，设计为使用AES算法、MD5算法进行保障数据安全。 （三）信息传输改进方案 客户端与服务器端的数据保密传输的安全问题，主要考虑两个方面：保密性与完整性，即身份认证问题与加密问题。 在信息传输过程中，可以应用数字认证