文/郭姍姍

高校教務(wù)管理系統(tǒng)中數(shù)據(jù)庫(kù)的安全性影響著教學(xué)管理信息數(shù)據(jù)的完整性與安全性。在信息化不斷深入高校領(lǐng)域的今天，高校信息數(shù)據(jù)的安全性也逐漸得到重視。當(dāng)前我國(guó)高校教務(wù)管理系統(tǒng)普遍采用數(shù)據(jù)庫(kù)來(lái)管理相關(guān)信息，保障數(shù)據(jù)信息的安全性具有極高的現(xiàn)實(shí)意義。但現(xiàn)階段，教務(wù)管理系統(tǒng)的數(shù)據(jù)庫(kù)正在面臨數(shù)據(jù)丟失、被篡改、服務(wù)器被攻擊等安全問(wèn)題，重視數(shù)據(jù)庫(kù)安全并加強(qiáng)防護(hù)，是當(dāng)前高校信息化過(guò)程的重要內(nèi)容。

1 高校教務(wù)管理系統(tǒng)中數(shù)據(jù)庫(kù)存在的安全問(wèn)題分析

我國(guó)當(dāng)前的高校教務(wù)管理系統(tǒng)中，以C/S和B/S服務(wù)器為主，以使信息服務(wù)與管理服務(wù)的要求均得到滿(mǎn)足。由于教務(wù)管理系統(tǒng)的不同，各類(lèi)用戶(hù)對(duì)數(shù)據(jù)庫(kù)的處理能力也有所差異，這就導(dǎo)致了技術(shù)夠加的差異。通常對(duì)固定場(chǎng)所大量數(shù)據(jù)的處理以C/S技術(shù)為主，提高管理人員使用的便捷性；而分散用戶(hù)處理量大的數(shù)據(jù)是則以B/S技術(shù)為主，提高學(xué)生與教師的體驗(yàn)感。數(shù)據(jù)庫(kù)存儲(chǔ)了教務(wù)管理系統(tǒng)絕大部分的數(shù)據(jù)信息，其安全的重要性不言而喻，但當(dāng)前，教務(wù)管理系統(tǒng)在操作系統(tǒng)、SQL注入、管理人員權(quán)限、數(shù)據(jù)備份、身份驗(yàn)證五大方面出現(xiàn)了較大的安全問(wèn)題。

1.1 操作系統(tǒng)的安全漏洞問(wèn)題

底層操作系統(tǒng)通常存在著隱藏漏洞，且在數(shù)據(jù)庫(kù)自身采用的服務(wù)器中，也有部分服務(wù)器具有漏洞，而這些漏洞都可能會(huì)破壞數(shù)據(jù)庫(kù)的安全性，出現(xiàn)未經(jīng)授權(quán)對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)或者在訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)時(shí)被拒絕的現(xiàn)象。“沖擊破”病毒就是典型的利用漏洞來(lái)創(chuàng)造拒絕服務(wù)攻擊，從而威脅數(shù)據(jù)庫(kù)的安全。此外，數(shù)據(jù)庫(kù)通信協(xié)議的漏洞也易出現(xiàn)，在完成補(bǔ)丁修復(fù)時(shí)較容易出現(xiàn)問(wèn)題。而黑客可通過(guò)這些漏洞，對(duì)數(shù)據(jù)庫(kù)進(jìn)行不合規(guī)訪(fǎng)問(wèn)，破壞、盜取數(shù)據(jù)庫(kù)信息，或是拒絕服務(wù)等。

1.2 SQL注入的攻擊安全問(wèn)題

當(dāng)未經(jīng)授權(quán)的程序語(yǔ)句被數(shù)據(jù)庫(kù)入侵者注入到SQL數(shù)據(jù)信息道的漏洞中時(shí)，就會(huì)發(fā)生SQL注入的攻擊安全問(wèn)題。就目前來(lái)看，SQL注入攻擊的數(shù)據(jù)信道有兩種主要的攻擊對(duì)象，其一為存儲(chǔ)的過(guò)程，其二為Web應(yīng)用程序的輸入?yún)?shù)。而這些非法數(shù)據(jù)庫(kù)語(yǔ)句一旦被注入這兩種通道，就能被傳輸?shù)綌?shù)據(jù)庫(kù)中，執(zhí)行攻擊者規(guī)定的任務(wù)，從而幫助攻擊者實(shí)現(xiàn)非法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)信息，對(duì)教務(wù)系統(tǒng)的信息數(shù)據(jù)進(jìn)行竊取、篡改等。此外，拒絕服務(wù)也是數(shù)據(jù)庫(kù)安全的重要防范內(nèi)容。當(dāng)數(shù)據(jù)庫(kù)被拒絕服務(wù)攻擊時(shí)，即時(shí)普通用戶(hù)合規(guī)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)也會(huì)遭到拒絕，攻擊者利用數(shù)據(jù)庫(kù)漏洞，使數(shù)據(jù)庫(kù)處于拒絕服務(wù)狀態(tài)，使高校教務(wù)管理系統(tǒng)無(wú)法正常運(yùn)行甚至崩潰。

1.3 管理人員的權(quán)限安全問(wèn)題

數(shù)據(jù)庫(kù)的權(quán)限安全問(wèn)題主要發(fā)生在管理人員上。這種安全隱患主要分為兩種，一種是權(quán)利的濫用，第二種則來(lái)自黑客對(duì)管理權(quán)限的提升。首先，濫用權(quán)限，包括濫用過(guò)高的權(quán)限或是濫用合法權(quán)限。如果普通用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的權(quán)限過(guò)高，超出了其原本的工作職能范圍，就可能出現(xiàn)濫用過(guò)高權(quán)力的安全隱患。例如，在教務(wù)管理系統(tǒng)中成績(jī)頁(yè)面，學(xué)生只有查看的權(quán)限，但如果學(xué)生訪(fǎng)問(wèn)權(quán)限過(guò)高，利用不合理的權(quán)限對(duì)成績(jī)進(jìn)行修改，或是在其他頁(yè)面修改個(gè)人信息等。而一些管理員或用戶(hù)即便只有合法的權(quán)限，但可能利用這種合法權(quán)限來(lái)篡改數(shù)據(jù)庫(kù)中的信息，或是有意拷貝這些信息將其留作私用或泄露，甚至可能在自身忽視時(shí)，將這些信息不經(jīng)意泄露或被黑客侵盜，給當(dāng)事人或是高校造成不必要的安全威脅。其次，黑客利用非法技術(shù)，提高一般用戶(hù)權(quán)限，例如將普通用戶(hù)的訪(fǎng)問(wèn)權(quán)限提升到管理員，從而非法訪(fǎng)問(wèn)，利用數(shù)據(jù)庫(kù)信息，或是通過(guò)計(jì)算機(jī)技術(shù)利用程序內(nèi)置函等，搜索數(shù)據(jù)庫(kù)漏洞，并趁機(jī)盜取、篡改數(shù)據(jù)庫(kù)內(nèi)的信息。

1.4 備份數(shù)據(jù)暴露的安全問(wèn)題

數(shù)據(jù)備份原本是防止數(shù)據(jù)丟失以提高數(shù)據(jù)安全的一種方式，但備份數(shù)據(jù)也存在著被竊取的安全隱患。相對(duì)安全防護(hù)較好的數(shù)據(jù)庫(kù)而言，備份存儲(chǔ)介質(zhì)的防護(hù)相對(duì)較低甚至沒(méi)有防護(hù)，因而較容易竊取、盜用，從而引發(fā)數(shù)據(jù)安全問(wèn)題。

1.5 身份驗(yàn)證造成的安全問(wèn)題

高校的教務(wù)管理系統(tǒng)為了提高數(shù)據(jù)庫(kù)使用的安全性，往往會(huì)需要身份驗(yàn)證才能登陸，但對(duì)身份驗(yàn)證上的控制并不嚴(yán)格，攻擊者可以較為輕易的竊取相關(guān)身份驗(yàn)證信息，從而通過(guò)驗(yàn)證，登陸數(shù)據(jù)庫(kù)非法利用數(shù)據(jù)庫(kù)信息，或是通過(guò)其他技術(shù)獲取相關(guān)登錄憑據(jù)，盜用合法用戶(hù)身份，由此難以實(shí)現(xiàn)利用身份驗(yàn)證來(lái)提高數(shù)據(jù)庫(kù)安全性的初始目的。攻擊者常用的竊取登陸身份信息的方法主要有三種：

（1）攻擊者通過(guò)自動(dòng)枚舉合法用戶(hù)的密碼與用戶(hù)名，直到試驗(yàn)出正確的登錄密碼與用戶(hù)名；

（2）攻擊者利用交識(shí)來(lái)片區(qū)當(dāng)事人信任，并通過(guò)一些非法的途徑、手段等來(lái)獲取合法使用者的登陸憑據(jù)；

（3）攻擊者利用教務(wù)人員疏忽或保管不善，如為防止遺忘在便筏本上記錄登陸密碼和用戶(hù)名，攻擊者趁機(jī)竊取相關(guān)的登錄憑據(jù)，從而實(shí)現(xiàn)數(shù)據(jù)庫(kù)的登陸。

2 保障高校教務(wù)管理系統(tǒng)中的數(shù)據(jù)庫(kù)安全的策略分析

2.1 物理安全層面的保障分析

物理安全是數(shù)據(jù)庫(kù)安全防御的基本策略之一，包括了數(shù)據(jù)庫(kù)的環(huán)境、硬件服務(wù)器，以及相關(guān)的網(wǎng)絡(luò)等安全內(nèi)容。因此，數(shù)據(jù)庫(kù)的相關(guān)工作人員需要關(guān)注服務(wù)器所處的溫度、濕度等相關(guān)周邊環(huán)境，以及交換機(jī)、相關(guān)網(wǎng)線(xiàn)網(wǎng)絡(luò)等物理安全問(wèn)題。應(yīng)建立完善的管理制度，要求物理上接觸服務(wù)器的工作人員應(yīng)控制在規(guī)定范圍內(nèi)，且需要對(duì)服務(wù)廠(chǎng)商的任務(wù)工作進(jìn)行監(jiān)控；重視提升系統(tǒng)管理員的職業(yè)道德與能力，加強(qiáng)培訓(xùn)，提高管理員在面對(duì)誘惑或欺騙時(shí)的防范心、分辨力與意志力，降低因管理人員疏忽或被欺騙引發(fā)數(shù)據(jù)庫(kù)信息安全威脅的可能性。此外，提高監(jiān)控?cái)?shù)據(jù)庫(kù)服務(wù)器房間的能力與效力，確保全天候?qū)崟r(shí)監(jiān)控；同時(shí)，安裝濕度和溫度的警報(bào)器，提高數(shù)據(jù)庫(kù)服務(wù)器的環(huán)境控制能力，全面提高數(shù)據(jù)庫(kù)的物理安全。

2.2 訪(fǎng)問(wèn)控制安全層面的保障分析

訪(fǎng)問(wèn)控制是數(shù)據(jù)庫(kù)安全的重要內(nèi)容，包括密碼控制、使用者權(quán)限控制、賬號(hào)管理等。在控制訪(fǎng)問(wèn)權(quán)限時(shí)，數(shù)據(jù)庫(kù)管理人員要做好賬號(hào)保密任務(wù)，確保用戶(hù)賬號(hào)不被非管理人員獲取，避免出現(xiàn)使用者賬號(hào)被列舉。在用戶(hù)的訪(fǎng)問(wèn)權(quán)限上，以向下取小為宜，避免多余權(quán)限被誤授；同時(shí)，分配好用戶(hù)權(quán)限，并監(jiān)控用戶(hù)行為，及時(shí)發(fā)現(xiàn)訪(fǎng)問(wèn)控制問(wèn)題。此外，控制密碼長(zhǎng)度的一致性與復(fù)雜性，避免密碼過(guò)于簡(jiǎn)單易被破取。在文件訪(fǎng)問(wèn)上，也要嚴(yán)格驗(yàn)證訪(fǎng)問(wèn)權(quán)限標(biāo)準(zhǔn)。

2.3 數(shù)據(jù)安全備份層面的保障分析

備份數(shù)據(jù)是提高數(shù)據(jù)安全的重要手段之一，可以有效彌補(bǔ)因硬件、軟件故障發(fā)生數(shù)據(jù)丟失等問(wèn)題，但要用之得當(dāng)，必須制定合理的數(shù)據(jù)庫(kù)備份措施。首先，備份數(shù)據(jù)要確保數(shù)據(jù)可用性，并明確數(shù)據(jù)的頻率與類(lèi)型，明確硬件的速度和特性等。提前準(zhǔn)備系統(tǒng)恢復(fù)過(guò)程與備份測(cè)試，充分了解數(shù)據(jù)備份的全過(guò)程及其影響，明確數(shù)據(jù)庫(kù)頻繁操作與大量使用所需的時(shí)間，明確數(shù)據(jù)庫(kù)故障時(shí)需要面臨的問(wèn)題與損失，明確重建丟失數(shù)據(jù)時(shí)的難易程度等。要全面?zhèn)浞輸?shù)據(jù)，確保數(shù)據(jù)丟失時(shí)，備份數(shù)據(jù)可以滿(mǎn)足所需一切數(shù)據(jù)信息。

3 結(jié)束語(yǔ)

數(shù)據(jù)信息作為高效工作正常開(kāi)展的重要支撐條件，必須得到足夠的重視。認(rèn)真審查高校教務(wù)管理系統(tǒng)的安全問(wèn)題與功能，從管理、技術(shù)兩方面著手，努力確保數(shù)據(jù)庫(kù)信息的可用性、保密性、完整性，促進(jìn)高校教務(wù)管理系統(tǒng)中的數(shù)據(jù)庫(kù)安全得到有效保障。