教务管理系统数据库安全现状及对策分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇教务管理系统数据库安全现状及对策分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】数据库是教务管理系统的一个基础平台,也是整个信息系统的数据核心,数据库安全问题是整个教务管理系统信息安全的重要内容。通过目前数字化校园环境下教务管理系统数据库安全现状,归纳了系统数据库安全威胁的主要类型,提出了如何加强数据库安全的分析策略。
【关键词】数据库 教务管理系统 安全现状 分析策略
The current situation and countermeasures on educational management system database security
Chen Song1,Kong Lin Jun2
(1.Zhejiang University of Finance and Ecnomics,Dong-fang college,Haining 314408;2.Zhejiang University of Finance and Ecnomics,Modern educational technology center,Hangzhou 310018;)
Abstract:Database is a basic platform of educational management system. Also the core of the entire information system data. Database security is the important part of information security of educational management system. Through the current database security status of the educational management system in digital campus environment. Summarizes the system database’s main types of security threats. Suggestions on how to enhance database security analysis strategy.
Key words:Database Educational Management System Security Situation Analysis Strategy
0 引言
数据库的安全性是指保护数据库避免不合法的使用,以免数据的泄漏、更改或破坏[1]。在当今的数字信息化时代,数据库系统广泛应用到了高等教育的各个机构领域,如教务处的教务管理系统、各办公室的OA系统、学工的迎新系统等,这些均表明其越来越彰显在现代化教育中的重要作用和战略地位,慢慢成为数字化校园建设的重要基础。可尽管如此,数据库安全问题却仍没有得到妥善地解决,其本身的脆弱性及易于被攻击的软肋,使得数据库系统的安全问题一直受到人们的广泛重视。教务管理系统数据库安全一直都是教务信息管理员所重点关注的问题,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为教务信息管理员所要探索研究的重要方向。
1 教务管理系统数据库安全现状
1.1 数据库安全的含义及特点
数据库安全包含两部分,分别是系统运行安全和系统信息安全。系统运行安全通常是由于网络黑客通过互联网、局域网等相关途径来入侵计算机,造成系统无法正常运行,或超负荷加载电脑运行进程引起系统当机,甚至损坏计算机相关硬件等破坏性活动;系统信息安全主要是指黑客对数据库进行入侵,并窃取重要信息数据。
针对数据信息来说,数据库系统的安全特性主要由以下几个部分组成[2],分别是:数据信息的独立性、数据信息的完整性、数据信息的安全性、数据信息的并发控制及故障恢复等。
1.2 数据库安全目前存在的主要威胁
随着高校信息化水平和要求的不断提高,数据库的使用也越来越频繁,其面临的问题和突况也逐渐增多,数据库安全受到更大程度的威胁。教务管理系统的绝大多数信息都保存在数据库服务器里,它的安全性问题一直是教务信息管理员和学校网络中心管理人员的一块心病。总结目前系统数据库安全威胁主要由以下几方面:
1、管理员权限威胁
(1)过高的权限滥用,当一般用户被授予了超出其工作职能所需要的数据库访问权限时,权限可能会被有些人恶意滥用。比如,授予某些用户有修改学生信息的权利,而有可能导致学生成绩等信息数据也被更改。
(2)合法权的滥用,用户或管理员还可能将合法的数据库权限用于一些未经授权的不良目的。如用户可以根据自己拥有的一些权限,在系统中查看学生成绩、身份证号、家庭住址、联系方式等信息,并将其拷贝。一旦由于用户疏忽将这些存储在电脑上或存储介质中的数据被黑客或者其他有不良企图的人获取,很有可能会造成学生隐私信息的泄露,造成一定影响。
(3)权限提升产生威胁,黑客利用数据库平台软件的一些漏洞将普通的用户权限转换为管理员之权限。黑客可以通过程序内置函数、系统存储过程、SQL语句找到漏洞,利用这些漏洞来获得数据库的某些管理权限,从而导致系统数据被篡改、窃取和丢失。
2、平台及数据库通信协议漏洞威胁
底层的操作系统(如UNIX 等)中的漏洞与安装在数据库服务器上其他一些服务中的漏洞很容易引起数据破坏、未经授权的访问以及拒绝服务等。最常见的如“冲击波病毒”,它就是利用漏洞为拒绝服务攻击创造条件。
在运行过程中,数据库通信协议中的安全漏洞也是越来越突出。往往在补丁修复程序过程中,与协议有关的就占很大一部分。网络黑客或攻击者常常会针对这些漏洞进行未经授权的数据访问、数据破坏以及拒绝服务等。
3、SQL注入产生的威胁
SQL注入攻击是入侵者将未经授权的数据库语句注入到存在漏洞的SQL数据信道之中。一般情况下,攻击所针对的数据信道包括Web应用程序输入参数及存储过程;然后这些注入的语句被传递到数据库中执行。用SQL注入,攻击者可以不受限制地访问整个数据库,最终导致教务系统数据信息被泄露。
4、拒绝服务(DoS)威胁
拒绝服务是一种比较宽泛的攻击类别,在攻击过程中,一般正常用户对网络应用程序或数据的访问会被拒绝。攻击者通过一些漏洞为拒绝服务攻击创造条件,如利用数据库平台漏洞来制造拒绝服务攻击,致使服务器崩溃。此外,拒绝服务攻击还包括网络泛洪、数据破坏及服务器资源过载等。
5、身份验证产生的威胁
身份验证方案过于简单,使得攻击者更加容易窃取或以其他方法获得登录凭据,进而得到合法的数据库用户身份。常用的窃取方法有:①攻击者用自动程序不断地枚举用户名及密码组合,直到获取可以登录的一组。②攻击者利用交识获取当事人信任,再通过一些手段、途径获得其登录凭据。③教务人员因平时事务繁琐,又在认识上不过于重视,为方便记忆,常常会在自己的便笺本、即时贴上记录自己的身份密码,攻击者通过抄写其上内容或拓印密码文件来窃取登录凭据。
6、暴露备份数据产生威胁
教务管理系统数据库安全备份是一项非常有效的数据安全手段,但是也往往会由此引发备份数据被不法分子窃取麻烦,原因在于备份数据库存储介质对于攻击者是毫无防护措施可言的。一旦数据库备份硬盘被盗、被复制或被修改,都可能产生无以估量的损失。
2 教务管理系统数据库安全分析
制订合理的教务管理系统数据库安全策略,是维护其数据库安全的规范,需要我们从技术和管理上同时进行。根据对目前数据库安全现状的分析,数据库的安全策略主要应围绕保护数据库信息的完整性、保密性和可用性这三点进行,包括物理安全、数据备份、访问控制安全、应急响应等。
2.1 物理安全
物理安全是数据库安全防范策略的基本。这里所指的物理安全主要包括保证数据库硬件服务器、数据库存在的环境及数据库相关网络的物理安全性。常见的如:①能够确保服务器所在网络的网线、交换机、周边环境的温度和湿度等环境上的物理安全。②明确制度,要规定好只有数据库管理员或服务厂商才能在物理上接触数据库服务器,且保证服务厂商是在得到有效监控的情况下作业。③培养系统管理员的坚强意志和良好品德,不会被欺骗或诱导,防止社会人员获得相关数据库服务器的物理访问能力。④在数据库服务器房间按照监控,做好24小时严密布控。⑤安装温度与湿度报警装置,做好实时报警,一旦超出正常环境温度与湿度范围,以手机短消息的方式发送给管理员,确保物理环境安全。
2.2 数据备份
数据备份是数据库、信息系统安全策略中必须的一步,是增强数据库可靠性的一项重要内容,能够最大限度地减少因软硬件故障造成数据丢失导致的不良后果。
制订适合自身的数据库备份策略,通常情况下要做好以下4点内容:①在制订总体备份策略前要考虑诸多因素,包括确定数据的可用性要求、所备份的数据类型与频率、所需的硬件特性与速度等。②事先做好系统备份测试和恢复过程,充分了解数据备份运行过程及其可能产生的影响,如:数据库故障时间将对单位造成多大的影响和损失;何候会大量使用数据库,导致频繁的查询、插入和更新操作;遇到磁盘发生故障,可接受的故障时间是多长;重新创建丢失的数据的难易程度如何等。③确保拥有从各种故障中恢复所需的备份,并且当真正的故障发生时可以快速平稳地执行恢复过程。④在制订过程中管理员根据自己的需要和实际情况来确定备份周期,保证既不浪费资源空间又能准确有效地恢复到最近数据库安全时间。
2.3 访问控制安全
访问控制是数据库基本安全的重要核心。它包含用户帐号管理、密码控制策略、用户权限控制和用户身份认证等方面,主要从与用户帐号相关的方面来维护数据库的安全性。
访问控制安全策略主要应注意的问题有:①避免用户帐号被人列举。管理员一定要做好帐号保密工作,尽可能不要让非管理员获得所有数据库用户帐号列表。②用户权限尽可能向下取小。管理员只要将用户角色所需的权限分配下去即可,不要将一些多余的权限交给用户,方便管理员进行监控。权限的扩散以及超越应用范围的访问是访问控制的一大威胁。③确保不分配多余的用户和管理员权限帐号。实事证明,用户和管理员帐号的数量与数据库的安全性是成正比的。④用户和管理员帐号密码安全原则。无论是管理员还是一般用户,帐号密码必须符合严格的密码安全要求,密码长度一定要在8位以上,且必须包含字母、数字和符号交互不连续。⑤用户认证要确保密码加密。在数据传输过程中,有时候密码也仅仅是经过简单的数据编码,很容易破译,这就要求我们在有需要的情况下采用密码加密。⑥做好访问审计。通过访问审计提供用户操作痕迹的可查依据,从而达到监视的目的。⑦严格的文件的访问控制。确保数据库系统文件、数据库文件、日志文件以及备份文件等不会被人恶意修改、删除。
2.4 应急响应
做好正确的事件响应机制是我们维护数据库安全策略的重要内容之一。及时做出响应可以最大程度的减少对数据库造成的损失和影响,甚至完全避免。要做好这点,需要从以下几方面入手:①积极组建应急响应小组。每位成员各司其职,确保对每个问题都能做出及时响应。②建立并实施所有数据库策略及步骤。相关人员须遵守或理解管理过程,能安全正确地配置设备,避免人为无意间造成数据库安全问题。
除以上策略外,数据库管理员还应关注数据库系统厂商定期的安全公告,以此制定补丁升级方案,在确保不影响系统正常运行的情况下,谨慎实施;另外,管理员和用户应加强对数据库安全的法律意识和道德意识,并时刻保持数据库应用技术的理论学习和技术提升。
3 结束语
文章就目前教务管理系统数据库常见的一些威胁进行了概括和分类,根据这些问题提出的相应对策,在一定程度上解决了数据库安全中存在的问题。但是我们也需要明确,数据库安全作为一个具有时效性、系统性、综合性的问题,并不仅仅靠几个策略就能完全解决的。在计算机技术与数据库技术应用大发展的时代,数据库安全研究必须全方位、分层次、立体式进行。孤立地、片面地、停滞地思路永远无法解决数据库安全的问题,只有通过不断地改进和完善安全防范手段,才能提高数据的可靠性。
参考文献:
[1]薛丽,邵诚.供电企业综合统计系统中的安全性策略[J].计算机工程,2004, 30(11):168-169.
[2] 马涛等.数据库技术及应用(第2版)[M].北京:电子工业出版社,2010.5:1-9.
作者系浙江省教育厅课题[Y201016936]项目负责人,基金项目名称:数字化校园环境下的教务管理系统信息安全研究。