淺析高校教務(wù)管理系統(tǒng)中的數(shù)據(jù)庫安全問題

黃曉鑫

摘 要：從當(dāng)前教學(xué)管理領(lǐng)域的研究來看，教學(xué)管理需要面向的領(lǐng)域較多，工作復(fù)雜程度高，需要利用教務(wù)管理系統(tǒng)提升工作的質(zhì)量和效率。隨著網(wǎng)絡(luò)化、信息化的普及，高校教務(wù)管理系統(tǒng)對(duì)于計(jì)算機(jī)的使用越來越頻繁，對(duì)數(shù)據(jù)庫的調(diào)用頻率也在不斷上升，這也導(dǎo)致oracle數(shù)據(jù)庫的安全隱患不斷增加。文章針對(duì)當(dāng)前高校教務(wù)管理系統(tǒng)中數(shù)據(jù)庫的安全問題展開分析，并結(jié)合實(shí)際的管理辦法以及工作經(jīng)驗(yàn)尋找提升數(shù)據(jù)安全的措施，以推動(dòng)教務(wù)管理系統(tǒng)的高質(zhì)量運(yùn)行。

關(guān)鍵詞：高校;教務(wù)管理系統(tǒng);數(shù)據(jù)庫安全

中圖分類號(hào)：G64? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? 文章編號(hào)：1673-9132（2020）30-0187-02

DOI：10.16657/j.cnki.issn1673-9132.2020.30.093

隨著社會(huì)電子信息技術(shù)的發(fā)展，如今我國高校教務(wù)管理系統(tǒng)幾乎都是采用數(shù)據(jù)庫來管理相關(guān)信息，因此，如何保障數(shù)據(jù)庫的安全成為高校管理人員應(yīng)該高度重視的問題。但因?yàn)閿?shù)據(jù)庫的建設(shè)不完善，教務(wù)管理系統(tǒng)的數(shù)據(jù)庫總會(huì)遇到數(shù)據(jù)丟失、數(shù)據(jù)篡改、服務(wù)器被攻擊等問題，不利于高校教務(wù)管理工作的正常開展。所以，相關(guān)的系統(tǒng)維護(hù)人員需要增強(qiáng)安全防護(hù)工作意識(shí)，對(duì)目前高校的教務(wù)系統(tǒng)進(jìn)行全面的分析，整合其中的問題，并針對(duì)性地制定相應(yīng)的安全策略，以確保消除數(shù)據(jù)安全隱患。

一、高校的教務(wù)管理系統(tǒng)數(shù)據(jù)隱患

（一）檢索系統(tǒng)易出現(xiàn)安全漏洞

基層操作系統(tǒng)存在隱藏漏洞的可能性很高，并且在數(shù)據(jù)庫自身所使用的服務(wù)器中，依然避免不了會(huì)出現(xiàn)部分服務(wù)器具有漏洞的現(xiàn)象發(fā)生，這些漏洞的存在對(duì)于數(shù)據(jù)庫的安全性存在著巨大的風(fēng)險(xiǎn)。除此之外，在教務(wù)系統(tǒng)中，數(shù)據(jù)存放的數(shù)據(jù)庫經(jīng)常會(huì)出現(xiàn)通信協(xié)議相關(guān)的漏洞問題，這就導(dǎo)致教務(wù)系統(tǒng)最基礎(chǔ)的環(huán)節(jié)出現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)，導(dǎo)致在進(jìn)行檢索操作的時(shí)候，信息數(shù)據(jù)被服務(wù)器的漏洞破壞。這些都會(huì)在一定程度上影響高校教務(wù)管理系統(tǒng)數(shù)據(jù)庫的安全性，給不法分子或者一些別有用心的人提供乘虛而入的機(jī)會(huì)。

（二）拒絕服務(wù)與SQL注入的攻擊安全問題

既然要解決數(shù)據(jù)庫的安全性問題，首先我們就要了解攻擊數(shù)據(jù)庫的手法主要有哪些。現(xiàn)在攻擊數(shù)據(jù)庫的手法主要有兩種：一種是拒絕服務(wù)攻擊，另一種是SQL注入攻擊。這兩種方法中適用范圍相對(duì)廣泛的為拒絕服務(wù)攻擊。在一般情況下，拒絕服務(wù)攻擊是不法分子使用數(shù)據(jù)庫存在的漏洞來進(jìn)行攻擊，進(jìn)行該種操作的時(shí)候，會(huì)導(dǎo)致數(shù)據(jù)庫中原本存在的數(shù)據(jù)被損壞，出現(xiàn)遺失。雖然SQL注入攻擊方式出現(xiàn)的概率較小，但是其產(chǎn)生的安全隱患較大，需要引起注意。一般黑客都是采用將非法語句注入這兩種通道，使操作數(shù)據(jù)庫系統(tǒng)完成自己的目標(biāo)，將教務(wù)數(shù)據(jù)進(jìn)行自行篡改、盜取。

（三）管理人員的權(quán)限安全問題

數(shù)據(jù)庫的權(quán)限安全通常是發(fā)生在管理人員身上。管理人員的權(quán)限安全問題主要分為兩種情況：

一種情況是權(quán)力的濫用，這種情況又可以分為濫用過高的權(quán)限或是濫用合法權(quán)限。那么，何為濫用過高的權(quán)限？就是如果普通的用戶訪問數(shù)據(jù)庫可以實(shí)現(xiàn)的功能超過了他本來應(yīng)該能夠?qū)崿F(xiàn)的功能，稱為管理權(quán)限過高。例如，當(dāng)管理員的權(quán)限過高時(shí)，修改學(xué)生的信息成績(jī)等現(xiàn)象的出現(xiàn)會(huì)對(duì)數(shù)據(jù)庫數(shù)據(jù)的安全性帶來一定的影響。同時(shí)，部分系統(tǒng)維護(hù)人員以及瀏覽系統(tǒng)的用戶，在具備安全權(quán)限管理的情況下，有意地拷貝這些信息留作私用或者是用在其他用途上，而這也會(huì)導(dǎo)致這些信息被一些別有用心的人利用，給其他的學(xué)生造成不必要的安全威脅。另一種情況就是黑客利用非法的技術(shù)，可以提高一般用戶的權(quán)限，進(jìn)而達(dá)到非法訪問數(shù)據(jù)庫進(jìn)行非法操作的目的。

（四）備份數(shù)據(jù)暴露的安全問題

數(shù)據(jù)備份最初的目的在于防止數(shù)據(jù)丟失，這是用來提高數(shù)據(jù)安全的一種有效的，也是成本相對(duì)較低的一種方式，然而這種方式也不是絕對(duì)安全的，也會(huì)存在一些問題。例如，在備份數(shù)據(jù)的過程中，也會(huì)存在著容易被竊取的安全問題。雖然相對(duì)方便，成本較低，但是這種方式因?yàn)榧夹g(shù)的不成熟也會(huì)存在一些問題，需要加強(qiáng)改進(jìn)。

（五）身份驗(yàn)證造成的安全問題

大部分的高校都會(huì)對(duì)自身的教務(wù)管理系統(tǒng)進(jìn)行安全防護(hù)，這種防護(hù)工作通常以身份驗(yàn)證、賬號(hào)的登錄等形式存在，其形式較為簡(jiǎn)單。正是因?yàn)檫@種相對(duì)比較簡(jiǎn)單的身份驗(yàn)證給了攻擊者以可乘之機(jī)，攻擊者可以利用學(xué)生的相關(guān)信息來猜測(cè)學(xué)生的密碼，進(jìn)而完成身份驗(yàn)證，登錄高校教務(wù)管理系統(tǒng)，從而獲取學(xué)生的信息，或者修改學(xué)生的密碼，以盜取合法用戶的身份信息。因此，很難實(shí)現(xiàn)利用身份驗(yàn)證來提高數(shù)據(jù)庫的安全性的這一目的。

二、提升高校教務(wù)管理系統(tǒng)數(shù)據(jù)安全的應(yīng)用措施

結(jié)合教務(wù)管理系統(tǒng)的整體性和規(guī)范性，對(duì)其中容易產(chǎn)生安全漏洞問題的環(huán)節(jié)進(jìn)行整合，并制定出相應(yīng)的管理措施，能夠提升系統(tǒng)的安全性。為保障教務(wù)工作質(zhì)量，完善教學(xué)管理制度建設(shè)等，在進(jìn)行數(shù)據(jù)庫安全防護(hù)措施制定的時(shí)候，需要將防控技術(shù)以及管理制度作為要點(diǎn)。經(jīng)過實(shí)踐工作，可以采取以下幾種措施。

（一）做好數(shù)據(jù)庫的物理安全工作

針對(duì)數(shù)據(jù)庫的安全防護(hù)工作，首先要注重物理安全，即針對(duì)數(shù)據(jù)庫的存在環(huán)境，建立健全安全維護(hù)系統(tǒng)，保證硬件設(shè)備的安全存放、維護(hù)和保養(yǎng)。同時(shí)，減少環(huán)境中能夠?qū)τ布O(shè)備產(chǎn)生影響的因素，例如煙塵、水分、輻射等。這就要求相關(guān)的管理人員必須要具備物理安全管控知識(shí)，這樣才能夠?yàn)閿?shù)據(jù)庫的安全環(huán)境創(chuàng)建打好基礎(chǔ)。具體執(zhí)行操作如下：1.針對(duì)硬件設(shè)備存放的環(huán)境溫度、空氣濕度等因素進(jìn)行檢測(cè)控制，并嚴(yán)格按照設(shè)備的生產(chǎn)要求標(biāo)準(zhǔn)來改善存放環(huán)境，同時(shí)降低人為損壞，建立設(shè)備管理權(quán)限，允許供應(yīng)商、管理人員等在一定范圍內(nèi)接觸設(shè)備，嚴(yán)格避免無關(guān)人員接觸;2.進(jìn)行相關(guān)的設(shè)備安裝、維修作業(yè)時(shí)，需要在指定的范圍內(nèi)利用標(biāo)準(zhǔn)的手法進(jìn)行操作，在面對(duì)違規(guī)行為時(shí)能夠堅(jiān)決地抵制，避免成為不法分子的幫兇，避免數(shù)據(jù)庫服務(wù)器的安全問題因?yàn)楣芾韱T問題被其他的不法分子所利用，避免管理團(tuán)隊(duì)內(nèi)部的人員因素導(dǎo)致數(shù)據(jù)庫安全問題的發(fā)生;3.增強(qiáng)對(duì)數(shù)據(jù)庫存放環(huán)境的實(shí)時(shí)監(jiān)管，利用電子設(shè)備檢測(cè)環(huán)境中的各項(xiàng)因素，即溫度、濕度、人員等，并能夠與預(yù)警機(jī)制對(duì)接，當(dāng)發(fā)現(xiàn)監(jiān)控?cái)?shù)據(jù)存在異常情況時(shí)，及時(shí)發(fā)出警報(bào)，并定位問題情況，來輔助人工進(jìn)行物理安全工作管理。

（二）加強(qiáng)數(shù)據(jù)備份系統(tǒng)建設(shè)

隨著信息技術(shù)的發(fā)展，高校針對(duì)教務(wù)管理系統(tǒng)的后臺(tái)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)備份，是防備安全問題發(fā)生的重要手段。在面對(duì)突發(fā)的硬件故障時(shí)，能夠最大限度地降低數(shù)據(jù)庫損失。在完成數(shù)據(jù)備份工作的時(shí)候，需要嚴(yán)格地按照安全管理規(guī)定制定數(shù)據(jù)備份制度，通過綜合管理系統(tǒng)建設(shè)、管理方法創(chuàng)新以及管理理念更新等環(huán)節(jié)，進(jìn)行全方位的分析管理，并堅(jiān)持根據(jù)數(shù)據(jù)的使用價(jià)值進(jìn)行備份，加強(qiáng)類型劃分、價(jià)值程度劃分工作的力度，并根據(jù)數(shù)據(jù)備份的設(shè)備、質(zhì)量等細(xì)節(jié)因素進(jìn)行考量，防止因?yàn)閭浞萦布陌踩珕栴}導(dǎo)致數(shù)據(jù)的損壞丟失等情況發(fā)生。在進(jìn)行系統(tǒng)數(shù)據(jù)備份的時(shí)候，首先需要進(jìn)行嚴(yán)格的檢測(cè)，對(duì)數(shù)據(jù)備份的細(xì)節(jié)、時(shí)間等環(huán)節(jié)具備充分的了解，并能夠掌握數(shù)據(jù)備份之后的影響。例如，在數(shù)據(jù)庫突發(fā)問題的時(shí)候，首先判斷故障發(fā)生的時(shí)間以及延續(xù)的時(shí)間，對(duì)其造成的影響進(jìn)行評(píng)估預(yù)測(cè)，了解數(shù)據(jù)上一階段更新的時(shí)間和范圍，通過對(duì)數(shù)據(jù)故障原因等細(xì)節(jié)的研究，來定位其重新修復(fù)后的可用性，保證備份還原之后能夠具備安全可靠的性能。同時(shí)，加強(qiáng)故障原因的分析，從源頭上解決漏洞問題，不讓攻擊者有機(jī)可乘。除此之外，管理員還必須從自身的實(shí)際需要出發(fā)，對(duì)數(shù)據(jù)庫定期進(jìn)行備份，以確保能夠有效應(yīng)對(duì)數(shù)據(jù)庫突發(fā)的一切情況。

（三）加強(qiáng)系統(tǒng)安全訪問建設(shè)

數(shù)據(jù)庫存在的價(jià)值便是為用戶提供數(shù)據(jù)信息，通過檢索功能準(zhǔn)確地定位信息類別，并進(jìn)行信息傳輸顯示，因此，在用戶進(jìn)行檢索的過程中，必須嚴(yán)格控制訪問權(quán)限，加強(qiáng)密碼、賬號(hào)等運(yùn)行系統(tǒng)的穩(wěn)定性，如此才能加強(qiáng)訪問安全。首先，相關(guān)的管理人員要加強(qiáng)對(duì)賬號(hào)密碼的保護(hù)工作，擁有賬密的人員也要加強(qiáng)自身的素質(zhì)建設(shè)和安全防護(hù)意識(shí)培養(yǎng)，防止出現(xiàn)借用、盜用等情況的發(fā)生。同時(shí)，當(dāng)用戶執(zhí)行檢索行為的時(shí)候，要利用后臺(tái)的監(jiān)控系統(tǒng)，對(duì)賬密的合法性、檢索操作后臺(tái)的合法性以及用戶的瀏覽行為進(jìn)行監(jiān)控，如此才能夠確保從訪問環(huán)節(jié)上控制安全隱患的形成，避免因?yàn)槌霈F(xiàn)權(quán)限的問題而帶來的危害。

同時(shí)，針對(duì)下發(fā)的用戶賬密，要進(jìn)行嚴(yán)格的監(jiān)控，實(shí)時(shí)跟蹤下發(fā)賬密的數(shù)量和使用情況，保證分配合理合法。調(diào)查研究顯示，系統(tǒng)下發(fā)的賬密數(shù)量越多，數(shù)據(jù)庫的安全性能越低，受到的影響越大;在進(jìn)行賬密系統(tǒng)建設(shè)的時(shí)候，需要嚴(yán)格按照合法的格式來設(shè)置相關(guān)的賬密形式，用戶需要加強(qiáng)對(duì)自身賬密安全的防護(hù)意識(shí)，利用煩瑣的字母數(shù)字組合形式來增強(qiáng)安全性能，防止賬密被破譯;加強(qiáng)賬密使用痕跡跟蹤分析，達(dá)到實(shí)時(shí)的賬密軌跡監(jiān)測(cè)，防止惡意行為的出現(xiàn);合理地控制文件的訪問行為，加強(qiáng)對(duì)數(shù)據(jù)庫中文件存儲(chǔ)環(huán)境、檢索動(dòng)態(tài)、輸入/輸出行為的控制，并保持統(tǒng)一的標(biāo)準(zhǔn)，能夠及時(shí)發(fā)現(xiàn)不良動(dòng)態(tài)，并做出預(yù)警，防止惡意調(diào)取、篡改以及刪除行為的發(fā)生。

綜上所述，在高校的教務(wù)管理過程中，將會(huì)產(chǎn)生大量的數(shù)據(jù)信息，其中包含著高校的重要決策制度以及管理方式，如果被別有用心的人竊取或者惡意篡改，會(huì)給高校的管理工作帶來不可估量的損失。高校要重視系統(tǒng)數(shù)據(jù)庫的安全工作，并通過實(shí)時(shí)監(jiān)控工作實(shí)際，排查系統(tǒng)中能夠影響數(shù)據(jù)庫安全建設(shè)的隱患，并合理地制定富有針對(duì)性的防護(hù)、解決措施，從物理安全、技術(shù)安全、訪問環(huán)節(jié)以及安全備份等方面進(jìn)行安全策略創(chuàng)新，如此，不僅能夠有效地控制數(shù)據(jù)庫的故障影響程度，還能夠加強(qiáng)工作管理中的科學(xué)性和嚴(yán)謹(jǐn)性，從而提升教務(wù)管理系統(tǒng)的安全性能，促進(jìn)高校的穩(wěn)定發(fā)展。

參考文獻(xiàn)：

[1]郭緒坤.高校教務(wù)管理系統(tǒng)網(wǎng)絡(luò)安全問題淺析[J].電腦知識(shí)與技術(shù)，2016（1）.

[2]趙江川，劉玉萍.淺議高等學(xué)校教務(wù)管理信息化建設(shè)[J].新西部（理論版），2016（4）.

[3]劉英楠.Oracle數(shù)據(jù)庫備份與恢復(fù)的理論基礎(chǔ)[J].科技視界，2016（1）.

[4]李永.基于oracle的數(shù)據(jù)庫安全防護(hù)策略[J].硅谷，2015（3）.