傅峰

（新疆农业职业技术学院 新疆 昌吉 831100）

互联网在带给人们便捷的同时，安全的问题最近几年也日益凸显[1]。高校的教学管理系统存在时常被恶意攻击等现象，给高校的教学管理带来很多不良的影响[2]。新疆农业职业技术学院的教学管理系统的应用，很大程度上提高了教学管理的效率，使得教师和教学管理人员从繁重的手工操作工作脱离出来，但是还存在着如下的问题：最近几年，学院的教学管理系统的服务器常常被黑客攻击，导致服务中断，影响学校正常的教学，给教师、管理人员和学生带来极大的不便。同时，存在学生成绩被篡改、数据被删除等更加严重的问题，从而影响学生的毕业、升学、奖助学金评定等等一系列的工作，同时带来不少的负面影响。

1 系统在安全方面改进的需求分析

在高校教学管理系统的设计过程中，如何保证系统的自我纠错能力，或者说是解决输入数据的完整性，即防止输入数据万一出现错误也不会对系统造成严重的影响，是一个非常重要的问题[3]。

系统数据库安全性的高低，决定了数据能否被充分共享[4]。通过对新疆农业职业技术学院在教学管理的过程中数据安全分析及查阅相关资料，发现要解决安全问题首先采用的安全措施是用户识别，教学管理系统会对每个用户，包括学生和老师设置一个账号，用户登录的时候要通过自己唯一的账号和密码才能够进入系统进行操作。教学管理系统采用的第二个安全措施是权限（角色）管理，系统针对不同的角色赋予不同的权限，这样就避免了不同用户之间的相互干扰和非法操作。系统的第3个安全措施是建立操作日志，对每一个用户的每一步操作都记录下来，如有问题则有据可循。第四个安全措施是建立教学管理系统数据库的数据备份机制，避免特殊原因造成的损失。另外防范SQL注入攻击、防范跨站攻击、防范IIS漏洞攻击是在设计该系统是要重点考虑的问题。

2 采用分层用户管理的安全需求分析建模

通过对新疆农业职业技术学院的业务流程分析，现在新的安全需求就是，对用户采用分层管理的方式，每层的用户权限有严格的规定，这样使得系统更加的安全。原来的系统管理员具备所有的权限，存在的安全隐患是如果系统管理出现误操作或者密码被非法用户获取，则会给系统带来灾难性后果。新的用户需求是希望改进的系统不仅采用分层的方式来分派用户权限，而且对系统管理员的权限有所限制，降低系统安全的风险。

系统管理员是本系统权限最高的参与者。它能够完成日志管理、用户管理、数据管理和系统配置等任务。日志管理包括日志查询、日志删除和日志备份。从安全的角度考虑，最好先将日志备份后再做日志删除操作，这样便于以后发生问题可以通过查询日志而找到对应的原因，为系统维护和信息安全提供保障[5]。用户管理包含用户创建、用户删除、用户修改和用户权限的分派操作；用户管理是系统管理最重要的角色，而且出于安全考虑，在分派用户权限时要特别的谨慎。数据管理包含数据查询、数据备份和数据恢复，特别要强调的是不允许系统管理员修改数据，这是出于成绩修改必须符合规定的审批程序，根据分权的思想，系统管理员只能分派权限给教师修改成绩，这样可以防止系统管理员权限过大而导致带来的潜伏的危害[6]。系统配置包含密码设置、模块定制和系统参数设置等。

教学秘书是此系统管理员权限低一级的参与者，它主要的任务是文件管理、教室管理、模块定制、成绩管理和课程管理等。文件的管理包含文件发布、文件查看、文件删除和文件修改，其中的文件指的是教学通知、课程检查、实训安排、学生就业等各种与教学相关的文件。教室管理包含教室的空闲状况查看、上课班级安排、上课班级的调整等。成绩管理主要包含成绩查询和统计系部学生成绩的几个情况，从而确定补考学生的人数和所补考的课程。课程管理主要包含对本学期本系部所开课程的录入、修改、删除等操作。

教师是本系统中重要的参与者，其主要的用例有成绩管理、查看文件和课程管理。课程管理主要的功能就是对自己所任的课程信息发布。成绩管理包含成绩输入、成绩修改、成绩查询和成绩统计分析，其中成绩的输入和修改在规定的时间内完成，一旦提交成绩则不能修改成绩。

学生是本系统的主体参与者，其用例包含查看课程、查看成绩、查看文件和学生评教。

3 系统安全方面改进设计与实现

如果一个不法分子通过非正常的手段入侵到该系统，进行权限的变更、数据的修改等非法操作，将会带来严重的后果，因为这些非法的操作影响到学院每个学生的能否顺利毕业、能否获取奖助学金等重点问题，影响学院正常的教学管理。

在设计该系统时主要从以下几个方面保证该系统的安全，防止非法操作的出现。

1）用户权限的管理改进措施。

系统管理员的账户为admin。其密码必须符合密码设置的策略要求和复杂度要求。系统管理员必须严格的保护好自己的密码，而且每隔一段时间，必须修改密码，防止非法用户获取该密码而带来灾难性后果。

教学秘书的权限是成绩查看、模块添加、模块删除、课程管理、文件管理、教室管理。

教师的用户密码由进入系统的用户维护模块来设置。任课教师必须在规定的时间段内完成有输入成绩和统计、分析自己所带课程等操作。除此时间段之外的其余时间就只能查看成绩。为了防止教师随意的修改成绩，在完成输入成绩后，一旦点击确认提交按钮后，则教师无法修改该课程的成绩。如果要修改成绩，则需打申请，通过教研室主任、教学副院长、教务处长签字后才能被系统管理员修改。任课教师要有效的保护好密码，严禁让学生代替自己录入数据等操作。

表1 用户权限分派表Tab.1 User rights assignment table

学生只能查看本人的成绩和在年级中的排序、考务安排、课表安排等信息。

2）完善的日志记录改进措施。

该系统日志模块记录了在教学管理系统中操作的对象、客户端IP值、事件、时间等信息。系统管理员可以通过该信息分析系统的安全状况、用户的操作行为。如果发生非法操作，为跟踪非法用户提供依据。

表2 日志内容表Tab.2 The log table of contents

3）防止SQL注入保护改进措施

利用SqlCommand传参数的方法，在代码中将系统敏感的信息过滤或屏蔽，这样防止不法分子利用这些信息对系统进行入侵。

4）防跨站注入保护改进措施

新疆农业职业技术学院教学管理系统在防跨站注入的做法如下：

测试教学管理系统的应用代码，如果有漏洞则马上修补；

开发人员在开发教学管理系统时，过滤用户的输入；

教学管理系统的管理员在系统维护时，关闭浏览器的脚本功能。

教学管理系统的开发在开发的整个过程都遵循安全建模、开发的原则，让开发人员始终存在安全意识。

5）数据完整性改进设计

当用户输入信息时，做判断信息的格式、类型是否正确，如果符合信息录入规范则可以提交，否则给出用户提示。

在数据库设计时，通过设置约束条件和规则来判断用户提交数据的合法性和完整性。

6）新增数据备份和恢复功能提高在数据保护能力。

教学管理系统中的所有数据要按照备份的要求备份。通过教学管理系统中的备份模块来实现，在备份的正果过程中要对信息加密。对于备份的数据要做加密处理，及时黑客获得数据，还需要做进一步的破解，提高非法获取的成本。

4 结 论

该教学管理系统在新疆农业职业技术学院应用之后，经过各个部门不同层次的测试，得出如下结论。第一，该教学管理系统符合新疆农业职业技术学院开放办学的要求，也完全满足其对安全性的需求。第二，该教学管理系统在安全方面的设计达到了保护学生成绩、教学资料的目标。

[1]赵峰.加强医院信息管理系统安全的策略[J].网友世界，2013（13）:4-5.ZHAO Feng.Strengthening hospital management information system security strategy[J].Net World，2013（13）:4-5.

[2]成桂玲.基于SOA的教学管理系统web服务的设计与实现[J].电子世界，2013（3）:64-65.CHENG Gui-ling.Design and implementation of teaching system of Web service management based on SOA[J].The Electronic World，2013（3）:64-65.

[3]李超，于博，周立.校园网络安全管理策略综述[J].电脑知识与技术，2008（34）：1595-1596.LI Chao，YU Bo，ZHOU Li.The campus network security management strategy in[J]. Computer Knowledge and Technology，2008（34）：1595-1596.

[4]吴玉萍.基于Web的网上教学管理系统的设计与开发[J].职业技术教育，2002（10）:9-10.WU Yu-ping.Design and development of online teaching management system based on Web[J].Occupation Technology Education，2002（10）:9-10.

[5]林成，云长海，韩双.学生成绩网络管理系统[J].齐齐哈尔医学院学报，2003（4）:20-22.LIN Cheng，YUN Chang-hai，HAN Shuang.Student achievement management network system[J].Journal of Qiqihar Medical School，2003（4）:20-22.

[6]郝丽娟.浅谈信息系统安全与保密[J].科协论坛，2009（9）:58-59.HAO Li-juan.The security and confidentiality of information systems[J].Association for Science and Technology Forum，2009（9）:58-59.