高校管理信息系统安全问题分析
2016-10-14李刚王俊崴
李刚+王俊崴
摘 要:高校管理信息系统经历了四个发展阶段,随着新技术和新设备的使用,高校管理信息系统出现了基于移动技术的新型应用模式。高校管理信息系统在应用过程中存在着信息泄露、信息被篡改、信息系统崩溃等信息安全问题。为了保证信息系统的有效应用,本文探究了产生信息安全问题的原因,提出了利用加密算法和日志技术保证信息系统安全的策略。高校管理信息系统的安全运行需要从管理和技术多方面考虑,才能保证信息系统的使用。
关键词:管理信息系统;信息安全;加密技术;数据库系统
中图分类号:G724.4 文献标志码:A 文章编号:1673-8454(2016)15-0042-04
一、高校管理信息系统的应用现状
1.应当重视高校管理信息的管理工作
高等教育承担着培养应用型和研究型人才的教育重任,2014年我国普通本科、专科人数统计如表所示。高等教育的稳定发展将有利于满足全民大众化教育的需要。
加强高校信息化建设能够提高管理效率,我国高校信息化建设期间,高校信息化管理模式从单机应用到网络化数字模式应用,系统的职能从辅助教学管理到各个职能管理系统的普遍应用,全面集成的数字化校园网络给高校信息化带来了深刻的变化,教师、学生借助校园卡享用着数字化的校园生活、教务系统、图书系统、网络课程、学生就业及各种教学管理的事务性应用。
近年来,随着大数据、云计算、移动互联网络等新型技术的出现和应用,为高校信息化建设带来了新的机遇和挑战。在实际应用时也出现过很多信息泄露、信息被篡改、信息系统崩溃的情况。所以,高校需要重视信息系统的管理工作,通过各种措施保证信息的安全。
2.高校管理信息系统的应用情况
高校管理信息系统的应用分成以下阶段,应用水平参差不齐。
(1)文件管理模式
管理信息以Word文件或Execl文件的形式独立保存,没有形成信息管理系统,只是将管理数据电子化。这种管理模式主要为教务人员提供服务,教师、学生无法自由获取管理信息,例如,要查询学生的学籍信息,教务人员需要人为打开多个文件,从多个文件中获取有关数据,基本上属于人工管理模式,数据的相关性不好,没有形成信息化的管理模式。所以,信息的系统性和安全性极差,信息容易被更改,也留不下任何痕迹,由于误操作文件被破坏的可能性大,因此存在着信息安全问题。尽管这种管理模式的问题很多,但是应用起来方便灵活,现实中得到了广泛应用。
(2)局域网络数据库管理模式
管理信息以数据库文件的形式保存,形成了以教务人员应用为核心的局域网络数据库管理系统的应用模式。在这种模式下,教师、学生依然无法自由获取管理信息。局域网络的管理模式下,由于数据按照数据库的规范格式存储,所以数据的可更改性、相关性有了保证,形成了信息化管理的模式。由于操作人员在程序控制下完成数据加工,而程序是预先设计好的,数据提交后无法随意修改,所以这种模式应用的灵活性差,但是信息安全得到了保证。
(3)互联网络数据库管理系统模式
管理信息以互联网数据库文件的形式保存,形成了开放式的互联网络数据库管理系统应用模式。实现了教务人员、教师、学生信息自主管理模式。目前高校普遍互联网教育系统进行管理,教务管理人员、教师、学生可以自主管理管理自己的信息。这种管理模式需要有懂得网络知识的网络管理员作为技术支持,系统数据的安全性由网络管理员掌控,网站被黑客攻击的案例时有发生。
(4)基于云端和微平台的应用
高质量的教育需要高效的管理,随着教学改革和计算机技术的发展,相应的管理信息系统也在不断变化。近年来为了提高信息的访问速度、有效地实现信息资源共享,互联网管理信息系统的应用从技术上引入了云技术存储信息,同时,利用手机接收和发送信息的技术也非常普遍,另外,利用微信平台发布教务管理信息的技术也得到了应用,出现了新型高校管理信息系统。这样给高校管理信息系统的应用带来了考验,高校管理信息系统能否提供准确的信息、能够经受住黑客攻击、能否预防数据被篡改和盗取、能否做好数据灾备的问题越来越明显。
二、高校管理信息系统的信息安全问题
以互联网为平台的高校管理信息系统的核心是对信息的处理,能否为用户提供及时、准确的信息是信息系统的职责,涉及管理信息系统安全的主要因素有以下方面。
1.系统管理员需要具备良好的职业技术素质
系统的管理员具有最高操作权限,管理员的职业技术素质关系到系统是否能够正常运行,管理员操作不谨慎而引发的失误将导致系统故障,给系统的应用带来巨大损失。信息系统在设计和应用时难免存在漏洞,当发现系统漏洞时,需要及时处理。系统升级和维护属于正常管理,管理员做系统维护应该符合操作规程,对系统维护前应该选择适当的时间、制定严谨的操作预案并提前公告后再进行操作,以免给工作带来不方便。
由于开发不完善、技术缺失及其使用不当等原因,教务管理信息系统不能正常使用的情况时有发生,因此给人们带来了不方便,给学校带来不好的影响。所以系统管理员是系统安全运行的主要责任人,需要具备较好的职业技术素质。
2.严格管理用户密码
用户名和用户密码是用户登录信息系统的重要信息,一些高校的教务管理信息系统在应用时,将用户名设置为学号或职工号,密码设置为与手机号码或身份证号码有关的信息,有的直接设置成为6个“8”或6个“0”,更加悲剧的是管理部门还以公告的形式告知所有用户,并提示用户首次登录信息系统的操作方式,这样很容易造成用户登录信息被盗用。
另外,随着新技术的应用和移动设备的使用,用户出于方便或好奇登录钓鱼网站或使用第三方应用软件也会造成用户密码被盗。厦门新闻网报道,“厦门一高校学生在查询成绩时发现,学校教务系统网站老是登录不上去。学校调查发现,原来是学生平时为了图方便,将用户名和密码发送至微信公众号查询成绩等信息,而这些第三方软件就反复利用学生信息登录学校教务系统抓取最新数据。目前,该校已将教务系统网站升级,并提醒学生更改密码。” [2]。这个案例说明,第三方软件的设计者总会抓住人们求快、求新的心理,让人们使用这些软件,然后盗取用户密码,导致合法用户不能正常使用。所以,应当慎重使用第三方软件,应当以官方网站或官方微信平台为准查询有关数据库的信息。
由于系统管理员负责管理系统的操作权限,系统管理员在后台能够浏览到用户的密码和系统中的数据,如果系统安全级别不高、保存数据的技术不高,系统管理员还可以修改有关数据,例如,管理员可能修改学生的成绩、个人资料等信息,而且不留下任何修改信息的痕迹,这实际是一种犯罪行为,所以,应当特别注意系统安全的问题。
3.不能忽视用户信息被倒卖隐私被泄露的问题
信息是重要的资源,有效地利用信息能够为商家带来商机。出于利益因素,保险、证券、电信等行业中的业务员通过公司内部业务共享,掌握大量客户的基本信息,是出卖公民个人信息的重点源头。零成本外加丰厚利益,驱使他们走上利用职务之便买卖公民个人信息的违法道路。数据库管理员将用户的手机号、邮箱、住址等信息作为资源低价出售给第三方从中牟利的案例时有发生。用户信息被泄露或出卖伤害了用户的利益,学生成绩被篡改后无法追责,不法分子将学生信息倒卖给教育机构从中牟利并受到法律制裁的案件也有过报道。所以信息系统安全问题不容忽视。
4.信息系统的技术漏洞
基于互联网的管理信息系统包括存储数据的数据库和处理数据库数据的网页程序,信息系统是否安全可靠关键在于数据库和网页程序设计的质量。因信息系统技术原因导致信息系统存在漏洞,出现信息安全隐患的原因很多。
由于系统设计人员在系统分析时对用户需求了解的不够,数据处理的逻辑理解错误,所以设计的信息系统存在漏洞。例如,数据库模型设计不合理,数据采集不全,数据的一致性、规范性考虑不周等问题时有发生。另外,程序员工作不严谨,程序的处理逻辑出现错误导致信息系统有漏洞。再加上程序测试不全面,导致程序的漏洞被隐藏等问题存在。所以目前很多信息系统都存在着隐患,问题在于如何将应用风险降到最低。
以高校学生卡的应用为案例,高校校园卡管理系统逐渐成为了校园信息化管理的一种模式,学生的校园卡集用餐、选课、消费、门禁为一身,所有数据保存在数据库中。数据库是校园卡管理的重要组成部分,校园卡系统数据库出现安全问题,会导致敏感数据的泄露。如何防止可能存在的对校园卡数据库系统的各种攻击、破坏和欺诈,对校园卡系统的顺利运行起到至关重要的作用。
目前人们利用手机沟通,手机成为人们社交必备的工具。很多高校将教学信息直接发送到手机等移动设备,能够便于学生和教师及时得到信息。另外,利用微信平台发布教学管理信息、班级通知、教学讨论的技术也得到了应用,学生可以及时得到教学有关的信息。然而,由于技术、资金、软件以及人们的习惯等原因,移动终端信息处理的应用并不是很广泛,由于手机容易丢失,利用手机进行信息处理需要防范泄漏个人隐私。
三、高校管理信息系统的信息安全技术
由于高等教育各办学单位有各自的办学特点和管理理念,高校管理信息系统大部分是委托软件公司开发,但是目前信息系统的开发没有国家和行业标准,开发的技术标准不高,有些软件产品的安全问题考虑欠缺。
2014年10月为进一步加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,教育部办公厅印发了《教育行业信息系统安全等级保护定级工作指南(试行)》的通知,说明教育部对教育信息安全十分重视。结合教育管理的特点,做好管理信息安全应着重从以下方面入手。
1.加强信息安全的制度和法规建设
强化安全保密意识是确保信息系统安全运行的前提条件。自然灾害、系统故障、网络攻击、黑客入侵、网络窃密和内部人员违规操作等都对信息系统的安全构成极大威胁。所以,需要加强信息安全法制建设和标准化建设,严格按照规章制度和工作规范办事。要建立信息安全组织体系,落实安全管理责任制,是做好信息安全保障工作的关键[3]。
在实际的网络安全问题中,约有80%是由于管理问题造成的。明确技术部门主管或项目负责人的职责,强化对网络管理人员和操作人员的管理非常重要。对关键岗位实行制约角色管理,起到岗位制约效应。要坚持技术和管理并重,采用先进的安全技术,在提升技术的基础上强化管理。同时,要强调和重视应急事件的处理,一旦出现影响到网络安全与信息安全的事件,能够立即采取有效措施,控制其发展把损失减少到最低限度。
为了加强信息安全管理需要制定法律法规来约束人们的行为规范,对于违反信息安全规定的行为和人依法给予处置。目前,我国《刑法》中增加了破坏信息系统安全罪,明确了违纪人员的量刑标准。1994年制定发布了《中华人民共和国计算机信息系统安全保护条例》。2000年4月26日发布执行《计算机病毒防治管理办法》,制定这些法律法规将有助于保证信息安全,严惩违法的行为。相对来说,高校信息系统安全的制度建设缺失严重,出了问题没有处罚的依据。
2.利用自定义加密函数保护数据
信息系统的基础是数据库技术的应用,如何保存数据让信息系统安全可靠非常重要。结合几年来开发的经验,以密码的保存为例,说明如何防止密码盗取的问题。
很多信息系统的用户凭借用户名和密码登录到信息系统,浏览信息资源。所以,密码属于重要的系统安全信息项。像学号、姓名等属于非安全信息项。在实际设计软件系统时,应用系统的数据库中保存密码的数据表往往采用明码保存或者是利用系统开发工具提供的加密函数处理后保存。无论是黑客还是系统管理员获得数据表的访问权后,可以直接得到密码的明码,或者利用解密函数将密码解密后得到明码。所以,针对密码的保存,应该采用自定义加密函数对密码加密后保存,可以防止密码被破解。自定义加密函数属于内部算法,处理逻辑属于不公开的算法,利用自定义加密函数加密密码后,系统数据的安全性高。这样即使密码项被盗取了,盗取者也无法将其还原成明码,没有明码盗取者无法登录用户的信息系统。
例如,用户设置的密码为“123456”时,如果不加任何防护,系统的数据表里保存的就是“123456”,这种方式即是明码保存。有点防护的保存方法是利用password (“123456”)将其加密保存到数据表中,即数据表里保存的密码是类似“mdhsfsh7hsdh”样式,与明码保存相比,起到了加密的作用,但是,盗取者可以利用unpassword(“mdhsfsh7hsdh”)函数,将加密的密码还原成为“123456”,这样盗取者可以登录用户的信息系统,从而使加密失去了意义。要想提高密码的安全级别,可以设计一个自定义加密函数my_password( )和自定义解密函数my_unpassword( ),这两个函数的算法不公开,所以,可以起到保护密码的作用。经过验证对于2000条记录的数据表,如果采用明码保存密码,那么读取密码的速度快于利用password()加密函数加密后读取密码的速度,但是明码保存数据的安全度差。而采用password()加密函数保存密码后,密码的读取速度快于利用my_password()自定义加密函数加密后读取密码的速度,但是自定义加密函数保存密码的安全级别高。所以,作为行业标准,信息系统密码的保存应当将采用自定义加密函数保存,这样可以起到安全保护的作用。
另外,高校管理信息系统涉及到多个数据表的管理,包括学生情况表、课程目录表、学生选课表等,每个数据表包括多个数据项,例如学生情况表有学号、密码、电话等数据项。为了数据的安全,前面介绍了密码的安全保存原理,依此类推,为了保证数据表数据的安全避免明码保存数据,可以对数据表的每一列采用自定义加密函数对数据加密,这样保护了数据表的安全,使得盗取者盗取了数据后无法破解。
3.利用日志技术记录用户操作的过程
信息系统在应用时,高权限的人员可以修改数据库的数据,而且不留任何痕迹,这样的信息系统的安全性差。针对修改数据记录不留痕迹的问题,从技术上可以利用登录日志来记录登录到管理信息系统的用户成功登录的时间、从事了什么操作、离开时间等,做详细记录。同时,利用技术措施实时监控日志文件,对出现的异常情况及时报警,提示系统管理员及时处理以便减少损失。
从理论上说日志技术是可行的,但是会有很大的磁盘开销用于记录日志信息。另外,由于要记载用户的每个操作,这样降低了程序的运行效率。所以,在现实中很多软件公司开发的产品,不提供日志操作服务,这样的信息系统一旦出了安全问题将无法追查原因和责任,所以是不安全的信息系统。尽管有些系统开发商为用户提供了日志技术,往往只记录用户的登录和离开的时间,不记录更多的细节,如果系统出现问题也无法分析原因。所以,这样的系统安全级别也不高。
试验验证,采用详细记录日志技术的信息系统的安全性得到了保证,但是浪费了磁盘空间。目前大部分管理信息系统为了节省空间,放弃了日志技术给信息安全带来了风险。随着云技术的出现这个矛盾可以得到化解,我们可以将日志记录和业务数据库分类存储到云端,然后利用技术措施处理各类信息,应当以保证信息安全为主。
由于云技术是近两年发展起来的技术,现有的管理信息系统陈旧,不提供云计算机制。所以,目前各类教学管理信息系统绝大部分存在着安全风险,需要升级到采用云技术存储的新型管理信息系统。
4.加密网页程序
高校管理信息系统主要以互联网平台应用为主,通过网页程序处理数据库的数据,网页程序属于解释形程序,解释形程序的代码采用明码表示。在这种情况下,如果网站遭到黑客的侵入,侵入者通过分析程序的算法能够破解信息系统的工作原理,这样将导致系统出现灾难性的危害。
作为信息系统安全防护,有些软件开发厂商将网页程序进行编译处理,使得明码网页程序变成了加密代码的网页程序,导致入侵者无法破解网页程序,也就得不到网页程序的明码,从某种意义上说,这种技术起到了安全保护作用。
5.采用云服务技术
基于互联网的高校管理信息系统普遍采用独立服务器保存信息,一旦出现火灾、灾害等不可抗拒的事件,服务器将毁于一旦。随着技术的发展采用云端存储网络的信息,将信息保存于多个站点的服务器中,可以起到保护数据的作用。同时,可以降低信息系统的管理成本,也为教学单位节省了技术资金。所以,高校管理信息系统应当及时更新系统,采用云处理技术保存数据,这样的信息系统会更加方便和安全。
四、结论
高校信息化管理水平是衡量高校办学水平的重要尺度。随着高等教育的迅速发展, 办学规模不断扩大, 教学管理越来越复杂化, 高校的信息系统管理工作面临着严峻挑战。伴随着高校信息化进程的不断推进,新的信息安全隐患不断涌现,信息风险也不断加大,建立一套高效、集成的信息安全保障体系势在必行。利用技术措施加强信息安全防护,保证管理信息系统正常运行,这样才能满足教学管理的需要。
参考文献:
[1]国家统计局网站[EB/OL]. http://data.stats.gov.cn/easyquery.htm?cn=C01.
[2]崔易.厦一高校教务信息遭窃学生使用第三方软件致密码泄露[N/OL].厦门网-海西报,http://news.xmnn.cn/a/xmxw/201501/t20150125_4328428.htm,2015-01-25.
[3]董振国.加强信息安全建设的几点认识[EB/OL].http://wenda.haosou.com/q/1374888919066465,2013-07-27.
(编辑:杨馥红)