湖南大学综合教务管理系统安全管理探讨

浏览： ℃

字体：大中小

发布时间：2015-09-06 12:56:51

来源：

一、系统硬件安全防范
（一）在服务器上和个人使用的PC机上都设置了BIOS密码，设置直接从硬盘启动。现在存在一些启动光盘，用光盘启动是可以重置操作系统密码。
（二）将服务器放置在网络中心，网络中心24小时监控，保证了服务器内部硬件的安全，特别是服务器的硬盘。在服务器和使用的PC机机箱上加锁，不要怕麻烦，这样能够保证硬盘，特别是敏感数据不被窃取。
（三）服务器硬盘做磁盘陈列，对教务系统的数据库服务器和WEB服务器都做了RAID5，建议用RAID5+1(hot spare)模式，以提供灾备功能。
二、系统软件安全防范
（一）安全配置了操作系统：
1、系统的常规安全防护，将操作系统的所有补丁都打上，及时的更新补丁，安装防火墙和杀毒软件。
2、文件系统的安全性，限制IIS用户对系统磁盘的写权限。限制了IIS用户对系统磁盘的写权限能够避免黑客通过上传文件，避免上传webshell来获得系统的后台的情况。
3、对网络端口进行了端口映射，不将真实的操作系统暴露在网络上。也就是说直接在网络上的能够被访问的80端口的机器不是WEB服务器的，保证了黑客通过其他的漏洞获取到系统管理权限的问题。也保证了即使拿到操作系统用户密码，也不能轻易施展破坏。
（二）精心布置应用服务器和数据库服务器的连接方式，将WEB服务和数据库服务分开，分别部署在不同的服务器上。将数据库服务器设置在IIS的内部网络，并只与WEB服务器用一根网线连接，这样数据库服务器只与WEB服务器有物理连接，与外网没有直接联系，WEB服务器充担前置了前置机和隔离墙的功能，使教务系统数据库服务器更加安全。
（三）使用VPN方式保证重要、敏感的用户名和密码在网络上传输的安全。本人使用的PC机到服务器的连接都是采用VPN的方式，保证了服务器上各类密码的安全性。
三、系统的管理和维护
（一）系统管理
1、经常性的查看系统日志，查看系统的所有的用户，看是否增加了陌生用户的情况，特别是查看administrators 组用户。
2、经常查看IIS的日志，有针对性的进行各类检查。
3、及时打系统补丁，特别是对一些存在溢出的漏洞，很容易就被黑客获取到管理员的权限。
4、不把服务器当作PC机来使用，不在上面安装一些桌面软件，像QQ、迅雷、EMULE等等，否则很容易引毒上身。
5、不图方便。要想很安全，很多事情操作起来就肯定不方便了；要想操作起来简单、省事，就存在安全隐患。例如就文件上传的功能来说，很多黑客发现系统漏洞后，首先要做的是上传一些工具然后进行进一步的渗透，所以只要将服务器上所有的上传组件都禁用了，而且上传的目录也设置了IIS目录的属性，不让ASP引擎解析脚本。但这样也带来了一些麻烦，就是发布通知的附件都要通过另外的方式上传。除了系统管理员外，没有任何人能够上传任何东西到服务器上，虽然增加了管理员的工作量，但是对于系统的安全来说，我个人觉得还是很值。
6、将IIS错误信息输出进行屏蔽，因为有些错误提示包含了让黑客可以利用的信息。
（二）数据库管理
1、设置数据库访问权限，在IIS上的连接用户不使用超级管理员sa。这点比较重要的，很多系统管理员也忽略了。如果系统存在注入点，黑客利用的是sa的权限，系统的安全性遭到严重威胁。
2、在数据库的调用时，尽量使用存储过程传参方式，避免直接的SQL语句传递调用，减少程序中的SQL注入漏洞。
3、在所有文件通过#include包含的一个文件（根目录下的某个文件，出于安全不指明此文件）中做request内容的SQL注入检查，分request.QueryString和request.Form两中情况检查，防范系统的SQL注入。
4、设置SQL SERVER 每天的自动备份。
5、检查数据库的日志，发现是否存在任何异常。
（三）应用程序管理
1、注意程序更新的问题，更新前一定要检查更新程序是不是没有考虑很完善，是不是存在一些漏洞，比如注入、绕过相关验证获得不应该的权限等等。
2、注意检查应用程序中是否存在木马。特别是在我们使用一些网上拷贝过来的程序的时候，由于很多程序写的不是很完善，存在一些漏洞，这样就容易被人猜测到一些文件名称，如“upfile.asp”、“upload.asp”、“upload.htm”等等。如果页面没有验证，任何人都可以上传的话，那就没有安全可言了。
3、不要随意把系统的有关的密码给软件的开发人员，好象这样方便了很多，而不知道这样带来的安全问题是严重的。
4、注意教务系统使用对象之一是学生，特别是计算机方面的学生，存在一些试试的想法，所以特别要注意学生登陆的所有ASP程序的安全性，保证不存在任何漏洞。
四、管理员要不断的学习，而且还要有奉献的精神。
系统管理员的安全防范知识和经验对系统的安全影响很大。机器和软件都是固定的模式在运行，而系统管理员就不一样了。系统管理员要经常查看系统的日志，对系统进行全方位、多角度的思考，时刻去发现问题，寻找一些软件的漏洞，所以系统安全的第一要素就是人。而且所有的安全漏洞都是先发现，再有补丁，所以能够及时发现漏洞、及时补漏洞是非常重要的，这需要系统管理员不断的学习和积累经验才可以做到。