高校数字化校园的应用系统安全测试的研究.docVIP

高校数字化校园的应用系统安全测试的研究 　　摘要：近几年，高校数字化校园飞速发展，同时也面临巨大的风险与挑战。数据泄露、网络攻击等事件层出不穷，如何保证高校数字化校园应用系统的安全是我们亟待解决的问题。该文从安全测试人手，针对校园信息系统的特点主要从数据安全保护和网络攻击的防御技术方面进行了探讨，为保证数字化校园的健康发展提供参考。 　　关键词：数字化校园；安全测试；数据安全；web扫描器；web攻击 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）06-0022-03 　　1引言 　　数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、技术服务、生活服务等校园信息的收集、处理、整合、存储、传输和应用，使数字资源得到充分优化利用的一种虚拟教育环境。作为教育信息化的重要内容，数字化校园快速发展。数字化校园中集成了大量的业务系统，涵盖了学校发展的方方面面，同时安全问题也前所未有的凸显。为了保证数字化校园的健康发展，必须对数字化校园的系统进行安全测试。 　　2数字化校园的安全现状 　　为贯彻发展现代化高等教育，再造中国人才红利的国家战略，响应党中央国务院《教育信息化十年发展规划（2011-2020年）》精神，实现教育的信息化，各高校的数字化校园建设取得了巨大的成绩。在取得巨大成绩的同时，巨大的安全风险也随之而来。2017年肆掠全国的勒索病毒，其中一个高发地就是各大高校。近年来，数字化校园门户被攻陷，主页被篡改发布一些反动言论，数据信息被盗取的事件屡次发生。所以在假期，重大事件发生时候好多高校的数字校园门户和系统就会关闭对Internet的服务功能，只能在校园内网中才能访问，有的学校甚至为了安全只允许在内网访问数字化校园门户和系统。此举的目的就是防止数字化校园被攻陷产生不良的社会效应，但是此举也给广大的老师和学生使用数字化校园系统带来了极大的不方便，严重的限制了数字化校园的使用率和发展。此种现象的产生归根结底是由于大多数学校的数字化校园过分依赖于数字化校园的开发公司，校方自身的技术能力有限，对于数字化校园的安全防范能力的认知基本上也是停留在开发公司的汇报上，校方自身并?]有一个比较清楚地掌握。 　　3数据安全的测试 　　数字化校园安全问题的核心是数据安全的问题。在建设数字化校园的过程中，为了防止数据孤岛和数据不一致的情况出现，建设了统一的数据中心。所有数字化校园的应用系统都要和统一的数据中心交换数据，所以数据中心的数据一旦遭到破坏，对于整个的数字化校园来说将是严重的损失，轻则需要断网恢复数据，重则无法恢复数据导致灾难性的后果。所以数据的安全是安全测试的重中之重，必须花大力气去保证。 　　3.1签订合同和需求阶段 　　对于数据安全，我们要考虑最坏的结果，如果数据全部丢失或破坏，我们应该怎么做？别无他法，唯有数据的备份才能解决这一问题。备份有两种形式，一种是同一机房备份，既可以把数据备份到数据库所在的服务器，也可以备份到专门的服务器上，另一种就是异地备份。不同的备份各有自己的优缺点，主要的差别在于成本，所以在前期一定要把备份方式进行明确，以确定项目的成本，如果在项目后期再变动备份方式，就牵扯到很多方面，比较麻烦。 　　对于数据安全来说，还有一个很重要的特点就是机密性，对于一些重要数据或者是个人信息，即使数据库数据泄露，也不能使对方轻易获取信息，这就需要对数据进行加密。此类事情最著名的事件就是2011年CSDN的数据库‘脱库’事件。作为著名的计算机软件行业的杂志在自己的网站中竟然用明文的形式存储了用户的登录密码，导致六百多万的用户账户信息被盗，教训非常惨痛。数字化校园的数据中心中存储的用户的登录密码，个人姓名、身份证号、手机号、工资信息等个人信息都需要保证安全，所以在需求文档中必须明确规定需要加密的字段列表。 　　在这个阶段，测试的重点就是检查合同和需求文档中，验证是否有具体的条款来约定备份方式和需要加密存储的信息列表。这个测试很简单，但是很重要，一定要做，问题解决越早，成本越低。 　　3.2验收阶段 　　验收阶段需要对照合同或者需求文档中约定的数据备份方式进行验收。具体做法如下：根据合同或需求文档约定在对应的服务器上查看是否有数据备份；通过对数据库中的数据进行修改，删除、新增，销毁等操作改变数据库中的数据；通过备份的数据进行数据库的数据恢复，验证数据库中的数据是否能够完全恢复，如果能够恢复，测试通过，如果不能则要求整改。 　　对于需要加密的字段直接进入数据库查看，如果用密文存储，验收合格，如果是明文需要开发公司整改。 　　4攻击手段及测试方法 　　对于数字化校园系统的安全隐患主要集中在以下几个方面：SQL注入攻击、文件上传漏洞、X