前言：本站為你精心整理了教務體系網絡安全技術的應用范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：王川作者單位：長沙學院教務處

文件過濾驅動技術對系統(tǒng)的保護

利用文件過濾驅動技術，可以開發(fā)專門用于教務系統(tǒng)的文件過濾驅動模塊，對教務系統(tǒng)服務器和重要的教務系統(tǒng)客戶端安裝該模塊增強安全性。在基于NT內核的Windows操作系統(tǒng)中，文件系統(tǒng)驅動程序是I/O子系統(tǒng)的一個重要的組件，它為用戶提供在磁盤等存儲介質上存取數據的服務。如圖1，NT的I/O管理器支持分層的內核模式驅動，I/O管理器根據應用程序的I/O請求生成一個IRP（I/O請求包），依次按照驅動創(chuàng)建的設備對象往下層設備對象傳遞，每一層設備對象對應的驅動程序一次處理該IRP，處理完畢后一次返回至應用程序。根據該模型，文件過濾驅動程序可以在應用程序讀寫數據的過程中先于文件系統(tǒng)驅動截獲所有數據處理相關的IRP，利用IRP就可以實現對文件進行加/解密操作，也可以對需要被保護的文件實施實時的訪問控制。在Web服務器端，文件過濾驅動技術可以對教務系統(tǒng)網站的各類網頁提供防篡改保護，可以是靜態(tài)文件，也可以是動態(tài)網頁，執(zhí)行準確率和效率都非常高?；谖募^濾驅動的網頁防篡改技術的工作流程如圖2。在文件過濾驅動模塊中加入web服務器防篡改核心程序，對于服務器上的所有文件內容，防篡改核心程序經過內置單向散列函數快速生成文件屬性。防篡改核心程序然后通過事件觸發(fā)方式對網頁文件變動情況開始自動監(jiān)測，收到一個網頁的訪問請求，先對比網頁文件屬性簽名的變化，如果簽名發(fā)生異常變化，立即刪除被篡改的網頁，停止Web服務，同時通過文件安全拷貝將備份服務器中備份網頁文件復制到檢測文件夾中，替換掉被篡改的文件。防篡改程序通過底層文件過濾驅動技術進行文件恢復的復制速度為毫秒級，使得網站用戶無法看到并使用被篡改的頁面，其運行性能和監(jiān)測保護的實時性強、對防止網頁被惡意篡改十分有效。

數字認證技術對數據的保護

在教務管理系統(tǒng)的安全保護最終是要保護教務系統(tǒng)的數據安全。數據安全是教務系統(tǒng)的保護的重點，系統(tǒng)中的數據安全需求表現在下面幾個方向：信息的保密性、信息的完整性、信息的可重用性、信息的真實性、信息的不可否認性。PKI是一個遵循既定標準的密鑰管理平臺，為網絡應用提供加密和數字簽名等服務及服務所需的密鑰和證書管理功能，其通過第三方可信機構CA認證系統(tǒng)，把用戶公鑰和其它標識信息綁定在一起，在Internet上實現用戶身份的認證，并且該體系把公鑰密碼和對稱密碼相結合，實現密鑰的自動管理，保證數據傳輸和存儲的真實性、機密性、完整性和不可否認性。PKI是一個技術框架，其應用實現是CA認證系統(tǒng)。通過建立學校自己內部的CA認證系統(tǒng)，就可以在教務系統(tǒng)中使用數字簽名和加密服務，由此解決了公鑰在不安全網絡環(huán)境中的信任問題。校園CA認證的結構設計如圖3所示。根CA是學校的根認證中心，負責簽發(fā)和管理二級CA的證書、制定和審批總體策略，采用物理隔離的方法實現。二級CA是二級單位用來管轄范圍之內的證書生成、撤銷、更新、核發(fā)，根CA和二級CA通過SSL通道、端實體來進行互操作。注冊RA作為CA的注冊審核機構，完成證書注冊申請的審核、將二級CA生成的證書和密鑰以安全的方式發(fā)送給證書用戶。使用數字簽名技術后，在教務管理系統(tǒng)中，過去很多使用手寫簽字的地方都要改用數字簽名。根據簽名的信息是否能公開傳輸，可以有兩種簽名類型，一種是不需要機密的信息，先用單向散列函數（如MD5算法或SHA算法）生成消息摘要，為提高安全性引入時間戳，把生成的消息摘要和時間戳一起簽名，可以抵抗重放攻擊和代換攻擊；另一種是對信息加密后再按第一種方式后續(xù)步驟進行簽名，那么只有擁有密鑰的授權用戶才可以查看該信息。數字簽名和加密算法有很多種，比較典型的有RSA、DSA、ECC等。除了需要基本的數字簽名和加密外，教務系統(tǒng)中還會有大量的教學工作管理流程。對于這些教學工作管理流程，需要使用多重數字簽名或群簽名來對數據進行數字簽名。教務管理系統(tǒng)主要使用以下幾種代表性的數字簽名流程：1）成績管理：一般流程為：老師評定成績→院系教學秘書核對→教研室主任簽字→主管教學的院系領導簽字→教務處簽字。在這個流程環(huán)節(jié)中，強調簽名的順序和對簽名內容的控制，這樣的流程需要要使用有序多重數字簽名。2）公文簽收：在公文簽收中，統(tǒng)一部門的不同工作人員可以代表其所在部門完成諸如公文簽收類的事務性工作，系統(tǒng)只需要判斷部門內是否有人收到公文即可，不用管具體接收人員，如果出現爭議時，可以檢查出當時的簽收人。這樣的流程要使用群簽名，群簽名可以并行執(zhí)行。管理中心判斷其簽名類型為群簽名時，系統(tǒng)將根據簽名要求確定參與簽名的群組成員，然后向群組成員發(fā)出簽名要求，在收到若干群組成員的簽名回復后，對這些簽名進行驗證，當確定至少有一個簽名有效時，管理中心將告訴簽名發(fā)起者成功信號，如果沒有一個簽名有效，則簽名失敗。3）學籍異動管理：以學生辦理休學手續(xù)為例，學生提出休學申請，教務處學籍科審批合格后，向學生發(fā)出通知單，學生按通知單上的所列項目，前往相關部門蓋章認可，學籍異動管理是一種無序多重簽名的例子。這樣的流程是一種無序多重簽名的實例，無序多重簽名是有序多重簽名的一種特例，由系統(tǒng)初始化時將無序多重簽名指定一個順序，從而轉成有序多重簽名進行處理。