论信息系统安全性与性设计.pdfVIP

论信息系统的安全性与性设计

2019年3月，我单位联合某高校研发了《程序评测比赛考试系统》。系统以程序代

码提交自动评测功能为，分为题库模块、评测机模块、实验作业模块、考试模块、

比赛模块、判定模块、用户管理模块等，支持对接教务平台。在项目中我担任系统架构

师，负责架构设计工作。

本文从网络硬件层、数据层、应用层三个方面，论述了针对该系统的安全性与性问题，

以及所采用的技术和解决方案。网络硬件层设置硬件，解决木马与外部

的隐患；数据层设置数据加密与容灾备份机制，解决数据丢失的隐患；应用层统一采用

RBAC机制等方案，解决越权操作的隐患，提高了整个系统的抗风险和安全能力。

最终系统顺利上线，获得了用户的一致好评。

正文

笔者在一个专为高校建设计算机专业智能教学平台的单位任职，过往成果有《计算

机组成原理仿真实验系统》等。2019年3月，我单位联合某大学研发了《程序评测比

赛考试系统》项目（以下简称为“OJ系统”），以取代原有传统的编程上机考试平台。

系统以程序代码的提交自动评测功能为，主要分为题库模块、评测机模块、实验

作业模块、考试模块、比赛模块、判定模块、用户管理模块等。题库模块主要负责试题

和测试用例的管理，用户根据试题要求编写程序代码提交到系统，系统将测试用例与程序代

码发送给评测机模块，由评测机自动编译、执行、判分，并将结果发送给其他相关模块进行

统计；实验作业模块用于布置作业，从题库中选取试题，设置截止日期等要求；考试模

块用于学生考试，按预先设置的参数自动从题库随机抽题生成试卷，以及向教务平

台上传考试成绩；比赛模块主要用于ACM竞赛的培训；判定模块用于鉴定代码与他人

代码率；用户管理模块负责用户信息的管理。在这个项目中，我担任了系统架构师的职

务，主要负责系统的架构设计相关工作。

OJ系统中着学生成绩、学生选课数据、试题数据等大量重要信息，确保系统的安全

性与性显得尤为重要。系统在安全性与性方面主要以下问题：隐患，

包括木马、外部等，缺乏主动的防御机制。数据库安全隐患，例如数据库

控制不严、敏感数据以明文、未制定容灾备份等，容易造成系统数据、丢

失、篡改。应用安全隐患，包括权限管理、权限设置不够合理等，容易出现人为操作导

致数据错误或丢失，到系统的。

如果敏感数据不经加密传输，者可通过网络工具获得用户的账号和口令。在业务

逻辑中对用户提交数据的没有判断或过滤不严者可在事先定义好的查询语句的

因此，我们在网络硬件层、数据层、应用层三个方面，对提高系统的安全性与性，做

了充分的设计。通过在网络硬件层设置硬件，数据层设置数据加密与容灾备份机制，

应用层统一采用RBAC机制等方案，提高了整个系统的抗风险和安全能力。

1.网络硬件层安全方案

网络和硬件是整个系统运行的基础，也是很多外部的主要途径，所以OJ系统在这一

方面需要进行严密合理的规划。为解决木马与外部的隐患，我们对网络拓扑结构划

分为外部网络网络与DMZ三个部分。在外部网络和网络之间设置了硬件，

主要是防止外部的。在，为加强对、木马的防范效果，又设置

了硬件的防毒墙，实时保证能够与查杀符合特征库的、木马。为防止校外

者通过DNS服务器直接到应用服务器的目标地址，在校内网络中又增加了反向服

务器，对外只服务器的虚拟IP，更好地减小了应用服务器被的可能性。应用服

务器与数据库服务器做了，人员也无法通过IP直接，只能通过堡垒机由

服务器管理员进行操作，阻断了外界通过客户端的对服务器造成。对于一

些