基于Web的学生信息管理系统安全方案设计
作者: 时间:2009-05-10 11:52 来源:
以计算机网络为基础的现代信息系统使计算机应用更加广泛和深入,但也使得计算机系统的安全问题日益突出和复杂。在开放共享的环境中,安全与开放共享是一对矛盾。基于B/S的学生信息管理系统是一个开放的系统,原则上可向Internet上的用户提供查询服务,出于数据安全的考虑,要求系统有很高的安全性。本文从网络级、系统级和应用级三个层次对系统建立较好的安全防护机制。
1 网络级安全解决方案
网络级安全保证网络系统能抵御外来入侵,解除内在故障,使系统安全运行。在这一级采用防火墙方案解决,充分利用三种关键技术保护内部网:过滤、代理服务器、加密。
(1)过滤
防火墙可以甄别TCP/IP包并根据IP地址或TCP/IP协议赋予访问权或拒绝访问。当TCP/IP向防火墙发送数据包时,防火墙查看包头信息并据此对数据包定向。防火墙根据数据和规则来做决定,用户可以管理这些规则,规定只允许一定的IP地址通过防火墙。
(2)防火墙作代理服务器
防火墙作代理服务器能控制进出网络的访问,它检查从安全网络来的请求并将它们接到外部网络。代理服务器代表客户与外部网络交谈,提供了控制客户端和外部网络间流量的一种手段,同时将内部网络结构隐藏起来。
(3)防火墙使用加密
加密可以给网络带来另一级别的安全。防火墙过滤与代理服务器可以控制从外部不安全的网络进入内部的安全网络,加密可以使外部的人不能看到你在网络上发送的数据并且数据的发送者也可以被确认。
2 系统安全级解决方案
2.1 Windows 2003的安全机制
操作系统级的安全是Web应用系统最基本也是最重要的安全保证。Windows 2003是符合C2安全标准的操作系统,它提供了完整的存取控制、内存保护、强制登录等安全性措施。
(1)设置好Windows 2003
Windows 2003缺省安装时,系统账号Admin和Guest被动设置,很多攻击者就是利用这些账号来猜密码,从而进入系统。为了安全起见,建议将管理员账户Admin改成一个不显眼的名字,最好不给guest用户任何权限或删除guest用户(除非其他产品依赖此账号)。
(2)关闭没用的服务和协议
“尽量少开没用到的服务”这是网络安全的准则。如果开启了某个服务,就要面对那个服务的漏洞困扰。比如使用FTP服务,就要应付DoS、缓冲区溢出之类的漏洞。NETBIOS也是Windows 2003 Server的一大安全隐患。因此,在系统中安装最少的协议,避免点对点通道通讯协议,小心配置TCP/IP协议。
(3)磁盘文件格式使用较安全的NTFS的格式
NTFS权限是Web服务器安全性的基础,它定义了一个或一组用户访问文件和目录的不同级别。当拥有附有效账号试图访问一个有权限限制的文件时,计算机将检查文件的访问控制表(ACL),该表定义了不同用户和用户组所被赋予的权限。例如,服务器上的Web应用程序的所有者需要有“更改”权限来查看、修改和删除应用程序的.aspx文件。但是,访问该应用程序的公共用户应仅被授予“只读”权限,以便将其限制为只能查看而不能更改应用程序的Web页。
2.2 数据库服务器的安全防护
我们采用SQL Server 2005作为数据库服务器,虽然SQL Server相对来说比较安全,但也要小心配置SQL Server。
(1)安装远程数据库管理有风险
SQL Server支持从远程进行数据库的维护。使用远程可能比较方便,但如果有一个黑客知道SQL Server密码,就可以进入数据库,所以尽量不使用远程管理。如果要使用远程管理,请使用TCP/IP,并将缺省的端口1433改为其他数值。
(2)改变sa的密码
缺省安装时,SQL Servet的sa账号密码为空,应当改变sa密码。
(3)数据库登录账号不要写入ASP.NET页面中。
2.3 Web服务器的安全策略
Web服务器软件是本系统的一个公共访问点,所以它是各种网络攻击的入口。本系统使用的IIS 5.0提供了强大的安全性,这一方面归功于其自身提供的安全机制,另一方面是由于集成到Windows 2003严密的安全体系中。我们可以从多个方面来设置IIS的安全性。
(1)隐藏源程序代码
IIS一个广为人知的漏洞是:MYMDATA,通过它使用IE的view source或Netscape直接访问该.aspx文件就能轻而易举地看到.aspx代码。
用以下办法解决这个问题:将.aspx文件与.html文件分置在不同的目录下,将.aspx文件所在的目录权限设置为不可读脚本权限。将.html文件所在目录权限设置为只读,不可执行。安装微软提供的补丁程序。
(2)限制IP地址
IIS能够授权或拒绝特定IP地址对其访问,而且控制更加灵活,它可以将这种拒绝或授予细化为对Web站点、虚拟目录、目录和文件的访问控制。因此,在Web应用系统中,就可以根据每个文件或目录的重要性来分别设置对IP地址的限制。
(3)使用SSL(Secure Socket Layer)保护数据传输
安全套节字层(SSL)为TCP/IP连接提供了数据加密、服务器身份验证和消息完整性。Web服务器上SSL安全性要求生成密钥对文件和请求文件;从身份验证权限中请求一个证书;在服务器上安装证书,激活www服务目录上的SSL安全性。
3 应用级安全解决方案
3.1 身份认证
系统的安全涉及到两个问题:一是用户登录授权,二是登录后用户的权限划分。要判断一个用户是否为合法用户,需要先在数据库中建立一张允许进入系统的用户名单,当用户要求登录系统的时候,系统通过数据库里的信息判断他是否为合法用户。因此,问题就转化为如何有效地判别一个用户是否为系统的有效用户,即“验证”(Authentication)过程。一个常见的验证过程是,当用户进入系统时,被要求输入用户名和口令。如果验证成功,当用户进入以后,系统只允许他访问事先指定给他的资源,这一过程称为“授权”(Authorization)。只有通过授权检查后,用户才能够对相应资源进行操作。
3.2 用户权限管理
考虑到本系统用户的实际使用需求,即一个用户可能拥有多个角色身份,如既负责勤工助学工作,又负责国家贷款工作。而每个角色管理的模块、工作内容是固定不变的。因此采用权限管理模式,即限定每个角色可访问的页面,每个用户可以由管理人员自定义分配一个或多个角色。
用户从登陆页面进入后台管理系统后,系统会保存用户的角色、所属部门等相关身份信息。当用户选择进入某个管理页面时,系统首先判断,用户是否拥有可以访问该页面的角色身份;然后再根据用户所在的部门,对用户可以访问、修改的数据进行过滤。
通过权限管理,保证了数据使用的安全性。横向上一个角色只能访问一个管理模块,对其余管理模块的数据信息没有访问的权利;纵向上学工部和各系部形成二级管理模式,学工部可以访问控制全局数据,而各系部只能访问操作本系部的信息数据。这样,保证了用户之间不能越权访问、管理,一旦数据、报表等出现问题,也容易追查到责任人。
3.3 数据加密技术
目前流行的加密算法有MD5,MARSMARS,SHA等。考虑到数据库被非法入侵后可能导致所有的密码泄露问题,因此决定采用不可逆的MD5加密算法作为本系统的加密方案。
系统使用MD5算法对用户密码加密后存储在数据库文件中,当用户登录时,系统把用户输入的密码计算成MD5值,然后再去和保存在数据库中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户明文密码的情况下就可以确定用户登录的合法性。这样不但可以避免普通用户的密码被系统管理员知道,而且还在一定程度上增加了密码被破解的难度。
当然,仅仅对密码进行加密处理是不够的,还应进一步采用SSL加密技术,防止网络传输时数据信息被窃取的情况发生。SSL可以让客户机和服务器之间建立一条加密的安全通道,能保证所传输的信息不被他人非法窃取。
3.4 数据备份
当系统出现安全问题时,数据信息受到相应的危险,在本系统设计过程中,考虑到了通过定期数据备份和恢复的手段来保障数据的完整性。数据管理功能的主要作用在于管理和维护数据信息,系统管理员可以通过身份认证进入数据管理维护页面,选择进入备份功能或恢复功能。
系统管理员的数据管理只能在自己授权范围内进行数据管理和维护,对重要数据可以定期进行备份,必要时可恢复。
4 结语
该方案能阻止学生信息管理系统的非法用户入侵,保证服务器的安全和数据传输过程中的机密性,并能对数据库进行备份与恢复。理论分析和实验结果表明,该方案是保证学生信息管理系统安全运行的一种有效解决方案。