基于B/S结构MIS系统的安全性

摘要:本文对基于B/S结构MIS系统的安全性问题从操作系统、WEB服务器、数据库和WEB应用程序等方面进行了分析,并给

>> 一种基于B/S结构的网络安全性解决方案 基于B/S模式的信息管理系统安全性设计 基于B/S架构的城市电网安全性评价系统研究 基于B/S结构的库存管理系统的设计 基于B/S模式高职院校教学管理系统安全性保障策略研究 基于B/S结构电子政务系统的设计 基于B/S结构的在线销售系统 基于B/S结构的在线考试系统 基于B/S结构的电子税务管理系统设计 基于B/S结构的走动式管理系统 基于B/S结构的高校科研业务管理系统 基于B/S结构的在线学习系统 基于B/S架构的行车安全保障系统 基于B/S的期刊投稿系统 基于B/S模式的博客系统 B/S架构软件的安全性测试分析 基于AHP和模糊综合评价法的MIS安全性评价 基于C/S和B/S混合结构的校友录管理系统 基于B/S结构的“S―P”表网络考试系统设计 基于C/S和B/S结构的高校教务管理系统设计和实现 常见问题解答 当前所在位置：文件等)所在的虚目录允许“读”和“脚本”权限。

(3)对包含ASP文件和其他需要“执行”权限才能运行的文件(如.EXE和.DLL文件等)的虚目录允许“读”和“执行”权限。

1.3　数据库安全

数据库系统的安全是管理信息系统安全的核心,为了提高数据库系统安全建议采取如下措施:

(1)给数据库用户进行恰当的定义和分类。

(2)区别在系统中处于不同层次或不同模块的表。

(3)修改内置用户信息。有些数据库在安装时设置了几个内置用户,且这几个内置用户具有很高的权限。比如Oracle,所以在安装好数据库系统后一定要记得将这几个内置用户的口令改掉,否则,有过使用该数据库系统经验的用户从客户端和服务器端都可以进入数据库系统访问相关数据,造成数据泄密或损坏。

(4)使用触发器功能自动拒绝某些非法操作和访问。例如,对某些重要数据表设定在休息时间(比如周末,假日或非工作时间)禁止读取,修改等操作。

(5)数据库管理员建立一套完整、科学的数据库的各份机制,对数据库进行备份。

1.4　WEB应用程序安全

WEB应用程序安全是基于B/S结构MIS系统安全的关键部分,WEB应用程序与传统的C/S结构的应用程序不同,传统的c6结构的应用程序只有一个入口,在整个程序入口进行安全控制就可以保障整个应用程序的安全。而在基于B/S结构的MIS系统中,一个一个网页都是独立的,用户可以在浏览器URL中输入不同路径来跳过系统设置的安全控制网页直接访问其它相关网页,因此,如果不进行控制,那么登录界面的用户验证就形同虚设。于是有人提出,要解决这个问题,可以在登录界面中设置变量,如果通过验证赋值1,否则赋值为0。对于菜单权限验证也可以采用同样的方法。上述解决方案仍然存在漏洞,如果一个用户以合法身份进入模块主页面,并且进入其所拥有权限的菜单。那么一切验证都已通过,标记变量session的值都是1,这时如果该用户在URL中直接输入其所没有权限的页面的地址,则该页面中关于标记变量session值的检验都能通过,也就是说用户能进入其没有权限的菜单,这就出现了严重的安全问题。要解决这个问题,可以给模块中的每个菜单编写唯一的代码,并在数据库中建立一个专用数据表,在数据表中存放菜单的代码,名称以及进入该菜单后的网页URL地址。在菜单验证权限表中进行验证,如果通过权限验证,就设标记变量session的值为该菜单的代码,并转到该菜单代码记录中的页面地址。这样就能够有效防止合法用户进入非授权的菜单的情况。

在web应用程序中应该采用输入验证。在设计时,正确的输入验证是防御目前应用程序攻击的最有效方法之一。正确的输入验证是防止xss、SQL注入、缓冲区溢出和其它输入攻击的有效对策。无论输入是来自服务、共享文件、用户还是数据库,只要其来源不在可信任的范围之内,就假定所有输入都是恶意的,就应对输入进行验证,还应重点考虑SQL注入式攻击,对于SQL注入式攻击的检测,很多资料上有详细介绍,这里不再累述。

另外,要避免以明文形式存储以及传输机密,如数据库连接字符串或帐户凭据等。最好通过加密确保这些项目的安全,然后限制对包含加密数据的注册表项、文件或表的访问权限。在使用加密方法时:

(1)不要试图使用自己编写的加密方法,因为自己编写的加密算法往往比较简单,可以采用目前行业认可的,比较通用的安全性比较高的加密算法,如MD5等,同时选择合适的密钥长度。

(2)将未加密数据存储在算法附近。向算法传递文本时,除非必须使用,否则尽量不要获取该数据,并要求尽可能少的修改存储该数据。

2　结束语

对基于B/S结构MIS系统的安全性问题从操作系统、WEB服务器、数据库和WEB应用程序等方面进行了分析,并重点对数据库和WEB应用程序安全给出了相应提高安全性的方法和建议。

参考文献

[1]裴容生,杨勇.WEB应用程序安全控制的实现[J].成都:成都大学学报(自然科学版),2006,25(3).

[2]窦永富,崔为红.Web应用程序安全设计探析[J].北京:计算机系统应用,2006(9).

[3]阳威特.WEB应用程序的安全维护[J].北京:计算机应用,2-000,20(5).

[4]窦丽华,蒋庆华,李晨晖.基于CDE的信息系统安全研究[J].北京:北京理工大学学报,2002,22(3).

[5][作者不详].开发WEB应用程序的可靠性和安全性探讨[J].北京:计算机工程与应用,2001(14).