教学管理系统之选课系统的设计与实现.doc

【标题】电子政务安全设计与实现 【作者】高 强 【关键词】?电子政务???安全???加密? MD5算法 【指导老师】谭海军 【专业】计算机科学与技术 【正文】一、引言电子政务：是指政府机构在其管理和服务职能中运用现代信息技术，实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，建成一个精简、高效、廉洁、公平的政府运作模式。电子政务模型可简单概括为两方面：政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化；政府部门与社会各界利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。因此政府上网工程与电子政务可谓互为因果，相辅相成，政府上网工程的最终目标正是推动电子政务的实现。　因为电子政务是国家各级政府部门对社会实施行政监管和为社会提供公共服务的重要手段。该体系中既有部分信息涉及到国家的机密和安全，也有大量信息需要在一定程度上对公众和社会开放，并为社会提供公共服务，所以系统的安全性和稳定性就成为电子政务建设中普遍关注的问题。因此，电子政务系统较其它行业和企业信息系统更为重视系统的安全性及其对信息的保密工作二、电子政务的数据库安全2.1概论数据库是电子政务、金融以及ERP（Enterprise Resource Planning，企业资源计划系统）系统的基础，通常都保存着重要的信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中，他们用这些数据库保存一些个人资料，比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据，战略上的或者专业的信息，比如专利和工程数据，甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取会受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。2.2 SQL的安全配置2.2.1?使用安全的密码策略我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句：Use officedataSelect UserName,Password from GW_User where password is null9（如图2-2-1）?图2-2-12.2.2?使用安全的帐号策略?由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server?实例（例如，当其它系统管理员不可用或忘记了密码）时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。2.2.3?加强数据库日志的记录审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。请定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。findstr?/C:登录 d:\Microsoft SQL Server\MSSQL\LOG\*.*2.2.4?管理扩展存储过程对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个S