软件安全2.docVIP

软件工程专业类课程 实验报告 课程名称：软件安全技术 学　　院：信息与软件工程学院 专　　业：软件技术 学生姓名及学号： 卢泓宇 2011222020025 朱汉卿 2011222020006 张恒 2011222020015 黄家琪 2011222020011 李洋 2011222020026 指导教师：郭建东 评　　分： 日　　期： 2014年　12 月　 6 日 电 子 科 技 大 学 实 验 报 告 实验名称： 信息系统安全实验 实验时间和地点 2014 年12 月 6 日 ； 4学时 ； 实验楼303 实验目的 掌握信息系统的安全需求，充分了解MIS的登录控制机制，掌握登录控制在信息系统中应完成的主要内容是需要的数据，了解信息系统登录控制开发的主要方式。 实验设备与环境 基本环境要求 计算机实验室，40台以上计算机。 最低设备要求 硬盘：10G以上； 内存：512M以上； CPU：INTEL，讯驰或酷睿平台 系统平台要求 WINDOWS XP以上。 实验内容及要求 实验基础（必要的基础知识） 系统是按照一定的结构组织起来的、完成某种功能目标的多种相互作用、相互依存的元素组成的一个有机整体。系统的主要特性可以概括为：整体性—系统的各个部分一定以整体目标为目标，追求全局最优；目的性—一个系统一定是具有明确目标的，并完成一定的功能；层次性—一个系统可以分为若干层次和子系统；边界性—每一个系统都能够明显地区别于其他系统，系统之间有明确的界限；关联性—系统包括若干元素，元素之间存在一定的关联性；环境性—系统处于一定的环境之中并受环境影响。 而IS的主要特征包括：一定是依赖于计算机的；涉及了计算机的软件和硬件；实现数据的采集、传递、加工、处理功能。 在一个信息系统的实施过程中，有一些非常典型的问题[3，4，5]，通过对文献[3，4，5]的研究并结合工程经验，可以看到对一个信息系统的安全威胁来自于系统的内部和外部：外部的恶意攻击者；外部的意外闯入者；内部的合法授权用户；内部不当获得授权的用户。 在系统实施中，IS的安全问题常常体现为：如何使经理或管理者消除对敏感信息失密的顾虑？系统管理员是否可信？系统第一次如何启动?即如何使用户获得第一次权限?如何建立一个可信的口令机制？如何确认某个操作人员的行为？ 在登录控制界面，完成的主要功能包括：口令验证；口令修改；口令数据的加密；登录时间记录。 关于登录控制的设计主要考虑： 用户ID 输入用户ID，从权限数据中提取出相应的用户名。采用用户编号的原因是回避重名，简化输入，同时用户号本身也可以增加一定的安全性。 用户修改口令，而不是系统管理员 系统管理员对用户授权，但是口令由用户在用户界面输入，并加密存储至后台数据库中，以避免系统管理员获取用户口令造成泄密。 初始口令的安全 系统的第一次运行关键是初始口令的赋予，由信息主管（或其他高层）完成用户身份的确认，同时要求用户第一次登录时必须更改初始口令。 口令安全 系统口令安全机制要求：口令长度限制；口令字符集限制；口令有效期限制。 用户封锁 当出现用户多次登录系统失败的情况时，系统将锁定用户的操作并提示，解锁过程必须由系统管理员完成。 实验步骤 第1步：设计和登录控制相关的数据库，写出数据库设计文档； 第2步：利用ACCESS构建数据库； 第3步：配置ODBC数据源，作为访问数据库之用； 第4步：利用Visual Basic或者Visual C＋＋开发系统登录窗口； 第5步：同上，开发完成后台数据库管理窗口，实现权限管理； 第6步：验证登录过程，检查数据库中的登录数据。 第7步：完成实验报告，写出自己的设计思路和对信息系统权限及登录控制内容的考虑，写明自己设计的理由。 实验注意事项 数据库的设计应该在课下完成； 文档的写作在课下完成，注意提交； 建议采用Visual Basic实现，开发效率较高。 三、实验开设方式 小组实验，建议每组人数3人； 无实验授课； 无实验占有时间。 用户和管理员登录界面以及后台代码 前台界面： Window x:Class=MainWindow xmlns=/winfx/2006/xaml/presentation xmlns:x=/winfx/2006/xaml Title=MainWindow Height=320 Width=303 Grid Label Content=用?户§登?录? Height=39 HorizontalAlignm