了解维护 Internet的应用程序安全的重要性和意义.docVIP

了解维护 Internet的应用程序安全的重要性和意义 维护 Internet的应用程序安全的重要性和意义如下文 1概述 1.1 ASP.NET ASP.NET 又叫 ASP+ ，但并不仅仅是A SP的简单升级，是 Microsoft 推出的新一代 Active Server Pages脚本语言。ASP .NET是 微软发展的新型体系结构 .NET 的一部分。ASP.NET 可以通过A DO.NET组件与数据库通话，查询和修改数据库中的数据。从A SP.NET的以上优点可以看出，使用 ASP.NET可以开发出功能强大的应用程序。 维护基于 Internet的应用程序的安全是一个复杂的过程。所有基于 Web 的客户端都是通过I IS 来访问 ASP.NET应用程序的。 ASP.NET 和 IIS一起使用，为应用程序提供身份验证和授权服务。I IS验证用户身份，如果用户身份合适，它会找到用户请求的内容并将它们返回给用户。图2 概念性地表示出了这种体系。 1.2 3层网络架构 随着网络技术的广泛应用，传统的 C/S 或者是 B/S模型已经很难应付越来越复杂的应用和急速增长的数据交换，经常的数据交换使得网络系统变得十分紧张;同时，应用系统的分散也导致了系统维护的困难，维护费用大大增加。因此，需要一种新的模型来解决这些问题，3 层网络模型即客户机/应用服务器/数据服务器模型就这样应运而生。 事实上，每个应用，从个人计算机上的电子制表软件到大型机上的账目支付系统都包含 3个层次结构：表现层，中间层(封 装应用逻辑 )和数据层。表现层集中于同用户进行交互;中间层执行计算并决定应用的流向;数据层管理信息使其必须在会话期间、计划关机及系统失败的情况下都能持续。在此网络架构中，表现层、中间层和数据层被分成截然不同的单元。 1.3 基于角色的安全访问控制(RBAC) 如今，基于 Web的 信息系统逐渐代替了 Client/Server模式的结构，在基于W eb的信息系统中，由于网络信息的共享特性，系统的安全问题变得越来越突出，具有越来越重要的地位。因此对用户进行权限划分是保证系统安全的重要措施之一。 现代企业往往拥有大量的信息和复杂的组织结构，再加上人员的流动性，使得传统的应用中的权限管理方法(如直接将权限赋给用户)已经不太适应企业未来的发展。角色是用户在系统内可执行的操作的集合。角色是RBAC中引入的一个重要概念，它是联系用户和权限的中间桥梁，用户和角色以及角色和权限之间都是多对多的关系。基于角色的访问控制最突出的优点在于系统管理员能够按照部门、企业的安全政策划分不同的角色，执行特定的任务。这极大地简化了授权管理，使对信息资源的访问控制能力更好地适应特定单位的安全策略。 一般而言， MIS用户不可能都对应用程序和程序中用到的库、表和视图有很深的了解，不可能直接维护与数据库有关的具体数据对象的访问控制。 RBAC的授权机制十分接近日常的组织管理规则，这种授权使管理员从控制底层的具体实现机制中脱离出来，这就使得在应用程序层实现访问控制具有了优越性。 因此，我们在应用层引入基于角色的访问控制的思想，来实现通用的权限管理。 2系统架构 2.1功能框图 权限管理系统由以下 5 部分功能模块构成： (1)用户管理模块：包括系统用户的增加、删除、修改以及账户开启和停用等; (2)功能管理模块：包括功能子系统的增加、删除、修改等; (3)角色管理模块：包括角色的添加、删除、修改以及角色与功能模块的联系等; (4)角色分配管理模块：将角色分配给用户; (5)角色授权管理模块：向已经添加功能模块的角色授予相应的权限(管 理、执行等)。 2.2 应用于权限管理系统的 3层网络架构 通过对权限管理系统功能模块的分析，充分利用ASP.NET的优势。 2.3总体框架 基于 ASP.NET技 术及 3层网络架构的权限管理系统的总体框架。 2.4表现层 表现层通过 ASP.NET的 Web Forms来实现。用户通过浏览器，进入表现层，通过页面输入登录信息，实现访问请求过滤，即功能模块的有效访问时，系统可以采取 ASP.NET Windows 身份验证。当使用ASP.NET Windows 身份验证时，A SP.NET 将 WindowsPrincipal对象附加到当前请求。该对象由 URL身份验证使用。应用程序也可以以编程方式用它来确定请求标识是否在给定角色中。 WindowsPrinci