基于Web的汽车租赁管理信息系统安全方案.pdf.pdfVIP

销 29卷 第 lj{】『 邢 台 职 业 技 术 学 院 学 报 Vo1．29 No．1 2012年 2月 JournalofXingtaiPolytechnicCollege Feb．20l2 基于Web的汽车租赁管理信息系统安全方案 杨小影，张小娜 (济源职业技术学院 信息工程系，河南 济源 454650) 摘 要：为实现 Web系统的安全性，结合汽车租赁管理信息系统，提出了一种安全方案，包括 数据安全访 问控制，Web页安全访问控制和数据库的备份与还原；该方案在应用中取得了良好效 果 ，提高了系统的安全性。 关键词：汽车租赁；访 问控制；安全 中图分类号：TP311．522 文献标识码：A 文章编号：1008--6129(2012)01--005l--05 一 、 引言 近年来，随着社会经济的飞速发展，汽车租赁业得到了迅猛发展。许多汽车租赁公司为了提高工作 效率，实现各业务点的资源共享，开发了管理系统。由于 B／S比C／S结构具有更强的灵活性，无需安装 客户端等优点，许多系统都采用 B／S结构设计。资源共享与信息安全也始终存在着矛盾。汽车租赁管理 信息系统中存储的数据都十分重要，一旦丢失或破坏，将会给公司造成巨大的经济损失，因此，采取防 范措施，保证系统安全，具有重要意义。 二、管理系统的体系结构选择 三层结构是一种成熟、简单并得到普遍应用的应用程序架构，它将应用程序结构划分三层独立的包， 包括用户表示层、业务逻辑层、数据访 问层 。其中将实现人机界面的所有表单和组件放在表示层，将所 有业务规则和逻辑的实现封装在负责业务逻辑组件中，将所有和数据库的交互封装在数据访 问组件中， 其结构如图l所示。本系统按照三层结构来设计。 表示层 业务逻辑层 数据访问层 数据库 图 1 三层结构示意图 三、系统的安全模型 汽车租赁管理信息系统是为济源市某汽车租赁公司研发设计的一套系统，安全模型是系统的核心模 块。本系统采用三种措施来维护系统安全，即数据的安全访 问控制、Web页的安全访 问控制和数据库的 备份与还原。 (一)数据访问控制 数据访 问控制采用基于角色的访 问控制 (Role-BasedAccessControl，RBAC)模型。RBAC模型的基 本原理是创建具有某些权限的角色，使权限和角色直接联系，通过给用户分配合适的角色将用户与权限 联系起来，用户只有通过激活角色才能获得访 问权限，实现了用户与权限的分离 l【1。RBAC模型包含的三 个实体，即用户 (Users)、角色 (Roles)和访 问权限 (Permissions)[2】，如图2所示。实体的定义及之间 的关系见参考文献 3【】。该模型为管理员提供了一种 比较简单的安全策略。 用户和角色之间的关系是多对多，即一个用户可以拥有多个角色，一个角色也可以包含多个用户 。 收稿 日期：2012一O1—20 作者简介：杨小影 (1970一)，女，河南武陵人，济源职业技术学院，副教授。 51 邢台职业技术学院学报 2012年 第 1期 本系统为了减少角色数量，采用了角色继承。把通用的角色作为父类，即任何用户都具有的角色；把特 殊角色作为子类，如某部门的人员具有的角色；把更特殊的角色作为子类的子类，以此类推，子类角色 拥有父类角色的全部功能，除此之外，子类角色还具有 自己特殊的功能。权限由操作对象和操作两部分 构成。操作对象分为三种粒度，即数据库对象 (表、试 图、存储过程、触发器等)、记录和字段。因为数 据库对象通常对应着应用系统的子菜单，而添加、删除、修改等操作对应着页面中的按钮，所以将操作 对象命名为菜单级权限，而将操作命名为按钮级权限。利用操作对象和操作的各种组合可 以实现多粒度 的权限控制。当某用户单击某项菜单时，应用程序