基于Web与学生信息管理系统安全方案设计.docVIP

基于Web的学生信息管理系统安全方案设计 英文 领 域 软 件 工 程 研 究 生 任 真 指导教师 ————— 企业导师 ————— 所在学院 天津大学 2011年 11 月 目 录 一．前言 3 二. 转变员工观念防范能力风险 3 1提升理念，统一熟悉 ···································3 2转变观念，健康发展····································4 3狠抓素质，提高能力····································4 三.领导当好表率遏制道德风险 5 四.落实规章制度防范操作风险································7 五.结束语 .9 基于Web的学生信息管理系统安全方案设计 以计算机网络为基础的现代信息系统使计算机应用更加广泛和深入，但也使得计算机系统的安全问题日益突出和复杂。在开放共享的环境中，安全与开放共享是一对矛盾。基于B／S的学生信息管理系统是一个开放的系统，原则上可向Internet上的用户提供查询服务，出于数据安全的考虑，要求系统有很高的安全性。本文从网络级、系统级和应用级三个层次对系统建立较好的安全防护机制。 一、 网络级安全解决方案 网络级安全保证网络系统能抵御外来入侵，解除内在故障，使系统安全运行。在这一级采用防火墙方案解决，充分利用三种关键技术保护内部网：过滤、代理服务器、加密。 1、过滤 防火墙可以甄别TCP／IP包并根据IP地址或TCP／IP协议赋予访问权或拒绝访问。当TCP／IP向防火墙发送数据包时，防火墙查看包头信息并据此对数据包定向。防火墙根据数据和规则来做决定，用户可以管理这些规则，规定只允许一定的IP地址通过防火墙。 2、防火墙作代理服务器 防火墙作代理服务器能控制进出网络的访问，它检查从安全网络来的请求并将它们接到外部网络。代理服务器代表客户与外部网络交谈，提供了控制客户端和外部网络间流量的一种手段，同时将内部网络结构隐藏起来。 3、防火墙使用加密 加密可以给网络带来另一级别的安全。防火墙过滤与代理服务器可以控制从外部不安全的网络进入内部的安全网络，加密可以使外部的人不能看到你在网络上发送的数据并且数据的发送者也可以被确认。 二、 系统安全级解决方案 1、Windows 2003的安全机制 操作系统级的安全是Web应用系统最基本也是最重要的安全保证。Windows 2003是符合C2安全标准的操作系统，它提供了完整的存取控制、内存保护、强制登录等安全性措施。 (1)设置好Windows 2003 Windows 2003缺省安装时，系统账号Admin和Guest被动设置，很多攻击者就是利用这些账号来猜密码，从而进入系统。为了安全起见，建议将管理员账户Admin改成一个不显眼的名字，最好不给guest用户任何权限或删除guest用户(除非其他产品依赖此账号)。 (2)关闭没用的服务和协议 “尽量少开没用到的服务”这是网络安全的准则。如果开启了某个服务，就要面对那个服务的漏洞困扰。比如使用FTP服务，就要应付DoS、缓冲区溢出之类的漏洞。NETBIOS也是Windows 2003 Server的一大安全隐患。因此，在系统中安装最少的协议，避免点对点通道通讯协议，小心配置TCP／IP协议。 (3)磁盘文件格式使用较安全的NTFS的格式 NTFS权限是Web服务器安全性的基础，它定义了一个或一组用户访问文件和目录的不同级别。当拥有附有效账号试图访问一个有权限限制的文件时，计算机将检查文件的访问控制表(ACL)，该表定义了不同用户和用户组所被赋予的权限。例如，服务器上的Web应用程序的所有者需要有“更改”权限来查看、修改和删除应用程序的.aspx文件。但是，访问该应用程序的公共用户应仅被授予“只读”权限，以便将其限制为只能查看而不能更改应用程序的Web页。 2、 数据库服务器的安全防护 我们采用SQL Server 2005作为数据库服务器，虽然SQL Server相对来说比较安全，但也要小心配置SQL Server。 (1)安装远程数据库管理有风险 SQL Server支持从远程进行数据库的维护。使用远程可能比较方便，但如果有一个黑客知道SQL Server密码，就可以进入数据库，所以尽量不使用远程管理。如果要使用远程管理，请使用TCP／IP，并将缺省的端口1433改为其他数值。 (2)改变sa的密码 缺省安装时，SQL Servet的sa账号密码为空，应当改变sa密码。 (3)数据库登录账号不要写入ASP.NET页面中。 3、Web服务器的安全策略 Web服务器软件是本系统的一个公共访问点，所以它