一种办公自动化管理系统安全性设计方法.docVIP

一种办公自动化管理系统的安全性设计方法 　　【摘 要】提出了一种办公自动化管理系统的安全性设计方法，采用了分层结构的设计理念，从数据封装、日志记录、数据加密等方面加强了安全性设计。 　　【Abstract】In this paper， a security design for office automation management system is proposed. The design is hierarchical and will reinforce the security of the system from data encapsulation， log record and data encryption. 　　【关键词】自动化；管理系统；安全性 　　【Keywords】automation ；management system； security design 　　【中图分类号】G25 【文献标志码】A 【文章编号】1673-1069（2017）06-0156-02 　　1 引言 　　随着Internet的发展，很多企业都用办公自动化网站逐步取代C/S模式的OA软件。办公自动化网站通过收集员工个人信息，发布工作项目和进展，报表自动生成和导出，工作统计和分析等功能，辅助管理者实现企业内部的办公自动化管理工作。但是这些系统也随时可能面临来自网络的攻击。 　　WEB攻击有很多种，一部分可以使用ASP.NET代码进行防范的，但是其他的攻击方式还是可以产生破坏的，如直接攻击服务器。 　　办公自动化网站必须能够具有极强的安全性，保证企业内部工作的高效和有序。本文以基于ASP.NET的办公自动化管理系统为例，较为详细地介绍了网页的安全性设计方法，主要包括：①数据封装：采用分层结构设计网页，将数据封装在层次内，保证敏感数据不被恶意程序捕获；②密码加密：对用户密码进行加密处理后再存入数据库，保证数据安全，防止意外获取管理员权限的用户直接窃取用户密码，减小密码泄露几率；③日志记录：在程序中的重要执行位置记录日志，细化网页部署后的需记录信息，便于网页的维护。 　　2 ASP.NET特点 　　当前很多管理系统是基于ASP和脚本语言，将动态网页和数据库结合。但是由于ASP本身的局限性使得系统有一些不可克服的缺陷，而采取了ASP.NET技术的系统性能上有了很大的改善，其主要表现在以下几方面[1]： ①ASP.NET页面只需要一次编译后不需要重新编译，直到该页面被修改或Web应用程序重新启动。这使得在多次访问时速度有了极大的提升。②ASP.NET通过ADO.NET[2]提供的DataGrid等数据库元件可以直接和数据库联系。③ASP.NET支持应用程序的实时更新。管理员不必关掉网络服务器或者甚至不用停止应用程序的运行就可以更新应用文件。应用程序文件永远不会被加锁，因此甚至在程序运行时文件就可以被覆盖。当文件更新后，系统会温和地转换到新的版本。④ASP.NET采取code-behind方式编写代码使得代码更易于编写，结构更清晰，降低了系统的开发与维护的复杂度和费用。 　　3 系统概述 　　3.1功能结构 　　该办公自动化管理系统数据库采用Microsoft SQL Server 2005[3]。图1给出系统的功能结构图。其工作流程为：通过登录判断用户的权限、所在组等信息，支持用户进行录入、修改、删除和查询工作，并将工作以Excel文件的形式导出。本系统还提供了对工作数据进行统计分析的功能，可将工作占用时间直观的画成饼图展示给用户或管理者。通过功能结构图可以看出，本系统的功能都是基于有效用户登录的，因此必须对登录用户进行身份验证，防止黑客侵入。同时必须假想用户都是恶意的，对用户的所有输入进行判断，提升软件安全性。 　　3.2 系统安全性要求 　　考虑到本系统的应用，网页应该考虑如下安全性要求：①拒绝非法用户登陆；②对用户的密码进行妥善保护；③对用户非法输入进行辨析和提示；④软件结构清晰，不易被恶意代码攻击；⑤具有系统日志功能，方便维护。 　　4 系统安全性设计 　　4.1分层设计 　　为了使程序结构清晰，便于添加功能、修改和维护，系统采用了分层结构的设计理念。所谓分层结构是指按照实现的不同功能将系统的代码文件分层，实现相同或相近功能的代码位于同一层。如果需要对某些特定功能修改，只需在响应的层次内进行修改即可，使用分层结构编写代码使系统的功能结构更加清晰，同时将数据封装在本层内，不易被恶意代码攻击[4]。 　　本办公自动化管理系统的主要实现分为四层，分别为数据访问层、数据接口层、业务逻辑层和界面显示层。 　　其中数据访问层完成了所有与数据库交互的工作；数据接口层则实现对数据访问层的辅助功能和包装