基于JSP教师工资管理系统安全机制设计.docVIP

基于JSP教师工资管理系统安全机制设计 　　摘要： 教师工资管理系统的应用减少财务部门的工作量，简化与财务部门相联系的各部门的工作，但由于教师工资管理系统主要管理的是工资数据，因此必须保证系统的安全性，本系统选择当前较为安全的JSP作为开发平台，并着重从访问数据库用户的安全机制、用户输入数据的有效性验证机制、利用DES加密算法对重要数据的加密机制、各个页面的身份验证机制以及用户重复提交数据的安全防范机制等几个方面对教师工资管理系统的应用进行探索，通过设置这些安全防范机制从而尽量避免针对系统的非法入侵或用户无意识的非法操作，并为以后类似系统的安全设计提供思路。 　　关键词： 教师工资管理系统；JSP；JavaBean；DES 　　中图分类号：TP315 文献标识码：A 文章编号：1671－7597（2011）1110093－02 　　0 引言 　　教师工资管理系统是学校内不可缺少的应用系统，它的应用减轻了财务管理人员对工资数据的统计工作，使学校中与财务部门相联系的各部门工作得到简化，这些部门可以方便、快捷、及时地统计数据并将数据传递给财务部门，同时教师员工也可以及时查询每个月工资的详细信息。本系统主要是结合以上三方面的需求而设计的，系统主要涉及三个部门，财务处（核算工资）、教务处（核算课时津贴）以及办公室（核算考勤数据），教务处与办公室分别将每月核算后的数据保存在数据库中，财务处通过调用得到教务处与办公室的数据，从而核算每位教师员工的工资数据，普通教师可以登录教师工资查询系统查询每个月工资的详细信息，系统功能图如图1所示： 　　 　　图1 　　教师工资管理系统主要是管理工资数据，通常工资数据是不允许泄漏的，不排除系统会受到非法入侵，例如：SQL注入、用户密码被猜解、非置信用户的入侵等等，同时合法用户的无意识非法操作也会给系统的安全造成威胁，如果不应用相应的安全防范机制，必定会受到严重的损失。因此教师工资查询系统的安全性必须得到保证。 　　安全的系统首先应构建于安全的平台之上，现在比较流行的开发平台有.Net和JSP等，但利用.Net平台开发出来的系统运行速度相对较慢，重要的是安全性比JSP要弱一些，因此本系统选择了JSP作为开发平台。JSP技术可以生成页面上的动态内容，用HTML或者XML标识来设计和格式化最终页面。生成内容的逻辑被封装在标识和JavaBeans组件中，JavaBean可以将功能、处理、值、数据库访问和其他任何可以用java代码创造的对象进行打包，通过内部的JSP页面、Servlet、其他JavaBean、applet程序或者应用来使用这些对象，所有的脚本在服务器端运行。在服务器端，JSP引擎解释JSP标识和小脚本，生成所请求的内容，并且将结果以HTML（或者XML）页面的形式发送回浏览器。这样做一方面增加了代码的可重用性，另一方面有助于保护代码不被泄漏。 　　1 教师工资管理系统安全机制设计 　　1.1 数据库的安全机制 　　通常在设计系统时，只为登录前台系统的用户设置不用的权限，而忽略了访问数据库用户的权限设置。本系统选择SQL Sever作为数据库平台，在数据库中建立三个用户组分别为：SysAdmin（系统管理员组）、SalAdmin（工资管理员组）、ComUser（普通用户组）并赋于不同的权限，设置权限的SQL语句如下： 　　SysAdmin组：grant all on bulletin,users to group SysAadmin with grant option 　　 //系统管理员对公告表和用户表具有所有操作权限 　　SalAdmin组：grant all on salary,subsidy,timetable,bulletin to group SalAadmin with grant option 　　 //工资管理员对工资表、课贴表、考勤表、公告表具有所有操作权限 　　ComUser组：grant select on salary,subsidy,timetable,bulletin to group ComUser with grant option 　　 //普通用户对工资表、课贴表、考勤表、公告表只有选择的权限 　　然后建立三个用户分别为sysclient、salclient、comclient，将这三个用户分别加入到相应的用户组中，从而实现在访问数据库时保证其安全。用户对数据库的的访问过程如下图： 　　 　　 　　 　　 　　 　　1.2 用户三次登录失败后的处理 　　为了避免利用枚举法猜解用户的密码，在本系统中定义了相应的处理规则，即如果某用户连续三次登录失败时，应及时封住此用户名，在于管理员联系核实后方可正常登录工资管理系