高校就业网设计及其安全性研究.docVIP

高校就业网设计及其安全性研究 　　摘 要在严峻的高校毕业生就业形势下,建立一个功能齐全、高效运转的就业系统是提高就业工作效率、促进就业的重要途径。在基于ASP.NET开发过程中,针对就业网的安全问题进行了分析和研究,并提出了有效的解决方案。 　　 　　关键词高校就业网;ASP.NET;网站安全 　　 　　中图分类号TP3文献标识码A文章编号1673-9671-(2010)012-0058-01 　　 　　目前,大学生就业已成为社会关注的热点,建立完善的就业系统不仅实现了毕业生与用人单位的高效交流,降低求职招聘成本,扩大双方选择的范围,还可以反映学校的形象和工作效率,更重要的是促进了社会的稳定与和谐。随着ASP.NET技术不断的发展,由于动态网页的交互性较强,在开发时如果考虑的不周全,安全意识不强,则会造成网站的不安全性,因此在设计功能齐全的就业系统时必须兼顾其安全性。 　　 　　1高校就业网的设计 　　 　　1.1系统开发平台 　　系统以Windows+ASP.NET+SQL server为平台基础,使用Visual Studio.NET 2005进行ASP.NET开发,语言采用C#进行设计,系统利用B/S构架,通过标准的Internet网站形式来提供服务。 　　1.2就业网功能设计 　　高校就业系统的主要功能较为复杂,实现网上发布通知、发布就业相关信息、毕业生网上投递简历、用人单位网上招聘,对就业需求信息设置浏览权限以实现其保密性,系统既易于管理、又易于操作。1)注册用户管理子系统。毕业生要求以学号为用户名,由系统管理员设置统一的初始密码,毕业生登录后可修改密码,进行信息的填写。学生信息包括学生的基本情况、个人简历、应聘意向、待遇要求等。毕业生通过客户端,向系统提交个人信息,并保存在学生数据库中,供用人单位查询和选择。用人单位初次使用高校就业网,需要进行网上注册,填写基本信息,包括单位名称、提供职位、待遇以及专业要求等。用人单位通过客户端向系统提交信息,并保存在用人单位数据库中,供毕业生查询和选择。2)学生求职子系统。学生登录后进行简历的填写和发布操作,并可随时进行修改;利用职位查询功能,向有意向的用人单位发出求职申请;根据个人需求,将有意向的用人单位信息放入单位收藏夹中并进行管理;具有回复用人单位的招聘意向等操作功能。3)用人单位招聘子系统。用人单位登录后可对本单位的信息进行管理。发布并更新本单位的招聘信息,对就业系统中的人才信息进行查询,对毕业生信息进行浏览,把符合条件的学生放到收藏夹中;应聘信息管理实现对应聘学生的简历信息进行浏览、查询、删除等操作,对符合要求的学生进行预约操作,同时添加到人才收藏夹中;对发出的招聘意向和收到的求职意向进行管理,并且根据应聘学生返回的信息预约笔试、面试等操作。同时用人单位可对收藏夹的信息进行删除、屏蔽等管理。4)系统管理子系统。系统将用户分为四种类型:系统管理员、管理员、学生和用人单位。系统管理员负责对管理员、学生、用人单位等用户进行具体管理,系统管理员具有就业系统的最高使用权限,负责设定各对象的权限及增加、删除用户等操作。管理员分为就业中心管理员和院系管理员,就业中心管理员负责就业系统日常的维护,如对就业新闻、招聘会信息的收集、整理、更新等操作,同时对用人单位的资质进行审核,另外根据需求对用人单位的职位进行修改、增加、删除等操作;院系管理员对毕业生信息进行审核。 　　 　　2就业网的安全性研究 　　 　　2.1ASP.NET的安全机制 　　ASP.NET与IIS、.NET Framework和操作系统的底层安全性服务相结合,可以实现多种身份验证和授权机制。ASP.NET开发的web应用程序的安全性主要依赖验证和授权两项功能。ASP.NET提供了Windows、Forms(窗体)、Passport(护照) 三种身份验证模式和文件授权和URL授权两种授权方式。 　　2.2安全问题分析及防范措施 　　1)用户权限控制。对一般用户访问网站的权限我们采用配置级的验证,即在web.config中进行相应的编程设置,实现对用户的访问控制。采用.net的forms验证机制,在IIS中将目录安全性设置为允许匿名访问。当用户没登录就访问有权限限制的网页时,网站自动跳转到登录页面。在用户登录成功后,其就是网站的授权用户,对于授权用户同样存在着权限的差异,对此类用户采用程序级的控制,使用session记录登录信息,在每一个管理页面的Page_load事件中进行身份判断,如果用户没有权限,就拒绝访问。 　　2)防止非法用户进入网站后台。网站后台管理是整个网站的核心,只有网站的维护人员才能对其进行操作。系统采用两种技术方案来防止非法用户进入网站后台:一是通过Sessi