研究生学籍管理系统安全性设计-

- 9 2 -中国科技信息2 0 0 8 年第6 期 C H I N A S C I E N C E A N D T E C H N O L O G Y I N F O R M A T I O N M a r . 2 0 0 8信息科技所听到的“木桶理论” 。全局整体观念比较好理解，就是要尽可能地考虑到各种可能性。 “木桶理论”是说，我们整个系统的安全性能高低最终取决于安全性最差的一个方面，而不是取决于安全性最好的那方面。所以，即使你在某方面做得非常好，如果没有考虑全面的话，整个系统的安全性仍可能是非常差。我们必须全局地看待整个系统的安全性，而不能孤立地看待某一方面。 2 . 2 核心重点保护原则根据辩证关系中主次矛盾观点，在对系统安全性设计时要注意抓重点、抓关键。只有抓住系统中的主要矛盾，才能把握住系统安全性的根本方向。无论是目标规划，还是动态控制，都必须分清主次，避免不分主次，更不能主次颠倒。在强调抓重点的同时，要特别注意避免轻视居于次要矛盾地位的其他目标的控制，只有控制好处于次要矛盾地位的其他目标才能对主要目标进行有效地控制，从而有利于主要目标的实现。重点是全面之中的重点，全面是有重点的全面。实行系统安全性设计既要采用“木桶理论”整体考虑原则、又要善于抓重点。 2 . 3 最小特权原则最小特权原则( L e a s t P r i v i l e g e ) 是系统安全性设计最基本的原则之一。最小特权原则是指“应限定系统中每个主体所必须的最小特权, 确保可能的事故、错误、系统的篡改等原因造成的损失最小” 。当给出了对系统某些部分的访问权时, 就有滥用该访问权相关的风险。解研究生学籍管理系统安全性设计常宝英叶景发北京工业大学计算机学院 1 0 0 0 2 2S e c u r i t y S y s t e m D e s i g n O n P o s t g r a d u a t e S t u d e n t S t a t u s M a n a g e m e n t S y s t e m C h a n g B a o y i n g Y e J i n g f a c o l l e g e o f c o m p u t e r , B e i j i n g U n i v e r s i t y o f T e c h n o l o g y , B e i j i n g 1 0 0 0 2 21 . 引言随着信息技术的发展, 特别是网络技术的飞速发展, 安全性问题也越来越受到人们的关注，这同时也为软件系统安全性设计提出了更高的标准和要求。研究生学籍管理系统作为我校研究生教学管理和运营的重要组成部分，在进行系统方案设计时充分考虑系统安全设计显得非常重要。2 . 系统安全设计原则2 . 1 “木桶理论”整体考虑原则面对现在如此复杂的集成方案和软件结构，作为软件架构师首先就要有全局的观念，充分体现这个观念是我们通常决问题的原则是, 一般不必冒险给予其必要的访问权以外的权利。通常在程序设计中，程序员希望访问某一数据对象, 实际上只需要对该对象进行读操作。该程序员并不需要更多特权, 但往往程序员为了程序的通用性和调用的方便，却使用了更多特权进行编程。不必要地赋予特权, 那么就隐藏更多隐含的危险 1 。 2 . 4 分隔原则如果访问权限的策略是“完全访问或根本不准访问” , 那么最小特权原则非常有效。但是如果控制的策略存在交叉，那么应该对该权限单元进行更细的划分，将系统分成尽可能多的独立单元。在程序设计中，如果对一个信息的增加、删除、修改、查询分别属于不同的角色人的权限，则应该利用分隔原则, 将功能进行划分成更独立的单元，这样对系统可能造成损害的程度降到最低。3 . 系统安全设计策略3 . 1 系统部署安全性 3 . 1 . 1 网络拓扑构建数据库服务器是整个网络中最重要也是最核心的部分，服务器上存储的数据也成为我们重点保护的对象。在网络上通过防火墙将数据库服务器和其他设备进行隔离，而且在防火墙进行设置时只允许应用服务器通过相应的端口对数据库服务器进行访问。对存储数据的磁盘阵列采用 R A I D 的冗余机制，一方面提供存储数据的可靠性，同时也保证系统数据的安全性。3 . 1 . 2 操作系统的选择摘要本文介绍了软件系统设计安全性原则，以研究生管理系统开发进行阐述，讨论系统部署方案、系统架构设计、软件实现、系统接口通讯的安全性. 对软件开发的安全性进行统一全面的探讨和研究。关键词安全性原则；访问控制；加密技术 A b s t r a c t T h i s p a p e r p r e s e n t s S e c u r i t y d e s i g n p r i n c i p a l s o n s o f t w a r e s y s t e m . 。 i t e x a m p l e b y d e v e l o p m e n t a n d r e s e a r c h o n P o s t g r a d u a t e S t u d e n t S t a t u s M a n a g e m e n t S y s t e m . I t d i s c u s s e s S e c u r i t y d e s i g n f r o m s y s t e m , i n c l u d i n g s y s t e m d e p l o y m e n t , s y s t e m a r c h i t e c t u r e , s y s t e m i m p l e m e n t , c o m m u n i c a t i o n o f s y s t e m i n t e r f a c e . I t d i s c u s s a n d r e s e a r c h a l l - a r o u n d s e c u r i t y o n d e v e l o p i n g s o f t w a r e . K e y w o r d s S e c u r i t y p r i n c i p a l s； A c c e s s c o n t r o l； E n c r y p t i o n t e c h n i q u e s- 9 3 -作为一种重要的网络操作系统，U N I X以其安全性、稳定性和可靠性得到了众多网络建设者和设计者的好评。 U n i x 操作系统是一个比较完善的操作系统，它提供了相应的安全机制，涉及到帐号安全性、网络安全性、文件安全性三个方面。帐号和网络安全性主要是防范未授权的用户非法进入和操作U n i x 系统文件，系统安全性是防止“黑客”侵入的最后一道防线，是防止未授权而存取系统中的文件，可见 U n i x 系统提供了很好的防范措施 2 。3 . 1 . 3 . 数据管理系统数据库安全是整个系统安全的重要环节，数据库系统安全保护措施是否有效已成为现代数据库系统的主要性能指标之一。所谓数据库安全，就是保护数据库防止不合法的使用，以避免数据被有意或无意地泄漏、丢失和恶意修改。数据库安全可划分为系统安全和数据安全两类 3 。系统安全的安全机制包括可以在整个系统范围内控制对数据库的访问和使用。如有效的用户名和口令、是否授权于用户连接数据库、用户能执行的系统操作等。所以在系统实施采用数据库创建用户和客户端连接用户分开使用的原则。数据安全的安全机制包括可以在对象这一级上控制对数据库的访问和使用, 在这个级别上限制客户端连接用户的权限为对表数据插入、删除、修改的权限。不分配给用户多余的权限，保证权限分配最小的原则。3 . 2 系统架构安全性 3 . 2 . 1 系统架构的层次性研究生学籍管理系统在整体架构设计中采用了分层的框架，有效对系统各部分进行了隔离。本系统主要以J S P 为开发平台，采用 B / S三层结构。即前端客户机浏览器为系统表现层，中间W e b 服务器为业务逻辑处理层、后台采用O r a c l e 数据管理库作为数据层。系统分离的原则有利于对系统不同部分制定相应的策略。同时在系统出现意外的情况下，有利于对系统的恢复且不影响系统中其他部分的运作。3 . 2 . 2 应用服务器文件连接数据文件的保护应用服务器 W E B部署中连接数据库文件是应用服务器访问数据库服务器的唯一通道，对该文件的保护体现得非常至关重要。对该文件中信息采用 D E S算法对文件重要信息进行加密存储，充分保护了连接数据库实例的信息如访问数据库服务器的I P地址、数据库实例的名称、用户名、密码等。对这些重要信息在单密钥体制下加密和解密过程 4 如下：M为明文信息，C为密文信息，K为加密 /解密使用的密钥 ;C = EK（M ） E为加密算法 M = DK（C ） D为解密算法为了防止在使用中影响效率，采用初次连接进行加密处理并信息赋予全局变量进行管理。3 . 3 系统实现安全性 3 . 3 . 1 角色访问控制研究生学籍管理系统是研究生教学管理非常重要的组成部分，它包括了研究生招生管理、研究生培养管理等非常多的功能。整个系统的运行是各学院研究生管理办公室、任课教师、指导教师、研究生部共同参与的过程。所以系统在设计时采用基于角色权限划分机制进行管理。系统将菜单每个功能定义成一个权限单元、通过系统配置在系统中定义多个角色，使用系统的操作员分别被赋予不同的角色，这样使系统的功能和工作职责相匹配，使操作员在完成自己本职工作的同时，又不能对系统进行额外功能的操作，防止对系统造成不必要的危害。 3 . 3 . 2 用户登陆的口令在系统登陆时通过用户名和密码进行有效身份验证，并根据用户的角色加载相应的权限功能。其中用户登录系统的密码采用 D E S 算法进行加密后存储在数据中并在使用中按密文进行验证。用户角色编码也采用角色编码和拥有的权限单元数量进行加密存储，防止与安全相关操作功能的核心内容被轻易篡改。实现流程如图 1所示。 3 . 3 . 3 系统内部操作日志对系统进行日志跟踪和记录为事后排查问题提供了帮助。系统在设计时可以定制系统中关键操作的日志记录：如学生选课的更改、成绩的更改，分别记录了更改数据的操作员编号、机器的 I P 地址、更改的时间、更改前后的数据状态。这样便于当系统关键数据出现意外情况时，对产生问题的原因和责任人进行排查。 3 . 4 系统接口通讯安全性研究生学籍管理系统在对国家教委进行信息上报中采用报文进行传输。系统对外接口功能是相对独立的，不影响本系统内图1 系统登录安全和权限加载流程图2 不对称密钥加密的追加信息的报文鉴别方法下转第9 5 页- 9 5 -制虚拟网外的网络节点与网内的通信, 防止了基于网络的监听入侵。例如可以把企业内联网的数据服务器、电子邮件服务器等单独划分为一个 V L A N , 把企业的外联网划分为另一个 V L A N , 并且控制两个 V L A N 之间的单向信息流向。这就保证了企业内部重要数据不被非法访问和利用。 3 . 4 虚拟专用网( V P N )V P N ( V i r t u a l P r i v a t e N e t w o r k ) 技术是指在公共网络中建立专用网络。V P N不是一个独立的物理网络, 它只是逻辑上的专用网, 属于公网的一部分, 是在一定的通信协议基础上, 通过I n t e r n e t 在远程