信息平台安全设计文档

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息管理平台安全设计

信息平台基于INTERNET公网,各个业务单位和部门通过INTERNET访问信息平台来开展日常业务工作。由于互联网的广泛性、自由性等特点,基于INTERNET网络的系统较为容易受到恶意入侵者的攻击,留学信息平台系统同样如此。互联网的安全隐患主要表现在:外网越权访问、恶意攻击、恶意窃取数据、病毒入侵等方面。

信息平台在软件方面的安全设计主要考虑了权限的管理、SQL防注入、登录安全等方面。

权限

信息平台为不同的系统角色分配不同的权限;并且信息平台分模块开发,实现功能访问的物理隔离。

新建Filter过滤系统请求,判断访问的功能和访问者的角色是否对应,保证所有的操作合法执行。

SQL防注入

管理平台考虑到SQL注入的危害,并采取如下措施防止SQL注入问题:

1) 前端页面提交请求时过滤特殊字符。

在前端页面提交时,调用方法检查输入的数据,防止用户提交可能引起SQL注入的字符(如’,%=;等);并检查输入数据大小,防止恶意输入大数据量字符影响信息平台性能。

2) JA V A程序中构造动态SQL语句时,采用预编译语句集。

当JA V A程序需要构造动态SQL访问数据库是,采用预编译语句集,因为它内置了处理SQL注入的能力,可以有效的防止注入。

3) 采用调用存储过程的方式。

利用数据库存储过程传参防止SQL注入的特点,在系统实现时,根据需要把一些与数据库的交互通过存储过程实现。

4) 关键性数据在数据库里加密存放。

将信息平台的关键数据(如密码等)加密存放到数据库。这样即使黑客获取了数据库的信息,也因无法解密而不能了解关键数据,减小危害。

5) 新建独立的防注入数据库帐号。

新建独立的防注入数据库帐号,确保Web应用程序以最少的特权运行,避免使用db_owner或sysadmin等账号运行,防止黑客进行更大的破坏性活动。

登录安全

留学人员登录采用用户名+密码+验证码的验证方式。

管理人员登录采用用户名+密码+加密锁的验证方式。管理人员要登录系统除了需要输入用户名和密码,还要插入对应的加密锁,才能登录成功。

所有用户的密码都经过MD5加密后保存到数据库中。

相关文档
最新文档