信息平台安全设计文档

《信息平台安全设计文档》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、信息管理平台安全设计信息平台基于INTERNET公网，各个业务单位和部门通过INTERNET访问信息平台来开展日常业务工作。由于互联网的广泛性、自由性等特点，基于INTERNET网络的系统较为容易受到恶意入侵者的攻击，留学信息平台系统同样如此。互联网的安全隐患主要表现在：外网越权访问、恶意攻击、恶意窃取数据、病毒入侵等方面。信息平台在软件方面的安全设计主要考虑了权限的管理、SQL防注入、登录安全等方面。权限信息平台为不同的系统角色分配不同的权限；并且信息平台分模块开发，实现功能访问的物理隔离。新建Filter过滤系统请求，判断访问的功能和

2、访问者的角色是否对应，保证所有的操作合法执行。SQL防注入管理平台考虑到SQL注入的危害，并采取如下措施防止SQL注入问题：1)前端页面提交请求时过滤特殊字符。在前端页面提交时，调用方法检查输入的数据，防止用户提交可能引起SQL注入的字符（如’,%=;等）；并检查输入数据大小，防止恶意输入大数据量字符影响信息平台性能。2)JAVA程序中构造动态SQL语句时，采用预编译语句集。当JAVA程序需要构造动态SQL访问数据库是，采用预编译语句集，因为它内置了处理SQL注入的能力，可以有效的防止注入。第2页，共2页3)采用调用存储过程的方式。利用数

3、据库存储过程传参防止SQL注入的特点，在系统实现时，根据需要把一些与数据库的交互通过存储过程实现。4)关键性数据在数据库里加密存放。将信息平台的关键数据（如密码等）加密存放到数据库。这样即使黑客获取了数据库的信息，也因无法解密而不能了解关键数据，减小危害。5)新建独立的防注入数据库帐号。新建独立的防注入数据库帐号，确保Web应用程序以最少的特权运行，避免使用db_owner或sysadmin等账号运行，防止黑客进行更大的破坏性活动。登录安全留学人员登录采用用户名+密码+验证码的验证方式。管理人员登录采用用户名+密码+加密锁的验证方式。管理

4、人员要登录系统除了需要输入用户名和密码，还要插入对应的加密锁，才能登录成功。所有用户的密码都经过MD5加密后保存到数据库中。第2页，共2页