欢迎来到天天文库
浏览记录
ID:6783935
大小:31.00 KB
页数:2页
时间:2018-01-25
《信息平台安全设计文档》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息管理平台安全设计信息平台基于INTERNET公网,各个业务单位和部门通过INTERNET访问信息平台来开展日常业务工作。由于互联网的广泛性、自由性等特点,基于INTERNET网络的系统较为容易受到恶意入侵者的攻击,留学信息平台系统同样如此。互联网的安全隐患主要表现在:外网越权访问、恶意攻击、恶意窃取数据、病毒入侵等方面。信息平台在软件方面的安全设计主要考虑了权限的管理、SQL防注入、登录安全等方面。权限信息平台为不同的系统角色分配不同的权限;并且信息平台分模块开发,实现功能访问的物理隔离。新建Filter过滤系统请求,判断访问的功能和
2、访问者的角色是否对应,保证所有的操作合法执行。SQL防注入管理平台考虑到SQL注入的危害,并采取如下措施防止SQL注入问题:1)前端页面提交请求时过滤特殊字符。在前端页面提交时,调用方法检查输入的数据,防止用户提交可能引起SQL注入的字符(如’,%=;等);并检查输入数据大小,防止恶意输入大数据量字符影响信息平台性能。2)JAVA程序中构造动态SQL语句时,采用预编译语句集。当JAVA程序需要构造动态SQL访问数据库是,采用预编译语句集,因为它内置了处理SQL注入的能力,可以有效的防止注入。第2页,共2页3)采用调用存储过程的方式。利用数
3、据库存储过程传参防止SQL注入的特点,在系统实现时,根据需要把一些与数据库的交互通过存储过程实现。4)关键性数据在数据库里加密存放。将信息平台的关键数据(如密码等)加密存放到数据库。这样即使黑客获取了数据库的信息,也因无法解密而不能了解关键数据,减小危害。5)新建独立的防注入数据库帐号。新建独立的防注入数据库帐号,确保Web应用程序以最少的特权运行,避免使用db_owner或sysadmin等账号运行,防止黑客进行更大的破坏性活动。登录安全留学人员登录采用用户名+密码+验证码的验证方式。管理人员登录采用用户名+密码+加密锁的验证方式。管理
4、人员要登录系统除了需要输入用户名和密码,还要插入对应的加密锁,才能登录成功。所有用户的密码都经过MD5加密后保存到数据库中。第2页,共2页
此文档下载收益归作者所有