您当前的位置:首页>论文资料>B∕S模式网络考试系统安全性分析与设计
内容简介
安全技术B/S模式网络考试系统安全性分析与设计
朱杰
(寰阳职业技术学院湖北寰阳441021)
数事我本与或用
摘要:B/S模式即测觉器/服务器模式,是目前网络考试系统中最常用的模式之一。而在线考试系统中所涉及到安全性,主要指的是服务器的安全性问题了。服务器的各种安全性隐患当中又属数据库的安全显得光为重要。一个网络考试平台系统,无论它的功能多么完善、操作体验多么人性化、界面多么美观假加数据库轻易就能被人非法进入或者是运行时轻易就会扇溃,部么这仍然不是一个成功的系统,基至不客气的说就是一个非常失败的系统,不具有实用份值的系统。针对达种情况,对本系统内的数据序进行保护和防御,不让本系统的数据泄漏或损坏,避免不合法使用该系统的情况出现达就需要保证系统的安全性
关键调:B/S模式身份验证访同控制自动组券
中图分类号:TP311
文献标识码:A
在本系统中,各种操作流程都是严格按照既定的标准执行的,例如普通的用户产即考生对考试界面以及个人资料只有读取和极少的写入的权限,而系统管理员级别的用户拥有最高的权限级别,他们可以在题库的维护和考场的安排上进行读取、写人以及索引检查的操作,他们不但可以输人新的数据源,还可以随时对考生的个人资料以及题库内的试题进行查询、增加、删除、修改等操作,
我们对系统数据库的安全性为什么如此重要已经有了一定程度的了解,那么,接下来所要做的工作就是怎样去做才能确保本系统的安全不被破坏,本文拟采用如下几种方法进行实现安全性的维护:
(1)部署网络版杀毒软件,以有效地退制病毒对办公电脑和服务器的攻击、破坏。本文拟采用瑞星杀毒软件网络版。
(2)建设存储和备份系统,要求数据存储空间达到60T,从而确保数据的安全稳定。
(3)在出口部署H3C硬件防火墙,只有这样做才能有效地阻止各种非法访间,以保证应用系统和网络的正常运行。
(4)安全机制要基于身份验证,目前网络上各种各样的假目攻击层出不穷,比如利用僵户机、假机作为直接攻击方等方式。在系统真正开始执行对数据的访问操作之前,必须要在服务器的数据库和客户端之间做身份比对,这是一个双向的过程。例如,数据库系统与服务器在做数据交换时,首先要做的一步就是通过数字证书来进行身份认证,这种认证方式目前也广泛地用于各大商业银行的网上交易平台之上。具体的操作流程是这样的:发送者使用一个私密密钥来对一个签名进行加密,而接收者只需要使用一个公开的密朗来执行解密,只有解密成功,才能确定信息来自于发送者,这个过程又称为鉴权,在此期间,很显然起关键作用的是密钥的生成技术以及鉴权的算法。网络通信的世界中,最为有名身份认证协议要属Kerberos 协议了,它本身是一种基于对称密码体制的双向身份验证协议,其执行流程为所有的私密密钥都由密钥管理中心来统一调配,在需要的时候各站点就从管理中心来申请,管理中心再根据申请站点和目标站点的对应关系来派发相应的私密密钥,使得它们之间可以进行较为安全的通信。
(5)数据访问控制策略要进一步完善。几乎所有的数据库管理系统中,任何用户对数据库的直接读写操作都是不被允许的,这是为防止所有可能发生的越权攻击行为。本课题中计划采用两种访问控制形式对用户进行限权。一是DAC(DiscretionaryAccess Control)即自主访问授权控制,在这种授权控制行为下由系统管理员来对ACL(访问控制列表进行设置,ACL中写人的规则限定了册些操作时用户可以做的,哪些是不能做的。二是强制访问间投权控制。
180
文章编号:1007-9416(2014)03-0180-01
这种访问授权控制需要先赋予数据库系统里的各个对象于不同的安全级别,再根据各个对象之间的安全级别关系来限定用户的操作权限。两种访问授权控制方式,不管采用一种,都遵循同一个规则,那就是想要访问权限更细,数据对象的粒度就要更小。但是这样也会使数据库系统的开销变得越来越大,造成严重的负担。针对这问题,通过对数据库系统的安全性分析和研究相关文献资料发现,在同一个系统中其实有很多的用户对象是拥有相同或相似的访间控制权限的,于是我们想到,根据系统的这种特性来定义另一个概念:角色属性,所谓属性在本系统中可以理解为权限的另一种表述。
(6)脚本语言等恶意代码的防范,恶意代码不同于网络病毒,虽然它的破坏力和对系统造成的损害没有病毒和木马程序那么大,但对系统的稳定运行而言依然是必须根除的隐患,网络考试平台系统特别要注意防范这一类的安全性间题,所以相关的系统安全设置是必须的,有一类安全漏洞对于系统管理员来讲是很常见的,那就是系统中的复制功能。客户端的用户可以通过鼠标的右键来查看相关页面的属性,从而获取系统的部分源代码,这对于服务器的安全稳定是非常有害的,所以必须通过相关手段禁止使用鼠标右键。
采用JavaScript脚本语言来取消右键功能并通过伪静态技术险藏源代码的示例如下:
document.nocontextmenu=nocontextmenu
保证系统的安全稳定运行是一切工作的基础,因此全方位、多角度的考虑才是对用户、对自已负责的态度,文中提到的防护手段只是基于当前可能出现的安全问题而设计的,不断地思索和改进是不能停止的工作。