人口信息支撐體系的安全性范文
本站小編為你精心準備了人口信息支撐體系的安全性參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
1實施安全策略的必要性
信息之所以要保密,是因為它具有機密性或敏感性。在信息時代,隨著各種信息的劇增、社會通信的發展和計算機能力的進步,信息在產生、存儲、處理、傳遞和利用的各個環節中都有被竊取、被篡改或被利用的危險。因此,數據安全是進行系統設計時必須考慮的問題之一。對于人口基礎信息服務支撐系統來說,數據庫中存放大量人口數據和檔案信息,需要進行嚴密的保護,一旦數據被損壞,就會導致非常嚴重的后果。
2利用身份驗證進行數據保護
人口基礎信息服務支撐系統是一個Web管理系統,研究它的安全性,首先要解決一個問題:誰有權力進入系統通常的做法就是系統維護一張允許進入的用戶名單。當用戶要求進入的時候,系統判斷是否為合法用戶。于是問題就轉化為如何有效地判別一個用戶是否是系統的有效用戶,稱之為“身份驗證(Authentication)”過程。接受用戶憑證,并根據指定的頒發機構來驗證的過程稱為身份驗證。用戶(或者潛在的應用程序或計算機的)標識被稱為安全當事者。客戶端必須提供憑據,以便服務器驗證當事者的標識。確認標識后,應用程序就能授權當事者訪問系統資源。
和IIS(InternationalInformationService)一起為用戶提供驗證服務。有3種用戶驗證方式,即Windows驗證、窗體Forms驗證和Passport驗證。
2.1Windows身份驗證這種身份驗證提供程序依靠IIS來執行所需要的客戶端身份驗證。在IIS驗證客戶端身份后,它將安全標記傳遞給基于從IIS獲得的安全標記構造一個WindowsPrincipal類的對象,并將其附加到應用程序的上下文中。Windows身份驗證方案的優點是:身份驗證使用Windows賬戶,所以不需要編寫任何自定義的身份驗證代碼。確定是可能要求使用和管理單個Windows賬戶。因此Windows驗證只適用于放在受控環境里的網站,也就是說,使用Windows登錄適合于企業內網。在Internet上,網站無法控制用來訪問網站的瀏覽器或者客戶端的機器。
2.2Forms身份驗證Forms身份驗證提供程序是一個身份驗證方案,它使用應用程序可使用HTML窗體直接從客戶端收集憑據。客戶端直接向應用程序代碼提交憑據以進行身份驗證。如果應用程序驗證該客戶端的身份,則它向該客戶端發出一個Cookie.該客戶端在后面的請求中提交該Cookie.如果對于受保護資源的請求不包含該Cookie,則應用程序將該客戶重定向到登錄頁。當驗證憑據時,應用程序可以多種方法存儲憑據,如配置文件或SQLServer數據庫。Forms身份驗證方案的優點包括:允許使用任意條件自定義身份驗證方案;可用于身份驗證或身份確認;不需要相應的Windows帳戶。確定是受制于Cookie生存期的重放攻擊。因此Forms身份驗證特別適合布置于互聯網的應用。
2.3Passport身份驗證Passport身份驗證提供程序是一個由Microsoft提供的集中式身份驗證服務,它為成員站點提供一次登錄和核心配置文件的服務。當成員站點注冊到Passport時,Passport服務就授予一個站點特定的密鑰。Passport登錄服務器使用該密鑰加密和解密在成員站點和Passport登錄服務器之間傳遞的查詢字符串。Passport驗證方式適合于跨站之間的應用。
人口基礎信息服務支撐系統涉及的用戶包括系統管理員與系統普通用戶,因此客戶端不容易進行控制,所以不能采用Windows身份驗證,而采用Forms身份驗證。這種身份驗證過程允許應用程序直接從客戶端請求方收集憑據(例如用戶名和密碼),并自己確定這些憑據的真實性。由于在進行驗證以前首先進行IIS驗證,為了保證客戶端請求能夠達到應用程序,在實現自定義身份驗證方案時需要啟用IIS“匿名訪問”的設置。
3利用SQL本身進行安全保護
SQLServer本身具有的安全機制主要有:
3.1登錄驗證機制,也就是Windows認證模式、SQLServer身份驗證模式或者混合模式。
3.2角色機制,利用角色,系統管理員只需對權限的種類進行劃分,然后將不同的權限授予不同的角色,而不必關心有哪些具體的用戶,從而簡化了權限的管理,減少了權限的授予工作。
3.3許可機制,許可,也稱為特權、權限。合法用戶進入服務器和數據庫后,對數據對象進行的操作還要通過訪問許可機制來控制。系統把所有的操作根據用戶操作的性質創建成不同角色,利用角色來進行用戶訪問許可。如果某個用戶被賦予n個角色,就擁有這n個角色所擁有操作權限的并集。SQLServer中,可以通過SQL命令Grant和Revoke來授予和取消許可。具體實例不再詳細地描述。
3.4視圖機制,進行權限控制,不僅可以通過角色和許可來實現,還可以通過定義外模式來提供一定的安全保護。
3.5存儲過程機制,進行權限控制,不僅可以通過角色和許可來實現,還可以通過定義外模式來提供一定的安全保護。
3.6加密機制,對于高度敏感性數據,例如,財務數據、軍事數據、國家機密,除以上安全性措施外,還可以采用一定的加密算法,將明文轉換為密文,再實現數據的存儲或傳輸。
3.7審計機制,審計是監視和記錄用戶對數據庫施加的各種操作的機制,主要包括用戶、操作對象、操作時間、操作類型等。審計的結果存儲在數據庫的審計表中。審計本身并不能直接加強系統的安全性,但是通過審計我們可以了解到有關數據庫操作的詳細信息,并發現安全隱患,在損失之前就采取措施。
3.8修改sa密碼,因為SQLServer既不能修改sa賬戶的名稱,也不能刪除它,并且該賬號的密碼在默認情況下為空,所以我們必須對這個賬號的密碼進行修改,并且要求長度超過8位,還應該是數字和字母組成的高度復雜的密碼。
3.9數據庫的備份與恢復,備份和恢復是指為保護一個數據庫免于數據損失或者在發生數據損失后進行數據重新創建的各種策略、步驟和方法。在人口基礎信息服務支撐系統中,進行的主要是3.5存儲過程機制和3.9數據庫備份與恢復。對于數據庫的備份和恢復,已經將系統的數據庫設定在每天凌晨零點進行數據的自動備份。由于系統不需要具備很強的機密性,所以沒有選擇過多的SQL本身的數據保護機制。
