高校黨務信息管理系統開發中的安全性應用研究

戴香木

摘 要：基于B/S架構模式的應用管理系統給人們的工作帶來了方便，改變了傳統的工作方式，但由于本架構模式技術實現方面存在的缺陷，致使安全性問題成為這類系統的研究熱點，文章從源代碼、后臺數據庫的安全性在高校黨務信息管理系統的設計開發進行應用研究，提出了相應的處理策略。

關鍵詞：系統安全；加密；用戶權限

黨務管理工作是我黨目前常抓不懈的中心工作之一，為了提高高校黨務管理工作的效率和水平，提高黨務信息公開化程度，設計開發與使用黨務信息管理系統十分必要。

1 黨務信息管理系統現狀分析

目前，一些高校的黨務信息管理仍處于半手工、半信息化狀態，黨組織、黨員之間的信息傳遞與溝通采用報送紙質文件、電話、傳真或發送Email等方式，降低了傳遞信息的時效性，黨務信息公開也不能徹底落實；前幾年有些高校已經采用了單機版的黨務信息管理系統，只不過是手工黨務管理工作的電子文檔化，反而使黨務管理工作顯得更加繁瑣，增加了黨務管理工作人員的勞動強度，因此，近幾年來有一些高校開發使用了基于B/S架構的黨務信息管理系統，這在一定程度上提高了黨務管理工作的效率，提高了黨務信息傳遞的時效性，也大大提高了黨務信息公開的程度與渠道，但基于B/S架構的系統數據安全性較差，用戶可以在瀏覽器端多次償試進入系統后臺，進行黨務機密數據的窺探，因此B/S架構的系統的便捷性、易操作性較好，是目前黨務管理信息系統開發的主流，但是其安全性是目前需要考慮的主要問題。

2 黨務信息管理系統安全需求分析

由于基于B/S架構模式系統自身開發技術存在的問題，因此在開發黨務信息管理系統時需要考慮以下幾個方面的安全問題。

2.1 考慮源代碼的加密問題

由于在瀏覽器端可以通過頁面文字查看到一些源程序代碼，而通過這些源代碼程序就可以查看到一些黨務數據信息，這樣對于機密的黨務信息來說就沒有安全性而言，可能造成機密數據的泄漏，因此設計與實現系統時一定要考慮到源代碼的保密性、安全性問題。

2.2 系統后臺數據的保密問題

對于基于B/S架構的信息管理系統的后臺數據安全問題，是開發這種架構模式的系統時必須考慮的，后臺數據庫不是每一個瀏覽用戶都能看到的，應該用用戶權限進行一些限制，對于普通瀏覽用戶可以瀏覽一些普通黨務公開信息，對于擁有某些功能模塊查看權限的用戶可以瀏覽相關功能模塊涉及到的后臺數據，但不能進行修改；擁有某些功能編輯權限的用戶可以進入相應功能進行后臺數據的編輯操作，總之，要利用用戶權限進行控制管理，從而保證系統后臺數據的安全性。

3 系統安全性解決策略研究與應用

3.1 源代碼安全處理策略

為了保證源代碼對后臺數據操作的安全性，在黨務信息管理系統設計實現過程中采用了以下處理策略。

3.1.1 注意使用腳本語言的安全性

考慮到B/S架構系統中服務器端腳本語言的安全性，選擇使用安全性高的腳本語言，從而避免在瀏覽器端通過頁面文字獲取后臺數據信息。

在目前開發Web頁面的腳本語言中，.NET開發語言環境相對來說安全性較高，因此在開發黨務管理信息系統時采用C#和JavaScript來進行，避免在瀏覽器端看到源程序代碼，因為這些源程序代碼是在服務端解釋的，增強了數據的安全性。

3.1.2 利用中間頁面技術保證數據庫數據的安全性

在B/S架構系統的前端和后臺程序設計時，增加中間頁面，用于接收前端輸入的驗證數據信息，同時由中間頁面對后臺數據庫進行操作，使操作的結果不在前端顯示，保證了數據操作的安全性。

3.1.3 前端頁面進行用戶驗證設置

在前端頁面設計時，每一頁面都利用Session等對象驗證是否是登錄用戶訪問，若不是則禁止訪問該頁面，這樣就保證了訪問每一頁面的瀏覽者都具有合法用戶登錄身份。

3.1.4 設置系統日志管理功能

設置系統日志，用于管理登錄、訪問系統的有關信息，這是B/S架構應用系統安全性的有力保證，系統管理員可利用系統日志掌握系統的有關訪問操作性質，從而協助系統維護人員做好系統防范、抵御措施。

設置系統日志管理功能的方法有多種，但實現方法簡單、實用的方法是將登錄、訪問系統的信息存入一個記事本文件，這種方法消耗的系統資源最少。具體實現操作如下。

在應用系統一級文件夾下建立Global.asax文件，然后利用該文件的Session_OnStart（）函數與Session_OnEnd（）函數將登錄訪問系統的用戶名、登錄日期與時間、登錄系統的IP地址、訪問操作的功能模塊等信息進行管理，記錄到系統日志文件中，以實現系統日志的維護，另外，在Global.asax文件中編寫以下語句：

<%@ import namespace= "system.io" %>

sub session_onstart（sender as object， e as eventargs） //用戶登錄時觸發的事件

sw=new streamwriter（server.mappath（"log.txt"），true，encoding.default） //記錄用戶IP地址

session（"IP"）= request.servervariables（"REMOTE_ADDR"） sw.writeline（now（） & "User" & session（"IP"） & "Enter"）

sw.close

end sub

sub session_onend（sender as object，e as eventargs） //超時或close browse時觸發的事件

sw=new streamwriter（server.mappath（"log.txt "），true，encoding.default）

sw.writeline（now（） & " User " &Session（"IP"） & "exit"）

sw.close

end sub

3.2 系統后臺數據的保密處理策略

為保證后臺數據不被非法用戶訪問，采用用戶權限管理策略進行管理，使用角色訪問控制機制，注意用戶、角色、權限、功能模塊之間的對應設置問題，它們之間的關系如圖所示。

通過用戶權限設置，使具有相應權限的用戶才能訪問相應的功能模塊，這樣就有效地控制了用戶對后臺數據的操作，不具備權限的用戶看不到后臺數據，數據的安全性得到保證。

4 結束語

總之，通過上述安全策略處理后，在保證系統功能順暢使用的同時，B/S架構系統的安全機制明顯得到提升。

參考文獻

[1]黃曉藝.黨員信息管理系統的設計與實現[J].濟南：科技信息，2011（20）：243-245.

[2]黃小花.黨務管理系統的設計與實現[J].武漢：軟件導刊，2010（10）：119-120.