高校党务信息管理系统开发中的安全性应用研究

戴香木

摘 要：基于B/S架构模式的应用管理系统给人们的工作带来了方便，改变了传统的工作方式，但由于本架构模式技术实现方面存在的缺陷，致使安全性问题成为这类系统的研究热点，文章从源代码、后台数据库的安全性在高校党务信息管理系统的设计开发进行应用研究，提出了相应的处理策略。

关键词：系统安全；加密；用户权限

党务管理工作是我党目前常抓不懈的中心工作之一，为了提高高校党务管理工作的效率和水平，提高党务信息公开化程度，设计开发与使用党务信息管理系统十分必要。

1 党务信息管理系统现状分析

目前，一些高校的党务信息管理仍处于半手工、半信息化状态，党组织、党员之间的信息传递与沟通采用报送纸质文件、电话、传真或发送Email等方式，降低了传递信息的时效性，党务信息公开也不能彻底落实；前几年有些高校已经采用了单机版的党务信息管理系统，只不过是手工党务管理工作的电子文档化，反而使党务管理工作显得更加繁琐，增加了党务管理工作人员的劳动强度，因此，近几年来有一些高校开发使用了基于B/S架构的党务信息管理系统，这在一定程度上提高了党务管理工作的效率，提高了党务信息传递的时效性，也大大提高了党务信息公开的程度与渠道，但基于B/S架构的系统数据安全性较差，用户可以在浏览器端多次偿试进入系统后台，进行党务机密数据的窥探，因此B/S架构的系统的便捷性、易操作性较好，是目前党务管理信息系统开发的主流，但是其安全性是目前需要考虑的主要问题。

2 党务信息管理系统安全需求分析

由于基于B/S架构模式系统自身开发技术存在的问题，因此在开发党务信息管理系统时需要考虑以下几个方面的安全问题。

2.1 考虑源代码的加密问题

由于在浏览器端可以通过页面文字查看到一些源程序代码，而通过这些源代码程序就可以查看到一些党务数据信息，这样对于机密的党务信息来说就没有安全性而言，可能造成机密数据的泄漏，因此设计与实现系统时一定要考虑到源代码的保密性、安全性问题。

2.2 系统后台数据的保密问题

对于基于B/S架构的信息管理系统的后台数据安全问题，是开发这种架构模式的系统时必须考虑的，后台数据库不是每一个浏览用户都能看到的，应该用用户权限进行一些限制，对于普通浏览用户可以浏览一些普通党务公开信息，对于拥有某些功能模块查看权限的用户可以浏览相关功能模块涉及到的后台数据，但不能进行修改；拥有某些功能编辑权限的用户可以进入相应功能进行后台数据的编辑操作，总之，要利用用户权限进行控制管理，从而保证系统后台数据的安全性。

3 系统安全性解决策略研究与应用

3.1 源代码安全处理策略

为了保证源代码对后台数据操作的安全性，在党务信息管理系统设计实现过程中采用了以下处理策略。

3.1.1 注意使用脚本语言的安全性

考虑到B/S架构系统中服务器端脚本语言的安全性，选择使用安全性高的脚本语言，从而避免在浏览器端通过页面文字获取后台数据信息。

在目前开发Web页面的脚本语言中，.NET开发语言环境相对来说安全性较高，因此在开发党务管理信息系统时采用C#和JavaScript来进行，避免在浏览器端看到源程序代码，因为这些源程序代码是在服务端解释的，增强了数据的安全性。

3.1.2 利用中间页面技术保证数据库数据的安全性

在B/S架构系统的前端和后台程序设计时，增加中间页面，用于接收前端输入的验证数据信息，同时由中间页面对后台数据库进行操作，使操作的结果不在前端显示，保证了数据操作的安全性。

3.1.3 前端页面进行用户验证设置

在前端页面设计时，每一页面都利用Session等对象验证是否是登录用户访问，若不是则禁止访问该页面，这样就保证了访问每一页面的浏览者都具有合法用户登录身份。

3.1.4 设置系统日志管理功能

设置系统日志，用于管理登录、访问系统的有关信息，这是B/S架构应用系统安全性的有力保证，系统管理员可利用系统日志掌握系统的有关访问操作性质，从而协助系统维护人员做好系统防范、抵御措施。

设置系统日志管理功能的方法有多种，但实现方法简单、实用的方法是将登录、访问系统的信息存入一个记事本文件，这种方法消耗的系统资源最少。具体实现操作如下。

在应用系统一级文件夹下建立Global.asax文件，然后利用该文件的Session_OnStart（）函数与Session_OnEnd（）函数将登录访问系统的用户名、登录日期与时间、登录系统的IP地址、访问操作的功能模块等信息进行管理，记录到系统日志文件中，以实现系统日志的维护，另外，在Global.asax文件中编写以下语句：

<%@ import namespace= "system.io" %>

sub session_onstart（sender as object， e as eventargs） //用户登录时触发的事件

sw=new streamwriter（server.mappath（"log.txt"），true，encoding.default） //记录用户IP地址

session（"IP"）= request.servervariables（"REMOTE_ADDR"） sw.writeline（now（） & "User" & session（"IP"） & "Enter"）

sw.close

end sub

sub session_onend（sender as object，e as eventargs） //超时或close browse时触发的事件

sw=new streamwriter（server.mappath（"log.txt "），true，encoding.default）

sw.writeline（now（） & " User " &Session（"IP"） & "exit"）

sw.close

end sub

3.2 系统后台数据的保密处理策略

为保证后台数据不被非法用户访问，采用用户权限管理策略进行管理，使用角色访问控制机制，注意用户、角色、权限、功能模块之间的对应设置问题，它们之间的关系如图所示。

通过用户权限设置，使具有相应权限的用户才能访问相应的功能模块，这样就有效地控制了用户对后台数据的操作，不具备权限的用户看不到后台数据，数据的安全性得到保证。

4 结束语

总之，通过上述安全策略处理后，在保证系统功能顺畅使用的同时，B/S架构系统的安全机制明显得到提升。

参考文献

[1]黄晓艺.党员信息管理系统的设计与实现[J].济南：科技信息，2011（20）：243-245.

[2]黄小花.党务管理系统的设计与实现[J].武汉：软件导刊，2010（10）：119-120.