首页 > OA系统

基于 SQLServer的高校 OA系统数据库安全技术

  • 手机审批
  • 工作评价
  • 办公流程
  • 工作管理
  • 文档留痕
  • 反馈提醒
  • 工作日报
  • 绩效考核

2018-05-16 15:45:23

1 引言

随着社会信息化建设的迅猛发展, 高等教育信 息化管理也在同时稳步推进 ,越来越多的高校在实 际管理中推行了 OA系统 。高校 OA系统是以现代 通信网络为平台的分布式软件系统 ,是数字化校园 建设的重要组成部分 , 与传统的管理模式相比 , 更 强调以人为本,提高管理效率和服务质量 [ 1] 。众所 周知, 高校 OA系统是一个数据密集型应用系统 , 其后台数据库中存储了大量的重要信息, 如果丢失 或被恶意篡改, 后果不堪设想, 因此该论文对基于 SQLServer的高校 OA系统数据库安全技术进行了 相关研究, 目的在于为其构建一种安全的防御体 系 ,保证该系统数据库的安全。

2 高校 OA系统功能简介及其数据 库系统面临的安全问题

2.1 高校 OA系统功能简介



该论文以天津机电职业技术学院 OA系统为 研究对象 ,该学院 OA系统功能如图 1所示 。 图 1 系统功能模块结构图 从图 1 中可以看出, 该学院 OA系统由人事管 理 、公用信息、日常办公、 公文管理、电子邮件 、考勤 管理、系统管理七大模块 组成, 该系统的实施能满 足校 领 导 高 效 率 完 成 各 项 工 作 的 需 求 ,为部门间协同工作提供了保证, 提高了学院的办公效率,推进了学院无纸化办公的进程 。其中该 学院 OA系统采用 MSSQLServer2005 来存储和管 理数据 。

2.2 高校 OA系统数据库面临的安全问题

数据库安全是指保护数据库以防止非法用户 越权使用、窃取 、更改或破坏数据 [ 2] 。该论文所研 究的 OA系统数据库主要面临以下几个安全问题 :

1)用户越权或非法访问数据库的问题 , 数据 库应该进行访问控制 ,让每个有权限的用户正常使 用数据库中的数据 , 不得越权使用数据 , 同时还要 拒绝为非法连接的用户提供任何数据 。

2)非法用户成功入侵数据库后非法获取 、篡 改 OA系统的重要数据 (如职工密码、身份证号码 等 )的问题, 数据库应该对一些敏感数据进行加密 处理,即使某一用户非法入侵到系统中或者盗得数 据存储介质 ,没有相应的解密密钥 , 他仍然不能得 到所需数据 ,也无法篡改。

3)因系统故障而导致的数据失效或因非法入 侵者故意删除数据库数据的问题, 数据库应该经常 进行数据库备份 ,以弥补数据丢失造成的重大损失。

3 高校 OA系统数据库安全技术研究

3.1 身份认证技术

在开放共享的多用户系统环境下, 数据库系统 必须要求用户进行身份认证 ,目的是识别系统授权 的合法用户 、防止非法用户访问数据库 。现在一般 的系统都是采用用户名 +密码的身份确认方式, 这 种方式在网上身份盗窃和在线欺诈日益猖撅的今 天已变得极不安全,该论文本着安全、易用 、实用的 原则, 结合 SQLServer的身份验证方式, 在“用户名 +密码 ”的模式上加以改进。高校 OA系统涉及的 人员众多,有系统管理员、校领导 、部门领导 、普通 教职工等,其中系统管理员拥有本系统最高权限 , 系统管理员通过校领导 、部门领导 、普通教职工角 色依次给每个领导和教职工分配权限, 因此根据上 述特点 ,给高校 OA系统登录人员大致分为二类 : 系统管理员 、教职工 (包括领导和普通职工 ), 根据 系统的特点对这两类人员分别设计适合他们的身 份认证方案 。 1)针对系统管理员的双重身份认证方案的设计 系统管理员拥有高校 OA系统所有权限, 因此 对于这类用户需要进行强身份认证 ,可采用口令认 证和数字签名认证两种方式对用户的身份进行双 重认证的身份验证方案 , 其认证过程是 :用户用自 己的私钥对密码进行加密,然后将用户名的明文和 密码的密文传送到高校 OA系统服务器进行验证, 服务器端用户的公钥将密文解密 ,成功则表明信息 是该用户发送过来的, 实现了数字签名认证, 然后 再比较解密后的密码与数据库中存储的密码 (用 MD5加密后的密文 )的本质是否相同, 相同则表明 口令正确 ,实现了口令认证 ,只有这两种方式的认 证都通过的用户才是系统的合法用户 。 2)针对教职工的双重身份认证方案的设计 高校 OA系统的教职工如果采用与系统管理 员一样的认证方案 ,则需要为每一位教职工都分配 一对密钥 ,这样不仅高校 OA系统存储和管理他们 的公钥十分困难, 教职工保管自己的私钥也不方 便, 也会影响高校 OA系统的整体性能。为了减少 不必要的系统开销, 保证高校 OA系统的性能需 求, 教职工的身份认证方案可采用 Hash签名认证。 Hash签名也称数字摘要法或数字指纹法, 它并不 是一种加密机制, 但却能产生信息的数字 “指纹 ”, 由于 “指纹”是唯一的 ,因此 Hash签名提供了数据 的完整性和认证。该算法不使用加密密钥, 这样就 消除了密钥管理问题。其主要缺点是不支持解密, 但是在某些情况下 ,这个问题反倒能防止攻击者对 用户口令的猜测 [ 3] 。因此 , Hash签名认证作为高 校 OA系统数量最大的教职工的身份认证方案是 经济可行的。

3.2 基于角色的访问控制技术

基于角色的存取控制 (RBAC)的核心思想是 将权限、用户和角色相关联 ,用户被当作相应角色 的成员而获得角色的权限 。角色实际上是访问权 的集合,是系统根据实际业务活动中人员职责的不 同对用户进行的分类 。一个用户可以成为很多角 色的成员 ,一个角色可以有许多用户。类似地, 一 个角色可以有多个权限 ,同一个权限可以被指派给 多个角色 。当用户被赋予一个角色时 ,用户具有这 个角色所包含的所有访问权 。这样, 定义系统安全 管理策略的任务就变成:根据实际业务情况, 确定 各类人员的角色 (职责 ), 定义每个角色享有的权 限, 再对每个用户指定其担当的角色, 从而使每个 用户都以某一角色参与系统操作 ,这大大简化了权 限的管理 ,具有强大的可操作性和可管理性 [ 4] 。 结合基于角色的访问控制的思想 ,该论文根据 高校 OA系统业务内容 、履行职责的不同对登录的 用户进行角色的划分,分别是系统管理员, 校领导, 部门领导 , 普通教职工 , 系统管理员拥有高校 OA 108 怀艾芹等:基于 SQLServer的高校 OA系统数据库安全技术研究系统最高权限,由系统管理员给校领导 ,部门领导 , 普通教职工等角色按照职责的不同分配合适的权限 。