基于网络无记名投票系统的安全设计和部署
2017-04-02朱忠军张晓
朱忠军,张晓
(陕西工业职业技术学院,陕西咸阳712000)
基于网络无记名投票系统的安全设计和部署
朱忠军,张晓
(陕西工业职业技术学院,陕西咸阳712000)
随着互联网技术的发展,网络安全问题越来越受到人们重视。文章就部门内部网站的安全设计和部署进行了研究和探讨,并就Web系统中的安全漏洞提出了解决途径或方法。
安全漏洞;安全;设计前言
现在各类企业和事业单位都搭建了自己的内部网络办公业务平台,例如:单位网站系统、工资发放系统和年终考核系统等。因为访问用户主要是内部员工,所以在系统设计时人们主要考虑系统功能和部门的工作习惯,对安全设计和安全部署等问题往往考虑少。导致内部信息失窃或服务器遭到恶意攻击等情况时有发生。近几年来,个人信息被盗导致的诈骗案频发和2017年的勒索病毒爆发,再次给我们敲响了信息安全的警钟。
文章就近期作者参与开发的无记名投票系统为例从安全设计和安全部署等方面的问题进行了分析。具体要从以下3个方面考虑。
1 无记名投票系统设计问题
角色权限设计,在系统设计和规划时角色权限要规划清晰、明确,各个角色之间权限不能重叠。同一角色不同的用户(用户名不同)权限也要理清。
(1)系统管理员权限:创建并设定参与投票的部门和人数,利用WEB系统功能随机生成参与投票的用户名和密码,并将用户名和密码下发给相关人员;负责导出投票结果,保存历史测评信息;不具有对参与投票用户信息修改的权限,但可删除用户信息;可创建、删除信息上传员账户信息,但不可修改信息上传员的相应信息。
(2)信息上传员权限:可以对自己个人信息进行更改的权限;具有上传和管理被投票部门的总结报告的权限;具有上传和管理被投票人员的个人信息及总结报告等信息的权限;
(3)投票用户的权限:具有对个人(自身)信息进行更改的权限;可对被投票部门和被投票人员进行投票打分。
2 数据库安全问题
数据库中保存的数据无疑是系统核心,是信息安全最主要的部分。根据数据库自身特性对数据库安全方面要考虑如下问题:
(1)将Web服务器和数据库进分别部署在不同服务器上;
(2)防止SQL注入攻击。需要对Web程序中脚本进行审查,过滤掉一些类似"’/<>%;&+()@”等字符,以防止未经授权登录;
(3)对于SQLServer数据库,给sa用户设定长度超过9位的密码;
(4)对数据库中的所有信息进行md5加密,对数据库字段名称也不要使用明文信息,例如姓名,学历,部门等;
(5)删除数据库中不必要的扩展服务;
(6)当数据库查询,修改等出错时,要确保Web服务器给返回一个自定义错误页。可以有效避免攻击者从返回SQL错误中获取数据库的信息,从而利用这一信息进行攻击。
3 强化服务器的安全
(1)强化操作系统的安全。①采用WindowsServer或Linux等较新专业服务器操作系统。②操作系统要及时安装漏洞补丁。对于已经暴露出的漏洞要及时打上补丁,避免被攻击者再次利用,增强服务器安全性。③所有的账号都需要设置为安全密码,多使用一些特殊符号等,必须避免使用规则性单词和昵称等;把不必要的操作系统账户进行删除,并关闭不需要的系统服务;④变更默认管理员账号,并利用Administrator账户创建一个欺骗陷阱账户,强化非法入侵时破解账户密码的难度;⑤安装防火墙和杀毒软件,并及时地进行更新;⑥打开系统事件日志,经常查看和分析系统日志,并有针对性地实施维护。
(2)强化Web服务器软件安全。搭建WEB服务器使用的IIS和Apache软件,也存在安全漏洞,容易受到攻击和利用。以下主要讨论IIS8.0以上版本的主要漏洞:①可以建议访问用户升级到最新浏览器,禁用SSL版本3.0。预防攻击者利用“贵宾犬”漏洞,该攻击可拦截用户浏览器和HTTPS站点的流量,从而窃取用户的敏感信息,如用户认证的账号信息、cookies信息等。②目录遍历。通过对任意目录附加“../”,或者是附加“../”的一些变形,如“..”或“..//”甚至其编码,都可能导致目录遍历。③缓冲区溢出。缓冲区溢出漏洞是由于Web服务器没有对用户提交的超长请求进行合适的处理。该漏洞可以导致系统死机、计算机重新启动和程序运行失败等后果。更为严重的是,攻击者可以利用它执行非授权指令,进而进行各种非法操作。④解析漏洞。攻击者可利用特定的Web服务器软件对文件解析的错误植入木马或展开攻击,如:Apache服务器会将*.php.*1.*2.*3解析为PHP文件。
随着互联网技术和社会结合的越来越紧密,人们对信息安全的要求也越来越关注和重视,文章就以网络无记名投票系统的安全设计和部署为例,就安全方面存在的问题从系统设计、强化数据库安全和强化服务器安全等方面进行了分析和探讨。
[1]朱忠军.基于网络的高校干部和部门匿名测评系统的设计与实现[J].电子技术与软件工程,2014,(10):48-49.
2015年陕西省教育厅专项科学研究项目(15JK1056):“基于网络的无记名评分系统的设计与实现”。
朱忠军(1969-),男,陕西人,大学本科,硕士,教授,主要研究方向:软件技术。
