朱忠軍，張曉

（陜西工業(yè)職業(yè)技術學院，陜西咸陽712000）

基于網絡無記名投票系統的安全設計和部署

朱忠軍，張曉

（陜西工業(yè)職業(yè)技術學院，陜西咸陽712000）

隨著互聯網技術的發(fā)展，網絡安全問題越來越受到人們重視。文章就部門內部網站的安全設計和部署進行了研究和探討，并就Web系統中的安全漏洞提出了解決途徑或方法。

安全漏洞；安全；設計前言

現在各類企業(yè)和事業(yè)單位都搭建了自己的內部網絡辦公業(yè)務平臺，例如：單位網站系統、工資發(fā)放系統和年終考核系統等。因為訪問用戶主要是內部員工，所以在系統設計時人們主要考慮系統功能和部門的工作習慣，對安全設計和安全部署等問題往往考慮少。導致內部信息失竊或服務器遭到惡意攻擊等情況時有發(fā)生。近幾年來，個人信息被盜導致的詐騙案頻發(fā)和2017年的勒索病毒爆發(fā)，再次給我們敲響了信息安全的警鐘。

文章就近期作者參與開發(fā)的無記名投票系統為例從安全設計和安全部署等方面的問題進行了分析。具體要從以下3個方面考慮。

1 無記名投票系統設計問題

角色權限設計,在系統設計和規(guī)劃時角色權限要規(guī)劃清晰、明確，各個角色之間權限不能重疊。同一角色不同的用戶（用戶名不同）權限也要理清。

（1）系統管理員權限：創(chuàng)建并設定參與投票的部門和人數，利用WEB系統功能隨機生成參與投票的用戶名和密碼，并將用戶名和密碼下發(fā)給相關人員；負責導出投票結果，保存歷史測評信息；不具有對參與投票用戶信息修改的權限，但可刪除用戶信息；可創(chuàng)建、刪除信息上傳員賬戶信息，但不可修改信息上傳員的相應信息。

（2）信息上傳員權限：可以對自己個人信息進行更改的權限；具有上傳和管理被投票部門的總結報告的權限；具有上傳和管理被投票人員的個人信息及總結報告等信息的權限；

（3）投票用戶的權限：具有對個人（自身）信息進行更改的權限；可對被投票部門和被投票人員進行投票打分。

2 數據庫安全問題

數據庫中保存的數據無疑是系統核心，是信息安全最主要的部分。根據數據庫自身特性對數據庫安全方面要考慮如下問題：

（1）將Web服務器和數據庫進分別部署在不同服務器上；

（2）防止SQL注入攻擊。需要對Web程序中腳本進行審查，過濾掉一些類似"’/＜＞%;&+（）@”等字符，以防止未經授權登錄；

（3）對于SQLServer數據庫，給sa用戶設定長度超過9位的密碼；

（4）對數據庫中的所有信息進行md5加密，對數據庫字段名稱也不要使用明文信息，例如姓名，學歷，部門等；

（5）刪除數據庫中不必要的擴展服務；

（6）當數據庫查詢，修改等出錯時,要確保Web服務器給返回一個自定義錯誤頁?？梢杂行П苊夤粽邚姆祷豐QL錯誤中獲取數據庫的信息，從而利用這一信息進行攻擊。

3 強化服務器的安全

（1）強化操作系統的安全。①采用WindowsServer或Linux等較新專業(yè)服務器操作系統。②操作系統要及時安裝漏洞補丁。對于已經暴露出的漏洞要及時打上補丁，避免被攻擊者再次利用，增強服務器安全性。③所有的賬號都需要設置為安全密碼，多使用一些特殊符號等，必須避免使用規(guī)則性單詞和昵稱等；把不必要的操作系統賬戶進行刪除，并關閉不需要的系統服務；④變更默認管理員賬號，并利用Administrator賬戶創(chuàng)建一個欺騙陷阱賬戶,強化非法入侵時破解賬戶密碼的難度；⑤安裝防火墻和殺毒軟件，并及時地進行更新；⑥打開系統事件日志，經常查看和分析系統日志，并有針對性地實施維護。

（2）強化Web服務器軟件安全。搭建WEB服務器使用的IIS和Apache軟件，也存在安全漏洞，容易受到攻擊和利用。以下主要討論IIS8.0以上版本的主要漏洞：①可以建議訪問用戶升級到最新瀏覽器，禁用SSL版本3.0。預防攻擊者利用“貴賓犬”漏洞，該攻擊可攔截用戶瀏覽器和HTTPS站點的流量，從而竊取用戶的敏感信息，如用戶認證的賬號信息、cookies信息等。②目錄遍歷。通過對任意目錄附加“../”，或者是附加“../”的一些變形，如“..”或“..//”甚至其編碼，都可能導致目錄遍歷。③緩沖區(qū)溢出。緩沖區(qū)溢出漏洞是由于Web服務器沒有對用戶提交的超長請求進行合適的處理。該漏洞可以導致系統死機、計算機重新啟動和程序運行失敗等后果。更為嚴重的是，攻擊者可以利用它執(zhí)行非授權指令，進而進行各種非法操作。④解析漏洞。攻擊者可利用特定的Web服務器軟件對文件解析的錯誤植入木馬或展開攻擊，如：Apache服務器會將*.php.*1.*2.*3解析為PHP文件。

隨著互聯網技術和社會結合的越來越緊密，人們對信息安全的要求也越來越關注和重視，文章就以網絡無記名投票系統的安全設計和部署為例，就安全方面存在的問題從系統設計、強化數據庫安全和強化服務器安全等方面進行了分析和探討。

［1］朱忠軍.基于網絡的高校干部和部門匿名測評系統的設計與實現［J］.電子技術與軟件工程，2014，（10）：48-49.

2015年陜西省教育廳專項科學研究項目（15JK1056）：“基于網絡的無記名評分系統的設計與實現”。

朱忠軍（1969-），男，陜西人，大學本科，碩士，教授，主要研究方向：軟件技術。