摘要：隨著現(xiàn)代社會(huì)的不斷發(fā)展，計(jì)算機(jī)技術(shù)也得到了不斷的提高，越來(lái)越多的企業(yè)建立了基于web的管理信息系統(tǒng)。web管理信息系統(tǒng)具有很多優(yōu)點(diǎn)，例如：目前企業(yè)內(nèi)部的數(shù)據(jù)量都非常大，傳統(tǒng)的管理模式已不能滿足企業(yè)需求，而使用基于web的管理信息系統(tǒng)進(jìn)行管理，就可以輕松實(shí)現(xiàn)信息的自動(dòng)獲取、安全處理和存儲(chǔ)等功能，有利于提高企業(yè)的工作效率。當(dāng)然在開(kāi)發(fā)過(guò)程中，因?yàn)楦鞣N設(shè)計(jì)缺陷，以及缺乏必要的軟件工具和安全技術(shù)等，基于web的信息系統(tǒng)也容易感染病毒、被植入木馬程序，或者受到黑客的攻擊，引發(fā)更多的安全性問(wèn)題。所以如何安全的使用web管理信息系統(tǒng)，避免企業(yè)信息被盜，是現(xiàn)在非常重要的話題。本文通過(guò)對(duì)web管理信息系統(tǒng)安全性設(shè)計(jì)進(jìn)行研究和分析，并提出一些建議，希望能夠?yàn)槠髽I(yè)帶來(lái)一些參考和借鑒。

關(guān)鍵詞：web管理信息;系統(tǒng)安全性;設(shè)計(jì)

隨著信息時(shí)代的不斷發(fā)展，企業(yè)對(duì)信息系統(tǒng)安全問(wèn)題越來(lái)越重視，如何提高系統(tǒng)安全性和可靠性是目前計(jì)算機(jī)管理面臨的一個(gè)重要課題。近些年來(lái)，隨著Internet技術(shù)和企業(yè)應(yīng)用的不斷發(fā)展，越來(lái)越多的企業(yè)選擇了建立一種基于web的管理信息系統(tǒng)，通過(guò)這種管理信息系統(tǒng)來(lái)提高企業(yè)的工作效率。web管理信息系統(tǒng)是指搭建在瀏覽器/服務(wù)器（Browser/Server，B/S）體系結(jié)構(gòu)之上的管理信息系統(tǒng)。Browser/Server體系結(jié)構(gòu)是在TCP/IP協(xié)議的支持下，以HTTP為傳輸協(xié)議，讓客戶可以通過(guò)計(jì)算機(jī)瀏覽web服務(wù)器以及與之相連的后臺(tái)數(shù)據(jù)的體統(tǒng)結(jié)構(gòu)，與傳統(tǒng)基于客戶機(jī)/服務(wù)器（Client/Server，C/S）體系結(jié)構(gòu)的管理信息系統(tǒng)相比，web管理信息系統(tǒng)具有可維護(hù)性好、可移植性高、隨時(shí)隨地訪問(wèn)的優(yōu)點(diǎn)，因此受到了企業(yè)的青睞。

1設(shè)計(jì)的主要環(huán)節(jié)

1.1?運(yùn)行的安全性

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，在管理信息系統(tǒng)上也出現(xiàn)了安全問(wèn)題，例如黑客攻擊、病毒對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行惡意破壞等，如果這些事件發(fā)生后沒(méi)有得到及時(shí)有效地控制或者解決的話將會(huì)使整個(gè)系統(tǒng)崩潰。網(wǎng)絡(luò)系統(tǒng)的安全性主要是保證網(wǎng)絡(luò)設(shè)備連接的安全性，這需要一系列相互融合的安全技術(shù)作為支撐，例如安全授權(quán)、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)包過(guò)濾、身份驗(yàn)證、物理安全等。

1.2?數(shù)據(jù)的安全性

數(shù)據(jù)的安全性是指系統(tǒng)在出現(xiàn)異常的情況下，能否對(duì)信息進(jìn)行有效保護(hù)，防止被泄露和篡改。例如，若發(fā)生病毒感染或者黑客入侵等情況時(shí)，系統(tǒng)是否能夠及時(shí)阻斷上述行為，降低數(shù)據(jù)被泄露或竊取的風(fēng)險(xiǎn)，這是決定系統(tǒng)安全與否的關(guān)鍵性因素之一。而另一個(gè)關(guān)鍵性因素是當(dāng)文件在傳輸和存儲(chǔ)過(guò)程中發(fā)生了不可預(yù)知的損失及損壞時(shí)，系統(tǒng)是否具有保護(hù)數(shù)據(jù)完整性的功能。

保護(hù)數(shù)據(jù)安全性需要從以下幾個(gè)方面著手：

保證數(shù)據(jù)庫(kù)的內(nèi)部安全。內(nèi)部數(shù)據(jù)安全是指對(duì)信息的存儲(chǔ)、傳遞和使用進(jìn)行保護(hù)。數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)中的地位，可以說(shuō)一直處于支配狀態(tài)。一方面通過(guò)采用嚴(yán)格的身份驗(yàn)證措施，對(duì)數(shù)據(jù)庫(kù)讀取、訪問(wèn)權(quán)限進(jìn)行安全控制，以防止非法用戶對(duì)其內(nèi)部數(shù)據(jù)信息實(shí)施竊取、篡改等行為，避免造成不可挽回的損失。另一方面對(duì)數(shù)據(jù)進(jìn)行加密處理，保證信息的完整性和安全性。

保證數(shù)據(jù)庫(kù)的外部安全。首先，保護(hù)密碼是保護(hù)數(shù)據(jù)安全的核心，只有在密碼被加密時(shí)，才能有效保護(hù)用戶的數(shù)據(jù)不被盜取和破壞，從而達(dá)到防止惡意攻擊、預(yù)防損失等目的。其次，合理給予普通用戶操作權(quán)限，普通用戶在使用系統(tǒng)的過(guò)程中，可以對(duì)自己所擁有信息進(jìn)行刪除、修改和添加等操作。最后，修改數(shù)據(jù)庫(kù)的默認(rèn)連接端口，對(duì)于不需要網(wǎng)絡(luò)直接連接數(shù)據(jù)庫(kù)的情況，可封鎖其端口，使用戶可以在該系統(tǒng)上輕松的完成數(shù)據(jù)交互。

保證應(yīng)用程序的安全。在任何一個(gè)應(yīng)用程序中，都會(huì)存在一定的漏洞，如果這個(gè)系統(tǒng)被黑客攻擊，則可能導(dǎo)致數(shù)據(jù)丟失或者文件損壞。因此為了保證軟件和應(yīng)用服務(wù)器之間有足夠的安全可靠性，可以采用以下措施：對(duì)網(wǎng)絡(luò)服務(wù)協(xié)議進(jìn)行加密處理以防止訪問(wèn)者修改請(qǐng)求信息、操作或竊取商業(yè)秘密等行為;設(shè)置專門用于保護(hù)重要計(jì)算機(jī)設(shè)備外部通信時(shí)使用的唯一標(biāo)識(shí)號(hào)，如交換機(jī)IP地址等等，以保證網(wǎng)絡(luò)安全;對(duì)重要應(yīng)用和數(shù)據(jù)加密處理采用IP地址限制，從而確保信息的完整性。

1.3?傳輸?shù)陌踩?/p>

在web管理信息系統(tǒng)中信息傳輸?shù)陌踩杂兄浅Ｖ匾囊饬x。隨著互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)病毒和黑客攻擊也在不斷出現(xiàn)，所以對(duì)系統(tǒng)安全性方面有了更高要求?？蛻舫绦蚝头?wù)器在運(yùn)行的過(guò)程中，主要是通過(guò)SOAP（基于對(duì)簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議的XML文檔）以HTTP，F(xiàn)TP和SMTP等常用的傳輸方式與服務(wù)器端的web?services交換數(shù)據(jù)?？蛻舫绦蛟诒緳C(jī)調(diào)用時(shí)，需要將所有的用戶名稱、類型和聯(lián)系方式都保存到數(shù)據(jù)庫(kù)中，然后通過(guò)Web請(qǐng)求技術(shù)將數(shù)據(jù)返回給服務(wù)器，再經(jīng)過(guò)一系列的安全認(rèn)證后，客戶端程序才會(huì)被允許進(jìn)入。

由于SOAP消息是開(kāi)放式格式，所以在信息傳輸?shù)倪^(guò)程中，會(huì)出現(xiàn)許多問(wèn)題，比如數(shù)據(jù)很有可能在經(jīng)過(guò)網(wǎng)絡(luò)時(shí)被修改、解讀甚至是截獲，因此在傳輸過(guò)程中，必須要對(duì)數(shù)據(jù)進(jìn)行加密。只有對(duì)數(shù)據(jù)進(jìn)行加密處理，才能保證信息在存儲(chǔ)與傳輸過(guò)程中不會(huì)被非法竊取或篡改。在數(shù)據(jù)傳輸?shù)倪^(guò)程中使用數(shù)學(xué)方法將數(shù)據(jù)信息轉(zhuǎn)化為不可讀的格式，只有傳輸數(shù)據(jù)的雙方才能通過(guò)密鑰將加密的數(shù)據(jù)進(jìn)行還原，從而保證信息在傳輸過(guò)程中的安全。

安全套階層（Secure?Socket?Layer）。所謂安全套接層就是一種網(wǎng)絡(luò)安全協(xié)議，通過(guò)密鑰技術(shù)，防止信息系統(tǒng)被非法入侵或攻擊，既可以訪問(wèn)信息，又具有報(bào)警功能，其中包含了密碼學(xué)原理。當(dāng)計(jì)算機(jī)受到來(lái)自用戶鍵盤輸入的正確密碼時(shí)會(huì)提供相應(yīng)的功能操作，如果不正確就需要重新判斷并修改，否則會(huì)影響到主機(jī)的運(yùn)行狀態(tài)。當(dāng)確認(rèn)錯(cuò)誤則返回初始化請(qǐng)求界面進(jìn)行新操作，以避免出錯(cuò)誤而退出系統(tǒng)，從而保證了數(shù)據(jù)的安全性和穩(wěn)定性，并最終實(shí)現(xiàn)了對(duì)信息的高效管理。

數(shù)字簽名（Digital?Signature）。數(shù)字簽名是信息系統(tǒng)中通過(guò)加密技術(shù)形成的用戶數(shù)據(jù)和信息，不可撤銷及偽造，并且可以使用簽名人對(duì)這些數(shù)據(jù)進(jìn)行驗(yàn)證，從而防止非法操作。也被稱為認(rèn)證碼、密碼等。對(duì)于數(shù)字證書(shū)而言，在系統(tǒng)運(yùn)行過(guò)程中有必要將其與硬件設(shè)備分開(kāi)來(lái)考慮安全問(wèn)題，如果有可能的話還需要采用一些措施以保證文件不丟失并能有效地保護(hù)用戶的隱私和信息不會(huì)被泄露，保證系統(tǒng)的安全。

2安全模型分析

通過(guò)分析可知，web信息系統(tǒng)的安全性主要包括系統(tǒng)運(yùn)行環(huán)境的安全性、數(shù)據(jù)傳輸?shù)陌踩院蛿?shù)據(jù)自身儲(chǔ)存的安全性。本文將從整體上分析web信息系統(tǒng)的安全模型，將系統(tǒng)分為運(yùn)行與安全兩個(gè)方面的屬性。詳細(xì)情況如下：運(yùn)行屬性由e表示、作用條件由c表示、作用功能由f表示、操作符由“∑”組成，安全屬性由可用性、機(jī)密性、可控性、可鑒別性構(gòu)成，安全屬性用s表示。

∑={→，a||fc，a||f，a↓}，→表示因果關(guān)系;a||fc表示對(duì)象在a在c的條件下進(jìn)行操作;a||f表示a缺少條件c情況下執(zhí)行某項(xiàng)操作;a↓是對(duì)象a的損害符號(hào);

f={分類、收集、抵賴、處理、中段、儲(chǔ)存、修改、審計(jì)、假冒、檢索、分析、傳輸、捕獲、交換、控制、顯示、鑒別、擴(kuò)散等等}操作的功能集合;

s={可用性、機(jī)密性、可鑒別性、可控性}，是安全屬性集合;

c={句柄、環(huán)境、密碼、控制訪問(wèn)}，是操作條件的集合;

e={信息、設(shè)備、數(shù)據(jù)、處理}，操作實(shí)體對(duì)象集合。

泄密模型。泄密模型在管理信息系統(tǒng)中的應(yīng)用非常重要，可以用于系統(tǒng)和用戶進(jìn)行交互。如果有大量文件，那么就會(huì)產(chǎn)生很大影響，并且很容易被刪除掉。如果沒(méi)有人來(lái)執(zhí)行這些操作的話則會(huì)導(dǎo)致一些不必要的信息泄漏出去等等情況發(fā)生。因此需要設(shè)計(jì)一種有效且安全可靠的解決方案：使用具有加密功能并能保證其數(shù)據(jù)不丟失或以一定形式出現(xiàn)在傳輸過(guò)程中。這樣做可以避免系統(tǒng)和用戶之間因?yàn)樾姑茉斐蓪?duì)文件的破壞而影響整個(gè)網(wǎng)絡(luò)。如圖1所示。

阻斷模型。阻止系統(tǒng)的安全攻擊是建立在有效管理信息系統(tǒng)和信息資源之間的一種關(guān)系基礎(chǔ)上，通過(guò)使用某種方法來(lái)阻斷或者防止對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)，從而達(dá)到保護(hù)用戶或組織目標(biāo)的目的。因此必須明確在不同環(huán)境中，信息獲取者、控制對(duì)象等會(huì)采取何種方式。同時(shí)還需要注意的是不能將所有可能存在于同一個(gè)系統(tǒng)中的人都當(dāng)做敵人對(duì)待;要想實(shí)現(xiàn)有效地阻止其攻擊，首先就應(yīng)該建立起一個(gè)良好的信息系統(tǒng)安全管理系統(tǒng)來(lái)進(jìn)行管理，從而實(shí)現(xiàn)對(duì)信息的有效獲取，同時(shí)還需要明確系統(tǒng)在不同環(huán)境中需采取何種措施。如圖2所示。

鑒別模型。鑒別模型是對(duì)管理信息的安全性進(jìn)行分析，然后做出相應(yīng)判斷和處理，從而可以在不同程度上防止被不法分子利用。對(duì)于系統(tǒng)中存在的漏洞或錯(cuò)誤需要重點(diǎn)關(guān)注，通過(guò)查看日志文件并記錄。如果發(fā)現(xiàn)問(wèn)題則報(bào)告給管理員以警告或者提醒作用，反之亦然，系統(tǒng)會(huì)有異常提示、預(yù)警功能等來(lái)應(yīng)對(duì)。出現(xiàn)這種情況要注意安全措施和管理方法，相關(guān)人員需對(duì)數(shù)據(jù)進(jìn)行維護(hù)與審核，以便提高系統(tǒng)的安全性。如圖3所示。

拒絕服務(wù)類型。拒絕服務(wù)主要是指對(duì)系統(tǒng)的安全維護(hù)，在開(kāi)發(fā)時(shí)，需要考慮到服務(wù)器、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)之間的關(guān)系。不兼容：由于不同類型計(jì)算機(jī)管理系統(tǒng)的功能存在差異性，而導(dǎo)致數(shù)據(jù)傳輸過(guò)程中出現(xiàn)問(wèn)題或者不能順利進(jìn)行信息交換等現(xiàn)象發(fā)生。安全性差：對(duì)于一些應(yīng)用型信息系統(tǒng)來(lái)說(shuō)因?yàn)槠溟_(kāi)放性不高所以很容易被黑客攻擊、病毒入侵等等一系列情況，具有一定的安全隱患，因此在開(kāi)發(fā)時(shí)需要考慮到對(duì)這些事件的防范措施及手段要足夠完善和嚴(yán)密。如圖4所示。

綜上所述，web信息系統(tǒng)的安全性是對(duì)web系統(tǒng)與信息固有狀態(tài)的供給與保護(hù)的過(guò)程，以保護(hù)信息系統(tǒng)、保護(hù)信息自身以及信息安全使用為目標(biāo)，確保信息不被竊取，確保信息的完整性和可用性。

3安全結(jié)構(gòu)的設(shè)計(jì)

3.1?運(yùn)行環(huán)境

在Web服務(wù)器的運(yùn)行環(huán)境中，主要有兩個(gè)部分構(gòu)成，第一個(gè)是計(jì)算機(jī)硬件設(shè)備，硬件設(shè)施包括路由器、局域網(wǎng);另一個(gè)就是客戶端。對(duì)于電腦來(lái)說(shuō)，其最重要的是能支持整個(gè)系統(tǒng)的正常工作以及各種數(shù)據(jù)交換等功能;而對(duì)于管理信息系統(tǒng)而言，則可以提供一個(gè)良好且安全可靠的網(wǎng)絡(luò)通信平臺(tái)來(lái)保證信息傳遞的及時(shí)性與安全性。因此就需要對(duì)網(wǎng)絡(luò)出口處部署防火墻以及入侵檢測(cè)系統(tǒng)，來(lái)保證網(wǎng)絡(luò)的安全，以提高系統(tǒng)運(yùn)行效率。

3.2?數(shù)據(jù)安全性

系統(tǒng)的數(shù)據(jù)主要是通過(guò)數(shù)據(jù)庫(kù)存儲(chǔ)在電腦中，電腦如果有任何操作都有可能使數(shù)據(jù)丟失，管理員也可能進(jìn)行誤操作。首先要對(duì)所有文件做備份。因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題越來(lái)越嚴(yán)重，所以為了保證系統(tǒng)不被黑客攻擊，需要備份重要信息數(shù)據(jù)和應(yīng)用程序。其次還要做好數(shù)據(jù)恢復(fù)工作、定期發(fā)送郵件或刪除郵件等等來(lái)防止病毒感染引發(fā)的不可估量的損失。最后是加強(qiáng)數(shù)據(jù)庫(kù)管理信息系統(tǒng)數(shù)據(jù)，在電腦上安裝一個(gè)緩沖區(qū)來(lái)保護(hù)好這些記錄并保存到硬盤中，同時(shí)還要對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密處理。系統(tǒng)的安全性問(wèn)題也是一個(gè)值得關(guān)注的話題，所以相關(guān)人員需要不斷完善和改進(jìn)計(jì)算機(jī)管理系統(tǒng)，這樣才能保證系統(tǒng)的安全運(yùn)行。

3.3?數(shù)據(jù)的加密

數(shù)據(jù)加密是指利用某種特定的方法把數(shù)據(jù)轉(zhuǎn)換為不可讀的數(shù)據(jù)，以防止信息被他人非法竊取。在開(kāi)發(fā)系統(tǒng)時(shí)，對(duì)用戶和服務(wù)器進(jìn)行訪問(wèn)前需要先經(jīng)過(guò)一定程度的認(rèn)證才能成功登錄系統(tǒng);其次就是密鑰分配、驗(yàn)證碼設(shè)置等操作來(lái)保護(hù)好數(shù)據(jù)庫(kù)中數(shù)據(jù)不受到破壞或者盜用;最后就是通過(guò)網(wǎng)絡(luò)傳輸加密技術(shù)將其傳遞到服務(wù)器上，保證數(shù)據(jù)的完整性。

3.4?設(shè)計(jì)上的安全性

預(yù)防外部攻擊。系統(tǒng)外部的惡意攻擊指的是來(lái)自網(wǎng)絡(luò)中傳輸或者是通過(guò)非法手段竊取信息，可能會(huì)被上傳到計(jì)算機(jī)內(nèi)部，從而對(duì)數(shù)據(jù)進(jìn)行修改和刪除。黑客可以利用此漏洞來(lái)獲取一些有用的資料。例如：通過(guò)木馬程序、IP地址識(shí)別等途徑獲得自己想要訪問(wèn)或篡改的內(nèi)容;在信息儲(chǔ)存空間內(nèi)獲取他人無(wú)法看到的文件內(nèi)容;使用各種技術(shù)如加密算法等等手段竊取他人的信息，從而對(duì)信息進(jìn)行破壞，導(dǎo)致信息失真，給數(shù)據(jù)使用者造成損失。

預(yù)防內(nèi)部的攻擊。對(duì)于系統(tǒng)內(nèi)部的攻擊主要是指人為因素造成信息系統(tǒng)運(yùn)行出現(xiàn)問(wèn)題，比如：數(shù)據(jù)被改動(dòng)、磁盤損壞或者丟失信息等。由于計(jì)算機(jī)本身存在著一定時(shí)間內(nèi)可能會(huì)有故障發(fā)生而導(dǎo)致軟件功能不能被完全實(shí)現(xiàn)的情況，所以在每次進(jìn)行修改操作時(shí)都要重新進(jìn)入相應(yīng)權(quán)限才能完成對(duì)相關(guān)內(nèi)容的添加和刪除。此外，還應(yīng)該及時(shí)備份數(shù)據(jù)庫(kù)中的重要文件以備不時(shí)之需，防止系統(tǒng)出現(xiàn)異常情況時(shí)無(wú)法繼續(xù)正常使用的情況，也能保證信息不會(huì)被輕易發(fā)現(xiàn)并發(fā)送給他人。因此，在系統(tǒng)的開(kāi)發(fā)過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行加密、安全管理是非常必要的。

4總結(jié)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，基于web的管理信息系統(tǒng)也應(yīng)運(yùn)而生。在這個(gè)時(shí)代，網(wǎng)絡(luò)安全與信息安全問(wèn)題一直是一個(gè)很重要的話題，因此對(duì)數(shù)據(jù)的安全管理及系統(tǒng)的安全設(shè)計(jì)就成為必然趨勢(shì)之一。但是由于我國(guó)目前沒(méi)有一套行之有效的、實(shí)用性強(qiáng)且易于操作和維護(hù)的系統(tǒng)來(lái)保護(hù)這些數(shù)據(jù)不被泄露或破壞，所以需要設(shè)計(jì)出既符合用戶需求又能保證其安全性、且具有可擴(kuò)展性和穩(wěn)定性的信息管理系統(tǒng)，這種需求已迫在眉睫。當(dāng)基于web的管理信息系統(tǒng)更加安全可靠、穩(wěn)定高效地被應(yīng)用時(shí)，企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益都會(huì)得到很大程度地提高。

參考文獻(xiàn)：

[1]段瞰，趙寧社.基于Web架構(gòu)的高校黨員管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].辦公自動(dòng)化，2021，26（09）：60-62+10.

[2]代祥勇，馬超，張文.基于Web的深基坑監(jiān)測(cè)管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].城市勘測(cè)，2021（01）：74-78.

[3]崔嘯天，鄭宇，閔強(qiáng).基于WEB和APP技術(shù)的醫(yī)院人力資源管理信息系統(tǒng)優(yōu)化設(shè)計(jì)[J].現(xiàn)代醫(yī)院管理，2021，19（01）：59-63.

作者簡(jiǎn)介：齊齊樂(lè)（1985—??），女，漢族，湖北襄陽(yáng)人，本科，工程師，研究方向：機(jī)電控制。