羅雅過
[摘要] 本文通過對人力資源管理系統的安全性調研,提出了系統的三層安全防范機制。網絡通訊保護層(SSL)、系統登錄口令保護層、數據庫訪問保護層,來構建系統的安全體系。在數據庫的安全性中,使用了數字簽名技術下的身份認證、數據加密、權限訪問、角色分配等保護措施,進一步保證數據庫系統的安全。
[關鍵詞] Web人力資源管理系統 身份認證 數字簽名 加解密
基于Web的高校人力資源管理系統在高校人力資源的管理和發(fā)展規(guī)劃方面起著舉足輕重的作用。但隨著網絡的開放,人力資源系統的安全性讓人擔憂。如何驗證用戶身份的真實性,如何保證數據在傳輸過程中不受干擾,保證數據的安全性和真實性等安全問題,成為人力資源管理系統急需要解決的問題,本文旨在研究人力資源管理系統的安全體系。
人力資源管理系統的安全性調研
高校人力資源管理系統,涉及到教職工的一些重要信息,如教師的職稱、學歷、學位、工作時間、聘任崗位等信息必須嚴格進行保密。經過大量的充分調研以及本人的切身工作經歷,在人力資源管理系統的設計過程中,應該充分考慮業(yè)務層和數據層的安全性,對于業(yè)務層,做到根據角色不同可以執(zhí)行不同的任務,作不同的操作,使用不同的操作流程;對于數據層,根據數據集的不同,角色的不同,可以對數據擁有不同的讀取、修改、刪除的權限;對于每一個用戶在系統的每一步操作,系統都應該有相應的日志記錄,以備查詢。
系統安全體系研究
1.網絡通訊保護層(SSL)
SSL(Secure Sockets Layer)是由Netscape公司開發(fā)的一套Internet數據安全協議。SSL協議位于TCP/IP協議與各個應用層協議之間,為數據通訊提供安全支持,保證傳輸過程安全、可靠。SSL協議可分為兩層,SSL記錄協議(SSL Record Protocol)和SSL握手協議(SSL Handshake Protocol)。SSL安全機制的通信過程如下:用戶與IIS服務器建立連接后,服務器會把數字證書與公用密鑰發(fā)送給用戶,用戶端生成會話密鑰,并用公共密鑰對會話密鑰進行加密,然后傳遞給服務器,服務器端用私人密鑰進行解密,這樣,用戶端和服務器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS服務器進行通信。
2.數據庫的安全性
數據庫安全模型如圖1,分為認證模塊、授權登錄模塊、加解密模塊。可采取的安全保護措施有:數據加密、系統登錄口令保護、權限控制、訪問控制等。
圖1 數據庫安全模型
(1)認證模塊
認證模塊主要用于用戶的注冊與認證,用戶首先進行嚴格的注冊,然后,系統根據注冊信息進行認證。用戶的注冊是用數字簽名技術,通過同認證中心進行雙向身份認證以獲得注冊,并用于后續(xù)認證。
數字簽名是公開密鑰體系加密技術發(fā)展的一個重要的成果。主要是通過單向散列函數(Hash)和RSA 加密算法來實現。在Hash函數的構造中,輸入可變長數據,得到一個固定長度的散列值,作為第三方,不可能用不同的輸入數據得到一個完全相同的散列值,即h(M)=h(M);而且,散列函數的單向性、一致性和唯一性,也保證了散列函數的安全性與通信數據的完整性。
(2)授權登錄模塊
授權登錄模塊主要依靠權限管理來實現。權限管理包括系統功能定義,角色定義和角色分配。系統采用了先進的基于角色的訪問控制思想,在系統中根據資源訪問情況定義了相對穩(wěn)定的角色類別,然后根據用戶的需要分配給相應的角色來完成資源的訪問。系統的角色類別有系統管理員、人事處負責人、院級領導、職能部門負責人、普通用戶等。在基于角色的權限控制中,不同的角色擁有不同的權限。在對角色的權限分配是在系統的角色定義里完成。系統管理員在人機交互界面中,可以方便地對角色權限進行配置。在角色定義頁面中,根據要授權的內容,修改條目對話框中各項內容的具體權限。
(3)加解密模塊
系統的加解密模塊中,對數據庫中數據表的數據采用的是二級密鑰管理機制進行加解密。所謂二級密鑰管理機制就是一級密鑰是主密鑰,二級密鑰是工作密鑰。工作密鑰用于對數據庫中的數據進行加解密,主密鑰是對工作密鑰進行加密。這樣既利用了私鑰算法的快速性又保證了工作密鑰的安全性。在本系統中,以數據表為加密對象,可設計一個主密鑰,多個表密鑰。主密鑰的作用是用來生成表密鑰,并保證表密鑰的安全。表密鑰對數據表進行加密,并保證數據表中敏感數據的安全。整個數據庫的安全性依賴于主密鑰的安全性。這種二級密鑰管理機制可以有效避免字段加密或記錄加密龐大密鑰量的存儲管理以及加密粒度過小所帶來的加解密時耗,這樣也就提高了用戶的訪問效率。
結束語
基于Web的高校人力資源管理系統的安全問題是一個系統性、綜合性的問題。不僅要從硬件、軟件上進行安全考慮,更要從維護系統的管理人員來考慮,人人要有安全意識,安全操作,系統的安全問題才能夠得到有效的解決。
參考文獻:
[1]劉宗田.Web 站點安全與防火墻技術[M].北京:機械工業(yè)出版社,1998:102-110.
[2]蔣光明.開放式系統的安全策略[J].重慶師范學院學報( 自然科學版),2002,19(2):90-92.
[3]陳也平.基于校園網的高校人事管理系統[J].微機發(fā)展,2002,12(2):32-34.
[4]汪培芬.數據庫加密技術的研究與實現[D].南京:南京理工大學,2008.
作者單位:西安文理學院 陜西西安