人口基礎資訊服務支撐系統的安全性研究

摘要：沒有對具體業務的安全特點和安全環境的正確分析和認識，任何安全技術、產品都解決不了真正的安全問題。本章就針對人口基礎資訊服務支撐系統的安全性進行研究，提出了就利用身份驗證、SQL本身以及數據庫備份與還原的系統安全策略。
關鍵詞：人口  資訊  系統  研究 
        0 引言
        隨着金融資訊化、電子政務、電子商務等資訊化建設的快速發展，政治、經濟、文化等重要領域的資訊系統都面臨着日益嚴重的資訊安全問題。然而，安全專家研究卻發現，首先，安全設備有其技術定位和安全侷限性。一般地，安全技術都是針對安全的某一個環節或方面開發的，而對於網絡這個多樣化的複雜系統，僅用某項或幾個安全技術是無法滿足所有業務的所有安全需求。其次，安全技術的簡單堆砌無法提高系統的安全度。沒有對具體業務的安全特點和安全環境的正確分析和認識，任何安全技術、產品都解決不了真正的安全問題。本章就針對人口基礎資訊服務支撐系統的安全性進行研究，提出了就利用身份驗證、SQL本身以及數據庫備份與還原的系統安全策略。
        1 實施安全策略的必要性
        資訊之所以要保密，是因爲它具有機密性或敏感性。在資訊時代，隨着各種資訊的劇增、社會通信的發展和計算機能力的進步，資訊在產生、存儲、處理、傳遞和利用的各個環節中都有被竊取、被篡改或被利用的危險。因此，數據安全是進行系統設計時必須考慮的問題之一。對於人口基礎資訊服務支撐系統來說，數據庫中存放大量人口數據和檔案資訊，需要進行嚴密的保護，一旦數據被損壞，就會導致非常嚴重的後果。
        2 利用身份驗證進行數據保護
        人口基礎資訊服務支撐系統是一個Web管理系統，研究它的安全性，首先要解決一個問題：誰有權力進入系統通常的做法就是系統維護一張允許進入的用戶名單。當用戶要求進入的時候，系統判斷是否爲合法用戶。於是問題就轉化爲如何有效地判別一個用戶是否是系統的有效用戶，稱之爲“身份驗證（Authentication）”過程。接受用戶憑證，並根據指定的頒發機構來驗證的過程稱爲身份驗證。用戶（或者潛在的應用程序或計算機的）標識被稱爲安全當事者。客戶端必須提供憑據，以便服務器驗證當事者的標識。確認標識後，應用程序就能授權當事者訪問系統資源。
        和IIS（International Information Service）一起爲用戶提供驗證服務。有3種用戶驗證方式，即Windows驗證、窗體Forms驗證和Passport驗證。 
        2.1 Windows身份驗證 這種身份驗證提供程序依靠IIS來執行所需要的客戶端身份驗證。在IIS驗證客戶端身份後，它將安全標記傳遞給。基於從IIS獲得的安全標記構造一個WindowsPrincipal類的對象，並將其附加到應用程序的`上下文中。Windows身份驗證方案的優點是：身份驗證使用Windows帳戶，所以不需要編寫任何自訂的身份驗證代碼。確定是可能要求使用和管理單個Windows帳戶。因此Windows驗證只適用於放在受控環境裏的網站，也就是說，使用Windows登入適合於企業內網。在Internet上，網站無法控制用來訪問網站的瀏覽器或者客戶端的機器。
        2.2 Forms身份驗證 Forms身份驗證提供程序是一個身份驗證方案，它使用應用程序可使用HTML窗體直接從客戶端收集憑據。客戶端直接嚮應用程序代碼提交憑據以進行身份驗證。如果應用程序驗證該客戶端的身份，則它向該客戶端發出一個Cookie。該客戶端在後面的請求中提交該Cookie。如果對於受保護資源的請求不包含該Cookie，則應用程序將該客戶重定向到登入頁。當驗證憑據時，應用程序可以多種方法存儲憑據，如配置檔案或SQL Server數據庫。Forms身份驗證方案的優點包括：允許使用任意條件自訂身份驗證方案；可用於身份驗證或身份確認；不需要相應的Windows帳戶。確定是受制於Cookie生存期的重放攻擊。因此Forms身份驗證特別適合佈置於互聯網的應用。

        2.3 Passport身份驗證 Passport身份驗證提供程序是一個由Microsoft提供的集中式身份驗證服務，它爲成員站點提供一次登入和核心配置檔案的服務。當成員站點註冊到Passport時，Passport服務就授予一個站點特定的密鑰。Passport登入服務器使用該密鑰加密和解密在成員站點和Passport登入服務器之間傳遞的查詢字元串。Passport驗證方式適合於跨站之間的應用。
        人口基礎資訊服務支撐系統涉及的用戶包括系統管理員與系統普通用戶，因此客戶端不容易進行控制，所以不能採用Windows身份驗證，而採用Forms身份驗證。這種身份驗證過程允許應用程序直接從客戶端請求方收集憑據（例如用戶名和密碼），並自己確定這些憑據的真實性。由於在進行驗證以前首先進行IIS驗證，爲了保證客戶端請求能夠達到應用程序，在實現自訂身份驗證方案時需要啓用IIS“匿名訪問”的設定。
        3 利用SQL本身進行安全保護
        SQL Server本身具有的安全機制主要有：