（计算机软件与理论专业论文）安全的人事信息系统开发框架的研究与实现.pdf

广西师范大学硕士学位论文 i 安全的人事信息系统开发框架的研究与实现安全的人事信息系统开发框架的研究与实现 论文作者：韦丽娜 导师：阳雪林 副教授 专业：计算机软件与理论 专业方向：计算机网络安全 年级：2006 级 摘摘 要要 随着信息技术的不断发展，日益增多的对人事信息系统的非法入侵和破坏活动正以惊人 的速度在全世界蔓延，给各国人事信息系统带来巨大的经济损失和安全威胁。不论是政府， 还是一般的企事业单位或者高校，人事管理是信息化建设的一个重要组成部分，关系着一个 国家的人力资源的建设。如果所有人事管理工作都依赖于人事信息管理系统运作，则对人事 信息管理系统的可靠性就提出了很高的要求。既要求系统能够安全稳定运行，输出数据正确 无误，也要求系统不易受到攻击，各类人员按管理权限使用系统，对超越权限的行为能及时 制止。人事信息系统的无纸化办公要求防止有权接触系统的用户，篡改数据，并及时发现被 篡改的数据及责任人，而现有的人事信息管理系统大多仅提供日后核查的安全机制，有可能 导致人事信息被非法修改而不被发现。根据对各类人事信息系统建设的理解, 我们认为只有 采用通用、灵活的开发平台, 才能保证系统建设的快速性、适应性和可扩展性，实现人事信 息的无纸化管理，避免有权用户对数据的非法篡改，并能及时发现被篡改的数据和责任人。 为此，本文提出一个安全方案，即设计一个开发框架，为快速开发安全的人事信息系统提供 支持。开发框架具有安全、快速、通用和稳定的特点。在此开发框架中解决如下问题：采用 预制安全组件，克服了类似系统需全部定制，开发周期长的问题。安全组件利用数字签名技 术对数据进行“双层”签名客户端和系统签名。客户端的签名保证数据的修改确实是有 权用户发出，系统的签名保证数据库的数据确实是通过信息系统生成。从而，防止合法人员 对数据的非法篡改，并能及时发现。 本文设计的安全组件采用 java 语言编写，并将预制的安全组件封装在一个框架中，采用 中间件技术，通过 tomcat+axis 发布此开发框架的接口给系统开发者使用，便于快速完成人 事信息系统安全部分的开发，缩短人事信息系统建设的周期，并保证了其可持续发展的需求, 这是将来人事信息系统建设的大趋势。 关键字关键字 ：人事信息系统 开发框架 安全组件 数字签名 广西师范大学硕士学位论文 ii research and realization on the development frame of secure personnel information system author: wei lina, supervisor: prof. yang xuelin specialty: computer software but also not reliable to be attacked, thats to say the system can punctually inhibit operations which express limitation the system assign to it, leading different part of person operate according to the rights of limitation. paperless office requirement of personnel information system prevent users who have the right to access the system falsifying data, seizing those who falsify data and finding out the falsified data timely, however most of current personnel information management system only present the safety mechanism of afterwards checking, which may lead to personnel information being falsified but not being found out. according to knowing of various kinds of personnel information system constructions, we wander that ,only if we utilize general、flexible developing platform, can we have a guarantee to the rapidity, adaptability and expansibility of the system construction, implementing the paperless office managing, inhibiting users who have right to access the system falsifying data, and also seizing those who falsify data and finding out the falsified data timely. therefore, this paper presents a safe scheme, namely in order to provide help for rapid development of safe personnel information system, it designs a developing framework. the development of the framework of a safe, rapid, and stability of common characteristics. problems below are solved based on this framework: the using of utilizing prefabricated safety components, overcomes long developing cycle and overall customization to system of this kind. safety components for the use of digital signature technology, double signature - the signature client and system. the signature of the client to ensure that data is indeed the right to modify the user, the systems signature to ensure that data is generated through the information system. thus, the legal staff to prevent illegal tampering of data and timely discovery. 广西师范大学硕士学位论文 iii in this paper, the security component designed using java language and the security of pre-fabricated components are packaged in a framework, the use of middleware technology, tomcat + axis released through the development of the framework of this interface to the system developers to use, easy to quickly complete the personnel part of information system security development, personnel information system to shorten the cycle, and to ensure its sustainable development needs, which is building the future information systems and personnel the general trend. key words: personnel information system, development frame, safety subassembly, data signature 论文独创性声明论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下进行的研究工作及取得的成 果。除文中已经注明引用的内容外，本论文不含其他个人或其他机构已经发表或撰写过的研 究成果。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人承担 本声明的法律责任。 研究生签名： 日期： 论文使用授权声明论文使用授权声明 本人完全了解广西师范大学有关保留、使用学位论文的规定。广西师范大学、中国科学 技术信息研究所、清华大学论文合作部，有权保留本人所送交学位论文的复印件和电子文档， 可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布（包括刊登）论文的全 部或部分内容。论文的公布（包括刊登）授权广西师范大学学位办办理。 研究生签名： 日期： 导 师签名： 日期： 第 1 章 绪论 1 第第1章章 绪论 绪论 1.1 课题背景 1.1 课题背景 随着人类进入知识经济时代，网络和信息逐渐成为人们从事社会活动的基本工具。但是， 由于计算机和网络系统的开放性带来的信息与信息系统的安全问题也拓展到前所未有的程 度。目前存在的安全威胁和隐患，是对信息的安全性有高要求的人事信息系统需要面临的挑 战和迫切解决的问题之一 。早期单纯的通信保密和静态的保护己不能适应今天的需要。如何 在人事信息系统中实现信息的保密、完整、可用、可控和不可否认的信息安全，并保证信息 系统能够安全、可靠、不间断地运行，以提供必要的服务，是安全可靠的信息系统研究的重 要方向。 人事信息管理是企业、单位、政府部门等管理的重要内容。最初，人事信息的管理都是 依靠人工手动的完成，基本能满足规模小的部门的管理要求。随着时代的进步，管理信息的 规范化、自动化要求越来越高，部门结构也越来越庞大，人工手动完成人事的管理必然会出 现速度慢、工作量大、效率不高、易出错等问题，更加无法达到无纸化办公的要求。进而， 人事管理信息系统的开发和使用成为提高管理效率的有效途径。但许多已经存在的人事信息 管理系统的开发都是周期长、效率低，在激烈的市场竞争中难以发挥其在管理上的优势。 因此，如何通过开发安全通用的框架，提高人事信息系统的开发效率，增强其实用性和 市场竞争力成为本课题解决的主要问题。 1.2 人事信息系统的安全问题 1.2 人事信息系统的安全问题 人事信息系统的安全问题归纳起来主要包括五个方面：数据的完整性、数据的保密性、 用户鉴别、访问控制和安全审计。 至今为止，人们在人事信息系统安全上主要通过采取以下几个方面的安全措施，解决常 见的安全问题。其一，针对数据完整性问题，主要分为数据库的数据完整性和传输过程的数 据完整性。在数据库中，数据完整性包括：实体完整性、域完整性、参照完整性和用户定义 完整性。通过采用约束强制数据的完整性1。对数据传输过程中，可以通过采用加密技术， 防止非法人员截取和篡改传输中的数据，保证数据的完整性。 其二，针对数据的保密性问题，为防止存储或通信中的数据未授权公开，通过数据加密 使得信息不容易受攻击，或者通过数据隔离提供保密性、或者通过地址隐藏、数据填充来保 护通信流，或者采用调频和扩谱技术实现10。 其三，针对用户鉴别问题，一方面, 文献11通过阻止人为或自然对计算机网络设备的破 坏保证人事信息系统在物理上的安全。为防止非法用户进入信息系统，可对其身份进行认证。 一方面，文献15在安全信息系统中，通过指出口令认证中口令容易监听和获取，多口令带来 的不便，提出采用 pki/ca 身份认证系统。例如 ：校园网里的用户信息系统采用 pki 技术实 现了的身份认证， 保证用户身份的合法性。 另外， 随着生物技术的发展, 利用人类特征识别, 如 第 1 章 绪论 2 指纹、视网膜等, 具有较强的防复制性, 但代价较高。基于指纹特征的用户身份认证系统将作 为一种软件部件嵌入到网络环境下的各种应用系统(比如电子商务、电子政务、远程教学等) 中，解决其用户身份22。在商业上还利用信物的鉴别方法, 如磁卡条等12。为实现自动化， 设计采用智能卡技术实现用户的身份识别13。 其四，针对访问控制问题，人事信息系统除了采用防火墙、杀毒软件等技术控制访问外， 还采用用户权限设置实现，即通过编码实现不同用户具有不同的操作权限和操作模块，防止 越权操作。 其五，审计有两种方式，即用户审计和系统审计19，不同的安全审计功能不同。通过安 全审计，目的是可以找到安全的根源所在，即不可否认。例如：由数据库提供的安全审计， 可以追踪到谁访问或修改过数据库的数据14，但这仅限于数据库的用户，而不是信息系统的 用户，即我们不能追踪到信息系统的用户所做的操作。在电子信息系统中，安全审计功能由 各种应用服务器提供17，不同的电子信息系统的安全审计的安全级别就缺乏一致性。在网络 管理中，也需要安全审计。安全审计是网络安全体系中的重要一环,它在一定程度上弥补了防 火墙和入侵检测的不足。网路管理员可以借助现有的审计工具，比如 nessus 和 nmap，收集 可能动摇网络的稳定性并使系统崩溃的数据，并进行分析。例如：网络安全审计系统通过对 用户访问外部网络的行为进行记录和检查,可有效地发现和防范违规的网络访问23。有的网络 安全审计系统不但要求审计系统能够记录系统中所有的安全相关事件,同时,如果有必要,应该 能够再现产生某一系统状态的主要行为24。有的利用信息融合技术在数据处理方面的优势, 将信息融合技术应用于网络安全审计系统中,提高对各种数据信息的综合处理能力,为系统提 供有效的安全态势分析25。在税务系统中，也采用了网络安全审计增强网络系统的安全管理 26。 就上述五个方面而言，人事信息系统在开发时采用对传输数据加密、用户口令、设置防 火墙、权限设置、安全审计系统的使用等安全措施，能很好解决在客户端、网络传输或前台 保护数据安全的问题，但仍然存在保护后台数据库数据的安全问题。也就是说，许多人事信 息系统都采用三层结构：客户端+中间层+后台数据库，系统开发者往往在客户端上实施上文 提到的安全技术，作为维护系统安全的措施。然而，更多的非法用户或系统入侵者绕过客户 端和中间层，直接攻击或破坏后台的数据库，给信息系统造成严重的后果。 例如，2006 年 2 月，京华时报、华夏时报等几家报纸以及中央电视台曾报道：2005 年 5 月，北京移动的数据库被某著名公司的工程师程某多次入侵，充值卡密码被窃取并被销售给 他人，给北京移动通信有限公司造成损失约 380 万元。根据程某被抓获后的交待得知，他利 用自己曾经在西藏移动公司使用过后一直未更改的密码，成功进入西藏移动的服务器，再跳 转进入北京移动的数据库。通过查看数据库日志文件，他反推破译出密码。获得数据库的最 高权限的程某，将已充值的充值卡状态改为未充值，并在“淘宝网”上出售盗出的密码。直 到 7 月程某窃取最后一批密码时，设置的充值卡有效期与面值不符，购买的客户投诉北京移 动，北京移动才发现 6600 张充值卡被非法复制，数据库被非法入侵44。 第 1 章 绪论 3 在此“05 移动案”案例中，工程师是在获得合法用户权限的前提下，对数据库中的数据 进行非法篡改，却不能及时发现和制止其非法篡改，造成了不可挽回的损失。 由此可见，即使是在采用了上文提到的安全措施的今天，信息系统还是无法阻挡非法用 户对数据库的入侵。这些非法用户的入侵造成的经济或政治上的损失或破坏，威胁人们正常 的生活秩序，给社会的稳定带来影响。因此，必须采用一定的安全措施，保护数据库的安全， 预防此类情况的发生，这也是本文研究的内容之一。 1.3 本文的主要研究工作 1.3.1 解决的问题 1.3 本文的主要研究工作 1.3.1 解决的问题 防止有权人员的非法篡改 防止有权人员的非法篡改 这些年来，类似“05 移动案”的案件来频频发生，可见内部的威胁不容忽视。如何防范 外部或内部人员对数据库的非法操作？正所谓魔高一尺，道高一丈，除了采用现有的安全技 术：防火墙、杀毒软件等防范外部人员的非法入侵，还要在重视内部的安全，改进信息安全 的管理机制。目前，许多开发者在数据库系统的开发中，往往采用身份认证保证用户的合法 性，却不能阻止类似“05 移动案”案情的发生。本文解决的安全问题是防止有权用户的非法 篡改，并及时发现被篡改的数据和责任人。针对采用三层结构的人事信息系统也可能出现类 似“05 移动案”的安全问题，避免人事信息被有权人员篡改却不能及时发现的情况，为保证 人事信息系统更加安全与稳定，本课题将在中间层实施一定的安全措施，保护后台数据库。 提高效率的通用的开发框架 提高效率的通用的开发框架 通过对以上几个安全问题的分析，可见，在不同的安全方面都采用了相关的安全措施， 起到了一定的安全保护作用。在系统的开发中，安全问题只是需要解决的问题之一，还有更 多的与人事信息相关的问题需要去解决。例如：根据软件工程的开发流程，在需求分析阶段， 需要花费大量的时间在此阶段，对人事信息系统相关的业务调查与分析，了解清楚系统用户 的功能需求。在弄清用户需求后，才能根据需求进行软件设计。如果系统功能庞大，划分的 功能模块数量多，开发的周期就会增长。另外，人事信息系统对信息的安全要求高，安全模 块的开发是不可或缺的。 为缩短开发周期，克服类似系统需要全部制定相关的安全组件的问题，本课题在现有的 安全技术基础上，将以上几个方面的安全技术结合在一起，研究开发一个安全框架，使得人 事信息系统开发者在开发时，直接使用这个安全平台来保障系统的安全，而将更多的时间用 于系统的其他方面的开发。 采用本文提供的开发框架，可以直接调用开发框架提供的安全接口，实现相应的安全措 施。客户端开发的语言和工具可以随便选择，后台数据库也可以根据不同的需要进行选择， 即此开发框架具备通用性。 1.3.2 主要研究的内容1.3.2 主要研究的内容 为解决上述人事信息系统中的数据库安全问题和缩短软件开发周期，本文主要包括以下 第 1 章 绪论 4 研究内容： 其一：对迄今为止在数据库信息安全上采用的措施，以及相关的信息系统中采用的安全 措施进行现状分析。 其二：针对现存的问题，提出一套人事信息系统安全的解决方案。 其三：考虑到安全的人事信息系统开发框架的通用性要求，研究如何采用中间件技术， 提供安全的接口供开发者使用，即安全人事信息系统开发框架。 最后，本文以高校人事处管理信息系统的开发为实例来验证所提出的解决方案。 1.3.3 本文的组织结构1.3.3 本文的组织结构 本论文第一章分析人事信息系统存在的安全问题及人事信息系统开发实现速度慢、容易 出错等问题，并描述“05 移动案”带来的安全危害，进而得到问题的来源。在第二章中，针 对数据库安全分类阐述，最后得出安全的人事信息系统开发框架的设计思想。第三章给出了 安全问题的解决方案。第四章详细介绍了安全开发框架的设计。第五章给出了安全开发框架 在人事管理系统中的具体应用。第六章对采用安全开发框架的人事信息系统的业务和安全性 能进行分析，并对系统进行优化与测试。第七章对本论文进行总结与展望。 第 2 章 数据库信息安全和人事信息系统开发现状分析 5 第第2章章 数据库信息安全和人事信息系统开发现状分析 数据库信息安全和人事信息系统开发现状分析 2.1 数据库信息安全现状分析 2.1 数据库信息安全现状分析 人事信息系统的安全也要涉及到数据库安全技术，此技术主要有用户标志和鉴别、访问 控制、审计和加密等，其中目前应用最广也最为有效的是访问控制技术14。 2.1.1 用户标志和鉴别2.1.1 用户标志和鉴别 操作系统有一套完善的安全措施，例如：内存和文件保护措施、资源访问控制和用户验 证等。数据库管理系统一般运行在操作系统之上，提供保护数据库的安全措施。因此，数据 库管理系统在安全上面有着自己独特的要求：多层访问控制、机密性、可靠性、完整性和可 恢复性 【27】 。用户标志和鉴别是数据库安全的最外一层保护措施。操作系统管理员给系统用户 一个相应的账号和密码，例如：在 xp 系统中系统用户的用户名和密码都为 “admin” ，但此 用户（admin）不一定是数据库系统（例如：sql server 等）的用户。使用者只有成为系统用 户，并通过数据库管理系统的用户验证，方可成为数据库用户。 如果从三层结构的人事信息系统来看，在数据访问层中，这一层最初是没有自己的数据 安全实现工具的，这样就必须依赖数据访问驱动来提供某种形式的安全实现。大体上，每一 个 odbc 驱动的对数据库的身份鉴定通常都采用最典型的用户密码形式 【28】 。其实，实现用 户身份鉴定的方法有很多种。用户密码就是最为采用并且简单的方法之一。用户账户和用户 密码相对应。用户密码可以为数字或者字符，一般用户将其设置为简单的几位数字或者与自 己相关的数字，例如生日、工作证号等，这很容易让非法用户或不法之客识破，造成不必要 的损失。所以，除了采用的用户密码形式外，还有就是采用可信赖的第三方认证。最常用的 就是 ca 证书的应用。这项技术在 pki 安全技术中应用最为广泛。利用第三方发放的公钥证 书，加上与之配对的私钥，可以很容易认证用户的身份，无疑比传统的用户名+密码的身份认 证方式更加安全 【29】 。 2.1.2 访问控制2.1.2 访问控制 访问控制即允许用户只访问被批准的数据，以及限制不同的用户有不同的访问模式，如 读或写。访问控制的研究也从简单的限制访问发展到复杂的类似现实世界的组织结构的基于 角色的访问控制2526。 在数据库中，对于组织好的数据，有若干个需要考虑的情况。你也许有一个很安全的网 络系统。但是也有些这样的人掌握一定技巧的人，能够访问到数据库中敏感的数据。当 然，想要知道这些敏感的数据，用户就必须知道正在使用的数据库以及包含着敏感数据的表 名。在开放连接的软件中，我们无法对前二者做什么约束，但是我们的确可以对数据的访问 和存取做点什么。 第 2 章 数据库信息安全和人事信息系统开发现状分析 6 图 1 数据库访问 在图 1 中，可以看到不同的系统都有可能请求访问数据库。一些组织可能需要一些额外 的资源。有如此之多的入口点，我们的数据管理员以及系统管理员不得不面临如何保证组织 数据层的安全问题。 所有这些发起者都有一个共同点，它们都使用某种形式的中间件来访问数据库。数据访 问中间件由 odbc/jdbc/ole-db providers/.net providers)组成。 这些中间件使用起来简单快 捷。中间件拥有自己内嵌的安全机制供给开发者使用。 此外，安全的网络系统还可以通过设置防火墙起到访问控制的作用。防火墙通常应用于 严格控制外部网络用户的访问。它通过限制访问的连接数来达到控制的目的。但对绕过防火 墙保护的黑客，防火墙对访问的控制就无能为力了。甚至，黑客也不通过客户端，直接攻击 或入侵服务器上的数据库。那么数据库系统如何实现访问控制？数据库会在用户进入数据库 前，检查用户的身份是否合法，即验证用户名和密码，以实现基本的访问控制。 数据安全性并不总是意味着限制谁有权访问一个数据库。它还关注用户可以获取信息存 储在数据库中的方式。这通常围绕插入/更新/删除记录。如果有人有足够细心和耐心，有几种 方法可以绕过标准的协议，并最终获得敏感的资料。一旦这层已经被入侵，需要关注的是他 们是否可以修改这些的资料。限制用户更新数据的权限是一个非常重要的考虑因素。 数据库视图是用户查询数据库表的结果集，是虚拟的数据表，并不是数据库中存在的表。 通过视图可以查询数据，也可以修改数据，但修改的数据受到限制30。即通过设置视图的权 数据库 php/prei 应用软件 asp.ado.ne t 应用软件 应用服务器 pda 移动便携 式电脑 j2ee/jav a 应用软件 万维网 内部应用软件 第 2 章 数据库信息安全和人事信息系统开发现状分析 7 限，用户具有访问视图的权限，但不具备访问视图引用的基表的权限。这样可以保护敏感的 数据，不同的用户可以看到不同的数据结果集，实现行级或列级的数据安全性30。 除了数据库视图，数据库还使用角色（用户/用户组）概念来实现访问控制。不同的用户 获得访问权限的同时，也相应得到一个角色。不同的角色对应不同的操作权限。例如：一般 用户，仅仅获得查询权限；超级用户，不仅拥有查询权限，同时具备增加、删除、更新权限。 此外，许多系统开发者更加倾向于使用应用程序角色管理来实现数据库的安全性。例如：在 某个应用系统中，某个合法用户只能在相应的模块中具有数据的访问权限（查询、增加、删 除、更新） ，而在另外的模块中只具备查询的权限。这些都是通过角色控制实现的。 在数据库中，还可以通过存储过程实现用户的访问控制。即只给用户执行存储过程的权 限，不给予其修改表和视图的权限。 2.1.3 审计2.1.3 审计 审计是在数据库系统中用来监视、记录和控制用户行为的一种机制 ， 它使影响系统安 全的访问或访问企图留下线索，以备事后分析和追查31。 已有的商业化数据库系统对灵活、有效的审计设置支持相当有限。大多采取对数据库中 所发生的事件全部进行审计的方法， 这样虽然可以实现零信息丢失32， 满足安全分析和责任 追踪的需求，然而却大大降低系统的时间效率和空间效率，记录了大量无用的事件信息。 oracle 作为比较成熟的数据库产品，在其审计模型中，是用一张系统表来保存审计踪迹的， 表中的每条记录包含疑问事件的大量信息。并且共对 180 余条 sql 命令提供审计支持，每条 sql 命令需要记录的信息各不相同33 。审计模型存在着巨大的信息冗余， 同样导致了空间 的浪费，因此提出允许用户选择设置不同的审计策略，即动态的审计策略,并在 sec_vista 上 得到了应用实施33。 审计也可以通过日志的方式，记录用户的操作。 2.1.4 加密2.1.4 加密 在数据库中，有些数据是专门给一些用户查看或使用，对其他用户则是隐形的，这些数 据称为敏感数据。对这些敏感数据可以通过权限设置，限制使用的用户，但这仅仅适用于敏 感数据为整个库或整个表的情况，对于表中的若干个属性为敏感数据的情况就发挥不出权限 设置的优势。这时，可以通过对敏感数据加密，敏感数据在数据库中不再以明文的形式存储， 而以密文的形式存储在数据库中，这样只有拥有密钥的用户才可以对密文解密，得到正确的 明文，实现保护敏感数据1。 2.2 数据库信息安全仍存在的问题 2.2 数据库信息安全仍存在的问题 总之，即使有了以上的数据库安全技术，但类似“05 移动案”带来的危害还是不可以避 免，即缺少安全机制避免有权人员的非法操作带来的危害。 目前，通过用户身份验证或者访问控制，确实在一定程度上保护数据库的信息安全，但 却还是排除不了一些有心人或者非法用户想方设法通过系统的身份认证，甚至是获得用户高 第 2 章 数据库信息安全和人事信息系统开发现状分析 8 级权限，对数据库的数据进行非法的操作，系统也不能及时发现和制止，虽然事后可以通过 系统日志追查到是谁进行了非法操作，但造成的损失却可能无法补救。根本的原因是因为缺 乏解决此安全问题的安全机制。 此外，在数据库安全设置上也存在安全隐患。例如，许多开发者使用加密技术的目的是 避免用户数据在传输过程中被篡改或截取带来的危害。所以，程序一般被设计为在数据存入 数据库前，进行解密验证，保存到数据库中的数据为没有加密的数据，往往忽略后台数据库 中敏感数据的保护。 可见，仅仅使用现存的数据库安全机制和安全设置措施，并不能很好的排除类似“05 移 动案”的数据库安全问题。为此，本文对安全的人事信息系统开发框架进行研究，提出相应 的安全方案，并以学校人事处信息管理系统的开发项目为实例，将安全框架应用到人事管理 信息系统中进行验证方案的有效性。 2.3 人事信息系统开发现状分析 2.3 人事信息系统开发现状分析 人事信息管理系统的开发按照层次结构划分分为：两层结构和三层结构的系统。两层结 构包括：客户端和服务器，三层机构就是在两者间多了中间层。三层结构在安全、稳定性和 大量并发控制上要强于两层结构。三层结构使得客户端不能对数据库直接进行操作，避免了 客户端的安全措施被破解后给数据库带来的安全隐患，并可以避免多用户操作带来的服务器 拥挤问题。因此，在人事信息系统的开发中，倘若对安全性要求高，开发者多采用三层结构。 此外，开发者多采用上文提到的安全措施，例如：用户口令、权限设置、数据加密等技术， 保证人事信息管理的安全。 随着“05 移动案”的发生，人事信息系统的开发者需要慎重的考虑：如何防止有权人员 的非法篡改带来的风险。这些风险是对已经存在的安全措施提出新的挑战。 许多开发人员在开发的过程中，除了根据人事管理业务上的要求完成开发，还需要考虑 采用的安全措施。开发的整个周期持续的时间长。在市场竞争激烈的时代，体现不出开发周 期短、效率高的优势。 综上所述，在人事信息系统的开发中，依然存在安全和开发效率上的问题。 第 3 章 现有的安全和开发问题的解决方案 9 第第3章章 现有的安全和开发问题的解决方案 现有的安全和开发问题的解决方案 3.1 现有的安全问题解决方案 3.1 现有的安全问题解决方案 人事信息系统其实是电子政务系统中的一种，除了具有人事管理的特性外，同时具有电 子政务系统的通用特性。电子政务是指政府运用现代计算机和网络技术，实现其公共管理和 服务职能的数字化和网络化，重组优化政府组织结构和工作流程，向社会提供高效优质、规 范透明和全方位的管理与服务 【34】 。电子政务系统处理的信息关系着政府的安全和人们的利 益，则对系统的安全性和可靠性提出了很高的要求。既要求系统能够安全稳定运行，输出数 据正确无误，也要求系统不易受到攻击。上文已对人事信息系统安全问题进行分析，接下来 就人事信息系统中的信息安全给出具体的例子，并给出安全开发框架相应的安全解决方案。 电子政务系统一般分为内网和外网。外网主要用于对外发布信息，内网存储重要的机密 信息。虽然，在电子政务系统中采用了防火墙、入侵检测以及数据加密技术，可以有效阻挡 外部人员对系统的破坏，但不可避免内部人员对内网的破坏。为此，需要在电子政务系统中 实现用户身份认证和访问控制。 3.1.1 授权管理在电子政务系统中实现的信息安全及存在问题的解决方案3.1.1 授权管理在电子政务系统中实现的信息安全及存在问题的解决方案 电子政务的内网是一个相对封闭的、用户间可信但不平等的环境，它的威胁与电子商务 网络不同，不仅仅是信息的窃取和篡改、用户身份伪造和冒充，更重要的是内部人员的违规 违法行为36。 根据用户的需求将系统划分为不同的模块，并给用户分配不用的权限，控制用户对数据 的访问的做法，其实就是授权管理基础设施 pmi（privilege management infrastructure）的主 要思想。在 pmi 技术中，通过角色划分，将不同的用户分为管理级、业务级和浏览级三个层 次的角色。管理级的用户，可以对系统进行备份、日常维护等；业务级的用户又根据业务的 需要，分配有对数据的增、删、改、查询的权利；浏览级的用户只获得查询浏览信息的权利， 并无增、删、改的权利，从而有效的保护电子政务系统中的敏感信息。 通过限制用户的访问权限，根据用户的需求将系统划分为不同的模块，并给用户分配不 用的权限，控制用户对数据的访问。此技术确实在一定程度上，保证了电子政务系统的安全， 但上文提到的数据库信息安全问题有权人员的非法篡改依旧没能解决。pmi 技术实现的 身份认证和访问控制都是在客户端上实现，用户倘若绕开客户端的安全保护对数据库进行攻 击，采用的技术就变得无效了，此时需要依赖数据库的安全策略。 3.1.2 加密技术在电子政务系统中实现的信息安全及存在问题的解决方案3.1.2 加密技术在电子政务系统中实现的信息安全及存在问题的解决方案 在电子政务系统中，加密技术除了用在传输过程，防止信息的窃取和篡改，还应用在数 据库中。数据库加密技术可分为表加密、记录加密和字段或属性加密，目前常用的是字段加 密37。字段加密技术可分为索引和同态。索引又可分为按密文地址索引和按密文索引；同态 第 3 章 现有的安全和开发问题的解决方案 10 可分为秘密同态和匹配同态。文献38、39阐述了采用密文地址索引的检索机制，文献40、 41阐述了采用密文索引的检索机制，文献42、43提出采用秘密同态处理机制，文献1提出 采用匹配同态的检索机制。 无论是表加密、记录加密还是字段或属性加密，都是将数据通过一定的加密算法和密钥 转换为不能直接读懂的密文，如果想读取原文，需要获得相应的密钥，再用解密算法将密文 转换为明文。在数据库中，应用加密技术使得重要信息不容易被非法用户获取。即使获得的 信息也是不能直接识别的密文。 因为数据库的加密技术采用一定的密钥算法进行运算，如果当用户需要查询记录时，数 据库采用对表加密的策略，即使仅仅查询一条记录，也需要先对表进行解密，花费的时间代 价大。如果数据库采用的是字段加密，可以避免花费大量时间解密的麻烦，并且可以发现被 篡改的数据，但字段加密只是起到信息隐蔽的作用，依然不能防止非法用户对加密后的数据 进行篡改。而本文针对的问题是如何有效防止用户的非法篡改，因此字段加密技术还不能有 效的解决此问题。 3.2 现有的开发问题的解决方案 3.2 现有的开发问题的解决方案 人事信息系统的开发已经很普遍，代码的优化在一定程度上缓解了开发过程长的问题。 例如：避免代码的重复编写，提高代码的重复使用率。在随着中间件技术的不断发展和成熟 的过程中，不同代码之间可以实现资源的共享，实现代码的通用性，也提高了开发的效率。 虽然后来出现了安全中间件的编写和实现6，但安全中间件是对数据的加密和解密，并 没有结合人事管理信息系统安全性高的特点，并将其应用到系统的开发中，能够有效解决有 权人员的非法篡改问题。 综上所述，为解决防止有权人员对数据的非法篡改，同时提高人事管理信息系统软件的 开发效率，本文给出了安全开发框的设计方案。 第 4 章 开发框架设计与实现 11 第第4章章 开发框架设计与实现 开发框架设计与实现 4.1 开发框架的功能 4.1.1 使用开发框架开发的优势 4.1 开发框架的功能 4.1.1 使用开发框架开发的优势 目前，人事管理系统的开发已经很普遍，开发出来的产品也是多种多样。此类系统多为 企业单位内部使用，因此它们的开发一般只要能满足用户业务上的需求就足够了，在安全上 就没有全面的分析和考虑，直接采用一般的信息系统现有的安全策略，例如：用户口令的设 置，用户权限划分等。在类似的“05 移动案”的事件发生前，或许这样安全级别的人事管理 系统能够满足人们在信息管理上的安全要求。它们的开发一般采用两层结构，即 c/s 或 b/s 结构。即使采用了三层结构，在安全策略上的考虑也不完善。 如果采用本文提供的安全框架进行开发，首先，安全上不仅仅可以保持原有的安全级别， 同时在这基础上解决“05 移动案”带来的人事信息系统的安全隐患。安全开发框架采用的安 全策略，能够避免非法人员的不合法操作。另外，安全开发框架采用的安全级别更高的三层 开发结构，每一层的开发都可以相对独立。在开发和修改上，三层结构比起两层结构的系统 更加便捷。开发时，每层的独立开发可以互不影响，倘若需要修改，只要调整相应层次上需 要改动的部分便可，其他层不会受到影响，并且，容易根据各层的特点找出发生问题的地方。 特别的，安全开发框架将安全功能的实现设计在中间层，这样，可以将安全功能部分根据需 求单独实现，并采用中间件技术给另外两层提供接口，使得不同代码之间资源的共享，即客 户端的开发语言可以随便选择，都可以调用中间件提供的安全接口，实现开发框架的通用性。 这样的设计，可以弥补以往人事系统安全功能不全的缺陷。在未来的时间里，或许还有我们 未考虑和发现到的安全隐患，但如果我们采用安全框架，就可以在安全中间件中不断的补充 新的安全策略，不必重新开发新的安全级别更高的人事信息系统来弥补旧系统的不足了。 这 些优势都是以往一般系统所没有的。 4.1.2 开发框架具备的功能特点4.1.2 开发框架具备的功能特点 针对人事信息系统在数据库信息安全上存在的问题， 本文给出的安全开发框架具备安全、 快速通用、稳定的功能。 安全性 安全性 在此安全开发框架中，使用者在修改数据时需要使用专用密钥进行数字签名，数据写入 数据库前还要由系统进行验证， 数据使用前系统再次验证用户签名以及时发现非法修改数据。 采用这样的安全机制后，软件开发者、系统管理者、软件使用者在伪造数据后都被及时发现， 从根本上杜绝了数据被篡改后不被发现的可能性。 用户身份认证和访问控制的实现，不能避免非法用户绕过客户端或中间件的安全保护措 施，直接对数据库攻击带来的危害，或者有权人员对数据的非法篡改，不能及时发现和追究 第 4 章 开发框架设计与实现 12 到相关的责任人。例如：客户端或中间件的安全机制没有对非法用户或者有权人员造成影响， 非法用户或有权人员直接进入数据库修改数据，但系统未发现数据被篡改，依旧让客户读取 错误或伪造的数据。因此，本系统不仅仅在用户写入数据时需要签名验证，在从数据库读取 出数据时，也需要对数据进行验证。即进行双向的签名验证，避免以上情况的发生。这样即 使客户端仅仅采用用户名+密码的身份认证方式，也不用担心数据的安全。 快速通用性 快速通用性 安全开发框架每一层允许应用的各层并行开发，并选择各自最合适的开发语言以及开发 环境，使系统能够并行地高效地开发，达到较高的性价比。每一层的处理和逻辑维护更容易。 往往在人事信息管理中需要处理的数据量大，客户端不仅仅要满足用户庞大的功能需求，还 需要完成数据的处理，在时间和效率上都或多或少会受到影响。倘若在数据的处理中出现了 问题，还需要花费大量的时间去查找问题的根源。这些都是以往人事信息系统开发时忽略的 问题。而采用安全框架结构开发，数据处理和客户端功能开发相互独立，可以在问题出现时 及时发现问题的根源，并且，两者可以同时开发，减少开发的时间，提高效率。 为缩短开发周期，提高效率，安全开发框架采用中间件技术，将客户端、系统的数字签 名和验证封装起来，提供接口给用户直接使用，并给出相关的数据库设计方案和生成工具， 详细见下文，让开发者在开发时不需要考虑安全的具体实现，达到开发工具的通用性目标。 另外，通过中间件技术能够完成不同代码的资源共享，实现安全开发框架的通用性。这些都 能有效节约了开发者的开发时间。 稳定性 稳定性 因为开发框架采用了三层结构，能够很好的处理并发操作给服务器带来的拥挤问题，使 得系统更加稳定。此外，采用安全框架开发可以使得各层灵活有效地选用相关软硬件系统， 使之在处理负载及处理特性上分别适应结构中的不同层，并具有良好的可升级和开放性，更 好的实现系统的稳定性。 4.2 开发框架的应用模型 4.2 开发框架的应用模型 由客户端、应用层服务器和后台数据库构成了安全开发框架应用模型的三大重要组成部 分（图 2） 。本文设计的安全开发框架，要实现的功能就是将人事信息系统的业务功能模块与 安全功能模块两者的开发分离，将繁琐的开发简单化，减少代码的重复编写，提高代码的可 重用性， 重点克服前文所提到的存在而未能解决的安全问题。 采用安全开发框架三层结构 （客 户端+应用层服务器+后台数据库）的人事信息系统，无论是在移植性能上，还是在安全性能 上都优于以往采用两层结构的人事信息系统。 第 4 章 开发框架设计与实现 13 图 2 安全开发框架应用模型 第一层是用户界面层，是开发框架的用户接口部分。它的主要功能是负责获取用户操作 数据并调用合适的 web 服务来对数据进行处理，同时显示返回的结果。 第二层 web 服务层，主要完成与数据库的交互和业务逻辑功能的实现，采用基于 java 程序语言的 web service 技术， java 技术开发使系统具备跨平台运行的优越性和良好的易扩展 性。采用组件化设计原则，可以根据需要方便地增加功能模块。 第三层数据层，数据库采用 postgresql 数据库，有严格的安全控制和数据备份机制，可 以确保数据安全可靠。 4.2.1 客户端4.2.1 客户端 在本文设计的安全开发框架中，客户端的开发主要是根据用户的需求实现业务上功能， 与一般的人事信息系统不同的是， 其不需要考虑对数据库操作的实现和数据信息的安全问题， 要做的仅仅是将数据封装为开发框架提供的第三方数据结构（此数据结构的设计请见下文的 说明） ，或者调用中间层提供的数据库操作等服务方法。在开发过程中，为避免出现客户端与 中间层因使用的开发软件不一致，造成两者采用的数据结构不一致带来的不便，开发框架提 供第三方数据结构，此数据结构的存在是方便客户端与中间层的数据交互，实现开发框架的 通用性。 4.2.2 应用层服务器4.2.2 应用层服务器 应用