管理信息系统.doc

河北理工大学轻工学院课程论文 课程名称： 管理信息系统 论文题目：基于WEB的学生管理信息系统及安全性 专 业 ： 工业工程 班 级 ： 08工程2 姓 名 ： 学 号 ： 200815100210 指 导 教 师 ： 2011 年 3 月21日 基于WEB的学生管理信息系统及安全性 摘要：随着通信技术的不断发展和互联网络的广泛应用，教育信息化将会成为未来教育发展和改革的主旋律之一。管理信息系统以计算机为工具、最少的资源投入获得最佳综合效益；是计算机技术与业务管理的结合物。它不仅具有技术特性，而且具有管理特性。学生管理信息系统主要有学生入学管理系统、学生课程管理系统、学生成绩管理系统、学生奖惩管理系统、学生毕业管理系统、查询检索系统等，在校园网系统中能为用户提供完整、综合、共享的信息，对于学校的教育管理、教学、科研都具有极大的实用价值。而且对Web管理信息系统中运行环境、数据存储、数据传输和系统自身设计等安全性问题提出了解决方法 关键字：学生管理信息系统；Web；BS;安全性0 引言 网络应用的深化和软件模式的更新，使得基于CS，BS构架的软件系统成为发展趋势与CS系统相比，BS构架具有更好的跨平台性、可扩展性，易更新升级和维护，在信息系统中得到广泛应用目前流行的BS架构管理信息系统开发模式均由Web服务器提供服务响应，使用动态网页进行开发现有的动态网页技术都具有解释执行而非编译执行的特点，程序代码比较公开，在安全性方面不尽如人意建立在广域网之上的BS系统具有开放性，安全控制能力相对CS系统较弱，面向不可知的用户群时，对信息的安全性、保密性要求较高，这对管理信息系统的开发无疑是一个挑战与传统的基于CS体系结构的管理信息系统相比，Web管理信息系统具有可维护性好、可移植性高、随时随地访问等优点，所以在这里的学生信息系统，更好的表现出了web管理信息系统在管理信息系统中的应用这样还能更好的把学生的信息安全化. 1 系统设计目标本系统实现基于Web的学生管理信息系统，很容易地完成学生信息的输入、查询、统计等，使得学生的信息管理工作更加清晰、条理化。针对学生信息的特点及管理中的部分弊端，实现了学生信息管理的电子化，减轻了相关管理人员的工作负担，能够规范、高效地管理众多的学生信息，并可避免一些人为操作错误及不规范行为，以及关于学生管理信息系统在安全性的设计。同时还提供给学生相互交流牟功能，使得信息管理更为方便和有效。本系统考虑到高校对工作效率要求高、学生数量大、更新速度快等特点，所以本系统具有全面性、先进性、易维护性、可扩展性、良好的安全性，采用B/S模式管理信息系统，使得要使用的人都能通过www 浏览方式访问管理系统，实现信息的互动与运程管理。2 开发基于Web的学生管理信息系统的背景及意义学生信息是高校非常重要的一项数据资源，但其包含的数据量大，涉及的人员面广，而且需要及时更新，故较为复杂。该系统针对学生信息的特点以及管理中实际需要而设计能够有效地实现学生信息管理的信息化，减轻管理人员的工作负担。高效率、规范化地管理大量的学生信息，并避免人为操作的错误和不规范行为。随着科学技术、网络信息的不断发展计算机科学也日渐成熟，其强大的功能已为人们深刻认识，如今，它已进人人类社会的各个领域并发挥着越来越重要的作用。作为计算机应用的一部分，使用计算机对学生信息进行管理，具有手工管理所无法比拟的优点。例如：检索迅速、查找方便、可靠性高、存储量大、保密性好、使用寿命长、成本低等。21 系统背景学生的信息管理是学校管理的重要组成部分。不仅涉及学生在校读书期间的信息，同时还可以对一个学生毕业后进行的跟踪管理；当然学生管理也关系到班主任的工作。学生管理的重要性不言而喻，但是学生管理在学校中很繁琐的，在学校各项管理中，学生信息管理牵涉到的其他管理内容是最复杂的，所以在实际管理工作中。往往由于记录的数量多、管理复杂、连续性差，容易造成学生信息管理的混乱。而解决办法就是借助计算机技术和数据库管理系统对整个学生信息的管理实行电子化。22 研究的意义长期以来，大量的管理信息系统建立在cs结构有以下优点：(1)开发成本及维护成本降低。由于BS架构管理软件只安装在服务器端(Serve0上， 网络管理人员只需要管理服务器，用户界面主要事务逻辑在Seer端，极少部分事务逻辑在前端实现。用户通过通用的浏览器访问信息管理系统网络管理人员只需要做硬件维护。(2)良好的安全性能，防火墙技术保证后台数据库的安全性；所有客户端请求都是通过DBMS(数据库管理系统)来访问数据库，从而大大减少了数据直接暴露的风险。其处理过程如下图所示。实现学生管理信息系统可使学生管理工作发挥出最大的效能，从而获得巨大的收获。其意义主要表现在：学生管理系统的开发和应用，可以提高学校的管理水平。学校办公效率可以有很大的提高，为学校的信息管理提供了一个良好的工具化简了繁琐的工作模式从而使学校的管理更加合理化和科学化。良好的管理信息系统节省了大量的人力和物力。也避免了大量重复性的工作。3 系统涉及的内容本系统涉及功能图如下主要包括6大功能：用户管理：含学生管理与教师管理、班级管理、课程管理、选课管理和成绩管理，说明如下：31 用户管理模块：主要功能是对用户属性和权限进行管理，是系统的基础模块。其功能如图四所示。由管理员添加学生与教师用户(默认)密码和用户名，用户自己可以修改密码。32班级管理模块：对不同专业自然班级进行管理，主要功能是对该班学生选课信息的统计、成绩的统计分析等。3-3 课程管理模块：系统可根据具体的教学大纲列出不同学期的课程及学分。课程分为基础课、专业课和选修课3种类型。课程管理模块制约选课模块，学生应按每学期开设课程信息来选课。3-4选课管理模块：主要功能是统计选课信息，根据学生选课时间先后顺序来决定最终选修某门课程的学生名单。4 系统的数据安全性在数据库中，Oracle9i具有经济性、可伸缩性和可用性等优势 ，尤其是该数据库的安全级别较高，日常备份易操作和实现因此，毕业设计管理信息系统选用Oracle9i为后台数据库Oracle数据库的安全性体现在它对用户、权限、角色和用户配置文件的管理上用户是由管理员建立并授权的一个数据库账户，每一个企图使用Oracle的用户都必须得到合法的用户账户和口令，才能操作数据库对象每个Oracle数据库都有一个叫做DEFAULT的配置文件，它被赋予数据库中所有已经存在的用户和新创建的用户。系统通过修改该配置文件，将数据库所有用户都限制为使用特定资源系统自身设计上的安全性预防来自外部的攻击 1)来自系统外部攻击的主要手段由于Web系统自身的安全性原因，许多攻击者可以在客户端通过构造特殊输入绕过身份认证进入系统，或者在客户端输人特殊值攻击系统的弱点导致程序运行失败、系统当机、重新启动等后果，或者跨权限非法访问网页等数据驱动攻击包括输入验证攻击和缓冲区溢出攻击2种类型 数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者提供访问目标系统的权限输入验证攻击针对程序未能对输入进行有效验证的安全漏洞，使得攻击者能够让程序执行指定的命令如果程序没有任何限制地接受输入数据的类型、长度、格式或范同，那么应用程序不可能是可靠的如果攻击者发现程序对输入是没有任何限制地接受，则判定输入验证有安全问题，并将通过编写的输人危及应用程序的安全对用户输人的错误信任是Web应用程序中最常见和最具破坏性的漏洞缓冲区溢出攻击是一种常见的危害很大的系统攻击手段，它的原理是向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的2)系统设计时所应采取的措施绕过系统身份验证进入Web系统是一种比较典型的数据输入验证攻击常见的系统中都有用户登录程序身份验证通过表单获取用户名字和密码，然后把这些数据发送到服务器端，服务器端程序查找数据库并验证用户身份，这种方法非常常见检查用户名字和密码是否合法时，许多开发者使用类似的SQL查询语句“SELECT count( )FROM client WHERE (name =+username +)and (pwd ： + password+)”，用户名和密码都可直接从用户的输入得到查询数据库的SQL命令直接利用表单输人数据构造是不安全的如果count( )返回的结果是0，则查询未能找到匹配的记录，用户被拒绝访问那么，攻击者如何绕过这个验证过程呢?攻击者会首先假定验证过程使用上面这种SQL命令进行验证，然后发送伪造的用户名字和密码，改变SQL命令的判断逻辑由此可知，即使攻击者并不知道合法的用户名字和密码，也能非法通过身份验证针对这种攻击形式，将本系统的做法归纳出如下对策：1)禁止将Web程序错误信息显示在网页上，特别是有关执行SQL语句的错误提示2)确定客户端输人数据的合法性规则通常可以通过正则表达式来表示合法数据的各种可能的结果3)正确处理引号，防止攻击者利用引号改变SQL命令的逻辑，有效的方法是事先转义引号字符5 总结总线冗余由于直接增加硬件设备，所以在提高可靠性方面最为直接，通常也比其他冗余方式具有更好的冗余效果。总线冗余增加的硬件部分需要额外的系统成本。这在象铁路信号系统这样对可靠性和安全性等性能指标要求苛刻的系统中是值得的。文中提出的CAN总线收发器的热冗余方式较冷冗余方式有适应性强，主控器干预少以及自适应切换等优势，提供学生的基本信息，同时它也需要如教学管理系统提供课程设置数据等。这些系统在具体应用中构成一个大系统，相互调用对方的数据。科技的进步发展，会给该系统带来更多便捷，随着编程技术及网络的日益成熟和普及，各种信息的传输及在网络上的共享更加方便互联网在基于WEB的管理工作中的重要性将日益突出。