基于Web的工程管理软件的软件安全设计与实现

摘要

随着互联网技术的快速发展,Web系统得到了广泛的使用,与人们生活息息相关的Web站点呈现爆发式增长。不仅如此,基于Web的管理系统也不断被企业所使用,为企业提供了在线办公的便利,有效地提高了企业的管理效率。但基于B/S架构的Web系统由于其开放性和HTTP通信协议的无状态性,使其面临极大的安全威胁,越来越多的Web站点都曾受到过黑客的攻击,所以Web系统的安全研究如今显得尤为重要。访问控制以及SQL防注入在Web系统的安全研究中占据非常重要的位置,已成为Web系统安全研究的两个主要方向。本论文以Web系统安全为课题对象,重点研究访问控制和SQL防注入的设计及实现方法。
　　在访问控制方面,本论文先介绍访问控制的概念、基本原理、常用的访问控制技术及其优缺点,然后重点分析 RBAC96访问控制模型,分析模型特点、模型应用范围。本论文在 RBAC96模型分析的基础上,针对该 RBAC模型的局限性,提出了一种改进型的RBAC模型——可代理RBAC模型,这一访问控制模型可以让角色在用户间适当的转移。最后,本论文结合具体的Web系统在访问控制方面的安全需求,采用了一种基于可代理 RBAC模型的三层访问控制方案,并且在ASP.NET的开发平台上,结合SQL Server数据库的使用,实现该三层的访问控制方案。
　　在SQL防注入方面,本论文先介绍SQL注入攻击的基本概念,然后分析SQL注入攻击的特点、主流的攻击方式和常用的攻击流程。在深入理解SQL注入攻击原理的基础上,本论文还重点分析基于ISAPI技术的SQL防注入方法。本论文将ISAPI程序与传统的CGI程序进行对比,分析ISAPI技术的技术特点、技术优势,明确ISAPI技术所能解决的问题。最后,本论文结合具体的Web系统在SQL防注入方面的安全需求,采用了一种基于ISAPI Filter技术的SQL注入攻击防火墙方案,并且借助MFC类库的支持,结合VC++开发工具的使用,实现了该SQL防注入方案,成功开发出了一种专用的SQL注入攻击防火墙,并以动态链接库的形式将其加载到网站服务器IIS上。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 课题研究的背景及意义

1.2 国内外研究现状

1.3 论文的主要内容及结构安排

第二章 访问控制原理

2.1 访问控制概念

2.2 访问控制分类

2.3 常用的访问控制技术

2.4 RBAC96访问控制模型

2.5 一种改进的RBAC——可代理RBAC模型

2.6 本章小结

第三章 SQL注入原理及防御技术

3.1 SQL注入的概念

3.2 SQL注入攻击的特点

3.3 SQL注入攻击的方式

3.4 SQL注入攻击的一般流程

3.5 ISAPI防御技术

3.6 本章小结

第四章 系统安全的需求分析

4.1 安全系统的开发背景

4.2 安全需求分析

4.3 本章小结

第五章 Web系统安全的设计与实现

5.1 访问控制系统的设计与实现

5.2 SQL注入攻击防御系统的设计与实现

5.3 本章小结

第六章 系统安全性测试

6.1 访问控制的测试

6.2 防注入攻击的测试

第七章 全文总结与展望

7.1 全文总结

7.2 后续工作展望

致谢

参考文献

攻读硕士学位期间取得的成果