冶金企业B／S模式管理信息系统的网络安全吣rtant苍大强建唐卓蕾器假务器(B／s)模式，B／s架构的突出特点是服务器张广彬宗燕兵杨MetallurgicMISWeb服务的安全B／S模式的网络结构刘(北京科技大学)1引言TheNetworkSafetyofEnterprisesDependB／SJian(University目前，我国大部分冶金企业已经实现或者正在实现管理信息系统。管理信息系统的实现，能够极大地提高生产效率，更加适应日益激烈的市场竞争。但是，随之而来的就是其安全性问题。如果冶金企业生产方面的数据或其他更重要的信息泄露，会造成企业的直接经济损失。因此，冶金企业在实现了管理信息系统之后的首要问题就是网络的安全性。目前，冶金企业管理信息系统大部分是基于浏览端数据便于集中管理和浏览器端操作简单。但B／S模式的安全性比客户机／且艮务器(c／s)模式稍差。全问题的核心就是B／S模式服务端的三个重要组成部分：web服务、数据库系统、应用服务。3·1安全策略的制订B／S模式结构包含了客户、web服务器和应用服务器三层结构，涉及到四个组成部分：浏览器、web服务器、数据库服务器、应用服务器。其网络结构框图见在这种结构下，用户工作界面是通过www浏览器来实现，极少部分事务逻辑在前端浏览器实现，主要事务逻辑在服务器端实现。这种模式相对于传统的C／S模式有很大的优势，所以基于B／S模式的企业应用也越来越多，因此安全也成为主要考虑的问题。安3．1．1威胁分析冶金企业的Web站点应首先定制适合于自己系统的安全策略，这些策略根据企业的不同而有所差异。在定制安全策略之前应先做威胁分析，主要包括：威胁来自网络内部还是外部；入侵者将访问哪些数据库、表、目录或信息；威胁是因为内部的非授权使用还是移动数据；数据被破坏还是受到了攻击，或是网络内外非授权访问、地址欺骗、IP欺骗等。威胁分析能够更好的发现站点弱点，对安全性有着指导性的意义。摘要：主要讨论了冶金企业基于B／S模式的管理信息系统的网络安全，从web服务、数据库服务、应用程序三个重要部分进行归纳总结，对冶金企业的信息化有很好的指导作用。关键词：网络安全浏览器／勇艮务器冶金企业MISZhangGuangbinCangDaqiangZongYanbingLiuTangZhuoYangLeiBeijing)图1B／S模式网络结构32图1。onScienceandTechnologydevelopmentMIS．metallurgicWeb服务器客户端数据库服务器应用服务器Abstract：ThispapermainlydiscussesthenetworksafetysteelenterprisesdependB／S，concludedfromthreeparts：webselwice，databasesystemapplication．ThebetterleadprisesKeywords：networkbrowser／server360enter—can4数据库系统的安全5应用程序的安全3．1．2服务器记录原则服务器在收到连接和访问时，应有详细的记录，自动生成日志。每一条记录应该包括访问者的IP地址和主机名。全面的信息记录还应该包括：请求状态、请求时间、传递数据的大小等。这些记录对于分析服务器性能、发现和防止入侵是很有用的。同时，也应该采取一定的安全策略来保护用户的信息。不仅如此，要尽量避免收集过多信息，保证Web服务器允许改变输出记录，定期地总结记录，清除不必要的信息。3．2修补站点的安全漏洞修补和排除Web服务器的漏洞是最基本的安全措施。对于一台Web服务器来说，为了使其漏洞降到最小，通常可采用如下分析方式：(1)修补已知系统漏洞。系统漏洞是指操作系统本身存在的漏洞。有的系统漏洞威胁很小，有的却很大，甚奎能够获得服务器最高权限或远程在服务器上执彳予任意的代码。定期到安全网站了解最新系统漏洞，及时打上补丁或在线更新，可以减少系统漏洞的安全威胁。(2)减少代码漏洞。代码的编写不当可能会导致用户的非法访问，有的时候甚至能访问到重要的内部数据。目前，这方面的攻击法已经很成熟，所谓的SOL注入攻击就是由于代码对特殊字符的过滤不严谨造数据库是冶金管理信息系统重要组成部分，通常数据库记录着业务信息、技术信息和用户信息等。牢靠的数据库系统是数据安全的有力保证。4．1数据库安全系统特性数据库安全系统特性为：(1)数据独立性。数据独立于应用程序之外存在。数据库物理结构的变化不影响数据库的应用结构，也不会影响其相应的应用程序。不仅如此，有的时候也要求数据库的逻辑结构的变化不会影响应用程序，数据类型的修改、增加或修改字段等不会导致应用程序的修改。(2)数据的安全性。数据库要保证未授权的用户无法获得其权限外的数据。