[摘 要] 本文通過對人力資源管理系統(tǒng)的安全性調研，提出了系統(tǒng)的三層安全防范機制。網(wǎng)絡通訊保護層（SSL）、系統(tǒng)登錄口令保護層、數(shù)據(jù)庫訪問保護層，來構建系統(tǒng)的安全體系。在數(shù)據(jù)庫的安全性中，使用了數(shù)字簽名技術下的身份認證、數(shù)據(jù)加密、權限訪問、角色分配等保護措施，進一步保證數(shù)據(jù)庫系統(tǒng)的安全。

[關鍵詞] Web 人力資源管理系統(tǒng) 身份認證 數(shù)字簽名 加解密

基于Web的高校人力資源管理系統(tǒng)在高校人力資源的管理和發(fā)展規(guī)劃方面起著舉足輕重的作用。但隨著網(wǎng)絡的開放，人力資源系統(tǒng)的安全性讓人擔憂。如何驗證用戶身份的真實性，如何保證數(shù)據(jù)在傳輸過程中不受干擾，保證數(shù)據(jù)的安全性和真實性等安全問題，成為人力資源管理系統(tǒng)急需要解決的問題，本文旨在研究人力資源管理系統(tǒng)的安全體系。

人力資源管理系統(tǒng)的安全性調研

高校人力資源管理系統(tǒng)，涉及到教職工的一些重要信息，如教師的職稱、學歷、學位、工作時間、聘任崗位等信息必須嚴格進行保密。經(jīng)過大量的充分調研以及本人的切身工作經(jīng)歷，在人力資源管理系統(tǒng)的設計過程中，應該充分考慮業(yè)務層和數(shù)據(jù)層的安全性，對于業(yè)務層，做到根據(jù)角色不同可以執(zhí)行不同的任務，作不同的操作，使用不同的操作流程；對于數(shù)據(jù)層，根據(jù)數(shù)據(jù)集的不同，角色的不同，可以對數(shù)據(jù)擁有不同的讀取、修改、刪除的權限；對于每一個用戶在系統(tǒng)的每一步操作，系統(tǒng)都應該有相應的日志記錄，以備查詢。

系統(tǒng)安全體系研究

1.網(wǎng)絡通訊保護層（SSL）

SSL(Secure Sockets Layer)是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議。SSL協(xié)議位于TCP/IP協(xié)議與各個應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持，保證傳輸過程安全、可靠。SSL協(xié)議可分為兩層，SSL記錄協(xié)議(SSL Record Protocol)和SSL握手協(xié)議(SSL Handshake Protocol)。SSL安全機制的通信過程如下：用戶與IIS服務器建立連接后，服務器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進行加密，然后傳遞給服務器，服務器端用私人密鑰進行解密，這樣，用戶端和服務器端就建立了一條安全通道，只有SSL允許的用戶才能與IIS服務器進行通信。

2.數(shù)據(jù)庫的安全性

數(shù)據(jù)庫安全模型如圖1，分為認證模塊、授權登錄模塊、加解密模塊。可采取的安全保護措施有：數(shù)據(jù)加密、系統(tǒng)登錄口令保護、權限控制、訪問控制等。

圖1 數(shù)據(jù)庫安全模型

（1）認證模塊

認證模塊主要用于用戶的注冊與認證，用戶首先進行嚴格的注冊，然后，系統(tǒng)根據(jù)注冊信息進行認證。用戶的注冊是用數(shù)字簽名技術，通過同認證中心進行雙向身份認證以獲得注冊，并用于后續(xù)認證。

數(shù)字簽名是公開密鑰體系加密技術發(fā)展的一個重要的成果。主要是通過單向散列函數(shù)(Hash)和RSA 加密算法來實現(xiàn)。在Hash函數(shù)的構造中，輸入可變長數(shù)據(jù)，得到一個固定長度的散列值，作為第三方，不可能用不同的輸入數(shù)據(jù)得到一個完全相同的散列值，即h(M)=h(M’)；而且，散列函數(shù)的單向性、一致性和唯一性，也保證了散列函數(shù)的安全性與通信數(shù)據(jù)的完整性。

（2）授權登錄模塊

授權登錄模塊主要依靠權限管理來實現(xiàn)。權限管理包括系統(tǒng)功能定義，角色定義和角色分配。系統(tǒng)采用了先進的基于角色的訪問控制思想，在系統(tǒng)中根據(jù)資源訪問情況定義了相對穩(wěn)定的角色類別，然后根據(jù)用戶的需要分配給相應的角色來完成資源的訪問。系統(tǒng)的角色類別有系統(tǒng)管理員、人事處負責人、院級領導、職能部門負責人、普通用戶等。在基于角色的權限控制中，不同的角色擁有不同的權限。在對角色的權限分配是在系統(tǒng)的角色定義里完成。系統(tǒng)管理員在人機交互界面中，可以方便地對角色權限進行配置。在角色定義頁面中，根據(jù)要授權的內容，修改條目對話框中各項內容的具體權限。

（3）加解密模塊

系統(tǒng)的加解密模塊中，對數(shù)據(jù)庫中數(shù)據(jù)表的數(shù)據(jù)采用的是二級密鑰管理機制進行加解密。所謂二級密鑰管理機制就是一級密鑰是主密鑰，二級密鑰是工作密鑰。工作密鑰用于對數(shù)據(jù)庫中的數(shù)據(jù)進行加解密，主密鑰是對工作密鑰進行加密。這樣既利用了私鑰算法的快速性又保證了工作密鑰的安全性。在本系統(tǒng)中，以數(shù)據(jù)表為加密對象，可設計一個主密鑰，多個表密鑰。主密鑰的作用是用來生成表密鑰，并保證表密鑰的安全。表密鑰對數(shù)據(jù)表進行加密，并保證數(shù)據(jù)表中敏感數(shù)據(jù)的安全。整個數(shù)據(jù)庫的安全性依賴于主密鑰的安全性。這種二級密鑰管理機制可以有效避免字段加密或記錄加密龐大密鑰量的存儲管理以及加密粒度過小所帶來的加解密時耗，這樣也就提高了用戶的訪問效率。

結束語

基于Web的高校人力資源管理系統(tǒng)的安全問題是一個系統(tǒng)性、綜合性的問題。不僅要從硬件、軟件上進行安全考慮，更要從維護系統(tǒng)的管理人員來考慮，人人要有安全意識，安全操作，系統(tǒng)的安全問題才能夠得到有效的解決。

參考文獻：

[1]劉宗田.Web 站點安全與防火墻技術[M].北京:機械工業(yè)出版社,1998：102-110.

[2]蔣光明.開放式系統(tǒng)的安全策略[J].重慶師范學院學報( 自然科學版)，2002,19(2):90-92.

[3]陳也平.基于校園網(wǎng)的高校人事管理系統(tǒng)[J].微機發(fā)展,2002,12(2):32-34.

[4]汪培芬.數(shù)據(jù)庫加密技術的研究與實現(xiàn)[D].南京:南京理工大學,2008.