于
MMC(管理控制台)安全配蜃和分析工具,利用它们可以很方便地配置服务 器。
4.服务安全设置
(1)关闭不必要的端口。用端口扫描器扫描系统已开放的端口,确定系统开放的哪
些服务可能引起黑客入侵。
(2)设置好安全记录的访问权限。安全记录在默认情况下是没有保护的,把它设置
成只有Administrators和系统账户才有权访问。
(3)要把一些重要的用户数据(文件、数据表、项目文件等)定时备份在另步卜一个
安全的服务器中。
(4)禁止建立空连接。默认睛况下,任何用户都可通过空连接连上服务器,进而枚
举出账号,猜测密码。可以通过修改注册表来禁止建立空连接:需要把 “LocaLMaehinekSystem\CurrentConlrolSet\Conla-oILLSA·RestrictAnonymous”的
僮改成‘‘1”。
.35.酒店管理系统的设计与实现 3.4.2数据库安全设计
数据库是管理系统的基础,通常都保存着重要的酒店经营和客户信息。数据完整性
和合法存取会受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本
身的安全方案。
微软的SQL Server是一种广泛使用的数据库,数据库系统中存在的安全漏洞和不
当的配聂通常会造成严重的后果,而且都难以发现。数据库应用程序通常同
操作系统的
最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库,这就表
示任何人都能够用分析工具试图连接到数据库上,从而绕过操作系统的安全机制,进而
闯入系统、破坏和窃取数据资料,甚至破坏整个系统。
在进行SQL Server 2000数据库的安全配置之前,首先必须对操作系统进行安全配
置,保证操作系统处于安全状态。然后对要使用的操作数据库软件(程序)进行必要的
安全审核,接着,安装SQL Server2000后打上最新的补丁sp3。 在做完上面三步基础之后,迸~步对SQL Server进行如下安全配置: 1.使用安全的密码策略。数据库帐号的密码不能过于简单,不将sa帐号的密码写
于应用程序或者脚本中。同时定期修改密码。
2.使用安全的帐号策略。由于sQL Server不能更改sa用户名称,也不能删除这个
超级用户,所以,必须对这个帐号进行最强的保护,使用一个非常强壮的密码,不要在
数据库应用中使用sa帐号,不要让管理员权限的帐号泛滥。本系统主机使用数据库应
用只是用来做查询、修改等简单功能的,根据实际需要分配帐号,并赋予仅仅能够满足
应用要求和需要的权限。
3.加强数据库日志的记录。审核数据席登录事件的“失败和成功”,在实例属性中
选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里
面,就详细记录了所有帐号的登录事件。定期查看SQL Server日志检查是
否有可疑的
登录事件发生。
4。管理扩展存储过程。在多数应用中根本用不到多少系统的存储过程,两SQL
Server的这么多系统存储过程只是用来适应广大用户需求的,所以删除不必要的存储
过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。
5.防止探测到服务器的TcP/IP端臼。默认情况下,SQLServer使用1433端口监
听,通过微软未公开的1434端口的UDP探涮4可以很容易知道SQL Server使用的什么
TCP/IP端口,在实例属胜中选择TCP/IP协议的属性。选择隐藏SQL Server实例。如
果隐藏了SQL Server实例,则将禁止对试图枚举阿络上现有的SOL Server实例的客
.36—大连理工大学硕士学位论文
户端所发出的广播作出响应。这样,别人就不能用1434来探测服务器的TCP/IP端口了
(除非用Port Scan)。
6.修改TcP/IP使用的端口。请在上一步配置的基础上,更改原默认的1433端口。
在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其
他端口。
7.拒绝来自1434端口的探测。由于1434端口探测没有限制,能够被别人探测到一
些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对
Windows 2000操作系统来说,在IPSec过滤拒绝搏1434端口的UDP通讯,可以尽可能
地隐藏SQL Server。
8.对网络连接进行IP限制。SQL Server 2000数据库系统本身没有提供网络连接
的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的
IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访
问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。
安全和应用在很多时候是矛盾的。因此,在安全设计过程中,需要在其中找到平衡
点,使其既不妨碍系统应用,又能保证系统安全。 3.5环境设计
3.5.1网络与硬件配置 1.局域网
为适应目前系统的需求和以后系统的进一步扩展,现采用1000Base.TX快速以太网
的网络体系结构。主干网采用1000Base.TX快速以太网,用Intel InBusiness 24-port
100/1000 Switch快速以太网交换机连接服务器和支干网交抉机。支干网采用100Base.
TX以太网,用100Mbps的D—Link 24口快速以太网交换机与主干网交换机和工作站相
连。 2.布线系统
采用基于超5类双绞的综合布线系统,同时支持语音和数字的传输。 硬件环境
3.服务器
采用基于Intel处理器的工业标准PC服务器。 对机器的指标是:
一37.酒店管理系统的设计与实现 CPUP3 800MHZ以上
DISPLAY CARD支持800*600分辨率 基本内存256M推荐512M WINDOWS兼容MOISfSE 标准101键盘 1 44m软盘驱动器 硬盘SCSI接口18G以上 4.工作站
采用基于Intel处理器的工业标准个人计算机,工作站的数量取决于信息点的多
少,一般一个信息点至少一台计算机。 对机器的指标是: CPUP2400M}配以上
DISPLAY CARD支持800*600分辨率 基本内存128M推荐256M wD『DO、嬲兼容MOUsE 标准101键盘 1 44m软盘驱动器 硬盘6G以上
w州D0wS兼容打印机
3 5、2系统软件和开发工具及方法的选择 1.开发工具
近几年,自从Visual FoxPro从Visual Studio中分离出来以后,Visual FoxPro的版本
升级速度明显加快,几乎每年都有新版本问世。随着版本的迅速升级,许多