【正文】 其它說明Varchar（500）各數(shù)據(jù)表之間關(guān)系類如圖415所示。圖415 各數(shù)據(jù)表聯(lián)系圖 Figure 415 All Data List Connectivity Diagram 系統(tǒng)的安全基于B/S模式的退伍軍人信息管理系統(tǒng)采用了后端數(shù)據(jù)庫的動態(tài)頁面生成技術(shù)，使得用戶通過WWW平臺不僅可以進行靜態(tài)信息的瀏覽．而且可以進行數(shù)據(jù)庫訪問和數(shù)據(jù)處理，因此，如何保證所發(fā)布數(shù)據(jù)的安全，成為系統(tǒng)安全設(shè)計中必須要解決的問題。 安全問題基于B/S模式的系統(tǒng)安全設(shè)計的重要性，由于B/S模式的網(wǎng)絡(luò)環(huán)境和自身的特點，決定了系統(tǒng)安全設(shè)計的重要性。，但需要安全防范的層次增多B/S模式是傳統(tǒng)C/S的擴展，具有其全部的優(yōu)點，且用戶接口、業(yè)務(wù)處理和數(shù)據(jù)的分布更加靈活。但由于網(wǎng)絡(luò)環(huán)境復(fù)雜，系統(tǒng)資源分散，給系統(tǒng)的安全帶來許多因素，需要在多個層次上考慮系統(tǒng)的安全問題。，使用靈活，但也為非法用戶進人系統(tǒng)提供了有利條件。任何地方的計算機只要聯(lián)網(wǎng)并裝有瀏覽器就可以進入系統(tǒng)進行操作，標準友好的Gull界面的瀏覽器軟件作為信息系統(tǒng)最終用戶的操作界面，用戶端的配置十分簡單、靈活，用戶操作方法標準統(tǒng)一，易學(xué)易用。，系統(tǒng)的安全防范應(yīng)主要針對各種服務(wù)器B/S模式信息系統(tǒng)的數(shù)據(jù)存放在數(shù)據(jù)庫服務(wù)器中，大部分的業(yè)務(wù)處理程序在應(yīng)用服務(wù)器中存放和運行，另一小部分程序存放在應(yīng)用服務(wù)器的網(wǎng)頁和控件中，需要時以瀏覽器擴展的形式下載到瀏覽器端運行。應(yīng)用程序更新和升級時，只需更新應(yīng)用服務(wù)器中的程序，這可使應(yīng)用程序的維護對用戶是透明的，大大降低了維護成本，提高了可維護性。由于客戶端不存放應(yīng)用程序和數(shù)據(jù)，只要保證傳到瀏覽器端的HTML代碼不包含關(guān)鍵程序代碼，操作人員就不能看到更不能修改應(yīng)用程序，只要各類服務(wù)器安全設(shè)計合理，就可以使應(yīng)用程序和數(shù)據(jù)不會被破壞。B/S模式的信息系統(tǒng)運行環(huán)境一般是開放式的網(wǎng)絡(luò)環(huán)境，系統(tǒng)信息要在網(wǎng)絡(luò)上傳輸，系統(tǒng)的功能全部基于網(wǎng)絡(luò)實現(xiàn)。要使信息不被竊取，不僅要保證服務(wù)器中數(shù)據(jù)和程序的安全，還應(yīng)保證信息傳輸過程中的安全。 B/S模式下信息系統(tǒng)的安全層次基于B/S模式的信息系統(tǒng)的安全問題主要分為以下三個部分：確保存放在服務(wù)器上的數(shù)據(jù)和文件的安全確保登錄安全，防止對信息的非授權(quán)訪問確保數(shù)據(jù)在Internet或Intranet上傳輸時不被截獲。因此應(yīng)從以下多個層次進行系統(tǒng)安全設(shè)計：（1）網(wǎng)絡(luò)安全層次當(dāng)企業(yè)內(nèi)部網(wǎng)Intranet和Internet相連時，應(yīng)考慮隔離措施，避免將Intranet上的資源毫無防范的暴露在Internet的環(huán)境中，隔離方式可以采用路由器的IP隔離功能、網(wǎng)關(guān)、防火墻、代理服務(wù)器等，本系統(tǒng)就采取的防火墻進行隔離。（2）服務(wù)器安全層次基于B/S模式的信息系統(tǒng)的資源都放在各類服務(wù)器上，對這些資源的使用，應(yīng)根據(jù)具體情況，通過給不同的用戶賦予相應(yīng)的權(quán)限，來對系統(tǒng)資源的訪問加以限制。在用戶使用服務(wù)器資源之前，首先應(yīng)檢查其合法性身份驗證。身份驗證可以采用在網(wǎng)絡(luò)中設(shè)置登錄驗證服務(wù)器的方法。凡是要使用信息系統(tǒng)的用戶計算機，必須要經(jīng)過登錄驗證及服務(wù)器的驗證，才能成為網(wǎng)絡(luò)的合法用戶。進人系統(tǒng)操作，未通過驗證的用戶為非法用戶，拒絕其使用系統(tǒng)資源。本系統(tǒng)通過登錄窗口來確認用戶身份的合法性?；贐/S模式的信息系統(tǒng)的用戶都是通過網(wǎng)頁來訪問其業(yè)務(wù)處理程序的，可以在Web服務(wù)器上設(shè)置相應(yīng)的權(quán)限限制，只有合法用戶才能根據(jù)其權(quán)限訪問信息系統(tǒng)的網(wǎng)頁。本系統(tǒng)通過設(shè)置不同的級別權(quán)限，來完成不同的功能。數(shù)據(jù)庫服務(wù)器上保存有整個信息系統(tǒng)的所有數(shù)據(jù)，它的安全格外重要。理論上，網(wǎng)絡(luò)上的計算機既可以通過Web頁面調(diào)用業(yè)務(wù)處理程序來訪問數(shù)據(jù)庫，也可以繞過業(yè)務(wù)處理程序，使用一些數(shù)據(jù)庫客戶端上具備自接登錄能力的數(shù)據(jù)庫服務(wù)器，存取其中的數(shù)據(jù)。所以，應(yīng)對允許訪問數(shù)據(jù)資源的用戶授予合適的權(quán)限，未經(jīng)授權(quán)的用戶禁止訪問。（3）應(yīng)用程序安全層次在業(yè)務(wù)處理程序中，要對各層次中的用戶名和密碼加以屏蔽，決不能使它們以任何形式出現(xiàn)在操作人員可以查看的地方，以免給非法人侵者以可乘之機。例如，傳送到瀏覽器端的文件源代碼中不能出現(xiàn)各類服務(wù)器用戶名及其口令等。（4）信息傳輸安全層次如果關(guān)鍵信息(如用戶名，密碼)需要通過Intranet或Internet進行遠程傳輸，應(yīng)該有防竊聽的措施，防止在傳輸過程中被竊取。防竊聽一般采用信息加密的方式。 本系統(tǒng)采用的安全措施的實現(xiàn)構(gòu)筑安全可靠的退伍軍人信息管理系統(tǒng)應(yīng)從兩個方面考慮。首先，要對構(gòu)筑Web數(shù)據(jù)庫的上作環(huán)境進行合理的安全配置，防止非法人員攻擊Web站點。這方面包括操作系統(tǒng)的安全問題、數(shù)據(jù)庫服務(wù)器的安全性、Web服務(wù)器的安全性以及如何有效的配置防火墻。只有將它們有機的結(jié)合起來，才能使Web數(shù)據(jù)庫建立在安全的環(huán)境中。其次，要在編制Web數(shù)據(jù)庫應(yīng)用程序時，應(yīng)盡可能考慮安全性和容錯性，以及登錄Web數(shù)據(jù)庫站點的用戶名和密碼等。能夠訪問本站的用戶并不是都具有同等的權(quán)限的，而權(quán)限的設(shè)置是通過注冊用戶管理模塊來實現(xiàn)的。本系統(tǒng)是一個多用戶系統(tǒng)，需要實現(xiàn)SQL Server2005角色的多用戶管理模式。整個用戶被賦予一定的責(zé)任于權(quán)利而成為一個角色，根據(jù)某個角色進行相應(yīng)的活動。角色是能夠執(zhí)行某些特定任務(wù)實體的特定描述，它表明執(zhí)行者執(zhí)行此項任務(wù)的能力和權(quán)限。用戶管理對所用登錄本系統(tǒng)的人員資料進行設(shè)置、錄入、權(quán)限定義與分配，使整個系統(tǒng)的登錄驗證以及權(quán)限的捌分有了嚴格的安全保證。日常管理與維護系統(tǒng)用戶以及對各個模塊用戶的操作權(quán)限，密碼等都有嚴格的規(guī)定。根據(jù)所扮演的角色的不同．授權(quán)用戶在系統(tǒng)中所擁有的操作權(quán)限(讀、寫、建立，刪除等)亦有所不同。為了維護數(shù)據(jù)庫的安全性，需要建立訪問控件機制。本系統(tǒng)的用戶權(quán)限分配通過數(shù)據(jù)庫中的users表中的字段來實現(xiàn)。通過用戶權(quán)限這個字段來控制用戶的訪問區(qū)域。用戶權(quán)限的等級分為l，2，3，4，5，6分別對應(yīng)不同的訪問權(quán)限。private void Button1_ Click(object sender, System. Eventargs e){if(Text Box =“major”){int ining=()；switch(ining){case1：Response. Redirect(“input. aspx”)；break；case 2Response. Redirect(“delete. aspx”)。 break；case 3Response. Redkect(”squery. aspx)；第5章 系統(tǒng)實現(xiàn)與測試 開發(fā)工具及環(huán)境配置Visual ，在本系統(tǒng)的開發(fā)研究中，我們主要用到了其中的C.。具體的系統(tǒng)開發(fā)軟件環(huán)境組成如下：操作系統(tǒng)：Windows XP；Web服務(wù)器：Microsoft Intermet Information ；數(shù)據(jù)庫服務(wù)：SQL Server2005；開發(fā)工具：C.NET，客戶端瀏覽器軟件：Microsoft InternetExplorer ；根據(jù)本檔案更新管理系統(tǒng)的界面設(shè)計原則，所實現(xiàn)的人機界面都具有以下一些顯著的特點：1. 菜單方式實現(xiàn)人機交互。，所有界面保持一致。4. 關(guān)鍵信息處理要求用戶確認。、使用方便。下面分別介紹各功能頁面的具體實現(xiàn)內(nèi)容。系統(tǒng)登錄是用戶進入系統(tǒng)的入口，是保證系統(tǒng)安全性的一個重要措施。本系統(tǒng)在設(shè)計系統(tǒng)登錄時，要求用戶輸入用戶名和密碼，輸入不正確將自動提示出錯。用戶名和密碼輸入正確后，系統(tǒng)將自動轉(zhuǎn)入操作界面。該系統(tǒng)的用戶包括系統(tǒng)管理員、數(shù)據(jù)操作員和普通用戶，不同的用戶擁有不同的權(quán)限，并分別使用不同的管理模塊。在進入系統(tǒng)前先得輸入用戶名和密碼，如果不正確將出現(xiàn)出錯提示，確認后轉(zhuǎn)到登錄頁面；在進行各項功能的選擇操作時，要受到權(quán)限的制約，在進入系統(tǒng)后，在系統(tǒng)功能的權(quán)限設(shè)置中可查看到自己被賦予的權(quán)限，只有管理員賦予的權(quán)限才可以執(zhí)行相應(yīng)的操作，針對不同用戶的需要，選擇不同的功能來獲取信息；最后選擇 “退出系統(tǒng)”即可退出系統(tǒng)。登錄界面中需要輸入用戶名，密碼，如果輸入錯誤，對話框自動提示。，同時該頁面是系統(tǒng)的起始頁面。登錄界面如圖51所示，圖52為用戶登錄類圖。 圖51 用戶登陸界面 Figure 51 User Login Interface loginTextBox:username,TextBox:userpasswordButton:login,Button:CancelLabel:username,Label:userpasswordlogin(object sender,eventargs e)Cancel(object sender,eventargs e) 圖52 用戶登錄類圖 Figure 52 User Login Class Diagram：%@ Register TagPrefix=”ucTop” TagName=”TopBanner”Src=”UserControls/”%%@ Register TagPrefix=”ucBottom” TagName=”BottomBanner”Src=UserContols/HEAD title濰坊市退伍軍人信息管理系統(tǒng) link href=”CSS/” type=”text/css” rel=”stylesheet”/HEADucTop:TopBanner ID=”top” runat=”server”/asp:TextBox ID=”UserName” Runat=”server” Cssclass=”NormalText” Width=”150”/asp:TextBoxasp:RequiredFieldValidator id=”RFVUserName” runat=”server” ErrorMessage=”用戶名不能為空” ControlToValidate=”UserName” CssClass=”Normal”Display=”Dynamic”/asp:RequiredFidldValidatorasp:TextBox ID=”Password” Runat=”server” CssClass=”NormalText” Width=”150” TextMode=”Password” /asp:TextBoxasp:RequiredFieldValidator id=”RFVPassword” runat=”server” ErrorMessage=”密碼不能為空” ControlRoValidate=”Password” CssClass=”Normal”Display=”Dynamic”/asp:RequiredFieldValidatorasp:TextBox ID=”Validator” Runat=”server” CssClass=”NormalText” Width=150/aspTextBoxfont color=redclass==Normalfontasp:Image ID=ValidateImage runat=server Height=25px Width=100pxImageAlign=AbsBottom/asp:RequiredFieldValidator id=；”rfv” runat=”server” ErrorMessge=”驗證碼不能為空” ControlToValidate=”Validator” CssClass=”Normal” Display=”Dynamic”/asp:RquiredFiedValidatorasp: Button ID=”LoginBtn” Runat=”server” Text=”登錄” CssClass=”CommandButton” Width=”80px” OnClick=”LoginBtb_Click”/asp:Buttonasp:Button ID=”CancelBtn” Runat=”server” Text=”取消” CssClass=”CommandButton” CausesValidation=”False” Width=”80px” OnClick=”CancelBtn_Click”/asp:Buttonasp:Label ID=”Massge” Runat=”server” CssClass=”Normal” Width=”100%” ForeColor=”Red”/asp:LabelucBottom:BottomBanner ID=”Bottom” runat=”server”//td（1）登錄功能登錄功能由LoginBtn按鈕控件實現(xiàn)，它觸發(fā)LoginBtn_Click（object sender,EventArgs e）事件。該事件驗證用戶輸入額用戶名稱、密碼和驗證碼是否 正確，只有當(dāng)著3個信息全部正確時，用戶才能登錄到系統(tǒng)中，否則頁面將通過Message控件顯示相應(yīng)的錯誤信息。用戶登錄成功后，即系統(tǒng)管理主頁面。驗證頁面驗證碼時，如果用戶輸入的驗證碼錯誤，則重新產(chǎn)生驗證碼，并輸出錯誤信息。驗證用戶名稱和密碼時，調(diào)用UserM類的函數(shù)GetUserLogin()從數(shù)據(jù)庫獲取用戶的ID信息。如果ID為空，則用戶登錄失敗。用戶登錄成功后，程序使用Session變量保存用戶的ID信息。事件LoginBtn_Click(object sender,EventArgs e)的程序代碼如下：Protected void LoginBtn_Click(object sender,EventArgs e)