网站运营安全策略.txt

一个电子商务的课程设计

4．4网站运营安全策略

4.1.1网络安全
安全控制:访问系统所在的服务器。

控制机制
 通过基层的网络服务控制。网络管理员为授权用户分配相应的域
用户名和密码，用户只有在得到此用户名和密码后才可以访问此服务器。

4.1.2系统登录安全
安全控制
访问系统登录页。
控制机制
通过系统所在服务器的安全服务控制。网络管理员通过将系统所
在目录的访问权分配给特定的授权用户，确保系统安全。

4.1.3各分系统安全


安全控制
 访问各个分系
统。
控制机制
通过各分系统登录安全服务控制。由系统管理员为授权用户分配
用户名和密码。
如果用户使用的浏览器是 IE 或 Netscape 4.0以上版本，客户
端输入的用户名和密码经过加密后才会传输。
可设定密码的最短长度。
 用户登录失败特定次数后，系统将禁止此用户账号。
 对于用户的每次登录，系统都将记录用户名、客户端IP地址和登
录时间。
 密码在数据库中以加密形式保存，系统当前采用40位的加密算
法。系统在登录认证时，仅将用户输入的密码加密后与数据库中
的加密密码比较，不提供任何服务对数据库中的密码执行解密操
作。
系统管理员可以强制用户在下次登录时更改密码。
 系统管理员可以为密码设定过期时间。
 可设定用户在更改密码时不得与原密码相同。
4.1.4分系统模块安全
安全控制
访问各系统的
功能模块。
控制机制
通过设定访问每一模块的访问级别控制。访问级别包含:读取
(1)、增加(2)、编辑(3)、删除(4)、管理(5)。
管理员根据需要将用户分组(团队），并为每个团队设定访问各
模块的权限。
如果用户属于2个以上的团队，且此用户对某模块的访问权限出
现冲突时，以较高权限为准。
4.1.5会话期间安全
安全控制
 访问特定页面
和会话期变
量。
控制机制
 如果用户在管理员设定的时间（15-60分钟）内没有做任何操
作，系统将会自动注销该用户。
如果用户在浏览器中输入了其无权访问的页面地址，系统将会自
动注销该用户。