基于ＡＳＰ．ＮＥＴ的Ｗｅｂ网络应用程序开发的安全策略实践
摘要：Web网络应用开发中，安全性是要考虑的关键问题，本文通过开发系统实践，从系统规划阶段、设计开发阶段、发布运行阶段三个方面详细阐述安全策略的实现，总结出如何充分利用ASPNET的安全机制、数据库安全控制、增强管理员网络安全防范意识，构建一个性能安全的Web应用程序。关键词：Web应用程序；webco
fig；认证和授权；视图；存储过程
1前言
微软公司推出的ASPNET，可以非常方便和高效地规划、设计、开发和发布Web网络应用程序。笔者利用ASPNET为新疆职工培训中心开发了运行在校园网上的网络办公管理系统。该系统分为管理部门和教学部门两个角色，实现了数据存储、浏览查询和教学分析统计功能，提高了培训中心的信息化管理和校园网的利用价值。在整个系统的开发过程中，考虑最多的就是安全问题，相信这也是所有开发人员开发Web网络应用程序所必须面对的问题。因此本文针对基于ASPNET的Web网络应用程序开发的安全问题，以我们开发的系统为例，从3个方面来阐述实际解决策略：（1）系统规划阶段的安全策略；（2）设计开发阶段的安全策略；（3）发布运行阶段的安全策略。希望我们的实践能对利用ASPNET开发Web网络应用程序的相关技术人员提供参考和借鉴。
2安全策略实践
21系统规划阶段Web网络应用程序，就是运行在Web应用服务器上的一个虚拟目录及其子目录下的所有文件、网页、模块以及可执行代码的总和。根据系统需求分析，用
f户分为管理部和教学部（对数据的操作权限有区分），因此建立两个目录分别存放相应的网页文件。另外，还有数据库文件夹、样式文件夹、网页模版文件夹等。而对数据库表的操作文件放在特殊的文件夹bi
下，因为该目录是禁止任何浏览器访问的，从而避免了远程客户下载代码的可能性。应用程序根目录下除了上述目录外，还有两个重要的应用程序级文件globalasax和webco
fig（下文详细分析）。总之，文件目录的规划是按类别存放文件，重要文件存在bi
目录下。22设计开发阶段主要从后台的数据库设计、配置文件webco
fig及前台界面设计三个内容，着重阐述对安全问题的解决策略。221数据库设计为了提高访问数据的效率和安全性，能在后台做的事情，就在后台完成，能分开独立做的事情，就分开独立实现。（1）充分利用后台数据库系统的视图和存储过程，如：创建带参数的视图，实现不同角色身份的用户对各自权限范围内的数据访问。（2）报表设计及实r