维护 Internet的应用程序安全的重要性和意义如下文

1概述

1.1 ASP.NET

ASP.NET 又叫 ASP+ ，但并不仅仅是A SP的简单升级，是 Microsoft 推出的新一代 Active Server Pages脚本语言。ASP .NET是 微软发展的新型体系结构 .NET 的一部分。ASP.NET 可以通过A DO.NET组件与数据库通话，查询和修改数据库中的数据。从A SP.NET的以上优点可以看出，使用 ASP.NET可以开发出功能强大的应用程序。

维护基于 Internet的应用程序的安全是一个复杂的过程。所有基于 Web 的客户端都是通过I IS 来访问 ASP.NET应用程序的。 ASP.NET 和 IIS一起使用，为应用程序提供身份验证和授权服务。I IS验证用户身份，如果用户身份合适，它会找到用户请求的内容并将它们返回给用户。图2 概念性地表示出了这种体系。

1.2 3层网络架构

随着网络技术的广泛应用，传统的 C/S 或者是 B/S模型已经很难应付越来越复杂的应用和急速增长的数据交换，经常的数据交换使得网络系统变得十分紧张;同时，应用系统的分散也导致了系统维护的困难，维护费用大大增加。因此，需要一种新的模型来解决这些问题，3 层网络模型即客户机/应用服务器/数据服务器模型就这样应运而生。

事实上，每个应用，从个人计算机上的电子制表软件到大型机上的账目支付系统都包含 3个层次结构：表现层，中间层(封 装应用逻辑 )和数据层。表现层集中于同用户进行交互;中间层执行计算并决定应用的流向;数据层管理信息使其必须在会话期间、计划关机及系统失败的情况下都能持续。在此网络架构中，表现层、中间层和数据层被分成截然不同的单元。

1.3 基于角色的安全访问控制(RBAC)

如今，基于 Web的 信息系统逐渐代替了 Client/Server模式的结构，在基于W eb的信息系统中，由于网络信息的共享特性，系统的安全问题变得越来越突出，具有越来越重要的地位。因此对用户进行权限划分是保证系统安全的重要措施之一。

现代企业往往拥有大量的信息和复杂的组织结构，再加上人员的流动性，使得传统的应用中的权限管理方法(如直接将权限赋给用户)已经不太适应企业未来的发展。角色是用户在系统内可执行的操作的集合。角色是RBAC中引入的一个重要概念，它是联系用户和权限的中间桥梁，用户和角色以及角色和权限之间都是多对多的关系。基于角色的访问控制最突出的优点在于系统管理员能够按照部门、企业的安全政策划分不同的角色，执行特定的任务。这极大地简化了授权管理，使对信息资源的访问控制能力更好地适应特定单位的安全策略。

一般而言， MIS用户不可能都对应用程序和程序中用到的库、表和视图有很深的了解，不可能直接维护与数据库有关的具体数据对象的访问控制。 RBAC的授权机制十分接近日常的组织管理规则，这种授权使管理员从控制底层的具体实现机制中脱离出来，这就使得在应用程序层实现访问控制具有了优越性。

因此，我们在应用层引入基于角色的访问控制的思想，来实现通用的权限管理。

2系统架构

2.1功能框图