醫學檢驗專業教學資源庫安全防御機制解析*

吳力挽，楊 翀，晏 嵩

（廣州衛生職業技術學院，廣東 廣州 510450）

醫學檢驗專業教學資源庫是保障線上教學的重要工具。線上教學需要對資源庫開放外網出口，使資源庫的訪問不受時間和地點限制，更加方便師生開展網絡教學。在線網絡訪問同時使得資源庫暴露在外網，具有遭受多種網絡攻擊的風險。本文針對目前對醫學檢驗專業教學資源庫網絡攻擊的常見手段，采用用戶驗證、管理會話、數據加密、過濾用戶輸入、數據訪問等網絡安全防御技術，保障了醫學檢驗專業教學資源庫網絡訪問安全，進一步增強系統的安全性和可靠性。

1 用戶驗證

系統登陸需要驗證用戶的身份，一旦證明身份有效，則授權用戶訪問資源庫系統中不同的功能模塊。用戶驗證主要包括構建登錄表單和使用表單驗證。建議采用web 表單方法或Http Post 方法，不要使用Http Get 方法。表單驗證允許在web.config 文件中配置用戶名和密碼，這些密碼沒有經過MD5 或SHA-1 進行加密，一旦服務器被提權，配置文件即可被下載。

1.1 構建登錄表單

在登錄表單上，使用Http Post 方法來傳送用戶證書，必須對用戶表單輸入進行驗證，以防止SQL 注入和跨站腳本的攻擊。不依賴隱藏的表單字段來傳送敏感數據。針對失敗的用戶名或失敗的密碼，使用相同的錯誤消息，不要在錯誤消息中顯示其他任何服務器信息。

1.2 使用表單驗證

不在資源庫系統部署上使用passwordFormat=“Clear”，正確使用web.config 配置文件，不在配置文件中傳輸明文數據，要用MD5 進行加密處理?！?br>