asp是微軟推出的伺服器端指令碼環境,它把指令碼、html、activex元件有機地結合在一起,形成動態、互動、高效的web伺服器應用程式。目前,iis+asp+sql(或access)方案已成為中小型企業構建自己網上資訊系統的首選方案。雖然asp具有快速開發能力,但asp也存在不容忽視的安全漏洞,這些安全問題是asp程式開發者和管理者一直努力解決的問題。本文試圖從伺服器端、資料庫端、asp程式設計三個方面對asp的安全技術進行分析。
一、2 asp的安全技術分析
(一) web伺服器端的安全技術
1.目錄檔案的保護
(1) ntfs許可權。ntfs檔案系統提供了比fat32更為安全的檔案管理方式,它通過檔案訪問控制表(acl)定義了使用者訪問檔案和目錄的許可權級別,如果使用者具有開啟檔案的許可權,計算機則允許該使用者訪問檔案。通過設定目錄和檔案的訪問許可權,禁止無關使用者對目錄檔案進行複製、修改、刪除等操作,限制對系統的入侵。
(2) 虛擬目錄及其屬性設定。虛擬目錄隱藏了有關站點目錄結構的重要資訊,在asp環境下,較安全的做法是將asp指令碼和html檔案分開存放在不同的目錄下,將存放html檔案的目錄設為唯讀屬性,將存放asp指令碼的目錄設為執行屬性。
(3)防止檢視asp檔案。iis自帶的code.asp或showcode.asp檔案,可以檢視asp程式的源**,從而竊取相關的資訊。可以在web伺服器端刪除該檔案或者禁止訪問存放該檔案的目錄。
2.限制訪問技術
(1)ip位址限制。iis能夠授權或拒絕特定ip位址對其訪問,通過拒絕某特定ip位址的訪問,以排除入侵干擾。具體設定:a啟動ism(internet服務管理器);b啟動web屬性頁中「高階」選項卡;c進行指定ip位址的控制設定。
(2)使用者訪問控制。iis提供了對站點資源進行匿名訪問與驗證控制設定,web伺服器根據設定對使用者的身份進行驗證,阻止未授權使用者與受限制內容建立http連線。具體設定:在web站點的「目錄安全性」屬性頁中選擇「匿名訪問和驗證控制」進行編輯。匿名訪問允許客戶端以iusr-computername為帳號與web伺服器建立連線(密碼隨機提供)。對於非匿名訪問,有三種驗證方式:基本驗證,允許使用者名稱及密碼以未加密(明文)方式傳送;簡要驗證,僅在域控制器的域中被支援,它通過網路傳送經過混編的值(即利用「雜湊演算法」計算的訊息摘要)而不是密碼進行驗證。整合windows驗證,使用安全套接字層(ssl)自動加密使用者名稱和密碼。
(3)防火牆技術。防火牆的目的是為內部網路或主機提供安全保護,阻止對資訊資源的非法訪問,強制所有連線都必須經過此保護層。防火牆包括包過濾和**兩種,包過濾主要是針對特定ip位址的主機所提供的服務,其基本原理是在網路傳輸的ip層截獲往來和ip包資訊,確定是否對此ip包進行**。**的基本原理是對web服務單獨構造乙個**程式,不允許客戶程式與伺服器程式直接互動,必須通過**程式雙方才能進行資訊的互動。在實際構建時,通常由過濾器提供第一級的安全防護,再由**伺服器提供更高階的安全防護機制。
3.審核與監視技術。安全審核負責監視系統中各種與安全有關的事件,生成安全日誌,並提供檢視安全日誌的方法。通過分析安全日誌,可以發現並阻止各種危及系統安全的行為。windows2k預設安裝下,安全審核是關閉的。要進行審核,必須先確定審核策略,指定要審核的安全事件的類別。具體的設定:在「管理工具-本地安全策略-本地策略-審核策略」中開啟必要的審核。除了安全日誌,系統日誌和應用程式日誌也是很好的監視工具,它們記錄了使用者自登入開始直到退出的整個操作過程,為網路安全分析提供可靠的依據。
4.ssl安全機制。ssl (secure socket layer)是乙個執行在http層和tcp層間的安全協議,確保傳遞資訊的安全性。ssl是工作在公共金鑰和私有金鑰基礎上的,任何使用者都可以獲取公共金鑰來加密資料,但解密資料必須要通過相應的私有金鑰。目前,ssl已被視為internet上web瀏覽器和伺服器的標準安全性措施。由於ssl技術已建立到所有主要的瀏覽器和web伺服器程式中,因此,僅需安裝數字證書或伺服器證書就可以啟用伺服器功能。建立ssl安全機制後,只有ssl允許的客戶才能與ssl允許的web站點進行通訊,瀏覽器連線到使用https://的位址,而不是url中的協議。
(二)asp程式設計安全技術
asp程式設計的安全主要涉及兩個方面:一是asp源**的安全,二是asp程式設計中的安全。常見的安全技術如下:
1.使用者名稱、口令機制。使用者名稱、口令是基本的安全技術,在asp中常採用form表單提交使用者輸入的帳號和密碼,與使用者標識資料庫中相應的字段進行匹配。
2.cookie的安全性。為防止非法使用者訪問合法使用者的會話變數,伺服器為每個sessionid指派乙個隨機生成號碼。每當使用者的web瀏覽器返回乙個sessionid cookie時,伺服器取出sessionid被賦予的數字,檢查與儲存在伺服器上的生成號碼是否一致,如果不一致則不允許使用者訪問會話變數。同時,應加密重要的sessionid cookie。一旦黑客截獲了使用者的sessionid cookie,就能假冒該使用者開始乙個活動會話。
網格計算環境下安全認證技術方案分析
互連網的迅猛發展,使網上遍布了成千上萬的各類高效能電腦,如何更好地擴充套件和利用這些網路資源已成為乙個重要研究方向,這正是網格計算的發展前景所在。網格計算作為新一代的分布式計算方法,和傳統分布式計算的主要區別在於在沒有集中控制機制的情況下,通過對計算資源進行大規模共享,滿足應用對高效能計算需要,並且...
大資料環境下的網路安全挑戰分析
文章講的是大資料環境下的網路安全挑戰分析,大資料架構和平台算是新事物,而且還在以一種非凡的速度不斷發展著。商業和開源的開發團隊幾乎每月都在發布其平台的新功能。當今的大資料集群將會與將來我們看到的資料集群有極大不同。適應這種新困難的安全工具也將發生變化。在採用大資料的生命週期中,業界仍處於早期階段,但...
ASP模版技術詳細分析
初學asp,程式是能勉強寫出來了,但若每進行一次 頁面的改版,所有的源程式都將進行一次移植手術。為此所耗費的人力精力不計其數,甚至一不小心得不償失 前功盡棄。所以,夢想著那麼大段的程式 變成幾個簡單的字元代替,這樣只要設計好頁面把該功能插入就ok了。其實這也簡單,只需將實現該功能的程式 做成子程式,...