導(dǎo)語：活動服務(wù)器網(wǎng)頁信息管理論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文首先介紹了ASP技術(shù)的基本原理，然后論述了基于ASP的信息系統(tǒng)常見技術(shù)安全漏洞與技術(shù)安全隱患，最后從網(wǎng)絡(luò)層、服務(wù)器斷、數(shù)據(jù)庫層這三個方面詳細講解了基于ASP的信息系統(tǒng)的安全防范措施。

關(guān)鍵字：ASP網(wǎng)絡(luò)安全服務(wù)器措施

ThenetworksecurityoftheinformationsystembasedontheASP

Abstract：ThisarticlefirstintroducedthebasicprincipleoftheASPtechnology,thenelaboratedthecommonsecurityloopholeandthetechnicalsecurityhiddendangerofinformationsystembasedontheASPtechnology.Finally，explainedthesafeguardmeasureoftheinformationsystembasedontheASPfromthenetworklevel,theserverbroke,thedatabaselevelthesethreeaspectsindetail.

Keywords：ASPnetworksecurityservermeasures

隨著信息技術(shù)的高速發(fā)展，企業(yè)通過網(wǎng)絡(luò)建立了自己的信息管理系統(tǒng)，但是大多數(shù)企業(yè)的信息管理系統(tǒng)卻另人擔(dān)憂。因此，了解并學(xué)習(xí)關(guān)于信息管理系統(tǒng)網(wǎng)絡(luò)安全方面的知識是非常有必要的。

一、ASP技術(shù)的基本原理

ASP(MicrosoftActiveServerPages)是微軟開發(fā)的一套服務(wù)端腳本環(huán)境，它是一系列對象和組件的集合。ASP文件就是嵌入可執(zhí)行腳本HTML文檔，將HTML和Active控件結(jié)合起來，以產(chǎn)生和執(zhí)行動態(tài)的、交互的、高性能的Web服務(wù)器應(yīng)用程序，擴展名為.asp。ASP技術(shù)是一種用以取代CGI(通用網(wǎng)關(guān)接口，CommonGatewayInterface)的技術(shù)。簡單講，ASP是位于服務(wù)器端的腳本運行環(huán)境，通過這種環(huán)境，用戶可以創(chuàng)建和運行動態(tài)的交互式Web服務(wù)器應(yīng)用程序，如交互式的動態(tài)網(wǎng)頁，包括使用HTML表單收集和處理信息、上傳與下載等，就像用戶在使用自己的CGI程序一樣，但它比CGI簡單得多。更重要的是，ASP使用的ActiveX技術(shù)基于開放設(shè)計環(huán)境，用戶可以自己定義和制作組件加入其中，使自己的動態(tài)網(wǎng)頁幾乎具有無限的擴充能力，這是傳統(tǒng)的CGI等程序所遠遠不及的地方。此外，ASP可利用ADO(ActiveDateObject，微軟的一種新的數(shù)據(jù)訪問模型，類似于DAO)方便地訪問數(shù)據(jù)庫，使開發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能。目前國內(nèi)有許多企業(yè)、部門正在使用ASP技術(shù)管理信息，但是網(wǎng)絡(luò)安全卻另人擔(dān)憂，下面從三個方面講解基于ASP的信息系統(tǒng)的安全防范措施。

二、基于ASP的信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志(CSignature-Based)，另一種基于異常情況(Abnormally-Based)。

（二）服務(wù)器端安全措施只有正確的安裝和設(shè)置操作系統(tǒng)，才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000SERVER為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。本系統(tǒng)的配置是建立三個邏輯驅(qū)動器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS,E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因為，IIS和FTP是對外服務(wù)的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

②正確地選擇安裝順序。

一般的人可能對安裝順序不太重視，認為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡(luò)：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務(wù)就會自動運行，而這時的服務(wù)器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000SERVER之前，一定不要把主機接入網(wǎng)絡(luò)。

其次，補丁的安裝：補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置：

首先，把操作系統(tǒng)在C盤默認安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D：/Inetpub。

其次，在IIS安裝時默認的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時候再建，需要什么權(quán)限開什么。特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給。

③應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設(shè)定的屬性。

經(jīng)過了Win2000Server的正確安裝與正確配置，操作系統(tǒng)的漏洞得到了很好的預(yù)防，同時增加了補丁，這樣子就大大增強了操作系統(tǒng)的安全性能。

（三）數(shù)據(jù)庫系統(tǒng)安全控制數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄密和破壞。為了保證業(yè)務(wù)應(yīng)用系統(tǒng)后臺數(shù)據(jù)庫的安全性，采用基于Client/Server模式訪問后臺數(shù)據(jù)庫，為不同的應(yīng)用建立不同的服務(wù)進程和進程用戶標(biāo)識，后臺數(shù)據(jù)庫系統(tǒng)以服務(wù)器進程的用戶標(biāo)識作為訪問主體的標(biāo)識，以確定其訪問權(quán)限。我們通過如下方法和技術(shù)來實現(xiàn)后臺數(shù)據(jù)庫的訪問

控制。

①訪問矩陣

訪問矩陣就是以矩陣的方式來規(guī)定不同主體(用戶或用戶進程)對于不同數(shù)據(jù)對象所允許執(zhí)行的操作權(quán)限，并且控制各主體只能存取自己有權(quán)存取的數(shù)據(jù)。它以主體標(biāo)行，訪問對象標(biāo)列，訪問類型為矩陣元素的矩陣。Informix提供了二級權(quán)限：數(shù)據(jù)庫權(quán)限和表權(quán)限，并且能為表中的特定字段授予Select和Update權(quán)限。因此，我們在訪問矩陣中定義了精細到字段級的數(shù)據(jù)訪問控制。

②視圖的使用

通過視圖可以指定用戶使用數(shù)據(jù)的范圍，將用戶限定在表中的特定字段或表中的特定記錄，并且視圖和基礎(chǔ)表一樣也可以作為授權(quán)的單位。針對不同用戶的視圖，在授權(quán)給一用戶的視圖中不包括那些不允許訪問的機密數(shù)據(jù)，從而提高了系統(tǒng)的安全性。

③數(shù)據(jù)驗證碼DAC

對后臺數(shù)據(jù)庫中的一些關(guān)鍵性數(shù)據(jù)表，在表中設(shè)置數(shù)據(jù)驗證碼DAC字段，它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數(shù)據(jù)庫中的數(shù)據(jù)，則DAC效驗將出錯，從而提高了數(shù)據(jù)的安全性。

雖然基于ASP技術(shù)的信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟，但我們切不可馬虎大意，只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識、采取日新月異的網(wǎng)絡(luò)安全措施，才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。

參考文獻：

[1]劉海平，朱仲英.一個基于ASP的在線會員管理信息系統(tǒng).微型電腦應(yīng)用.2002（10）

[2]東軟集團有限公司，NetEye防火墻使用指南3.0，1-3

[3]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學(xué)出版社

[4]EricMaiwald，SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,

PP.86-94

[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購管理系統(tǒng)中的應(yīng)用：（學(xué)位論文）.遼寧：東北大學(xué)，2002

[6]劉廣良.建設(shè)銀行計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究：（學(xué)位論文）.湖南：湖南大學(xué).2001

[7]CelesteRobinson,AlanSimpson.MasteringAccess2000.電子工業(yè)出版社，2002

[8]丁霞軍.基于ASP的管理信息系統(tǒng)開發(fā)及其安全性研究.（學(xué)位論文）.安徽：安徽理工大學(xué).2005