導(dǎo)語(yǔ):在信息服務(wù)管理論文的撰寫(xiě)旅程中�,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文�,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�。
第1篇
關(guān)鍵字:ASP網(wǎng)絡(luò)安全服務(wù)器措施
ThenetworksecurityoftheinformationsystembasedontheASP
Abstract:ThisarticlefirstintroducedthebasicprincipleoftheASPtechnology,thenelaboratedthecommonsecurityloopholeandthetechnicalsecurityhiddendangerofinformationsystembasedontheASPtechnology.Finally,explainedthesafeguardmeasureoftheinformationsystembasedontheASPfromthenetworklevel,theserverbroke,thedatabaselevelthesethreeaspectsindetail.
Keywords:ASPnetworksecurityservermeasures
隨著信息技術(shù)的高速發(fā)展�,企業(yè)通過(guò)網(wǎng)絡(luò)建立了自己的信息管理系統(tǒng)�,但是大多數(shù)企業(yè)的信息管理系統(tǒng)卻另人擔(dān)憂。因此�,了解并學(xué)習(xí)關(guān)于信息管理系統(tǒng)網(wǎng)絡(luò)安全方面的知識(shí)是非常有必要的。
一�、ASP技術(shù)的基本原理
ASP(MicrosoftActiveServerPages)是微軟開(kāi)發(fā)的一套服務(wù)端腳本環(huán)境�,它是一系列對(duì)象和組件的集合�。ASP文件就是嵌入可執(zhí)行腳本HTML文檔,將HTML和Active控件結(jié)合起來(lái)�,以產(chǎn)生和執(zhí)行動(dòng)態(tài)的、交互的�、高性能的Web服務(wù)器應(yīng)用程序,擴(kuò)展名為.asp�。ASP技術(shù)是一種用以取代CGI(通用網(wǎng)關(guān)接口�,CommonGatewayInterface)的技術(shù)。簡(jiǎn)單講�,ASP是位于服務(wù)器端的腳本運(yùn)行環(huán)境,通過(guò)這種環(huán)境�,用戶可以創(chuàng)建和運(yùn)行動(dòng)態(tài)的交互式Web服務(wù)器應(yīng)用程序,如交互式的動(dòng)態(tài)網(wǎng)頁(yè)�,包括使用HTML表單收集和處理信息、上傳與下載等�,就像用戶在使用自己的CGI程序一樣,但它比CGI簡(jiǎn)單得多�。更重要的是,ASP使用的ActiveX技術(shù)基于開(kāi)放設(shè)計(jì)環(huán)境�,用戶可以自己定義和制作組件加入其中,使自己的動(dòng)態(tài)網(wǎng)頁(yè)幾乎具有無(wú)限的擴(kuò)充能力�,這是傳統(tǒng)的CGI等程序所遠(yuǎn)遠(yuǎn)不及的地方。此外�,ASP可利用ADO(ActiveDateObject�,微軟的一種新的數(shù)據(jù)訪問(wèn)模型�,類(lèi)似于DAO)方便地訪問(wèn)數(shù)據(jù)庫(kù),使開(kāi)發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能�。目前國(guó)內(nèi)有許多企業(yè)、部門(mén)正在使用ASP技術(shù)管理信息�,但是網(wǎng)絡(luò)安全卻另人擔(dān)憂,下面從三個(gè)方面講解基于ASP的信息系統(tǒng)的安全防范措施�。
二、基于ASP的信息系統(tǒng)的安全防范措施
(一)網(wǎng)絡(luò)層安全措施
①防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)�,越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中�,尤其以接入Internet網(wǎng)絡(luò)為甚。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合�。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許�、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流�,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)�,實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上�,防火墻是一個(gè)分離器,一個(gè)限制器�,也是一個(gè)分析器�,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)�,保證了內(nèi)部網(wǎng)絡(luò)的安全�。
防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性�,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻�,所以網(wǎng)絡(luò)環(huán)境變得更安全�。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令�、加密、身份認(rèn)證�、審計(jì)等)配置在防火墻上�。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么�,防火墻就能記錄下這些訪問(wèn)并做出日志記錄�,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄:通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分�,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響�。除了安全作用�,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN�。通過(guò)VPN�,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng)�,有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路�,而且為信息共享提供了技術(shù)保障。
對(duì)各種事件進(jìn)行分析�,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能�。從技術(shù)上,入侵檢測(cè)分為兩類(lèi):一種基于標(biāo)志(CSignature-Based)�,另一種基于異常情況(Abnormally-Based)。
(二)服務(wù)器端安全措施只有正確的安裝和設(shè)置操作系統(tǒng)�,才能使其在安全方面發(fā)揮應(yīng)有的作用�。下面以WIN2000SERVER為例�。
①正確地分區(qū)和分配邏輯盤(pán)。
微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞�,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個(gè)邏輯驅(qū)動(dòng)器�,C盤(pán)20G,用來(lái)裝系統(tǒng)和重要的日志文件�,D盤(pán)20G放IIS,E盤(pán)20G放FTP�,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件�。因?yàn)椋琁IS和FTP是對(duì)外服務(wù)的�,比較容易出問(wèn)題。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行�。
②正確地選擇安裝順序�。
一般的人可能對(duì)安裝順序不太重視,認(rèn)為只要安裝好了�,怎么裝都可以的。很多時(shí)候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)�。Win2000在安裝中有幾個(gè)順序是一定要注意的:
首先,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞�,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享�,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它這種情況一直持續(xù)到你再次啟動(dòng)后�,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器�;同時(shí),只要安裝一完成�,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿身漏洞�,非常容易進(jìn)入的�,因此�,在完全安裝并配置好Win2000SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)�。
其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后�,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果�,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩�,卻很必要。
(三)安全配置
①端口::端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口�,從安全的角度來(lái)看,僅打開(kāi)你需要使用的端口會(huì)比較安全�,配置的方法是在網(wǎng)卡屬性——TCP/IP——高級(jí)——選項(xiàng)——TCP/IP篩選中啟用TCP/IP篩選,不過(guò)對(duì)于Win2000的端口過(guò)濾來(lái)說(shuō)�,有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口�,不能規(guī)定關(guān)閉哪些端口;這樣對(duì)于需要開(kāi)大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個(gè)�,平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維�,所以IIS的配置是我們的重點(diǎn)�,所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置:
首先,把操作系統(tǒng)在C盤(pán)默認(rèn)安裝的Inetpub目錄徹底刪掉,在D盤(pán)建一個(gè)Inetpub在IIS管理器中將主目錄指向D:/Inetpub�。
其次,在IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除�,這些都容易成為攻擊的目標(biāo)�。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤(pán)挪出來(lái)了,但這樣作也是完全必要的�。如果需要什么權(quán)限的目錄可以在需要的時(shí)候再建,需要什么權(quán)限開(kāi)什么�。特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給�。
③應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射�,必須指出的是ASP,ASP和其它確實(shí)需要用到的文件類(lèi)型�。我們不需要IIS提供的應(yīng)用程序的映射,刪除所有的映射�,具體操作:在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射,然后就一個(gè)個(gè)刪除這些映射�。點(diǎn)擊“確定”退出時(shí)要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。
經(jīng)過(guò)了Win2000Server的正確安裝與正確配置�,操作系統(tǒng)的漏洞得到了很好的預(yù)防,同時(shí)增加了補(bǔ)丁�,這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。
(三)數(shù)據(jù)庫(kù)系統(tǒng)安全控制數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄密和破壞�。為了保證業(yè)務(wù)應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的安全性�,采用基于Client/Server模式訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù)�,為不同的應(yīng)用建立不同的服務(wù)進(jìn)程和進(jìn)程用戶標(biāo)識(shí),后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)以服務(wù)器進(jìn)程的用戶標(biāo)識(shí)作為訪問(wèn)主體的標(biāo)識(shí)�,以確定其訪問(wèn)權(quán)限。我們通過(guò)如下方法和技術(shù)來(lái)實(shí)現(xiàn)后臺(tái)數(shù)據(jù)庫(kù)的訪問(wèn)
控制�。
①訪問(wèn)矩陣
訪問(wèn)矩陣就是以矩陣的方式來(lái)規(guī)定不同主體(用戶或用戶進(jìn)程)對(duì)于不同數(shù)據(jù)對(duì)象所允許執(zhí)行的操作權(quán)限,并且控制各主體只能存取自己有權(quán)存取的數(shù)據(jù)�。它以主體標(biāo)行,訪問(wèn)對(duì)象標(biāo)列�,訪問(wèn)類(lèi)型為矩陣元素的矩陣。Informix提供了二級(jí)權(quán)限:數(shù)據(jù)庫(kù)權(quán)限和表權(quán)限�,并且能為表中的特定字段授予Select和Update權(quán)限。因此�,我們?cè)谠L問(wèn)矩陣中定義了精細(xì)到字段級(jí)的數(shù)據(jù)訪問(wèn)控制�。
②視圖的使用
通過(guò)視圖可以指定用戶使用數(shù)據(jù)的范圍,將用戶限定在表中的特定字段或表中的特定記錄�,并且視圖和基礎(chǔ)表一樣也可以作為授權(quán)的單位。針對(duì)不同用戶的視圖�,在授權(quán)給一用戶的視圖中不包括那些不允許訪問(wèn)的機(jī)密數(shù)據(jù),從而提高了系統(tǒng)的安全性�。
③數(shù)據(jù)驗(yàn)證碼DAC
對(duì)后臺(tái)數(shù)據(jù)庫(kù)中的一些關(guān)鍵性數(shù)據(jù)表,在表中設(shè)置數(shù)據(jù)驗(yàn)證碼DAC字段�,它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同�。如果用戶非法修改了數(shù)據(jù)庫(kù)中的數(shù)據(jù),則DAC效驗(yàn)將出錯(cuò)�,從而提高了數(shù)據(jù)的安全性。
雖然基于ASP技術(shù)的信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟�,但我們切不可馬虎大意,只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識(shí)�、采取日新月異的網(wǎng)絡(luò)安全措施,才能保證我們的網(wǎng)絡(luò)安全防御真正金湯�。
參考文獻(xiàn):
[1]劉海平,朱仲英.一個(gè)基于ASP的在線會(huì)員管理信息系統(tǒng).微型電腦應(yīng)用.2002(10)
[2]東軟集團(tuán)有限公司�,NetEye防火墻使用指南3.0,1-3
[3]賈晶�,陳元�,王麗娜編著,信息系統(tǒng)的安全與保密�,第一版,1999.01�,清華大學(xué)出版社
[4]EricMaiwald,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,
PP.86-94
[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購(gòu)管理系統(tǒng)中的應(yīng)用:(學(xué)位論文).遼寧:東北大學(xué)�,2002
[6]劉廣良.建設(shè)銀行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究:(學(xué)位論文).湖南:湖南大學(xué).2001
