ASP環(huán)境下的安全技術分析

ASP環(huán)境下的安全技術分析

【摘要】文章從Asp系統(tǒng)的全局出發(fā)，從Web服務器端、數(shù)據(jù)庫端、Asp程序設計三個方面對Asp的安全技術進行分析和總結，并指出Asp的安全應以預防為主?！娟P鍵詞】ASP；安全；Web服務器；數(shù)據(jù)庫Asp是微軟推出的服務器端腳本環(huán)境，它把腳本、HTML、ActiveX組件有機地結合在一起，形成動態(tài)、交互、高效的Web服務器應用程序。目前，IIS+ASP+SQL（或Access）方案已成為中小型企業(yè)構建自己網(wǎng)上信息系統(tǒng)的首選方案。雖然Asp具有快速開發(fā)能力，但Asp也存在不容忽視的安全漏洞，這些安全問題是Asp程序開發(fā)者和管理者一直努力解決的問題。本文試圖從服務器端、數(shù)據(jù)庫端、Asp程序設計三個方面對Asp的安全技術進行分析。

一、2ASP的安全技術分析

（一）Web服務器端的安全技術

1．目錄文件的保護

（1）NTFS權限。NTFS文件系統(tǒng)提供了比Fat32更為安全的文件管理方式，它通過文件訪問控制表（ACL）定義了用戶訪問文件和目錄的權限級別，如果用戶具有打開文件的權限，計算機則允許該用戶訪問文件。通過設定目錄和文件的訪問權限，禁止無關用戶對目錄文件進行復制、修改、刪除等操作，限制對系統(tǒng)的入侵。

（2）虛擬目錄及其屬性設置。虛擬目錄隱藏了有關站點目錄結構的重要信息，在Asp環(huán)境下，較安全的做法是將Asp腳本和HTML文件分開存放在不同的目錄下，將存放HTML文件的目錄設為只讀屬性，將存放Asp腳本的目錄設為執(zhí)行屬性。

（3）防止查看Asp文件。IIS自帶的Code.asp或Showcode.asp文件，可以查看Asp程序的源代碼，從而竊取相關的信息?？梢栽赪eb服務器端刪除該文件或者禁止訪問存放該文件的目錄。

2．限制訪問技術

（1）IP地址限制。IIS能夠授權或拒絕特定IP地址對其訪問，通過拒絕某特定IP地址的訪問，以排除入侵干擾。具體設置：A啟動ISM（Internet服務管理器）；B啟動Web屬性頁中“高級”選項卡；C進行指定IP地址的控制設置。

（2）用戶訪問控制。IIS提供了對站點資源進行匿名訪問與驗證控制設置，Web服務器根據(jù)設置對用戶的身份進行驗證，阻止未授權用戶與受限制內容建立Http連接。具體設置：在Web站點的“目錄安全性”屬性頁中選擇“匿名訪問和驗證控制”進行編輯。匿名訪問允許客戶端以IUSR-Computername為帳號與Web服務器建立連接（密碼隨機提供）。對于非匿名訪問，有三種驗證方式：基本驗證，允許用戶名及密碼以未加密（明文）方式發(fā)送；簡要驗證，僅在域控制器的域中被支持，它通過網(wǎng)絡發(fā)送經(jīng)過混編的值（即利用“散列算法”計算的消息摘要）而不是密碼進行驗證。集成Windows驗證，使用安全套接字層（SSL）自動加密用戶名和密碼。

（3）防火墻技術。防火墻的目的是為內部網(wǎng)絡或主機提供安全保護，阻止對信息資源的非法訪問，強制所有連接都必須經(jīng)過此保護層。防火墻包括包過濾和代理兩種，包過濾主要是針對特定IP地址的主機所提供的服務，其基本原理是在網(wǎng)絡傳輸?shù)腎P層截獲往來和IP包信息，確定是否對此IP包進行轉發(fā)。代理的基本原理是對Web服務單獨構造一個代理程序，不允許客戶程序與服務器程序直接交互，必須通過代理程序雙方才能進行信息的交互。在實際構建時，通常由過濾器提供第一級的安全防護，再由代理服務器提供更高級的安全防護機制。

3．審核與監(jiān)視技術。安全審核負責監(jiān)視系統(tǒng)中各種與安全有關的事件，生成安全日志，并提供查看安全日志的方法。通過分析安全日志，可以發(fā)現(xiàn)并阻止各種危及系統(tǒng)安全的行為。Windows2K默認安裝下，安全審核是關閉的。要進行審核，必須先確定審核策略，指定要審核的安全事件的類別。具體的設置：在“管理工具-本地安全策略-本地策略-審核策略”中打開必要的審核。除了安全日志，系統(tǒng)日志和應用程序日志也是很好的監(jiān)視工具，它們記錄了用戶自登錄開始直到退出的整個操作過程，為網(wǎng)絡安全分析提供可靠的依據(jù)。

4．SSL安全機制。SSL(SecureSocketLayer）是一個運行在Http層和TCP層間的安全協(xié)議，確保傳遞信息的安全性。SSL是工作在公共密鑰和私有密鑰基礎上的，任何用戶都可以獲取公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應的私有密鑰。目前，SSL已被視為Internet上Web瀏覽器和服務器的標準安全性措施。由于SSL技術已建立到所有主要的瀏覽器和Web服務器程序中，因此，僅需安裝數(shù)字證書或服務器證書就可以激活服務器功能。建立SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，瀏覽器連接到使用Https://的地址，而不是URL中的協(xié)議。

5．關閉不用的服務和協(xié)議，堵上系統(tǒng)的漏洞和后門?！氨M量少開沒用到的服務”，如果開啟了某個服務，就要提防該服務可能引起的漏洞。同時要定期下載操作系統(tǒng)、IIS、ASP和DBMS最新漏洞的補丁，將可能發(fā)生的安全隱患減到最少。

（二）ASP程序設計安全技術

Asp程序設計的安全主要涉及兩個方面：一是Asp源代碼的安全，二是Asp程序設計中的安全。常見的安全技術如下：

1．用戶名、口令機制。用戶名、口令是基本的安全技術，在Asp中常采用Form表單提交用戶輸入的帳號和密碼，與用戶標識數(shù)據(jù)庫中相應的字段進行匹配。

2．Cookie的安全性。為防止非法用戶訪問合法用戶的會話變量，服務器為每個SessionID指派一個隨機生成號碼。每當用戶的Web瀏覽器返回一個SessionIDCookie時，服務器取出