ASP环境下的安全技术分析

ASP环境下的安全技术分析

【摘要】文章从Asp系统的全局出发，从Web服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析和总结，并指出Asp的安全应以预防为主。【关键词】ASP；安全；Web服务器；数据库Asp是微软推出的服务器端脚本环境，它把脚本、HTML、ActiveX组件有机地结合在一起，形成动态、交互、高效的Web服务器应用程序。目前，IIS+ASP+SQL（或Access）方案已成为中小型企业构建自己网上信息系统的首选方案。虽然Asp具有快速开发能力，但Asp也存在不容忽视的安全漏洞，这些安全问题是Asp程序开发者和管理者一直努力解决的问题。本文试图从服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析。

一、2ASP的安全技术分析

（一）Web服务器端的安全技术

1．目录文件的保护

（1）NTFS权限。NTFS文件系统提供了比Fat32更为安全的文件管理方式，它通过文件访问控制表（ACL）定义了用户访问文件和目录的权限级别，如果用户具有打开文件的权限，计算机则允许该用户访问文件。通过设定目录和文件的访问权限，禁止无关用户对目录文件进行复制、修改、删除等操作，限制对系统的入侵。

（2）虚拟目录及其属性设置。虚拟目录隐藏了有关站点目录结构的重要信息，在Asp环境下，较安全的做法是将Asp脚本和HTML文件分开存放在不同的目录下，将存放HTML文件的目录设为只读属性，将存放Asp脚本的目录设为执行属性。

（3）防止查看Asp文件。IIS自带的Code.asp或Showcode.asp文件，可以查看Asp程序的源代码，从而窃取相关的信息。可以在Web服务器端删除该文件或者禁止访问存放该文件的目录。

2．限制访问技术

（1）IP地址限制。IIS能够授权或拒绝特定IP地址对其访问，通过拒绝某特定IP地址的访问，以排除入侵干扰。具体设置：A启动ISM（Internet服务管理器）；B启动Web属性页中“高级”选项卡；C进行指定IP地址的控制设置。

（2）用户访问控制。IIS提供了对站点资源进行匿名访问与验证控制设置，Web服务器根据设置对用户的身份进行验证，阻止未授权用户与受限制内容建立Http连接。具体设置：在Web站点的“目录安全性”属性页中选择“匿名访问和验证控制”进行编辑。匿名访问允许客户端以IUSR-Computername为帐号与Web服务器建立连接（密码随机提供）。对于非匿名访问，有三种验证方式：基本验证，允许用户名及密码以未加密（明文）方式发送；简要验证，仅在域控制器的域中被支持，它通过网络发送经过混编的值（即利用“散列算法”计算的消息摘要）而不是密码进行验证。集成Windows验证，使用安全套接字层（SSL）自动加密用户名和密码。

（3）防火墙技术。防火墙的目的是为内部网络或主机提供安全保护，阻止对信息资源的非法访问，强制所有连接都必须经过此保护层。防火墙包括包过滤和代理两种，包过滤主要是针对特定IP地址的主机所提供的服务，其基本原理是在网络传输的IP层截获往来和IP包信息，确定是否对此IP包进行转发。代理的基本原理是对Web服务单独构造一个代理程序，不允许客户程序与服务器程序直接交互，必须通过代理程序双方才能进行信息的交互。在实际构建时，通常由过滤器提供第一级的安全防护，再由代理服务器提供更高级的安全防护机制。

3．审核与监视技术。安全审核负责监视系统中各种与安全有关的事件，生成安全日志，并提供查看安全日志的方法。通过分析安全日志，可以发现并阻止各种危及系统安全的行为。Windows2K默认安装下，安全审核是关闭的。要进行审核，必须先确定审核策略，指定要审核的安全事件的类别。具体的设置：在“管理工具-本地安全策略-本地策略-审核策略”中打开必要的审核。除了安全日志，系统日志和应用程序日志也是很好的监视工具，它们记录了用户自登录开始直到退出的整个操作过程，为网络安全分析提供可靠的依据。

4．SSL安全机制。SSL(SecureSocketLayer）是一个运行在Http层和TCP层间的安全协议，确保传递信息的安全性。SSL是工作在公共密钥和私有密钥基础上的，任何用户都可以获取公共密钥来加密数据，但解密数据必须要通过相应的私有密钥。目前，SSL已被视为Internet上Web浏览器和服务器的标准安全性措施。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中，因此，仅需安装数字证书或服务器证书就可以激活服务器功能。建立SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，浏览器连接到使用Https://的地址，而不是URL中的协议。

5．关闭不用的服务和协议，堵上系统的漏洞和后门。“尽量少开没用到的服务”，如果开启了某个服务，就要提防该服务可能引起的漏洞。同时要定期下载操作系统、IIS、ASP和DBMS最新漏洞的补丁，将可能发生的安全隐患减到最少。

（二）ASP程序设计安全技术

Asp程序设计的安全主要涉及两个方面：一是Asp源代码的安全，二是Asp程序设计中的安全。常见的安全技术如下：

1．用户名、口令机制。用户名、口令是基本的安全技术，在Asp中常采用Form表单提交用户输入的帐号和密码，与用户标识数据库中相应的字段进行匹配。

2．Cookie的安全性。为防止非法用户访问合法用户的会话变量，服务器为每个SessionID指派一个随机生成号码。每当用户的Web浏览器返回一个SessionIDCookie时，服务器取出