應(yīng)對ASP網(wǎng)站安全攻擊的管理系統(tǒng)開發(fā),asp論文

應(yīng)對ASP網(wǎng)站安全攻擊的管理系統(tǒng)開發(fā),asp論文ASP是微軟推出的服務(wù)器端腳本環(huán)境,它把腳本、、ActiveX組件有機(jī)地結(jié)合在一起,構(gòu)成動態(tài)、交互、高效的Web服務(wù)器應(yīng)用程序.是當(dāng)前流行的Web應(yīng)用程序開發(fā)工具之一,因其功能強(qiáng)大且簡單易學(xué)、易于維護(hù)、靈敏性大,再加上微軟的強(qiáng)有力支持,深受網(wǎng)站開發(fā)人員的喜歡,是很多單位門戶網(wǎng)站或辦公系統(tǒng)首選的開發(fā)技術(shù).但ASP只能工作于微軟自個的操作系統(tǒng)平臺和服務(wù)器軟件之下,存在不容忽視的安全漏洞,黑客的攻擊讓人防不勝防,網(wǎng)站被黑的事時有發(fā)生,這既給單位造成了一定的經(jīng)濟(jì)損失,也產(chǎn)生了極壞的影響.為了將影響降到最低,設(shè)計與完善網(wǎng)站系統(tǒng)安全顯得非常必要,試圖從ASP網(wǎng)站被攻擊常用方式方法進(jìn)行分析,對網(wǎng)站管理系統(tǒng)進(jìn)行分析與設(shè)計.1常用攻擊方式方法隨著信息技術(shù)的不斷發(fā)展,黑客攻擊方式方法和手段也在不斷翻新,給網(wǎng)站管理人員也帶來了沉重的工作負(fù)擔(dān),在網(wǎng)站管理與維護(hù)經(jīng)過中常會顧此失彼,甚至給黑客留下可乘之機(jī).了解黑客攻擊網(wǎng)站常用的方式方法,將有助于建立全面有效的網(wǎng)站信息安全體系.現(xiàn)有ASP網(wǎng)站常用配置方案是IIS+ASP+SQL或IIS+ASP+Access,綜合分析被攻擊網(wǎng)站,黑客攻擊方式方法主要有兩種.一種是對數(shù)據(jù)庫的攻擊,最簡單方式方法是下載Access數(shù)據(jù)庫,獲取用戶后臺登錄信息,或利用SQL注入攻擊檢測數(shù)據(jù)庫的漏洞,猜想數(shù)據(jù)庫字段名稱或字段值,對SQL數(shù)據(jù)庫進(jìn)行遠(yuǎn)程登錄或獲取個人登錄信息.隨著網(wǎng)站安全管理人員安全防備意識逐步加強(qiáng),及時對漏洞進(jìn)行修復(fù),這種方式已很少見.另一種是利用系統(tǒng)或上傳文件程序漏洞上傳木馬,并調(diào)用服務(wù)器端組件對服務(wù)器進(jìn)行控制,對頁面或數(shù)據(jù)庫文件進(jìn)行非法篡改.從諸多攻擊網(wǎng)站的案例來看,對網(wǎng)站主頁或某些二級頁面的更改占了很大的比例.當(dāng)前通用的做法是對數(shù)據(jù)加密、安裝防火墻、殺毒軟件等安全設(shè)置,但通過對木馬的偽裝很易通過上傳驗證.最為有效防治方式方法是改變文件夾寫入權(quán)限,限制上傳文件或?qū)?shù)據(jù)庫添加信息,這將導(dǎo)致網(wǎng)站內(nèi)容無法更新,顯然是不可取的.為了解決這一問題,ASP網(wǎng)站安全管理系統(tǒng)就是監(jiān)測網(wǎng)站文件的內(nèi)容,實現(xiàn)系統(tǒng)安全管理的目的.2設(shè)計與實現(xiàn)2.1系統(tǒng)工作原理要防止黑客入侵,僅靠防火墻、入侵檢測系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的,這些技術(shù)只是從防御的角度來防止入侵,并不能從根本上解決問題.ASP網(wǎng)站安全管理系統(tǒng)是當(dāng)防火墻等安全措施失敗后,對安全防御系統(tǒng)的最后一道防線,是文件被非法篡改后亡羊補(bǔ)牢的有效措施,將損失盡可能降到最低.其工作原理是ASP網(wǎng)站部署完成后,將其備份到不同的盤符目錄下,啟動管理系統(tǒng)監(jiān)測指定的文件或文件夾,不間斷將文件和數(shù)據(jù)庫保存信息相比擬.當(dāng)內(nèi)容發(fā)生變化時,及時保存防火墻等安全日志記錄,并向網(wǎng)站管理人員發(fā)出告警,啟動恢復(fù)系統(tǒng),將備份文件復(fù)制至網(wǎng)站目錄下.為安全防御系統(tǒng)提供一種及時的主動響應(yīng),并為網(wǎng)站內(nèi)容實行24小時的實時監(jiān)控.通過簡潔的管理界面,對網(wǎng)站的管理變理輕松自在,杜絕了由于網(wǎng)站管理失誤而帶來的網(wǎng)站安全隱患.ASP動態(tài)網(wǎng)站工作原理是當(dāng)接收到請求后,根據(jù)請求從數(shù)據(jù)庫中查找內(nèi)容并返回客戶端,對網(wǎng)站內(nèi)容正常更新一般只是數(shù)據(jù)庫和上傳目錄會發(fā)生變化,腳本文件內(nèi)容不會發(fā)生變化,即是腳本代碼不會變化.通過上述分析可知,黑客為了到達(dá)攻擊的目的,只能是修改腳本文件或修改數(shù)據(jù)庫的內(nèi)容.系統(tǒng)運(yùn)行經(jīng)過中,就可比擬腳本文件和數(shù)據(jù)庫文件的屬性,如文件大小、開創(chuàng)建立修改時間等.可以對文件的內(nèi)容進(jìn)行全文比照,可對文件夾中文件數(shù)量的多少進(jìn)行比照,假如上述任一發(fā)生變化,即可視為網(wǎng)站遭到攻擊,并作出正確的處理.2.2系統(tǒng)組成系統(tǒng)主要由系統(tǒng)監(jiān)測、系統(tǒng)備份和恢復(fù)兩部分組成,系統(tǒng)監(jiān)測主要包括監(jiān)測設(shè)置和系統(tǒng)監(jiān)測,系統(tǒng)備份和恢復(fù)主要是當(dāng)網(wǎng)站遭到攻擊時作出的處理.為了降低運(yùn)行成本和快速恢復(fù),本系統(tǒng)設(shè)計為單機(jī)并在ASP服務(wù)器上運(yùn)行.現(xiàn)對文件檢測主要有文件屬性和文件內(nèi)容兩種方式,文件屬性檢測比擬常用的是比擬文件的大小等屬性,固然這種方式方法比擬簡單,但當(dāng)黑客通過精心設(shè)計,將替換文件屬性和原文件屬性設(shè)置完全一樣時,系統(tǒng)就無法及時檢測出來.而文件內(nèi)容檢測,并對整站文件或文件夾進(jìn)行不間斷掃描檢測,會影響ASP服務(wù)器的性能.為了解決上述問題,在本系統(tǒng)中將網(wǎng)站文件按能否易受攻擊分為兩個等級,不同的等級采用不同的監(jiān)測方式,如重點等級為網(wǎng)站需重點監(jiān)測的文件,不管監(jiān)測時間間隔長短都應(yīng)比擬文件的內(nèi)容,一般等級文件將文件屬性和文件內(nèi)容檢測混合進(jìn)行,如間隔5分鐘檢測文件屬性,間隔10分鐘檢測文件內(nèi)容,系統(tǒng)可由用戶對文件進(jìn)行等級劃分.并可由用戶將不同等級的文件的掃描檢測時間間隔設(shè)置為不一樣,等級高的時間間隔能夠設(shè)置較短,對等級較低的可將間隔設(shè)置較長,這可減輕系統(tǒng)的負(fù)擔(dān),知足用戶不同的需求.同時,為了提高系統(tǒng)的性能,減少系統(tǒng)的開銷,文件內(nèi)容比擬在本系統(tǒng)中采用文件的數(shù)字簽名比擬方式,如MD5簽名算法,針對字符串或文件生成32位字符的簽名比擬兩個文件或字符串只需比擬MD5簽名就行了,能迅速比擬出兩個字符串或文件的異同.由于數(shù)字簽名的不可偽造性,確保文件內(nèi)容的一樣.系統(tǒng)的運(yùn)行是保障網(wǎng)站的安全,但正常的網(wǎng)站內(nèi)容更新和維護(hù)也會視為遭到攻擊.為了進(jìn)行區(qū)別,在本系統(tǒng)中當(dāng)檢測到文件內(nèi)容發(fā)生變化時,不是立即恢復(fù)網(wǎng)站內(nèi)容,而是對其他條件進(jìn)行檢測.如在網(wǎng)站數(shù)據(jù)庫表中保存某一個值,系統(tǒng)通過網(wǎng)頁頁面讀取其值并解密,假如正確就將整站文件進(jìn)行備份,否則就視為網(wǎng)站遭到攻擊,系統(tǒng)就直接將整站文件進(jìn)行刪除,并復(fù)制備份目錄下文件至站點目錄中,系統(tǒng)監(jiān)測經(jīng)過如此圖1所示.在系統(tǒng)設(shè)計中將網(wǎng)站的備份放在Web虛擬目錄之外的其它盤符目錄.但由于系統(tǒng)軟件與ASP服務(wù)器運(yùn)行在同一臺服務(wù)器上,假如入侵者能進(jìn)入到虛擬目錄以外的地方,則可能對備份也有毀壞,這要正確配置系統(tǒng),關(guān)閉除Web之外不必要的服務(wù)和端口,并安裝防火墻對信息加以過濾.2.3系統(tǒng)模塊設(shè)計并實現(xiàn)的網(wǎng)站安全保衛(wèi)系統(tǒng),可檢測出網(wǎng)頁文件能否發(fā)生變化,必要時可對網(wǎng)站進(jìn)行恢復(fù).本系統(tǒng)主要由登錄模塊、監(jiān)控設(shè)置模塊、監(jiān)測模塊、系統(tǒng)備份和恢復(fù)模塊組成.(1)系統(tǒng)登錄模塊,負(fù)責(zé)對操作人員的身份驗證,只要輸入正確的賬號和密碼才能啟動或退出本系統(tǒng).為了防止黑客對密碼的破解,須對密碼進(jìn)行加密處理保存到數(shù)據(jù)庫中.同時,為防止黑客添加新賬號和密碼進(jìn)入系統(tǒng),可將賬號作為數(shù)據(jù)表的主鍵,設(shè)置不能添加多個賬號等限制.(2)監(jiān)控設(shè)置模塊,主要是對系統(tǒng)監(jiān)測的頁面進(jìn)行管理,包括添加、刪除和修改.在添加頁面時,通過界面打開網(wǎng)站虛擬目錄位置,選擇對應(yīng)文件即可對其進(jìn)行操作,主要包括設(shè)置監(jiān)測掃描的時間間隔、掃描等級和文件大小、修改時間、數(shù)字簽名等信息,并將這些信息保存到數(shù)據(jù)庫中.當(dāng)對網(wǎng)頁進(jìn)行更新時,可先停止監(jiān)測檢查,通過修改頁面對文件信息進(jìn)行更新.(3)監(jiān)測模塊,主要用于對各文件或文件夾進(jìn)行掃描比對.根據(jù)系統(tǒng)設(shè)計,文件監(jiān)測主要分為兩個等級,可放置多個定時器,較低等級監(jiān)測短時間內(nèi)比擬文件的大小、文件屬性,較長時間間隔比擬一次文件內(nèi)容,高等級文件比擬文件的數(shù)字簽名.若發(fā)現(xiàn)文件有變化,就啟動備份和恢復(fù)模塊對網(wǎng)站進(jìn)行恢復(fù),為了方便管理,在界面中設(shè)置啟動和停止監(jiān)測按鈕.(4)備份和恢復(fù)模塊,用于當(dāng)網(wǎng)站文件發(fā)生變化時,用備份文件覆蓋網(wǎng)站原文件,在網(wǎng)站文件有更新時,使用系統(tǒng)將網(wǎng)站文件備份到指定的目錄.在恢復(fù)網(wǎng)站文件時,為了到達(dá)徹底去除黑客攻擊影響的目的,采用將原網(wǎng)站文件進(jìn)行刪除,再將備份文件復(fù)制至網(wǎng)站虛擬目錄下的方式方法.當(dāng)發(fā)生恢復(fù)時,進(jìn)行日志登記,并發(fā)出警報聲提醒網(wǎng)站管理人員.3結(jié)束語計算機(jī)網(wǎng)絡(luò)的發(fā)展給人們帶來了極大的方便,也因黑客的存在擾亂了正常的網(wǎng)絡(luò)秩序.在網(wǎng)站安全管理中,僅靠防火墻等安全設(shè)施是無法保證網(wǎng)站安全的,設(shè)計與完善網(wǎng)站內(nèi)容防護(hù)系統(tǒng)是非常有必要的.隨著黑客攻擊手段不斷翻新,應(yīng)對系統(tǒng)防御方式方法不斷升級,如實行網(wǎng)站服務(wù)器和系統(tǒng)監(jiān)測分離、備份目錄不在網(wǎng)站服務(wù)器中等.只要計算機(jī)系統(tǒng)存在安全漏洞,計算機(jī)系統(tǒng)就有可能被黑客攻破.因而防備黑客攻擊,保障計算機(jī)系統(tǒng)安全是一項任重道遠(yuǎn)的工作.以下為參考文獻(xiàn)[1]高延玲,張玉清,等.網(wǎng)頁保衛(wèi)系統(tǒng)綜述[J].計算機(jī)工程,2004,(10).[2]趙井文.Visualba