返回
基于档案网站的asp技术安全分析

基于档案网站的asp技术安全分析

ID:27093850

大小:49.50 KB

页数:5页

时间:2018-12-01

基于档案网站的asp技术安全分析_第1页
基于档案网站的asp技术安全分析_第2页
基于档案网站的asp技术安全分析_第3页
基于档案网站的asp技术安全分析_第4页
基于档案网站的asp技术安全分析_第5页
资源描述:

《基于档案网站的asp技术安全分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于档案网站的ASP技术安全分析摘要:根据网站开发和网站安全管理工作的总结,针对档案网站漏洞问题,文章分别从登录网站、网站数据库、网站开发设计三个方面进行了安全分析,并指出了相关安全措施,降低网络存在风险,以期达到档案网站安全稳定地运转。中国4/vie  关键词:档案网站;安全技术;网站漏洞  当前各级档案部门都建立了自己的网站,利用互联网的巨大传播能力,使档案资源突破了时空的限制,更加方便高效地为社会提供优质、便捷的服务。但是,网络安全环境不容乐观。如何保障网站安全稳定地运转,成为档案界、档案网站开发和管理人员不断思考和研

2、究的课题。读了梁惠卿先生的《档案网站安全风险分析与应对――以网络攻击为例》(《档案管理》2016年第4期)一文后,觉得很有道理。再联系到实际工作中的一些现象,在登录网站、网站数据库、�inistrator、Admin等账号,这样的账号很容易被人猜测到,非常不安全。账号和密码一旦被入侵者窃取,网站就完全被入侵者控制。为了避免这一事故的发生,首先一定不要用传统的命名方法对账号命名,避免入侵者通过猜测的方法获得。其次,对输错账号和密码的次数要有限制,例如,一天之内不能输错三次等,避免入侵者通过猜测获得账号和密码。  1.2关于绕过

3、用户验证。档案网站的有些机密信息网页,只能对某些人员开放。所以要进入这些页面,必须经过一个身份验证,没有合法身份的用户是不能进入的。但是,要是这些网页没有跟身份验证的页面进行绑定的话,入侵者如果获得了机密信息页面的文件名,就可以直接在地址栏输入后台管理网页的完全路径,绕过用户的身份验证,直接进入到内容信息的页面。如果这样,用户验证就成了摆设。所以,设计网站时,应该把登录页面与重要信息页面进行绑定,只有通过了相关登录页面的合法身份验证的用户才能进入相关重要信息页面,凡是没有通过登录、匿名直接进入页面的用户,就会自动返回登录页面

4、,必须通过登录才可以进入网站。这样入侵者就无法绕过用户验证而直接进入机密信息网页。  1.3关于后台管理登录页面文件名。为了方便管理网站数据,一般都会设计一个后台管理页面。方便管理员不受时间和空间的限制,随时都能对网站实施管理,实现对网站信息的添加、删除、修改、更新等操作。后台管理页面虽然给网站管理员提供了极大的方便,但是入侵者如果通过猜测的方法,或者通过管理员登录过的电脑,利用IE中的“历史”功能,一旦获得后台管理页面的文件名称,就可以进入后台管理页面,给我们的网站随时带来很大的威胁。为了防止万一,也可以在IIS中进行安全

5、设置,使登录页面和后台管理页面只限在某些IP机上才能打开,如果这样,入侵者即使得到后台登录页面和后台管理页面的文件名,甚至掌握了管理员账号和密码,离开指定的几台计算机,无论如何都无法实施破坏。  2基于ASP档案网站数据库的安全技术分析  《梁文》提出“‘技防’是应对网络攻击的最有效方法,通过购买使用性价比高的安全软件,及时升级网站安全系统”[2]。笔者认为数据库是数据的聚集区,它不仅包含了档案网站的所有信息,也包含了账户和密码信息。数据库被人下载,档案信息和用户信息就彻底被暴露,后果可想而知。网站安全系统软件是保护不了数据

6、库绝对完全的。  2.1数据库的连接。目前,基于ASP技术档案网站一般使用IIS+ASP+SQLserver/access构架,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,那么他就能够很容易下载这个access数据库文件,稍微懂点程序设计的人都会猜测到在地址栏输入“URL/database/information.mdb”或“URL/database/xinxi.mdb”,数据库就可以被下载。因此,对数据库的命名要采用非常规的命名方法,为access数据库文件起一个复杂的名字,并把它放在几个目录下,或把扩展名改

7、为asp或其他非mdb文件,这样黑客要想通过猜的方式得到access数据库文件名就非常困难了。另外数据库连接尽量使用ODBC数据源,而不要把数据库名字写在程序中,否则,假如被黑客拿到了源程序,数据库名将随ASP源代码的失密而一同失密,access数据库的路径和名称便一览无余。  即使数据库名字再不可思议,存放数据库的目录隐藏得再深,一旦ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,例如:conn.open“ODBC-DSN名”,就不存在这样的问题,因此,建议程序员在ODBC中设置数据源。  2.2数据的备份

8、与恢复。由于档案网站中的大部分数据属于不经常改写的信息,还有一部分数据要经常访问和更新,因此采用增量备份与完全备份相结合的方式比较合适。部分数据库备份可以在归档模式下使用,使用归档日志进行数据库恢复。由于数据库文件存在不同步,在备份文件复制到数据库时需要实施数据库恢复,可以在数据库关闭和数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。