岳薈

摘 要：本文以淺談基于檔案網(wǎng)站的ASP技術(shù)安全分析為重點(diǎn)進(jìn)行闡述，分別對(duì)ASP技術(shù)檔案網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中數(shù)據(jù)庫(kù)的連接、數(shù)據(jù)庫(kù)的備份與恢復(fù)，以及ASP技術(shù)檔案網(wǎng)絡(luò)開(kāi)發(fā)與安全設(shè)計(jì)中的強(qiáng)調(diào)用戶在驗(yàn)證數(shù)據(jù)時(shí)輸入過(guò)程的合法性，運(yùn)用存儲(chǔ)過(guò)程與視圖代替SQL查詢語(yǔ)句等內(nèi)容進(jìn)行深入探討，旨意為相關(guān)研究提供數(shù)據(jù)參考。

關(guān)鍵詞：檔案網(wǎng)站；ASP技術(shù)；安全分析

當(dāng)前，基于信息技術(shù)的廣泛應(yīng)用，很多檔案管理部門(mén)都形成具有一定意義的網(wǎng)站資源，合理利用互聯(lián)網(wǎng)的良好傳播性能，突破了更多關(guān)于檔案管理工作的局限性，進(jìn)而更順利的為社會(huì)提供更優(yōu)質(zhì)的服務(wù)。但是現(xiàn)代化信息資源存在著一定的優(yōu)勢(shì)同時(shí)，還存在著一定的弊端，因此，如何高效提升網(wǎng)絡(luò)檔案管理的安全性，是相關(guān)檔案管理部門(mén)、網(wǎng)絡(luò)開(kāi)發(fā)部門(mén)、相關(guān)管理人員重點(diǎn)關(guān)注的問(wèn)題。結(jié)合當(dāng)前檔案網(wǎng)站的一些特性，在網(wǎng)站設(shè)計(jì)、網(wǎng)站數(shù)據(jù)庫(kù)管理等方面都應(yīng)該采取正確的技術(shù)。

1 基于ASP技術(shù)檔案網(wǎng)絡(luò)數(shù)據(jù)庫(kù)分析

1.1 數(shù)據(jù)庫(kù)連接

在ASP技術(shù)的支持下，檔案網(wǎng)站通常使用IIS+ASP+SQL server/access的結(jié)構(gòu)形式，只有技術(shù)人員通過(guò)一定的手段獲得數(shù)據(jù)的存儲(chǔ)途徑與文件名，就能清晰的掌握access數(shù)據(jù)庫(kù)文件內(nèi)容，主要了解相關(guān)程序的人員就可能知道其在地址欄中輸入過(guò)URL、xinxi.mdb 等內(nèi)容，這樣數(shù)據(jù)庫(kù)就被輕易破解。所以對(duì)數(shù)據(jù)的命名都可以使用常規(guī)的命名方法，或者在數(shù)據(jù)庫(kù)命名上增加一定的難度，或者將其分放在幾個(gè)不同的目錄下，也可以將擴(kuò)展名改成asp或mdb文件的方式[1]。經(jīng)過(guò)這樣復(fù)雜程序的設(shè)定，技術(shù)人員再想獲取相關(guān)數(shù)據(jù)庫(kù)信息就變得異常困難。此外，要想順利提升數(shù)據(jù)庫(kù)連接的安全性，最好使用ODBC數(shù)據(jù)源，同時(shí)避免數(shù)據(jù)庫(kù)名字出現(xiàn)在程序中。正確規(guī)避相關(guān)技術(shù)人員由于獲得了源程序以及數(shù)據(jù)庫(kù)名造成ASP源代碼失密或者數(shù)據(jù)丟失的現(xiàn)象出現(xiàn)，這樣一來(lái)，access數(shù)據(jù)庫(kù)信息就會(huì)變得透明化。盡管數(shù)據(jù)庫(kù)的文件名再具有一定的難度，數(shù)據(jù)庫(kù)的儲(chǔ)備程度再具有隱藏性，但是如果ASP源代碼失去意義，也會(huì)很容易被獲得。但是正確應(yīng)用ODBC數(shù)據(jù)源就能有效避免這種現(xiàn)象出現(xiàn)，所以，程序員最好使用ODBC數(shù)據(jù)源。

1.2 數(shù)據(jù)庫(kù)的備份與恢復(fù)

因?yàn)闄n案網(wǎng)站中大多數(shù)數(shù)據(jù)具有不可隨意篡改性，并且還有大量數(shù)據(jù)信息需要經(jīng)常訪問(wèn)與創(chuàng)新，所以使用數(shù)據(jù)加強(qiáng)管理與備份的方式才是符合當(dāng)前網(wǎng)站的變化形式。一些數(shù)據(jù)庫(kù)備份還可以在歸檔的模式下使用，利用歸檔日志可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的恢復(fù)。但是因?yàn)閿?shù)據(jù)庫(kù)文件無(wú)法全面同步，因此在將備份文件復(fù)制粘貼到數(shù)據(jù)庫(kù)時(shí)，必須進(jìn)行對(duì)應(yīng)的數(shù)據(jù)庫(kù)恢復(fù)，這整個(gè)過(guò)程還可以在數(shù)據(jù)庫(kù)關(guān)閉或者數(shù)據(jù)庫(kù)運(yùn)行時(shí)展開(kāi)。完整性通常在數(shù)據(jù)庫(kù)常規(guī)關(guān)閉后進(jìn)行，因?yàn)榻M成數(shù)據(jù)庫(kù)的所有文件都是處于關(guān)閉狀態(tài)，并且文件上的同步信號(hào)與當(dāng)前檢驗(yàn)步號(hào)相同，尚未涉及不同步等問(wèn)題，所以在前期復(fù)制到數(shù)據(jù)庫(kù)備份文件之后階段，可以不進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)過(guò)程[2]。數(shù)據(jù)的恢復(fù)不僅有數(shù)據(jù)庫(kù)恢復(fù)、數(shù)據(jù)表恢復(fù)、數(shù)據(jù)結(jié)構(gòu)恢復(fù)，還有數(shù)據(jù)庫(kù)、數(shù)據(jù)表、數(shù)據(jù)結(jié)構(gòu)的多樣性恢復(fù)工作。各個(gè)工作環(huán)節(jié)可以還能合理運(yùn)用系統(tǒng)在正常運(yùn)行時(shí)形成的備份數(shù)據(jù)包進(jìn)行對(duì)應(yīng)的恢復(fù)。

2 基于ASP技術(shù)檔案網(wǎng)站開(kāi)發(fā)設(shè)計(jì)安全技術(shù)設(shè)計(jì)

2.1 強(qiáng)調(diào)用戶在驗(yàn)證數(shù)據(jù)時(shí)輸入過(guò)程的合法性

因?yàn)镾QL注入存在著隱含的攻擊性，攻擊人員能夠在輸入過(guò)程中導(dǎo)入一些特殊的數(shù)據(jù)符合，從而可以改變SQL查詢?cè)寄康?，?dǎo)數(shù)服務(wù)器不得不執(zhí)行惡意的查詢指令，最終造成數(shù)據(jù)的丟失。因此要想順利抵制SQL注入攻擊，就應(yīng)該適當(dāng)?shù)脑诔绦蜷_(kāi)發(fā)過(guò)程中，驗(yàn)證用戶所輸入的數(shù)據(jù)是否屬于合適的數(shù)據(jù)的類(lèi)型，是否執(zhí)行了安全的預(yù)設(shè)格式，尤其是郵政編碼、身份證號(hào)、電子郵件等這些重要的身份信息數(shù)據(jù)?；蛘咭?guī)范指定的數(shù)據(jù)必須作用在某個(gè)指定范圍字符的集合中，進(jìn)而忽略掉星號(hào)、引號(hào)等特殊字符[3]。

2.2 Inc文件

在檔案網(wǎng)站中，與ASP技術(shù)相關(guān)的文件數(shù)據(jù)庫(kù)在處理的時(shí)候，更多是以代碼的形式出現(xiàn)在Inc文件中，如果ASP文件中應(yīng)該進(jìn)行對(duì)應(yīng)的數(shù)據(jù)庫(kù)處理，可以采取在ASP文件前面直接添加有其有關(guān)的文件指令即可。但是不法人員向利用搜索引擎對(duì)網(wǎng)站頁(yè)面進(jìn)行查找，就會(huì)輕易找到Inc文件，導(dǎo)致文件內(nèi)容被泄漏，網(wǎng)站中數(shù)據(jù)信息也會(huì)隨之泄漏。所以，網(wǎng)站管理人員必須高度重視不良的Inc文件隱患問(wèn)題，進(jìn)而結(jié)合文件形式采取對(duì)應(yīng)的加密處理，或者直接將Inc文件轉(zhuǎn)換成asp文件再進(jìn)行保存，并且設(shè)置一定找出障礙，也就是說(shuō)盡管不法侵入者找到了文件，也無(wú)法獲得里面的內(nèi)容，進(jìn)而網(wǎng)站的安全性隨之提高[4]。

2.3 Script腳本代碼

在動(dòng)態(tài)網(wǎng)站的網(wǎng)頁(yè)操作過(guò)程中，還應(yīng)該進(jìn)行交互的操作，尤其是應(yīng)該對(duì)服務(wù)器中的數(shù)據(jù)進(jìn)行處理操作，通常情況下使用Script腳本代碼工具進(jìn)行處理，只要將腳本貫穿到htm或html網(wǎng)頁(yè)中，用戶就在客戶終端直接進(jìn)行瀏覽，但是Script腳本代碼就會(huì)顯露的明顯。因此在通常情況在最好不要讓Script腳本代碼出現(xiàn)在網(wǎng)頁(yè)文件中，將其歸納到單獨(dú)的文件中，尤其是對(duì)服務(wù)器具有直接影響的Script腳本代碼，更應(yīng)該單獨(dú)進(jìn)行處理，以防將服務(wù)器的信息與數(shù)據(jù)庫(kù)信息泄漏給不法人員。

2.4 運(yùn)用存儲(chǔ)過(guò)程與視圖代替SQL查詢語(yǔ)句

因?yàn)樵诖鎯?chǔ)過(guò)程中，最具有實(shí)際意義的優(yōu)勢(shì)，就是正確管理存儲(chǔ)過(guò)程中的訪問(wèn)限制問(wèn)題，如果用戶沒(méi)有權(quán)限就絕對(duì)無(wú)法進(jìn)行訪問(wèn)，因此只有具備對(duì)應(yīng)的系統(tǒng)權(quán)限才是正確管理對(duì)應(yīng)的存儲(chǔ)過(guò)程?；蛘咧粚?duì)存儲(chǔ)過(guò)程進(jìn)行訪問(wèn)，不對(duì)存儲(chǔ)過(guò)程中出現(xiàn)的圖表或者視圖進(jìn)行訪問(wèn)，只利用存儲(chǔ)過(guò)程中給定的特殊功能進(jìn)行數(shù)據(jù)庫(kù)的間接性操作。為此進(jìn)一步的提升數(shù)據(jù)的安全性，在進(jìn)行程序代碼編寫(xiě)時(shí)應(yīng)該重點(diǎn)使用存儲(chǔ)過(guò)程。

3 結(jié)束語(yǔ)

為了穩(wěn)定性的保持網(wǎng)站安全性，在進(jìn)行網(wǎng)站開(kāi)發(fā)時(shí)，必須重視某些細(xì)節(jié)上的安全性，促使用戶在使用檔案網(wǎng)站時(shí)能養(yǎng)成良好的安全習(xí)慣，有效制止出現(xiàn)不必要的安全隱患。此外，還應(yīng)該對(duì)網(wǎng)站管理人員進(jìn)行一系列網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)，促使網(wǎng)站管理人員樹(shù)立正確的安全防范意識(shí)與強(qiáng)烈的安全管理意識(shí)。通過(guò)這樣雙重安全防范工作的進(jìn)行，正確規(guī)避安全隱患的出現(xiàn)，促使網(wǎng)站能真正實(shí)現(xiàn)安全運(yùn)行。

參考文獻(xiàn)

[1]趙巖.WEB技術(shù)在檔案網(wǎng)站建設(shè)中的應(yīng)用[J].遼寧省交通高等專(zhuān)科學(xué)校學(xué)報(bào)，2017，19（05）：25-27.

[2]何保榮，李建榮.基于檔案網(wǎng)站的ASP技術(shù)安全分析——兼與梁惠卿先生探討[J].檔案管理，2017（02）：89-90.

[3]張蕊.檔案網(wǎng)站管理研究文獻(xiàn)綜述[J].學(xué)理論，2012（21）：155-156.

[4]青妮.簡(jiǎn)介基于ASP技術(shù)的檔案管理信息系統(tǒng)網(wǎng)站[J].民營(yíng)科技，2008（04）：120+139.