校园网站中的安全策略.pdfVIP

第 22 卷 　第 2 期 　　　　　　　　　　　　南平师专学报 　　　　　　　　　　　　　2003 年 6 月 　　 　 Vol. 22 　No. 2 　　　　　　　　Journal of Nanping Teachers College 　　　　　　　　J une. 2003 　　 校园网站中的安全策略 吴　薇 (南平师范高等专科学校 计算机科学与工程系 ,福建 南平 353000) 摘　要 　随着全球信息化不断地加深和发展 ,计算机信息安全问题的重要性日趋显现。目前我国各 级单位的信息网络安全还处在一个相当薄弱的环节。本文从实用的角度出发介绍校园网站 中存在的安全隐患及应对的策略。 关键词 　校园网站 　WEB 服务器 　ASP 　数据库技术 ( ) 中图分类号: 　TP393. 08 　文献标识码 : 　A 　文章编号 : 　1008 - 5963 2003 02 - 0099 - 03 随着我校校园网的建立 ,构建一个校园网站刻不容缓。考虑到 WEB 服务器与外部程序通信的通用 ( ) ( ) 网关接口 CGI 之后 ,ASP Active Server Pages 作为一种无需编译的开放的应用软件 ,它使用户能够利用 HTML 和 ACTIV E X 强有力的功能创建易于维护的、功能强大的 ,与平台无关的 WEB 应用系统 ,在通过 ASP 指令和 ACTIV E X 控件建立动态、交互且高效的 WEB 服务器应用程序的同时 ,我们可以不必担心浏 览者会运行我们编写的代码 ,因为所有的程序都是在服务器端执行的 ,包括所有嵌入普通 HTML 中的脚 本程序。因此我们的校园网站的开发选择了 ASP 这个服务器端脚本环境。在数据库方面 , 由于ACCESS 数据库作为微软推出的应用型数据库系统 ,它是 OFFICE 家族的一部分 ,具有界面直观、操作简单的特 点 ,所以我们最终采纳了 ASP 环境和 ACCESS 数据库作为校园网站的首选方案。但是校园网站的安全问 题也是一个不容忽视的问题 ,一个再优秀的开发环境也不可能尽善尽美 ,所以我们必须了解它的安全隐 患 ,并采取有效的措施加以克服。 1 　WEB 服务器的安全配置 首先 , 由于我们采用的服务器是 IIS4. 0 ,所以必须了解 WINDOWS N T 与 IIS 的安全性 ,包括了 WEB ( ) 服务器权限和安全套接字层 SSL 协议。 1. 1 　Web 服务器权限设置 Windows N T 提供的 N TFS 文件系统允许对用户和组设置资源的访问权限 , 即配置资源的访问控制 ( ) 列表 ACL 。ACL 是指与某一资源 ,如文件或目录有关的用户、组及他们对资源的访问权限。它是 Win dows N T 安全模型的又一个核心内容 ACL ,每个目录或文件都有自己的 ACL ,每个 ACL 本身又有一个 ACL ,用于指定谁有权查看和更改 ACL 。因此我们可以通过为单独的文件和目录设定N TFS 访问权限来 保护 ASP 应用程序文件。如果用户帐号具有打开该 ASP 文件权限时 ,计算机则允许该用户访问文件。 当然 ,作为 Windows N T Server 本地的一个信息服务 ,IIS 也提供了 Web 权限 ,如读与写 ,但与控制用户对 硬盘资源的访问权限不同 ,Web 权限控制允许对 HTTP 资源执行的 HTTP 命令。如果 Web 权限是只读 , 那么 N TFS 的权限未必是只读 ,因为 Web 权限只控制在 HTTP 请求中能够使用的 HTTP 命令。反过来 , 如果设置 N TFS 权限是只读 ,则意味着 Web 权限也是只读 ,此时即使设置 Web 权限是读写 ,那 HTTP 的 写请求也会失败。所以为了维护 Global. asa 的安全 ,充分保护 ASP 应用程序 ,一定要在应用程序的 Glob al.