學校校園網站的安全及防范

☆ 張代紅

（濱?？h教育局，江蘇濱海 224500）

學校校園網站的安全及防范

☆ 張代紅

（濱?？h教育局，江蘇濱海 224500）

隨著Internet的發展，Web技術日新月異，各類網站如雨后春筍，許多教育管理機構和學校也都建立了自己的網站，學校校園網站在信息發布、資源共享、交流溝通中發揮了重要的作用，亦已成為學校展示風采的重要窗口。如何保證網站的安全是網站管理員面臨的重要任務。隨著網站建設技術的不斷發展，人們已經不再滿足于靜態HTML技術，更多的是采用動態、交互的網絡編程技術。IIS＋ASP架構的網站是中小型網站的首選方案，此方案是微軟公司推出的一種典型的服務器網頁設計技術。絕大多數教育網站均采用此解決方案。但是，該方案在為我們帶來便捷的同時，也帶來了嚴峻的安全問題。

一、動態網站的腳本安全及防范

首先，ASP程序的運行機制帶來的安全隱患。ASP是解釋性語言，運行的是源代碼本身，這就大大降低了程序源代碼的安全性。如果黑客侵入站點或利用其它一些手段，特別是對于租用服務器的用戶，因個別服務器出租商的職業道德問題，都會造成ASP應用程序源代碼的泄露。其次，ASP代碼使用表單實現交互，而相應的內容會反映在瀏覽器的地址欄中，如果不采用適當的安全措施，只要記下這些內容，就可以繞過驗證直接進入某一頁面。例如：在瀏覽器中敲入“...page.asp芽x＝8”，即可不經過表單頁面直接進入滿足“x＝8”條件的頁面。因此，在驗證或注冊頁面中，必須采取特殊措施來避免此類問題的產生。

解決方案：

（1）對ASP頁面進行加密處理，使黑客不能獲得明文的頁面源代碼?？刹捎脙煞N方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中；二是使用微軟的Script Encoder對ASP頁面進行加密。

（2）對需要驗證的ASP頁面的代碼開頭做相應的處理，可采用Session對象進行注冊驗證。

（3）在IIS中設置最低的腳本運行權限。具體設置為：在“Web服務擴展”中，“禁止所有CGI擴展”、“禁止所有未知ISAPI擴展”、“禁止Internet數據連接器”、“禁止WebDAV”、“禁止在服務器端的包含文件”。在網站“屬性”設置中，禁止“寫入”和“目錄瀏覽”，在“執行權限”中選擇“純腳本”。

二、支持動態網站的數據庫安全及防范

動態網站是基于數據庫的，數據庫是一個網站的核心，如果數據庫被下載或解密，黑客即可獲得網站的控制權，網站就被黑了。

解決方案：

（1）必須修改默認數據庫存放路徑和數據庫名。不要將數據庫放在如datebase等人們常用的目錄下，可以起一些只有你自己知道的非常規的名字并設置幾層目錄。數據庫擴展名改為asa，數據庫名可自己編寫一個復雜的數字、大小寫字母間隔的、中間加上＠、＃、＄等特殊符號的名字，如將數據庫名改為kdy＠QG＄roigh＠4896＃dirm.asa，這樣黑客軟件就掃描不到這些特殊字符后面的字符，確保數據庫不會被下載。

（2）對數據庫文件編碼及加密。對使用IIS＋ASP＋Access的網站，由于Access數據庫的加密機制比較簡單，即使設置了密碼，解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰（例如：Access 97為86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13）進行“異或”來形成一個加密串，并將其存儲在*.mdb文件從地址“＆H42”開始的區域內。黑客可以輕松地編制解密程序，一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此，只要數據庫被下載，其信息就沒有任何安全性可言了，所以必須對數據庫文件進行編碼。在“工具→安全→加密/解密數據庫”中選取數據庫（如：dabase.mdb），然后按確定，接著會出現“數據庫加密后另存為” 的窗口，可存為：“kdy＠QG＄roigh＠4896＃dirm.asa”。要注意的是，以上的動作并不是對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是為了防止他人使用別的工具來查看數據庫文件的內容。接下來再為數據庫加密，首先打開經過編碼了的kdy＠QG＄roigh＠4896＃dirm.asa，在打開時，選擇“獨占”方式。然后選取功能表的“工具→安全→設置數據庫密碼”，接著輸入密碼即可。這樣即使他人得到了kdy＠QG＄roigh＠4896＃dirm.asa文件，沒有密碼他也是無法看到kdy＠QG＄roigh＠4896＃dirm.asa中的內容。

對使用IIS＋ASP＋SQL架構的網站，首先特別需要注意的是SQL Server默認的管理員賬號“sa”的密碼是空的，這給多數服務器產生一個安全漏洞。所以要對sa賬號設置密碼，再另外添加一個能滿足你使用要求的一般賬號，給予僅僅是執行代碼的權限，因為一般操作數據庫不要使用像sa這樣的最高權限的賬號；其次，如不使用遠程管理請務必關閉3389端口，如使用遠程桌面管理最好更換3389端口，選擇一個不常用的別人猜不到的一個端口號?？雌饋鞸QL和3389好像沒有必然聯系，但黑客往往會利用此端口入侵你的SQL服務器；最后，還要跟著微軟打滿所有補丁，以保證SQL數據庫的安全。

以上僅就IIS＋ASP架構的動態網站的腳本及數據庫安全及防范談了一點粗淺的看法，其實對網站的攻擊還有很多，如DDOS攻擊、ASP木馬、SQL注入攻擊等。做好以上防范措施，您的網站只能說是相對安全了，決不能因此疏忽大意，因為入侵與反入侵是一場永恒的戰爭選

[編輯：于翼楠]