论文部分内容阅读
【摘 要】“中泰教育合作下信息技术与《泰语视听说》课程整合的研究与实践”是2012年度新世纪广西高等教育教学改革工程立项项目,其中,建设课程教学网站是其中的一项主要内容。团队通过探讨研究,采用了ASP.net+SQL的技术建设该课程的教学网站。本文首先分析了采用ASP.net +SQL的技术的原因,其次再分析采用这些技术所面临的风险,最后提出解决这些风险的安全防范措施。
【关键词】ASP.net SQL 网站安全 SQL注入
《泰语视听说》课程是一门实践性非常强的课程,教学内容大多来自电视和网络等媒体,课程的目的是让学生能听得懂节目内容的同时,还能运用泰、汉两种语言进行复述以及归纳中心意思。
建立课程教学网站,是“中泰教育合作下信息技术与《泰语视听说》课程整合的研究与实践”项目的一项主要内容,作用重要,因为通过该网站,可以把优秀的教学资源共享出去,实现课程的远程教学和多媒体教学,为其它泰语专业的课程甚至其它小语种课程的网络化、多媒体化打下基础,提高泰语专业教师对现代教育技术的应用能力,进而服务于中泰高校的教育合作,提高泰语专业的人才培养质量。同时,泰语专业的学生也可以通过该网站的学习,让听、说方面的能力得到提高,为学生今后出国留学深造作铺垫。
一、ASP.NET和SQL技术的优势
之所以选择ASP.net +SQL的技术去构建该课程教学网站,主要是出于以下的考虑:
1.ASP.net的优势
虽然说ASP.net有这样那样的缺点,比如数据库的连接复杂;但是优点也是非常明显的。
(1)简单性和易学性:其使运行的任务,如表单的提交客户端的身份验证、分页系统和网站配置,变得非常简单,它可以通过语言简化开发简化代码的生成。
(2)高效可管理性:其使用字符基础的、分级的配置系统,服务器环境和应用程序的设置更加简单。
(3)其是一种用于多处理器的开发工具,它在多处理器的环境下用特殊的列缝连接技术,极大的提高了运行速度。
(4)安全性高:在安全这一块,提供了两种安全机制:验证和授权。
ASP.net除了以上的的优点外,还有其它的优点,比如:易于写出结构清晰的代码、代码易于重用和共享、可用编译类语言编写等等。
2.SQL的优点
之所以选择SQL作为支撑数据库,主要还是考虑到了它的优点:易用性、适合分布式组织的可伸缩性、用于决策支持的数据仓库功能、与许多其他服务器软件紧密关联的集成性、良好的性价比等。除这些的优点外,SQL还为数据管理与分析带来了灵活性,允许单位在快速变化的环境中从容响应,从而获得竞争优势。
二、网站所面临的威胁
尽管ASP.NET和SQL的优点令人看起来是那么的完美,但是随着网络的普及以及相应的网络技术的发展,其所暴露出来的漏洞也越来越多。同时,网络系统本身的脆弱性、开发性和复杂性这些特点,在为网络带来发展机遇的同时,也带来了很大的风险。同时,对网络的攻击也越来越多样化,而且技术也越来越先进。
在安全宝发布的《2012年网站安全统计报告》中,给出了主要攻击的方式所占的比例:SQL注入为36.5%,任意文件读取为19.1%,跨站脚本攻击为4.5%,fastcgi解析为2.2%,IIS6.0解析漏洞为0.4%,其它攻击为37.3%。在攻击方式中,SQL注入以36.5%的比例位居榜首。在近两年,虽然SQL注入攻击有所减少,但依然是Web程序的一个主要威胁。黑客通过SQL注入攻击,可以操控数据库、篡改数据,甚至进一步入侵服务器,危害较大。其次是任意文件读取和跨站脚本攻击,任意文件读取是指黑客通过目录跳转,查看文件内容。跨站脚本攻击也叫XSS,黑客通过XSS攻击可以盗取用户账号信息,网站挂马操作等,XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。
所以,对于课程教学网站来说,课程资源都是教师多年积累、辛苦劳动的成果,上网后就有可能会被其他人下载,甚至一经改名成了别人的成果,得不到有效保护,严重影响甚至伤害了教师创建课程网站的积极性;同时,也会受到一些不良黑客的攻击,导致课程资源破坏或者丢失,损失了宝贵的资源。
基于这些因素,很有必要对课程教学网站进行安全防范。
三、教学网站的安全防范措施
因为在网络攻击里面,SQL注入攻击所占的比例最高,而且规模越来越大,破坏性也越来越强,所以在这里主要是探讨这种类型攻击的安全防范措施。
1.使用参数化查询
通过制定并且强化安全编码指南,要求网站开发人员通过参数化查询去构建SQL查询,从而使数据和代码区分出来。参数化查询就是在SQL语句中有一个或者多个嵌入参数的查询,这种方式和动态构造SQL字符串相比,不容易出现错误。
2.使用过滤和监视工具
在应用程序和数据库的水平上使用过滤和监视工具可有助于阻止攻击并检测攻击行为,从而减轻了暴露在大规模的SQL注入式攻击的风险。
在应用程序水平上,通过实施运行时的安全监视来防御SQL注入攻击和系统中的漏洞。同样地,Web应用防火墙也有助于去部署某些基于行为的规则集,可以在发生损害之前阻止攻击。
在数据库水平上,数据库的活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种非常强大的工具。所以,对于注入攻击,要部署好过滤器,以便向数据库管理员发现警告。
3.精心编制错误消息
因为攻击者可以通过错误的消息去对付网站,所以开发人员一定要考虑当用户输入一些出乎意料的“数据”时,应当返回的错误消息。
所以在配置Web服务器和数据库服务器的时候,要配置成不输出错误或警告的消息。因为攻击者可以通过“盲目SQL注入”等黑客技术去了解数据库设计的相关细节。
4.及时打补丁并强化数据
由于没有及时打补丁或者配置错误而造成应用程序相关联的数据库遭受攻击,从而令SQL注入攻击的风险增加。
所以,要及时的打补丁,同时,牢记数据库的配置情况,而且要禁用不必要的服务和功能去强化数据库及其赖以运行的操作系统。
5.限制数据库的特权
许多攻击之所以会发生,很大程度上是因为数据库管理员全面开放了一些帐户。因为管理员的目的是想让开发人员更轻松的工作,但是,这些超级用户的帐户也极易遭受攻击,并且会极大地增加由SQL注入攻击及其它Web攻击给数据库所造成的风险。
所以一定要正确地管理所有的帐户,使其在保证能正常工作的情况下,仅能以最低的特权访问后台的数据库。
6.数据库的加密
为了确保数据库的完整,不被破坏、泄密和窃取,那就一定要对数据库进行加密。在这里,采用了MD5的加密技术,同时结合系统提供的各种安全措施,双重保证数据的安全。
四、结束语
网络是一个复杂的环境,随着网络技术的发展,攻击的方式呈多样化,技术也越来越先进,所以对于保障网站的安全是一个非常艰巨的任务。我们只有通过不断的改进程序,优化代码,把各种可能会出现的问题都考虑到,以及对潜在的异常也能进行处理,才能减少网站被黑客攻击的机会。
参考文献
[1]刘东华等.网络与通信安全技术.北京:人民邮电出版社,2003.
[2]企业网站的安全策略,http://www.canrise.com,2003年.
[3]宋伯东,张海成,刘学超.Sql Server数据库加密技术应用[J].科技信息,2010,(06):227
【关键词】ASP.net SQL 网站安全 SQL注入
《泰语视听说》课程是一门实践性非常强的课程,教学内容大多来自电视和网络等媒体,课程的目的是让学生能听得懂节目内容的同时,还能运用泰、汉两种语言进行复述以及归纳中心意思。
建立课程教学网站,是“中泰教育合作下信息技术与《泰语视听说》课程整合的研究与实践”项目的一项主要内容,作用重要,因为通过该网站,可以把优秀的教学资源共享出去,实现课程的远程教学和多媒体教学,为其它泰语专业的课程甚至其它小语种课程的网络化、多媒体化打下基础,提高泰语专业教师对现代教育技术的应用能力,进而服务于中泰高校的教育合作,提高泰语专业的人才培养质量。同时,泰语专业的学生也可以通过该网站的学习,让听、说方面的能力得到提高,为学生今后出国留学深造作铺垫。
一、ASP.NET和SQL技术的优势
之所以选择ASP.net +SQL的技术去构建该课程教学网站,主要是出于以下的考虑:
1.ASP.net的优势
虽然说ASP.net有这样那样的缺点,比如数据库的连接复杂;但是优点也是非常明显的。
(1)简单性和易学性:其使运行的任务,如表单的提交客户端的身份验证、分页系统和网站配置,变得非常简单,它可以通过语言简化开发简化代码的生成。
(2)高效可管理性:其使用字符基础的、分级的配置系统,服务器环境和应用程序的设置更加简单。
(3)其是一种用于多处理器的开发工具,它在多处理器的环境下用特殊的列缝连接技术,极大的提高了运行速度。
(4)安全性高:在安全这一块,提供了两种安全机制:验证和授权。
ASP.net除了以上的的优点外,还有其它的优点,比如:易于写出结构清晰的代码、代码易于重用和共享、可用编译类语言编写等等。
2.SQL的优点
之所以选择SQL作为支撑数据库,主要还是考虑到了它的优点:易用性、适合分布式组织的可伸缩性、用于决策支持的数据仓库功能、与许多其他服务器软件紧密关联的集成性、良好的性价比等。除这些的优点外,SQL还为数据管理与分析带来了灵活性,允许单位在快速变化的环境中从容响应,从而获得竞争优势。
二、网站所面临的威胁
尽管ASP.NET和SQL的优点令人看起来是那么的完美,但是随着网络的普及以及相应的网络技术的发展,其所暴露出来的漏洞也越来越多。同时,网络系统本身的脆弱性、开发性和复杂性这些特点,在为网络带来发展机遇的同时,也带来了很大的风险。同时,对网络的攻击也越来越多样化,而且技术也越来越先进。
在安全宝发布的《2012年网站安全统计报告》中,给出了主要攻击的方式所占的比例:SQL注入为36.5%,任意文件读取为19.1%,跨站脚本攻击为4.5%,fastcgi解析为2.2%,IIS6.0解析漏洞为0.4%,其它攻击为37.3%。在攻击方式中,SQL注入以36.5%的比例位居榜首。在近两年,虽然SQL注入攻击有所减少,但依然是Web程序的一个主要威胁。黑客通过SQL注入攻击,可以操控数据库、篡改数据,甚至进一步入侵服务器,危害较大。其次是任意文件读取和跨站脚本攻击,任意文件读取是指黑客通过目录跳转,查看文件内容。跨站脚本攻击也叫XSS,黑客通过XSS攻击可以盗取用户账号信息,网站挂马操作等,XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。
所以,对于课程教学网站来说,课程资源都是教师多年积累、辛苦劳动的成果,上网后就有可能会被其他人下载,甚至一经改名成了别人的成果,得不到有效保护,严重影响甚至伤害了教师创建课程网站的积极性;同时,也会受到一些不良黑客的攻击,导致课程资源破坏或者丢失,损失了宝贵的资源。
基于这些因素,很有必要对课程教学网站进行安全防范。
三、教学网站的安全防范措施
因为在网络攻击里面,SQL注入攻击所占的比例最高,而且规模越来越大,破坏性也越来越强,所以在这里主要是探讨这种类型攻击的安全防范措施。
1.使用参数化查询
通过制定并且强化安全编码指南,要求网站开发人员通过参数化查询去构建SQL查询,从而使数据和代码区分出来。参数化查询就是在SQL语句中有一个或者多个嵌入参数的查询,这种方式和动态构造SQL字符串相比,不容易出现错误。
2.使用过滤和监视工具
在应用程序和数据库的水平上使用过滤和监视工具可有助于阻止攻击并检测攻击行为,从而减轻了暴露在大规模的SQL注入式攻击的风险。
在应用程序水平上,通过实施运行时的安全监视来防御SQL注入攻击和系统中的漏洞。同样地,Web应用防火墙也有助于去部署某些基于行为的规则集,可以在发生损害之前阻止攻击。
在数据库水平上,数据库的活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种非常强大的工具。所以,对于注入攻击,要部署好过滤器,以便向数据库管理员发现警告。
3.精心编制错误消息
因为攻击者可以通过错误的消息去对付网站,所以开发人员一定要考虑当用户输入一些出乎意料的“数据”时,应当返回的错误消息。
所以在配置Web服务器和数据库服务器的时候,要配置成不输出错误或警告的消息。因为攻击者可以通过“盲目SQL注入”等黑客技术去了解数据库设计的相关细节。
4.及时打补丁并强化数据
由于没有及时打补丁或者配置错误而造成应用程序相关联的数据库遭受攻击,从而令SQL注入攻击的风险增加。
所以,要及时的打补丁,同时,牢记数据库的配置情况,而且要禁用不必要的服务和功能去强化数据库及其赖以运行的操作系统。
5.限制数据库的特权
许多攻击之所以会发生,很大程度上是因为数据库管理员全面开放了一些帐户。因为管理员的目的是想让开发人员更轻松的工作,但是,这些超级用户的帐户也极易遭受攻击,并且会极大地增加由SQL注入攻击及其它Web攻击给数据库所造成的风险。
所以一定要正确地管理所有的帐户,使其在保证能正常工作的情况下,仅能以最低的特权访问后台的数据库。
6.数据库的加密
为了确保数据库的完整,不被破坏、泄密和窃取,那就一定要对数据库进行加密。在这里,采用了MD5的加密技术,同时结合系统提供的各种安全措施,双重保证数据的安全。
四、结束语
网络是一个复杂的环境,随着网络技术的发展,攻击的方式呈多样化,技术也越来越先进,所以对于保障网站的安全是一个非常艰巨的任务。我们只有通过不断的改进程序,优化代码,把各种可能会出现的问题都考虑到,以及对潜在的异常也能进行处理,才能减少网站被黑客攻击的机会。
参考文献
[1]刘东华等.网络与通信安全技术.北京:人民邮电出版社,2003.
[2]企业网站的安全策略,http://www.canrise.com,2003年.
[3]宋伯东,张海成,刘学超.Sql Server数据库加密技术应用[J].科技信息,2010,(06):227