摘要:本文对asp技术及用asp技术的web服务器的安全问题进行分析和企业构建自己网上信息系统的首选方案。虽然asp具有快速开发能力，但asp也存在很多不容忽视的安全漏洞。

一、asp程序设计安全技术

asp程序设计的安全主要涉及三个方面：asp源代码的安全、asp程序设计的安全和数据库安全。
1.asp源代码的安全：
（1）保证asp源码的安全的主要技术是asp脚本加密技术。常用方法有两种：一是asp2dll技术。其基本思想是利用vb6.0提供的activexdll对象将asp代码进行封装，编译为dll文件，在asp程序中调用该dll文件。二是利用微软提供的script encoder加密软件对asp页面进行加密。
（2）置合适的脚本映射。应用程序的脚本映射保证了web服务器不会意外地下载asp文件的源代码，但不安全或有错误的脚本映射易导致asp源代码泄漏。因此，应将用不到的有一定危险性的脚本映射删掉（如*.htr文件及*.htw,*.ida,*.idq等索引文件）。
2.程序设计中的安全
（1）用户名、口令机制。用户名、口令是最基本的安全技术，在asp中常采用form表单提交用户输入的帐号和密码，与用户标识数据库中相应的字段进行匹配，在必要的场合可以使用md5算法来加密用户输入的密码,可以保证在线路被窃听的情况下依然保证数据的安全，保护用户口令的安全。
（2）注册验证。为了网站资源的安全性和易于管理，可以对用户进行分级，给定权限，使特定用户访问特定的资源群，也可以阻止未授权用户使用网站的资源，这就需要对用户进行注册验证操作。lOCalhost在asp中，我们可以利用session对象和http头信息来实现此类安全控制。当访问者通过身份验证页面后，就把session对象的sessionid属性作为一个session变量存储起来，当访问者试图导航到一种有效链接的页面时，可将当前的sessionid与存储在session对象中的id进行比较，如果不匹配，则拒绝访问。如在session（“id”）中保存着第一次链接的sessionid，<%if session.sessionid<>session(“id”) then response.end%>’拒绝访问。
（3）网页过期管理。考虑到有可能用户在使用网页的过程中，有可能会长时间离开计算机处理别的事情，这样会给别有用心的人有可乘之机，所以应该给网页一个过期时间。这样不仅保证了用户的安全，也可以减少服务器的链接数，减少服务器压力。可以使用session.timeout=时间，过了这么长时间网页就失效了，前提是你用一个session值来判断登录状态如session.timeout=20。
（4）页面缓冲管理：页面缓冲可以加快网站的浏览速度，但也会给非法用户提供了越权浏览的机会。因此，重要的web页面（如身份验证页面）必须禁止页面缓存，强制浏览器每次向web服务器请求新页面。利用asp的response对象的expires属性和clear方法可解决此问题。具体设置：response.expires=0rsponse.clear,expires表示缓存页面的有效期,0表示立即过期，clear表示清空缓冲区。
（5）程序错误管理：错误的执行参数和意外的执行过程，都可以导致页面出现错误提示，而这些错误提示会提供给别人很多网站的信息，比如使用数据库的类型，表中所含字段的名称等等。会造成程序的不安全。所以在编程过程中要注意对异常数据的处理和意外事件的控制，才能保证网站的安全性。
3．数据库的安全。
（1）access数据库：在一些小型程序中，常用到access数据库，access数据库易于管理而安全性低，应注意在命名时不要采用常规的*.mdb的后缀名，而应该用*.asp，*.inc文件的后缀名，这样，即使数据库路径即使被别人发现，也不能下载数据库而导致信息的不安全。
（2）sql serer数据库：首先应更改sa口令，取消guest帐号。并且不能把sa帐号的密码写在应用程序或者脚本中。其次，应加强数据库访问日志的监视，定期备份数据库。同时，制订完整的数据库备份策略，在必要的时候能够实现对数据库的恢复。
（3）屏蔽数据库路径信息。为防止数据库路径和名称随asp源代码失密而失密，常使用odbc数据源。使用odbc数据源连接数据库的命令是conn.open “dsn名”。

二、web服务器的安全

asp技术中常用微软自带的iis架设web服务器。web服务器的安全包括了系统的安全和iis的安全。
1．系统的安全：
（1）目录文件的保护：ntfs权限。ntfs文件系统提供了比fat32更为安全的文件管理方式，它通过文件访问控制表（acl）定义了用户访问文件和目录的权限级别，如果用户具有打开文件的权限，计算机则允许该用户访问文件。通过设定目录和文件的访问权限，禁止无关用户对目录文件进行复制、修改、删除等操作，限制对系统的入侵。
（2）防火墙技术。可以根据web服务器的应用范围，决定防火墙的位置。
（3）审核与监视技术。安全审核负责监视系统中各种与安全有关的事件，生成安全日志，并提供查看安全日志的方法。通过分析安全日志，可以发现并阻止各种危及系统安全的行为。除了安全日志，系统日志和应用程序日志也是很好的监视工具，它们记录了用户自登录开始直到退出的整个操作过程，为网络安全分析提供可靠的依据。
（4）关闭不用的服务和协议，堵上系统的漏洞和后门。“尽量少开没用到的服务”，如果开启了某个服务，就要提防该服务可能引起的漏洞。同时要定期下载操作系统、iis、asp和dbms最新

[1] [2] 下一页