基于ASP的信息安全管理机制的研究
摘 要:研究了基于ASP网络平台安全策略体系,从技术上、管理上详细论述了ASP系统安全方案,提出了ASP系统安全技术模型。从保护网络基础设施、保护边界、保护计算环以及支撑基础设施两个个方面解决安全技术问题。该文的研究对于其它地区ASP平台的整体安全性建设具有较好的参考价值。
关键词:
一、引言
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。
二、ASP信息安全策略体系
安全策略确定、 安全工作的目标和对象、安全策略涵盖面很多,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。
(1)实体安全性。信息网络的基本要素主要有网络基础设备、软件系统、用户和数据、保证构建网络的基础设备和软件系统安全可信。没有预留后门或逻辑炸弹,保证接入网络的用户是可信的,防止恶意用户对系统的攻击破坏。
(2)行为可控性.保证用户行为可控,即保证本地计算机的各种软硬件资源 (例如,内存、中断、I/O 端口、硬盘等硬件设备,文件、目录、进程、系统调用等软件资源)不被非授权使用或被用于危害本系统或其它系统的安全。
(3)资源可管理性。保证对ASP目录系统、数据库、安全设备、密码设备、密钥参数、用户账号、服务端口等网络资源进行统一管理。
(4)事件可查性.保证对网络上的各类违规事件进行监控记录,确保日志记录的完整性,为安全事件稽查,取证提供依据。
(5)运行可靠性.保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁和备份恢复能力,保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失 并具有较强的应急响应和灾难恢复能力。
三、技术策略
ASP信息网络安全保护涉及人员、技术和法规3个方面。因此 ASP信息网络安全防护体系可从技术防护体系、组织管理体系和法规标准体系三方面进行建设。 它们以信息网络的总体安全策略为核心,共同保护信息网络安全运行。
保卫安全边界。网络边界是数据进出不同的安全信任领域的入口,对ASP系统安全信任域的划分至关重要。系统运营商必须根据平台的网络系统构架,在系统内部划分不同的安全域,例如管理员工作域、系统维护域、普通网络用户登录域等。并在所有安全信任域的边界建立安全防护体制,包括部署防火墙设备、入侵检测设备等。实现严格的访问控制,从根本上保障信息系统不受外部入侵者的破坏。
对系统的防病毒管理,建立数据存储备份系统也将是保护计算环境中的重要部分。Web网络应用系统具有数据中心的数据容量,提供网络用户的注册、登录、维护、查找、自主发布信息等功能。大量客户数据的丢失,发生计算机灾难性事故后长时间无法恢复,会导致系统的瘫痪,在数据存储管理方面的安全措施包括:
(1)数据中心。在ASP网络应用系统集中管理的环境下将用户信息数据和网络历史数据集中起来,通过数据备份,不仅保留现存硬盘数据的一份拷贝,还保留众多的历史数据。从而为Web网络应用的长期维护提供了数据基础。
(2)应用系统数据的安全检查.通过保留各个时间点的计算机系统数据,以检查连续运行的数据库系统的数据安全。
防治常见的ASP网络应用系统危害,如下简要列举几点:
(1)SQL注入。它是一种攻击方式,在这种攻击方式中,主要是恶意的用户在我们的程序的数据库中执行精心设计的SQL语句。恶意代码被插入到字符串中,然后将该字符串传递到SQL Server的实例以进行分析和执行。
(2)XSS(跨站脚本攻击)
XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。Xss也被称作HTML注入,和sql注入原理相似,也是没有特殊字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。
(3)CSRF(跨站点请求伪造)
跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XS—RF,是一种对网站的恶意利用。在Aiax盛行的今天来说,它可以在你不知情的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。
四、管理策略
管理层负责制定切实可行的日常安全保密制度、 审计制度、机房管理、操作规程管理、系统维护管理等。明确定义日常安全审计的例行制度、日程安排与计划、报告的形式及内容、目标等。技术层负责安全保密、安全审计、操作规程、系统维护等流程的实施。明确定义安全审计所涉及的过程及技术要求。
明确确定计算机的各种开机密码,系统管理员密码及业务操作密码,每隔一段时间必须做一次更换,并要求使用者确实执行,不同用户名不得采用相同的密码或简单的密码。ASP平台对以远程登录方式进行系统操作的,应事前签定协议,明确其应遵守的安全规定、标准、程序以及应负担的责任。
五、总结
基于ASP平台的网络信息发布系统是目前Web网络程序的主流,由于网络的不稳定因素众多,再加上网络安全性等其它因素ASP平台的安全性是一个急需解决的问题。本文研究了基于ASP平台安全策略体系,从技术上与管理上详细论述了ASP系统安全方案,提出了ASP系统安全技术模型,从保护网络基础设施、保护边界以及保护计算环境几个方面解决安全技术问题。
下一篇:论项目的风险管理