岳薈

摘 要：本文以淺談基于檔案網(wǎng)站的ASP技術(shù)安全分析為重點進行闡述，分別對ASP技術(shù)檔案網(wǎng)絡(luò)數(shù)據(jù)庫中數(shù)據(jù)庫的連接、數(shù)據(jù)庫的備份與恢復，以及ASP技術(shù)檔案網(wǎng)絡(luò)開發(fā)與安全設(shè)計中的強調(diào)用戶在驗證數(shù)據(jù)時輸入過程的合法性，運用存儲過程與視圖代替SQL查詢語句等內(nèi)容進行深入探討，旨意為相關(guān)研究提供數(shù)據(jù)參考。

關(guān)鍵詞：檔案網(wǎng)站；ASP技術(shù)；安全分析

當前，基于信息技術(shù)的廣泛應(yīng)用，很多檔案管理部門都形成具有一定意義的網(wǎng)站資源，合理利用互聯(lián)網(wǎng)的良好傳播性能，突破了更多關(guān)于檔案管理工作的局限性，進而更順利的為社會提供更優(yōu)質(zhì)的服務(wù)。但是現(xiàn)代化信息資源存在著一定的優(yōu)勢同時，還存在著一定的弊端，因此，如何高效提升網(wǎng)絡(luò)檔案管理的安全性，是相關(guān)檔案管理部門、網(wǎng)絡(luò)開發(fā)部門、相關(guān)管理人員重點關(guān)注的問題。結(jié)合當前檔案網(wǎng)站的一些特性，在網(wǎng)站設(shè)計、網(wǎng)站數(shù)據(jù)庫管理等方面都應(yīng)該采取正確的技術(shù)。

1 基于ASP技術(shù)檔案網(wǎng)絡(luò)數(shù)據(jù)庫分析

1.1 數(shù)據(jù)庫連接

在ASP技術(shù)的支持下，檔案網(wǎng)站通常使用IIS+ASP+SQL server/access的結(jié)構(gòu)形式，只有技術(shù)人員通過一定的手段獲得數(shù)據(jù)的存儲途徑與文件名，就能清晰的掌握access數(shù)據(jù)庫文件內(nèi)容，主要了解相關(guān)程序的人員就可能知道其在地址欄中輸入過URL、xinxi.mdb 等內(nèi)容，這樣數(shù)據(jù)庫就被輕易破解。所以對數(shù)據(jù)的命名都可以使用常規(guī)的命名方法，或者在數(shù)據(jù)庫命名上增加一定的難度，或者將其分放在幾個不同的目錄下，也可以將擴展名改成asp或mdb文件的方式[1]。經(jīng)過這樣復雜程序的設(shè)定，技術(shù)人員再想獲取相關(guān)數(shù)據(jù)庫信息就變得異常困難。此外，要想順利提升數(shù)據(jù)庫連接的安全性，最好使用ODBC數(shù)據(jù)源，同時避免數(shù)據(jù)庫名字出現(xiàn)在程序中。正確規(guī)避相關(guān)技術(shù)人員由于獲得了源程序以及數(shù)據(jù)庫名造成ASP源代碼失密或者數(shù)據(jù)丟失的現(xiàn)象出現(xiàn)，這樣一來，access數(shù)據(jù)庫信息就會變得透明化。盡管數(shù)據(jù)庫的文件名再具有一定的難度，數(shù)據(jù)庫的儲備程度再具有隱藏性，但是如果ASP源代碼失去意義，也會很容易被獲得。但是正確應(yīng)用ODBC數(shù)據(jù)源就能有效避免這種現(xiàn)象出現(xiàn)，所以，程序員最好使用ODBC數(shù)據(jù)源。

1.2 數(shù)據(jù)庫的備份與恢復

因為檔案網(wǎng)站中大多數(shù)數(shù)據(jù)具有不可隨意篡改性，并且還有大量數(shù)據(jù)信息需要經(jīng)常訪問與創(chuàng)新，所以使用數(shù)據(jù)加強管理與備份的方式才是符合當前網(wǎng)站的變化形式。一些數(shù)據(jù)庫備份還可以在歸檔的模式下使用，利用歸檔日志可以實現(xiàn)數(shù)據(jù)庫的恢復。但是因為數(shù)據(jù)庫文件無法全面同步，因此在將備份文件復制粘貼到數(shù)據(jù)庫時，必須進行對應(yīng)的數(shù)據(jù)庫恢復，這整個過程還可以在數(shù)據(jù)庫關(guān)閉或者數(shù)據(jù)庫運行時展開。完整性通常在數(shù)據(jù)庫常規(guī)關(guān)閉后進行，因為組成數(shù)據(jù)庫的所有文件都是處于關(guān)閉狀態(tài)，并且文件上的同步信號與當前檢驗步號相同，尚未涉及不同步等問題，所以在前期復制到數(shù)據(jù)庫備份文件之后階段，可以不進行數(shù)據(jù)庫恢復過程[2]。數(shù)據(jù)的恢復不僅有數(shù)據(jù)庫恢復、數(shù)據(jù)表恢復、數(shù)據(jù)結(jié)構(gòu)恢復，還有數(shù)據(jù)庫、數(shù)據(jù)表、數(shù)據(jù)結(jié)構(gòu)的多樣性恢復工作。各個工作環(huán)節(jié)可以還能合理運用系統(tǒng)在正常運行時形成的備份數(shù)據(jù)包進行對應(yīng)的恢復。

2 基于ASP技術(shù)檔案網(wǎng)站開發(fā)設(shè)計安全技術(shù)設(shè)計

2.1 強調(diào)用戶在驗證數(shù)據(jù)時輸入過程的合法性

因為SQL注入存在著隱含的攻擊性，攻擊人員能夠在輸入過程中導入一些特殊的數(shù)據(jù)符合，從而可以改變SQL查詢原始目的，導數(shù)服務(wù)器不得不執(zhí)行惡意的查詢指令，最終造成數(shù)據(jù)的丟失。因此要想順利抵制SQL注入攻擊，就應(yīng)該適當?shù)脑诔绦蜷_發(fā)過程中，驗證用戶所輸入的數(shù)據(jù)是否屬于合適的數(shù)據(jù)的類型，是否執(zhí)行了安全的預(yù)設(shè)格式，尤其是郵政編碼、身份證號、電子郵件等這些重要的身份信息數(shù)據(jù)。或者規(guī)范指定的數(shù)據(jù)必須作用在某個指定范圍字符的集合中，進而忽略掉星號、引號等特殊字符[3]。

2.2 Inc文件

在檔案網(wǎng)站中，與ASP技術(shù)相關(guān)的文件數(shù)據(jù)庫在處理的時候，更多是以代碼的形式出現(xiàn)在Inc文件中，如果ASP文件中應(yīng)該進行對應(yīng)的數(shù)據(jù)庫處理，可以采取在ASP文件前面直接添加有其有關(guān)的文件指令即可。但是不法人員向利用搜索引擎對網(wǎng)站頁面進行查找，就會輕易找到Inc文件，導致文件內(nèi)容被泄漏，網(wǎng)站中數(shù)據(jù)信息也會隨之泄漏。所以，網(wǎng)站管理人員必須高度重視不良的Inc文件隱患問題，進而結(jié)合文件形式采取對應(yīng)的加密處理，或者直接將Inc文件轉(zhuǎn)換成asp文件再進行保存，并且設(shè)置一定找出障礙，也就是說盡管不法侵入者找到了文件，也無法獲得里面的內(nèi)容，進而網(wǎng)站的安全性隨之提高[4]。

2.3 Script腳本代碼

在動態(tài)網(wǎng)站的網(wǎng)頁操作過程中，還應(yīng)該進行交互的操作，尤其是應(yīng)該對服務(wù)器中的數(shù)據(jù)進行處理操作，通常情況下使用Script腳本代碼工具進行處理，只要將腳本貫穿到htm或html網(wǎng)頁中，用戶就在客戶終端直接進行瀏覽，但是Script腳本代碼就會顯露的明顯。因此在通常情況在最好不要讓Script腳本代碼出現(xiàn)在網(wǎng)頁文件中，將其歸納到單獨的文件中，尤其是對服務(wù)器具有直接影響的Script腳本代碼，更應(yīng)該單獨進行處理，以防將服務(wù)器的信息與數(shù)據(jù)庫信息泄漏給不法人員。

2.4 運用存儲過程與視圖代替SQL查詢語句

因為在存儲過程中，最具有實際意義的優(yōu)勢，就是正確管理存儲過程中的訪問限制問題，如果用戶沒有權(quán)限就絕對無法進行訪問，因此只有具備對應(yīng)的系統(tǒng)權(quán)限才是正確管理對應(yīng)的存儲過程?；蛘咧粚Υ鎯^程進行訪問，不對存儲過程中出現(xiàn)的圖表或者視圖進行訪問，只利用存儲過程中給定的特殊功能進行數(shù)據(jù)庫的間接性操作。為此進一步的提升數(shù)據(jù)的安全性，在進行程序代碼編寫時應(yīng)該重點使用存儲過程。

3 結(jié)束語

為了穩(wěn)定性的保持網(wǎng)站安全性，在進行網(wǎng)站開發(fā)時，必須重視某些細節(jié)上的安全性，促使用戶在使用檔案網(wǎng)站時能養(yǎng)成良好的安全習慣，有效制止出現(xiàn)不必要的安全隱患。此外，還應(yīng)該對網(wǎng)站管理人員進行一系列網(wǎng)絡(luò)安全知識的培訓，促使網(wǎng)站管理人員樹立正確的安全防范意識與強烈的安全管理意識。通過這樣雙重安全防范工作的進行，正確規(guī)避安全隱患的出現(xiàn)，促使網(wǎng)站能真正實現(xiàn)安全運行。

參考文獻

[1]趙巖.WEB技術(shù)在檔案網(wǎng)站建設(shè)中的應(yīng)用[J].遼寧省交通高等專科學校學報，2017，19（05）：25-27.

[2]何保榮，李建榮.基于檔案網(wǎng)站的ASP技術(shù)安全分析——兼與梁惠卿先生探討[J].檔案管理，2017（02）：89-90.

[3]張蕊.檔案網(wǎng)站管理研究文獻綜述[J].學理論，2012（21）：155-156.

[4]青妮.簡介基于ASP技術(shù)的檔案管理信息系統(tǒng)網(wǎng)站[J].民營科技，2008（04）：120+139.