劉昕林 鄧巍

（深圳供電局有限公司 廣東省深圳市 518000）

在網(wǎng)絡服務端開發(fā)中，ASP 主要被用于創(chuàng)建動態(tài)交互網(wǎng)頁，結(jié)合旗下的操作系統(tǒng)，可有效提升開發(fā)語言的兼容性。為進一步發(fā)揮出ASP 應用技術(shù)的價值，必須對其常見的安全漏洞進行分析，并采取行之有效的網(wǎng)絡信息安全防護系統(tǒng)，以此遏制各種風險的發(fā)生，保障人們的人身安全與財產(chǎn)安全。

1 ASP的常見安全漏洞類型

1.1 ASP源代碼安全隱患

非編譯性語言會在ASP 程序的頁面出現(xiàn)漏洞、缺陷時顯示頁面報錯，就會讓ASP 源代碼出現(xiàn)安全性降低的問題，此時黑客可以輕松獲得源代碼，并且租用服務器的用戶也可通過一定操作造成源代碼泄露。例如，黑客可以根據(jù)編程人員在網(wǎng)站交互中瀏覽痕跡找到獲取源代碼的途徑，從而出現(xiàn)安全隱患。因此，可使用組件技術(shù)來增強ASP頁面的邏輯性，并且可大大降低ASP程序的操作難度。

1.2 ASP木馬安全隱患

木馬病毒侵入ASP 程序后，能夠輕松地更改網(wǎng)頁數(shù)據(jù)、刪除數(shù)據(jù)，使得黑客可以輕松地控制程序中文件依據(jù)反饋數(shù)據(jù)的上傳。為降低木馬病毒對網(wǎng)絡系統(tǒng)的威脅，可使用FTP 代替安裝AS 的上傳，或是上傳文件前進行身份認證，并將文件、圖片格式改為與數(shù)據(jù)庫擴展名相符的文件名，做好備份工作，以此避免意外的發(fā)生。

1.3 密碼驗證漏洞隱患

密碼驗證漏洞隱患是指ASP 程序受到SQL 注入式攻擊，黑客會在服務器生成SQL 命令、運行SQL 命令時，利用代碼對ASP 程序進行攻擊，從而輕松獲得網(wǎng)絡系統(tǒng)中的重要數(shù)據(jù)與文件。因此，應將系統(tǒng)設置為只有全部代碼驗證均能夠通過才能查看文件，或是及時檢查程序安全配置中SQL 的安全防護設置，使用權(quán)限控制切斷SQL 命令的運行路徑，以此降低風險發(fā)生概率[1]。

2 基于ASP的安全漏洞網(wǎng)絡信息安全防護設計

2.1 網(wǎng)絡信息安全防護系統(tǒng)需求

計算機安全、通信安全、數(shù)據(jù)安全、密碼安全等是網(wǎng)絡信息安全防護系統(tǒng)設計的重點，以此避免ASP 的安全漏洞對網(wǎng)絡信息系統(tǒng)造成較大影響，避免信息泄露、損失、變更。在大數(shù)據(jù)、互聯(lián)網(wǎng)等新興技術(shù)快速發(fā)展的背景下，各領(lǐng)域?qū)π畔⒎仗岢隽烁叩囊螅B續(xù)性、高效性、可靠性是現(xiàn)階段對網(wǎng)絡信息系統(tǒng)的主流需求，同時還應注重ASP的靈活性與可編譯性的發(fā)揮，從而保障物理設備、網(wǎng)絡交換機以及網(wǎng)絡系統(tǒng)能夠可靠穩(wěn)定運行，使得入侵攻擊、安全漏洞或是人為損壞造成的風險隱患降至最低。

2.2 靜態(tài)評估加固

2.2.1 信息安全防護框架

結(jié)合網(wǎng)絡信息安全防護系統(tǒng)整體需求，基于靜態(tài)評估加固規(guī)劃信息安全防護框架，高效利用軟件定義網(wǎng)絡的可編程性，從而實現(xiàn)系統(tǒng)安全性、穩(wěn)定性的提升。安全評估與安全加固是信息安全防護框架的兩大組成部分，其中，安全評估負責發(fā)現(xiàn)、掃描、分析漏洞，為安全策略的生成做好鋪墊。安全加固主要是利用安全隔離、虛擬補丁對評估模塊分析出的安全隱患進行加固，生成的安全策略與加固策略相融合，保障網(wǎng)絡信息系統(tǒng)安全穩(wěn)定運行。基于靜態(tài)評估加固的網(wǎng)絡信息安全防護框架如圖1所示。

2.2.2 安全評估

設計的系統(tǒng)安全評估模塊復雜系統(tǒng)拓撲的生成、漏洞信息的分析以及網(wǎng)絡節(jié)點信息的加固，根據(jù)系統(tǒng)需求，可將模塊細化為設備發(fā)現(xiàn)、漏洞掃描、隱患分析、加固策略四個模塊，促使系統(tǒng)在遭遇ASP 的安全漏洞時，可從整體角度出發(fā)，量化各階段加固策略的代價，以此阻斷安全漏洞攻擊ASP 程序的路徑。

（1）系統(tǒng)拓撲的生成。與系統(tǒng)配套的控制工具能夠主動發(fā)現(xiàn)存在ASP 程序上的外來設備，通過分析節(jié)點信息獲取設備型號、IP 地址、固定版本等信息，通過分析鏈路信息、結(jié)合網(wǎng)絡協(xié)議獲得各網(wǎng)絡信息節(jié)點鏈路上的各類源信息，從而生成拓撲結(jié)構(gòu)。

（2）漏洞信息的分析。利用特征匹配、驗證性測試對啟機后的主機進行漏洞檢測與風險分析，主要是利用ASP 的開發(fā)功能，最終生成的報告可直觀地反映出存在的漏洞。此外，利用攻擊圖來定性分析ASP 程序潛在的隱患，由于網(wǎng)絡信息安全防護系統(tǒng)中每個設備以及程序承擔的功能有所不同，在受到攻擊后，需要篩選出特定地址范圍中與外來設備IP 地址相符的作為策略實施目標，然后運行系統(tǒng)中無損以及深度掃描程序，最終生成可視化的攻擊圖。

（3）網(wǎng)絡節(jié)點信息的加固。加固策略的生成主要基于二進制PSO 算法，由于ASP 的安全漏洞較為復雜，首先，量化漏洞加固定節(jié)點代價，利用補丁修復漏洞，或是改變ASP 程序主機的網(wǎng)絡連接方式，但應注意使用補丁修復漏洞后，控制系統(tǒng)通信的時延，避免對程序正常運行造成影響。此外，當安全漏洞的加固節(jié)點維數(shù)較多時，需要對節(jié)點代價組合進行優(yōu)化，以此增強問題處理的效果，最終確定攻擊粒子的位置?？衫肧igmoid 函數(shù)來實現(xiàn)[2]。

Sig(vid)=1/(1+exp(-vid))

其中，vid表示攻擊粒子位置的變換速度，當vid越大，代表粒子位置趨近于1。

2.2.3 網(wǎng)絡安全加固

表1：Snort 規(guī)則字段

對網(wǎng)絡節(jié)點信息進行加固處理后，還應從ASP 程序整體角度出發(fā)，基于軟件定義網(wǎng)絡對整體進行進一步的安全堅固，確保管理人員可以輕松獲得應用使用補丁修復的位置。一般情況下，使用的技術(shù)有同感虛擬補丁加固程序各安全漏洞的節(jié)點，或是使用細粒度隔離的方式將ASP 中的安全程序劃分出來，以此實現(xiàn)安全加固的目標。其中，安全區(qū)域的劃分對于連通ASP 程序中的安全漏洞節(jié)點具有十分重要的現(xiàn)實意義，主要是將ICS 劃分、隔離出多個階段，以此最大限度地降低子網(wǎng)級別中ICS 受到敏感信息攻擊的風險，從而實現(xiàn)保護ASP 程序的目的。在實際應用過程中，還可使用SDN劃分出系統(tǒng)的安全區(qū)域，使得系統(tǒng)各程序與設備間形成通信隔離，不僅能夠?qū)崿F(xiàn)設備間的通信協(xié)議細粒度隔離的目標，而且不會影響主機設備的正常運行，極大地提高了網(wǎng)絡安全加固過程的效率。

2.3 動態(tài)安全防護

2.3.1 動態(tài)安全防護框架

被動防護與主動防護是系統(tǒng)動被動態(tài)安全防護框架的兩大主要部模塊。其中，被動動態(tài)防護主要是基于檢測響應模型建立的檢測ASP 程序的定義軟件，一旦程序遭到惡意攻擊或是出現(xiàn)安全漏洞，便會向管理人員發(fā)出警報，以此實現(xiàn)對網(wǎng)絡的安全防護。主動動態(tài)防護則是利用ASP的可編譯性，在程序設計層面便可實現(xiàn)拓撲變換，同時利用IP 端口跳變等技術(shù)感知系統(tǒng)網(wǎng)絡系統(tǒng)的隨機變化，然后從海量的數(shù)據(jù)包中提取有價值的信息來主動追蹤攻擊者的位置，以此實現(xiàn)網(wǎng)絡系統(tǒng)樹洞防御，以此從根源上提升ASP 相關(guān)程序以及設備的安全防護性，充分發(fā)揮出ASP 的靈活性與可編譯性。

2.3.2 主動動態(tài)防護

網(wǎng)絡信息安全防護系統(tǒng)的主動動態(tài)安全防護框架是基于移動目標防御建立起來的，當控制系統(tǒng)出現(xiàn)安全漏洞時，可主動確定安全漏洞與攻擊者的位置，提供的拓撲變換平臺旨在對漏洞鏈路中的竊聽、攻擊行為進行動態(tài)監(jiān)測，在SDN 交換機功能發(fā)揮的前提下，將系統(tǒng)中的安全漏洞轉(zhuǎn)換在同一控制器中，從而實現(xiàn)局部拓撲變換向全局拓撲變換的轉(zhuǎn)變。主動動態(tài)防護的流程包括路徑生成、方案選取、路徑切換，每一步驟都會對ASP 的安全漏洞路徑進行處理，然后利用深度算法計算不同路徑之間的變換方法，為IP/端口的跳變打下堅實基礎(chǔ)[3]。IP/端口的跳變旨在接受ASP 程序相應的網(wǎng)絡信息安全防護系統(tǒng)接收與發(fā)送的文件，在不斷修改程序以及網(wǎng)絡通信路徑的基礎(chǔ)上，實現(xiàn)對兩個交換機的保護。在實際生活以及生產(chǎn)中，系統(tǒng)中包含大量的PLC、DTU 等設備，需要設計人員以及管理人員結(jié)合實際條件以及系統(tǒng)設計需求，采取有針對性的主動動態(tài)防護措施，進而提升ASP 程序運行穩(wěn)定性。

2.3.3 被動動態(tài)防護

網(wǎng)絡信息安全防護系統(tǒng)的動態(tài)安全防護框架是基于檢測響應建立起來的，當ASP 程序出現(xiàn)安全漏洞后，防護系統(tǒng)會同時進行異常檢測與誤用檢測，以此實現(xiàn)系統(tǒng)動態(tài)分析風險隱患的目標。其中，異常檢測旨在檢測用戶進入網(wǎng)絡、設備的行為元素，一旦與原有的“生活模式”不相符，系統(tǒng)便會通過學習對異常狀態(tài)進行檢測，然后按照“采集數(shù)據(jù)—離線訓練—檢測異常—分析異?！边@一流程執(zhí)行相應的命令。根據(jù)攻擊數(shù)據(jù)包的間隔對進行連續(xù)攻擊的N 個數(shù)據(jù)包進行分析，最終實現(xiàn)異常分析任務的完成。ASP 程序的安全日志以及警報信息的輸出類型如表1所示。

3 網(wǎng)絡信息安全防護系統(tǒng)的實現(xiàn)

基于被動動態(tài)防護與主動動態(tài)防護建立起的網(wǎng)絡信息安全系統(tǒng)，功能模塊包括網(wǎng)絡設備管理模塊、流量管理模塊、入侵檢測管理模塊、用戶管理模塊、系統(tǒng)設置模塊。各個模塊安全防護的實現(xiàn)如下：

（1）用戶利用權(quán)限管理設備信息、運行狀況、維護維修以及安全日志的管理，點擊詳細鏈接便可進入設備管理界面。

（2）流量管理模塊提供監(jiān)控設置、預警設置、流量日志監(jiān)控三個功能，當網(wǎng)絡系統(tǒng)運行ASP 程序的流量在合理范圍內(nèi)變換時，代表系統(tǒng)處于安全運行狀態(tài)，一旦顯示共色便代表系統(tǒng)存在安全漏洞。

（3）用戶進入網(wǎng)絡信息系統(tǒng)的“菜單”界面后，可任選入侵檢測設置子菜單、任務設置子菜單、監(jiān)測日志子菜單，當出現(xiàn)與系統(tǒng)必須相符的程序時，便會執(zhí)行相應的設置指令，從而充分發(fā)揮出系統(tǒng)動態(tài)安全防護功能。

（4）用戶登錄網(wǎng)絡信息安全防護系統(tǒng)之后，根據(jù)實際需求進入相應的管理界面，并按照提示進行一系列操作，從而實現(xiàn)信息的合規(guī)更改，從根本上避免違法攻擊行為的發(fā)生[4]。

（5）當ASP 程序運行中出現(xiàn)漏洞時，安全防護系統(tǒng)便會針對問題執(zhí)行防護指令，可通過恢復數(shù)據(jù)、利用權(quán)限管理、設置系統(tǒng)日志、備份系統(tǒng)數(shù)據(jù)等行為，將系統(tǒng)可能遭受的損害程度降至最低，從而實現(xiàn)網(wǎng)絡信息安全防護系統(tǒng)安全穩(wěn)定運行。

4 結(jié)論

綜上所述，網(wǎng)絡信息安全始終是人們保護自身安全中關(guān)注的重點，但由于ASP 的安全漏洞的復雜性，部分影響網(wǎng)站安全的因素會在設計中被忽略。因此，設計人員必須基于ASP 的安全漏洞，設計出具有優(yōu)秀防護性能的網(wǎng)絡信息系統(tǒng)，以此避免各類風險的發(fā)生，使得系統(tǒng)能夠及時采取有效措施避免漏洞的存在，為網(wǎng)絡安全的發(fā)展提供健康的環(huán)境。