對ASP的安全漏洞與網(wǎng)絡(luò)信息安全防護(hù)的分析

劉昕林 鄧巍

（深圳供電局有限公司 廣東省深圳市 518000）

在網(wǎng)絡(luò)服務(wù)端開發(fā)中，ASP 主要被用于創(chuàng)建動態(tài)交互網(wǎng)頁，結(jié)合旗下的操作系統(tǒng)，可有效提升開發(fā)語言的兼容性。為進(jìn)一步發(fā)揮出ASP 應(yīng)用技術(shù)的價值，必須對其常見的安全漏洞進(jìn)行分析，并采取行之有效的網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)，以此遏制各種風(fēng)險的發(fā)生，保障人們的人身安全與財產(chǎn)安全。

1 ASP的常見安全漏洞類型

1.1 ASP源代碼安全隱患

非編譯性語言會在ASP 程序的頁面出現(xiàn)漏洞、缺陷時顯示頁面報錯，就會讓ASP 源代碼出現(xiàn)安全性降低的問題，此時黑客可以輕松獲得源代碼，并且租用服務(wù)器的用戶也可通過一定操作造成源代碼泄露。例如，黑客可以根據(jù)編程人員在網(wǎng)站交互中瀏覽痕跡找到獲取源代碼的途徑，從而出現(xiàn)安全隱患。因此，可使用組件技術(shù)來增強(qiáng)ASP頁面的邏輯性，并且可大大降低ASP程序的操作難度。

1.2 ASP木馬安全隱患

木馬病毒侵入ASP 程序后，能夠輕松地更改網(wǎng)頁數(shù)據(jù)、刪除數(shù)據(jù)，使得黑客可以輕松地控制程序中文件依據(jù)反饋數(shù)據(jù)的上傳。為降低木馬病毒對網(wǎng)絡(luò)系統(tǒng)的威脅，可使用FTP 代替安裝AS 的上傳，或是上傳文件前進(jìn)行身份認(rèn)證，并將文件、圖片格式改為與數(shù)據(jù)庫擴(kuò)展名相符的文件名，做好備份工作，以此避免意外的發(fā)生。

1.3 密碼驗(yàn)證漏洞隱患

密碼驗(yàn)證漏洞隱患是指ASP 程序受到SQL 注入式攻擊，黑客會在服務(wù)器生成SQL 命令、運(yùn)行SQL 命令時，利用代碼對ASP 程序進(jìn)行攻擊，從而輕松獲得網(wǎng)絡(luò)系統(tǒng)中的重要數(shù)據(jù)與文件。因此，應(yīng)將系統(tǒng)設(shè)置為只有全部代碼驗(yàn)證均能夠通過才能查看文件，或是及時檢查程序安全配置中SQL 的安全防護(hù)設(shè)置，使用權(quán)限控制切斷SQL 命令的運(yùn)行路徑，以此降低風(fēng)險發(fā)生概率[1]。

2 基于ASP的安全漏洞網(wǎng)絡(luò)信息安全防護(hù)設(shè)計

2.1 網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)需求

計算機(jī)安全、通信安全、數(shù)據(jù)安全、密碼安全等是網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)設(shè)計的重點(diǎn)，以此避免ASP 的安全漏洞對網(wǎng)絡(luò)信息系統(tǒng)造成較大影響，避免信息泄露、損失、變更。在大數(shù)據(jù)、互聯(lián)網(wǎng)等新興技術(shù)快速發(fā)展的背景下，各領(lǐng)域?qū)π畔⒎?wù)提出了更高的要求，連續(xù)性、高效性、可靠性是現(xiàn)階段對網(wǎng)絡(luò)信息系統(tǒng)的主流需求，同時還應(yīng)注重ASP的靈活性與可編譯性的發(fā)揮，從而保障物理設(shè)備、網(wǎng)絡(luò)交換機(jī)以及網(wǎng)絡(luò)系統(tǒng)能夠可靠穩(wěn)定運(yùn)行，使得入侵攻擊、安全漏洞或是人為損壞造成的風(fēng)險隱患降至最低。

2.2 靜態(tài)評估加固

2.2.1 信息安全防護(hù)框架

結(jié)合網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)整體需求，基于靜態(tài)評估加固規(guī)劃信息安全防護(hù)框架，高效利用軟件定義網(wǎng)絡(luò)的可編程性，從而實(shí)現(xiàn)系統(tǒng)安全性、穩(wěn)定性的提升。安全評估與安全加固是信息安全防護(hù)框架的兩大組成部分，其中，安全評估負(fù)責(zé)發(fā)現(xiàn)、掃描、分析漏洞，為安全策略的生成做好鋪墊。安全加固主要是利用安全隔離、虛擬補(bǔ)丁對評估模塊分析出的安全隱患進(jìn)行加固，生成的安全策略與加固策略相融合，保障網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運(yùn)行。基于靜態(tài)評估加固的網(wǎng)絡(luò)信息安全防護(hù)框架如圖1所示。

2.2.2 安全評估

設(shè)計的系統(tǒng)安全評估模塊復(fù)雜系統(tǒng)拓?fù)涞纳伞⒙┒葱畔⒌姆治鲆约熬W(wǎng)絡(luò)節(jié)點(diǎn)信息的加固，根據(jù)系統(tǒng)需求，可將模塊細(xì)化為設(shè)備發(fā)現(xiàn)、漏洞掃描、隱患分析、加固策略四個模塊，促使系統(tǒng)在遭遇ASP 的安全漏洞時，可從整體角度出發(fā)，量化各階段加固策略的代價，以此阻斷安全漏洞攻擊ASP 程序的路徑。

（1）系統(tǒng)拓?fù)涞纳伞Ｅc系統(tǒng)配套的控制工具能夠主動發(fā)現(xiàn)存在ASP 程序上的外來設(shè)備，通過分析節(jié)點(diǎn)信息獲取設(shè)備型號、IP 地址、固定版本等信息，通過分析鏈路信息、結(jié)合網(wǎng)絡(luò)協(xié)議獲得各網(wǎng)絡(luò)信息節(jié)點(diǎn)鏈路上的各類源信息，從而生成拓?fù)浣Y(jié)構(gòu)。

（2）漏洞信息的分析。利用特征匹配、驗(yàn)證性測試對啟機(jī)后的主機(jī)進(jìn)行漏洞檢測與風(fēng)險分析，主要是利用ASP 的開發(fā)功能，最終生成的報告可直觀地反映出存在的漏洞。此外，利用攻擊圖來定性分析ASP 程序潛在的隱患，由于網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)中每個設(shè)備以及程序承擔(dān)的功能有所不同，在受到攻擊后，需要篩選出特定地址范圍中與外來設(shè)備IP 地址相符的作為策略實(shí)施目標(biāo)，然后運(yùn)行系統(tǒng)中無損以及深度掃描程序，最終生成可視化的攻擊圖。

（3）網(wǎng)絡(luò)節(jié)點(diǎn)信息的加固。加固策略的生成主要基于二進(jìn)制PSO 算法，由于ASP 的安全漏洞較為復(fù)雜，首先，量化漏洞加固定節(jié)點(diǎn)代價，利用補(bǔ)丁修復(fù)漏洞，或是改變ASP 程序主機(jī)的網(wǎng)絡(luò)連接方式，但應(yīng)注意使用補(bǔ)丁修復(fù)漏洞后，控制系統(tǒng)通信的時延，避免對程序正常運(yùn)行造成影響。此外，當(dāng)安全漏洞的加固節(jié)點(diǎn)維數(shù)較多時，需要對節(jié)點(diǎn)代價組合進(jìn)行優(yōu)化，以此增強(qiáng)問題處理的效果，最終確定攻擊粒子的位置。可利用Sigmoid 函數(shù)來實(shí)現(xiàn)[2]。

Sig(vid)=1/(1+exp(-vid))

其中，vid表示攻擊粒子位置的變換速度，當(dāng)vid越大，代表粒子位置趨近于1。

2.2.3 網(wǎng)絡(luò)安全加固

表1：Snort 規(guī)則字段

對網(wǎng)絡(luò)節(jié)點(diǎn)信息進(jìn)行加固處理后，還應(yīng)從ASP 程序整體角度出發(fā)，基于軟件定義網(wǎng)絡(luò)對整體進(jìn)行進(jìn)一步的安全堅固，確保管理人員可以輕松獲得應(yīng)用使用補(bǔ)丁修復(fù)的位置。一般情況下，使用的技術(shù)有同感虛擬補(bǔ)丁加固程序各安全漏洞的節(jié)點(diǎn)，或是使用細(xì)粒度隔離的方式將ASP 中的安全程序劃分出來，以此實(shí)現(xiàn)安全加固的目標(biāo)。其中，安全區(qū)域的劃分對于連通ASP 程序中的安全漏洞節(jié)點(diǎn)具有十分重要的現(xiàn)實(shí)意義，主要是將ICS 劃分、隔離出多個階段，以此最大限度地降低子網(wǎng)級別中ICS 受到敏感信息攻擊的風(fēng)險，從而實(shí)現(xiàn)保護(hù)ASP 程序的目的。在實(shí)際應(yīng)用過程中，還可使用SDN劃分出系統(tǒng)的安全區(qū)域，使得系統(tǒng)各程序與設(shè)備間形成通信隔離，不僅能夠?qū)崿F(xiàn)設(shè)備間的通信協(xié)議細(xì)粒度隔離的目標(biāo)，而且不會影響主機(jī)設(shè)備的正常運(yùn)行，極大地提高了網(wǎng)絡(luò)安全加固過程的效率。

2.3 動態(tài)安全防護(hù)

2.3.1 動態(tài)安全防護(hù)框架

被動防護(hù)與主動防護(hù)是系統(tǒng)動被動態(tài)安全防護(hù)框架的兩大主要部模塊。其中，被動動態(tài)防護(hù)主要是基于檢測響應(yīng)模型建立的檢測ASP 程序的定義軟件，一旦程序遭到惡意攻擊或是出現(xiàn)安全漏洞，便會向管理人員發(fā)出警報，以此實(shí)現(xiàn)對網(wǎng)絡(luò)的安全防護(hù)。主動動態(tài)防護(hù)則是利用ASP的可編譯性，在程序設(shè)計層面便可實(shí)現(xiàn)拓?fù)渥儞Q，同時利用IP 端口跳變等技術(shù)感知系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的隨機(jī)變化，然后從海量的數(shù)據(jù)包中提取有價值的信息來主動追蹤攻擊者的位置，以此實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)樹洞防御，以此從根源上提升ASP 相關(guān)程序以及設(shè)備的安全防護(hù)性，充分發(fā)揮出ASP 的靈活性與可編譯性。

2.3.2 主動動態(tài)防護(hù)

網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的主動動態(tài)安全防護(hù)框架是基于移動目標(biāo)防御建立起來的，當(dāng)控制系統(tǒng)出現(xiàn)安全漏洞時，可主動確定安全漏洞與攻擊者的位置，提供的拓?fù)渥儞Q平臺旨在對漏洞鏈路中的竊聽、攻擊行為進(jìn)行動態(tài)監(jiān)測，在SDN 交換機(jī)功能發(fā)揮的前提下，將系統(tǒng)中的安全漏洞轉(zhuǎn)換在同一控制器中，從而實(shí)現(xiàn)局部拓?fù)渥儞Q向全局拓?fù)渥儞Q的轉(zhuǎn)變。主動動態(tài)防護(hù)的流程包括路徑生成、方案選取、路徑切換，每一步驟都會對ASP 的安全漏洞路徑進(jìn)行處理，然后利用深度算法計算不同路徑之間的變換方法，為IP/端口的跳變打下堅實(shí)基礎(chǔ)[3]。IP/端口的跳變旨在接受ASP 程序相應(yīng)的網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)接收與發(fā)送的文件，在不斷修改程序以及網(wǎng)絡(luò)通信路徑的基礎(chǔ)上，實(shí)現(xiàn)對兩個交換機(jī)的保護(hù)。在實(shí)際生活以及生產(chǎn)中，系統(tǒng)中包含大量的PLC、DTU 等設(shè)備，需要設(shè)計人員以及管理人員結(jié)合實(shí)際條件以及系統(tǒng)設(shè)計需求，采取有針對性的主動動態(tài)防護(hù)措施，進(jìn)而提升ASP 程序運(yùn)行穩(wěn)定性。

2.3.3 被動動態(tài)防護(hù)

網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的動態(tài)安全防護(hù)框架是基于檢測響應(yīng)建立起來的，當(dāng)ASP 程序出現(xiàn)安全漏洞后，防護(hù)系統(tǒng)會同時進(jìn)行異常檢測與誤用檢測，以此實(shí)現(xiàn)系統(tǒng)動態(tài)分析風(fēng)險隱患的目標(biāo)。其中，異常檢測旨在檢測用戶進(jìn)入網(wǎng)絡(luò)、設(shè)備的行為元素，一旦與原有的“生活模式”不相符，系統(tǒng)便會通過學(xué)習(xí)對異常狀態(tài)進(jìn)行檢測，然后按照“采集數(shù)據(jù)—離線訓(xùn)練—檢測異常—分析異常”這一流程執(zhí)行相應(yīng)的命令。根據(jù)攻擊數(shù)據(jù)包的間隔對進(jìn)行連續(xù)攻擊的N 個數(shù)據(jù)包進(jìn)行分析，最終實(shí)現(xiàn)異常分析任務(wù)的完成。ASP 程序的安全日志以及警報信息的輸出類型如表1所示。

3 網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的實(shí)現(xiàn)

基于被動動態(tài)防護(hù)與主動動態(tài)防護(hù)建立起的網(wǎng)絡(luò)信息安全系統(tǒng)，功能模塊包括網(wǎng)絡(luò)設(shè)備管理模塊、流量管理模塊、入侵檢測管理模塊、用戶管理模塊、系統(tǒng)設(shè)置模塊。各個模塊安全防護(hù)的實(shí)現(xiàn)如下：

（1）用戶利用權(quán)限管理設(shè)備信息、運(yùn)行狀況、維護(hù)維修以及安全日志的管理，點(diǎn)擊詳細(xì)鏈接便可進(jìn)入設(shè)備管理界面。

（2）流量管理模塊提供監(jiān)控設(shè)置、預(yù)警設(shè)置、流量日志監(jiān)控三個功能，當(dāng)網(wǎng)絡(luò)系統(tǒng)運(yùn)行ASP 程序的流量在合理范圍內(nèi)變換時，代表系統(tǒng)處于安全運(yùn)行狀態(tài)，一旦顯示共色便代表系統(tǒng)存在安全漏洞。

（3）用戶進(jìn)入網(wǎng)絡(luò)信息系統(tǒng)的“菜單”界面后，可任選入侵檢測設(shè)置子菜單、任務(wù)設(shè)置子菜單、監(jiān)測日志子菜單，當(dāng)出現(xiàn)與系統(tǒng)必須相符的程序時，便會執(zhí)行相應(yīng)的設(shè)置指令，從而充分發(fā)揮出系統(tǒng)動態(tài)安全防護(hù)功能。

（4）用戶登錄網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)之后，根據(jù)實(shí)際需求進(jìn)入相應(yīng)的管理界面，并按照提示進(jìn)行一系列操作，從而實(shí)現(xiàn)信息的合規(guī)更改，從根本上避免違法攻擊行為的發(fā)生[4]。

（5）當(dāng)ASP 程序運(yùn)行中出現(xiàn)漏洞時，安全防護(hù)系統(tǒng)便會針對問題執(zhí)行防護(hù)指令，可通過恢復(fù)數(shù)據(jù)、利用權(quán)限管理、設(shè)置系統(tǒng)日志、備份系統(tǒng)數(shù)據(jù)等行為，將系統(tǒng)可能遭受的損害程度降至最低，從而實(shí)現(xiàn)網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行。

4 結(jié)論

綜上所述，網(wǎng)絡(luò)信息安全始終是人們保護(hù)自身安全中關(guān)注的重點(diǎn)，但由于ASP 的安全漏洞的復(fù)雜性，部分影響網(wǎng)站安全的因素會在設(shè)計中被忽略。因此，設(shè)計人員必須基于ASP 的安全漏洞，設(shè)計出具有優(yōu)秀防護(hù)性能的網(wǎng)絡(luò)信息系統(tǒng)，以此避免各類風(fēng)險的發(fā)生，使得系統(tǒng)能夠及時采取有效措施避免漏洞的存在，為網(wǎng)絡(luò)安全的發(fā)展提供健康的環(huán)境。