醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)教學(xué)資源庫(kù)安全防御機(jī)制解析*

吳力挽，楊 翀，晏 嵩

（廣州衛(wèi)生職業(yè)技術(shù)學(xué)院，廣東 廣州 510450）

醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)教學(xué)資源庫(kù)是保障線上教學(xué)的重要工具。線上教學(xué)需要對(duì)資源庫(kù)開(kāi)放外網(wǎng)出口，使資源庫(kù)的訪問(wèn)不受時(shí)間和地點(diǎn)限制，更加方便師生開(kāi)展網(wǎng)絡(luò)教學(xué)。在線網(wǎng)絡(luò)訪問(wèn)同時(shí)使得資源庫(kù)暴露在外網(wǎng)，具有遭受多種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。本文針對(duì)目前對(duì)醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)教學(xué)資源庫(kù)網(wǎng)絡(luò)攻擊的常見(jiàn)手段，采用用戶驗(yàn)證、管理會(huì)話、數(shù)據(jù)加密、過(guò)濾用戶輸入、數(shù)據(jù)訪問(wèn)等網(wǎng)絡(luò)安全防御技術(shù)，保障了醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)教學(xué)資源庫(kù)網(wǎng)絡(luò)訪問(wèn)安全，進(jìn)一步增強(qiáng)系統(tǒng)的安全性和可靠性。

1 用戶驗(yàn)證

系統(tǒng)登陸需要驗(yàn)證用戶的身份，一旦證明身份有效，則授權(quán)用戶訪問(wèn)資源庫(kù)系統(tǒng)中不同的功能模塊。用戶驗(yàn)證主要包括構(gòu)建登錄表單和使用表單驗(yàn)證。建議采用web 表單方法或Http Post 方法，不要使用Http Get 方法。表單驗(yàn)證允許在web.config 文件中配置用戶名和密碼，這些密碼沒(méi)有經(jīng)過(guò)MD5 或SHA-1 進(jìn)行加密，一旦服務(wù)器被提權(quán)，配置文件即可被下載。

1.1 構(gòu)建登錄表單

在登錄表單上，使用Http Post 方法來(lái)傳送用戶證書(shū)，必須對(duì)用戶表單輸入進(jìn)行驗(yàn)證，以防止SQL 注入和跨站腳本的攻擊。不依賴(lài)隱藏的表單字段來(lái)傳送敏感數(shù)據(jù)。針對(duì)失敗的用戶名或失敗的密碼，使用相同的錯(cuò)誤消息，不要在錯(cuò)誤消息中顯示其他任何服務(wù)器信息。

1.2 使用表單驗(yàn)證

不在資源庫(kù)系統(tǒng)部署上使用passwordFormat=“Clear”，正確使用web.config 配置文件，不在配置文件中傳輸明文數(shù)據(jù)，要用MD5 進(jìn)行加密處理。要做好Cookie 設(shè)置，以限制對(duì)信息劫持的暴露。在配置web.config 文件時(shí)，將requireSSL 設(shè)置為true，使得瀏覽器在建立安全的SSL 會(huì)話后才傳送Cookie。

1.3 阻止暴力攻擊

阻止暴力攻擊最有效的方法是在不正確輸入密碼若干次后即可鎖定賬號(hào)。賬號(hào)鎖定時(shí)間可持續(xù)若干小時(shí)，也可由系統(tǒng)管理員解鎖。在資源庫(kù)系統(tǒng)中，通過(guò)采用鎖定賬號(hào)的方法可以預(yù)防暴力攻擊。另外，還可以采用密碼驗(yàn)證延時(shí)的方法，延時(shí)可以減緩單線程的攻擊，但對(duì)于多個(gè)驗(yàn)證請(qǐng)求，延時(shí)不起作用。密碼驗(yàn)證時(shí)的核心算法如下：

2 管理會(huì)話

資源庫(kù)系統(tǒng)通過(guò)會(huì)話Cookie 來(lái)維持會(huì)話標(biāo)記，會(huì)話標(biāo)記實(shí)現(xiàn)服務(wù)器和客戶端之間的完整交互，維持用戶的優(yōu)先選擇，跟蹤會(huì)話變量。

2.1 使用Cookie 標(biāo)記

Cookie 是一種用于儲(chǔ)存用戶狀態(tài)以創(chuàng)建和服務(wù)器連接的效果機(jī)制。資源庫(kù)系統(tǒng)采用Response.Cookies 集合，Cookie 容易受到攻擊，可以通過(guò)設(shè)置Domain（域）、Path（路徑）、Expires（過(guò)期時(shí)間）、Secure（安全）、Value（值）來(lái)限制這種攻擊。除了提供特定的主機(jī)外，還要檢查接收的Cookie域，如果不檢查將導(dǎo)致會(huì)話固定、賬戶跳躍和標(biāo)記操縱。驗(yàn)證Cookie 域的核心算法如下：

2.2 使用視圖狀態(tài)

視圖狀態(tài)允許頁(yè)面在回送給自身時(shí)保持表單屬性，將它們作為編碼字符串存儲(chǔ)在一個(gè)隱藏的表單字段中。視圖狀態(tài)的風(fēng)險(xiǎn)是攻擊者能查看或修改這些表單值，實(shí)現(xiàn)各種攻擊。ASP.NET 允許使用加密來(lái)保護(hù)視圖狀態(tài)數(shù)據(jù)，并用哈希來(lái)檢測(cè)惡意修改。在資源庫(kù)系統(tǒng)中，首先啟用視圖狀態(tài)。為了防止攻擊者操縱視圖狀態(tài)，可以在應(yīng)用程序和web 頁(yè)面上啟用視圖狀態(tài)驗(yàn)證代碼。保護(hù)視圖狀態(tài)的核心算法如下：

2.3 終止會(huì)話

資源庫(kù)系統(tǒng)采用session 傳遞用戶信息，session 駐留在內(nèi)存中，瀏覽器不關(guān)閉，session 會(huì)話一直保留。如果是在公用計(jì)算機(jī)上，會(huì)帶來(lái)管理風(fēng)險(xiǎn)。在ASP.NET 采用會(huì)話到期時(shí)間，設(shè)置為20 分鐘，20 分鐘后需要重新驗(yàn)證用戶身份。為保障系統(tǒng)安全，在客戶端和服務(wù)器上管理存儲(chǔ)會(huì)話狀態(tài)，如果只依賴(lài)于服務(wù)器，攻擊者更容易接管客戶端會(huì)話。如果只在客戶端管理存儲(chǔ)會(huì)話狀態(tài)，會(huì)話固定攻擊更加難以防御。

3 數(shù)據(jù)加密

保持內(nèi)存清潔是一種常見(jiàn)的加密方法，在使用敏感數(shù)據(jù)時(shí)，應(yīng)該總是在使用后及時(shí)清除，不要在內(nèi)存中留下未加密的數(shù)據(jù)，應(yīng)使用盡可能少的變量，避免緩存普通文本。在資源庫(kù)系統(tǒng)中采用Clear（）方法清除內(nèi)存中臨時(shí)存儲(chǔ)的變量信息，使用Dispose（）即時(shí)釋放內(nèi)存資源。加密算法核心代碼如下：

4 過(guò)濾用戶輸入

不良的用戶輸入帶來(lái)SQL 注入、目錄遍歷、文件系統(tǒng)訪問(wèn)、跨站腳本、緩沖溢出等常見(jiàn)威脅。用戶輸入包含各種危險(xiǎn)關(guān)鍵字，在資源庫(kù)系統(tǒng)中，采用客戶端和服務(wù)端雙重驗(yàn)證模式，客戶端采用javascript 進(jìn)行字符規(guī)范性驗(yàn)證和格式驗(yàn)證，服務(wù)器端采用數(shù)據(jù)比對(duì)驗(yàn)證，同時(shí)在服務(wù)器端通過(guò)正則表達(dá)式匹配，過(guò)濾掉一些危險(xiǎn)操作動(dòng)作，確保系統(tǒng)訪問(wèn)安全。

4.1 邊界檢查

邊界檢查是快速、簡(jiǎn)單阻止應(yīng)用程序攻擊的方法。Request 是表單的輸入源，通過(guò)檢查輸入值，可以確定用戶輸入是符合要求的數(shù)據(jù)類(lèi)型、字符串長(zhǎng)度、字符串格式和取值范圍。一是采用驗(yàn)證控件，通過(guò)在表單控件上附加一個(gè)驗(yàn)證控件，并設(shè)置一些屬性，可以使得ASP.NET 自動(dòng)檢查用戶輸入值。在資源庫(kù)系統(tǒng)中，使用最強(qiáng)大的RegularExpressionValidator，允許復(fù)雜的模式匹配，以保證輸入在特定的合法范圍之內(nèi)。

4.2 模式匹配

解決惡意用戶輸入，最有效的方法是采用正則表達(dá)式進(jìn)行模式匹配。在資源庫(kù)系統(tǒng)中，不允許單引號(hào)進(jìn)行SQL注入攻擊，這里采用正則模式為@"^[a-z0-9s.\]{1，260}$，使用模式匹配后，僅僅允許已知的安全輸入，并且進(jìn)行追蹤式檢查，以保證輸入不包含有害數(shù)據(jù)。可以對(duì)文件系統(tǒng)訪問(wèn)、數(shù)據(jù)庫(kù)訪問(wèn)、電子郵件驗(yàn)證、格式化Html 定義不同的正則表達(dá)式，通過(guò)正則表達(dá)式驗(yàn)證確保合法的用戶輸入，減少系統(tǒng)攻擊。

4.3 IIS 安全配置技術(shù)

在IIS 中，建議升級(jí)到最新的IIS 版本，刪除所有腳本和可執(zhí)行文件的讀取權(quán)限，在web 內(nèi)容文件和目錄上設(shè)置強(qiáng)大的NTFS 權(quán)限，以阻止用戶修改和創(chuàng)建文件。如果不需要web 用戶創(chuàng)建或修改文件，可以考慮將這些文件放置在根目錄之外。對(duì)于一些重要數(shù)據(jù)文件，可以使用文件系統(tǒng)設(shè)置只讀屬性，阻止對(duì)這些文件輕易修改。

5 數(shù)據(jù)訪問(wèn)

當(dāng)使用數(shù)據(jù)源時(shí)，需要進(jìn)行驗(yàn)證和授權(quán)。應(yīng)用程序可以使用兩種方式驗(yàn)證SQL Server 數(shù)據(jù)庫(kù)，一是采用Windows 驗(yàn)證，用戶名和密碼無(wú)需在連接字符串存儲(chǔ)。二是采用ASP.NET 進(jìn)程身份驗(yàn)證。

5.1 阻止SQL 注入

SQL 注入可帶來(lái)數(shù)據(jù)泄露、數(shù)據(jù)損壞和數(shù)據(jù)銷(xiāo)毀。在資源庫(kù)系統(tǒng)，采用過(guò)濾或轉(zhuǎn)義字符技術(shù)是阻止SQL 注入最常用最有效的方法，一般采用Replace（）方法對(duì)單引號(hào)進(jìn)行過(guò)濾，過(guò)濾后可以防御常見(jiàn)的'or'='or'注入。

5.2 使用SqlParameter

ASP.NET 框架中SqlParameter 可以提供類(lèi)型和長(zhǎng)度檢查，并自動(dòng)轉(zhuǎn)義用戶輸入。SqlParameter 強(qiáng)制要求類(lèi)型和類(lèi)型長(zhǎng)度，如果用戶輸入值與描述的類(lèi)型和大小不一致，代碼將拋出一個(gè)異常。

5.3 拒絕已知的攻擊簽名

對(duì)于用戶輸入的有害數(shù)據(jù)，可以拒絕查詢(xún)。在資源庫(kù)系統(tǒng)中，在用戶查詢(xún)數(shù)據(jù)時(shí)，檢查用戶輸入的關(guān)鍵字，是否包含drop 或delete 等危險(xiǎn)關(guān)鍵字，如包含這些關(guān)鍵字，則給出錯(cuò)誤提示。主要核心算法如下：

5.4 阻止跨站腳本攻擊

跨站腳本事件是用戶在訪問(wèn)瀏覽器時(shí)觸發(fā)了第三方惡意腳本而執(zhí)行的事件，在資源庫(kù)中采用編碼技術(shù)進(jìn)行防御，對(duì)發(fā)送給瀏覽器的任何數(shù)據(jù)進(jìn)行編碼，給web 頁(yè)面指定字符編碼集，強(qiáng)制實(shí)施特定字符集以限制哪些字符對(duì)系統(tǒng)有效。另外，對(duì)于跨站點(diǎn)請(qǐng)求偽造（CSRF）攻擊防御可以采用以下策略：一是采用Post 方式進(jìn)行數(shù)據(jù)提交；二是采用多步事務(wù)，不允許用戶在一步之內(nèi)完成敏感事務(wù)；三是檢查HTTP 引用頭，確定表單POST 是否來(lái)自自己的頁(yè)面；四是禁止用戶提交IMG 標(biāo)簽。

另外一種限制跨站腳本攻擊范圍的方法是在frame或者iframe 元素上設(shè)置安全約束，可以用security 屬性限制安全。

6 結(jié)束語(yǔ)

本文采用了用戶驗(yàn)證、管理會(huì)話、數(shù)據(jù)加密、過(guò)濾用戶輸入、數(shù)據(jù)訪問(wèn)等web 安全防御技術(shù)，進(jìn)一步保障了醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)教學(xué)資源庫(kù)在線安全訪問(wèn)。隨著網(wǎng)絡(luò)攻擊手段不斷更新和升級(jí)，后續(xù)還需要在阻止暴力攻擊、代碼審查、異常處理、數(shù)據(jù)編碼、語(yǔ)法檢查等方面開(kāi)展進(jìn)一步研究，并將研究的成果應(yīng)用于醫(yī)學(xué)檢驗(yàn)專(zhuān)業(yè)資源庫(kù)在線網(wǎng)絡(luò)教學(xué)，進(jìn)一步增強(qiáng)其可靠性和安全性。