网站原创摘 要 :在信息技术飞速发展的同时,网络信息的安全问题也显得越来越重要.本文作者通过对网络信息系统访问的安全风险分析,在应用系统编程、数据库系统设置、操作系统设置三个层次提出了相应的防范对策,仅供参考.
关 键 词 :网络 信息 安全
1.物理访问的安全管理
物理访问安全主要指对网络信息系统直接或近距离访问而造成的安全问题,包括如下因素:非法使用、辐射泄漏、硬件故障、搭线窃听、盗用、偷窃等等.如线路窃听就是网上“”们经常采用且很难被发现的手段.除光缆外的各种通信介质都不同程度的存在着电磁辐射.Modem、Terminal、电缆接口等亦都存在电磁辐射,有些甚至可在较远距离内将信号还原.“”们便经常利用这些电磁辐射,使用各种高性能的协议分析仪和信道监测器进行搭线窃听,对信息流进行分析,将信号还原,从而得到口令、ID及、涉密信息等敏感数据.
2.逻辑访问的安全管理
| 有关论文范文主题研究: | 关于权限的论文范文素材 | 大学生适用: | 高校大学论文、大学毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 19 | 写作解决问题: | 写作参考 |
| 毕业论文开题报告: | 文献综述、论文结论 | 职称论文适用: | 论文发表、职称评初级 |
| 所属大学生专业类别: | 写作参考 | 论文题目推荐度: | 经典题目 |
2.1 SQL注入攻击的原理与危害
信息系统基本上都是靠数据库来支撑的,尽管现用的数据管理系统种类较多,但基本上都支持SQL语言,虽然针对各种数据库管理系统的SQL语法不尽相同,但基本上是大同小异,易于区分和掌握,并且对于绝大多数防火墙来说,这种攻击是“合法”的,因此SQL注入攻击易于实施,具有广泛性.一旦攻击成功,信息系统所用数据库中的数据可以任由攻击者查看和修改,攻击者可以直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限,其危害是极其严重的:如果信息系统中存放有秘密数据,则造成秘密泄露;如果攻击者修改数据库中的数据,要么造成系统的瘫痪,要么使系统中的数据以检测乱真,误导系统的使用者做出错误的决策,从而造成更大的危害.
当今的数据库管理系统都有一些工具和功能组件,可以直接与操作系统及网络联接.这就意味着攻击者通过SQL注入攻击一个信息系统后,其危害就不只局限于存储在数据库中的数据,攻击者还可以设法获得对DBMS(数据库管理系统)所在的主机的交互式访问,使其危害从数据库向操作系统、甚至整个网络蔓延.因此,我们不仅应当将SQL注入攻击看作是一个对存储在数据库上数据的威胁,而且应当看作是对整个网络的威胁.
2.2 SQL注入攻击的防范对策
2.2.1 编程防范
编程防范就是在编写的程序中加强安全防范,堵塞漏洞.编程防范总的原则是少特权、多检验.
少特权就是不要给数据库连接或数据库用户太多的权限,应为不同类型的操作建立和使用不同的账户,其权限与其操作相匹配,不要授予多余的权限.有些编程者为了方便,直接使用超级用户的连接数据库,这样就给系统带来了很大的安全隐患,一旦攻击者攻击成功,系统就会任其摆布,危害极大.
多检验就是对用户输入从多方面检验其合法性,如检验数据中是否包含单引号、双引号、分号、逗号、冒号、连接号等特殊字符或SQL语句、函数、数据类型等保留字符串,数据类型是否与预期类型匹配,数据长度是否超长等,一旦发现与预期不符的情况,应放弃(拒绝)执行.
2.2.2 数据库配置防范
(1)使用安全的帐号和策略.SQLServer具有一个超级用户帐号,其用户名称是:sa,该用户名不能被修改也不能被删除,所以,必须对这个帐号进行最强的保护.不在数据库应用中直接使用sa帐号,新建一个与sa一样权限的超级用户来管理数据库,其它用户根据实际需要分配仅仅能够满足应用要求的权限,不要赋予多余的权限,所有用户(特别是超级用户)都要使用复杂的,同时养成定期修改的好习惯.
(2)管理扩展存储过程.存储过程是SQLServer提供给用户的扩展功能,其实很多存储过程在多数应用中根本用不到,而有些系统的存储过程很容易被用来攻击或破坏系统,所以需要删除不必要的存储过程,比如xp_cmdshell存储过程就需要禁用,因为xp_cmdshell存储过程可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程.一般的攻击SQLServer时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库.一般情况下,xp_cmdshell对管理员来说也不是必需的,xp_cmdshell的禁用不会对Server造成任何影响.为了数据库安全起见,最好禁用xp_cmdShell.
2.2.3 操作系统配置防范
(1)选择安全的文件系统.安全的文件系统可以对文件或文件的访问权限进行有效控制.如果怎么写作器安装的是Windows系列操作系统,在硬盘分区时就应该选择NTFS作为文件系统的格式,因为它比FAT文件系统更安全.NTFS文件系统在性能、安全、可靠性方面提供了很多高级功能,通过它可以实现任意文件及文件夹的加密和权限设置,磁盘配额和压缩等高级功能.
(2)对数据库文件进行权限设置与加密.数据库文件是攻击者的重要目标,因此需要重点保护.我们可以利用过操作系统提供的文件权限设置和加密功能保护数据库文件.比如:将SQLServer数据库系统安装到NTFS上,SQLServer将在注册表键和文件上设置合适的ACL(AccessControlList),应用这些访问控制列表可实现权限控制.通过操作系统提供的加密文件系统EFS,数据库文件可在运行SQLServer的帐户身份下进行加密,只有这个帐户才能解密这些文件,使数据库更加安全.
(3)对应用系统文件进行权限设置与加密.应用系统所在的文件夹及文件也是攻击者的重要目标,我们同样可以利用过操作系统提供的文件权限设置和加密功能对其进行保护.比如:如果应用系统采用IIS提供信息怎么写作,就需要对Web站点目录的设置合适的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限,只给予.ASP文件目录以脚本的权限,而不要给予执行权限等.
以上通过对SQL注入攻击分析后在应用系统编程、数据库系统设置、操作系统设置三个层次提出的防范对策,对防范其它非法逻辑访问也同样具有参考价值.
3.结语
随着网络信息技术的发展和网络信息系统的广泛应用,网络信息安全问题也日益突出.这就需要我们不断提高自身的网络信息安全防护知识和技能,做好预先的防范措施,才能在攻击与防范的拉锯战中赢得主动权,确保网络信息系统安全可靠的运行.