岳荟
摘 要:本文以浅谈基于档案网站的ASP技术安全分析为重点进行阐述,分别对ASP技术档案网络数据库中数据库的连接、数据库的备份与恢复,以及ASP技术档案网络开发与安全设计中的强调用户在验证数据时输入过程的合法性,运用存储过程与视图代替SQL查询语句等内容进行深入探讨,旨意为相关研究提供数据参考。
关键词:档案网站;ASP技术;安全分析
当前,基于信息技术的广泛应用,很多档案管理部门都形成具有一定意义的网站资源,合理利用互联网的良好传播性能,突破了更多关于档案管理工作的局限性,进而更顺利的为社会提供更优质的服务。但是现代化信息资源存在着一定的优势同时,还存在着一定的弊端,因此,如何高效提升网络档案管理的安全性,是相关档案管理部门、网络开发部门、相关管理人员重点关注的问题。结合当前档案网站的一些特性,在网站设计、网站数据库管理等方面都应该采取正确的技术。
1 基于ASP技术档案网络数据库分析
1.1 数据库连接
在ASP技术的支持下,档案网站通常使用IIS+ASP+SQL server/access的结构形式,只有技术人员通过一定的手段获得数据的存储途径与文件名,就能清晰的掌握access数据库文件内容,主要了解相关程序的人员就可能知道其在地址栏中输入过URL、xinxi.mdb 等内容,这样数据库就被轻易破解。所以对数据的命名都可以使用常规的命名方法,或者在数据库命名上增加一定的难度,或者将其分放在几个不同的目录下,也可以将扩展名改成asp或mdb文件的方式[1]。经过这样复杂程序的设定,技术人员再想获取相关数据库信息就变得异常困难。此外,要想顺利提升数据库连接的安全性,最好使用ODBC数据源,同时避免数据库名字出现在程序中。正确规避相关技术人员由于获得了源程序以及数据库名造成ASP源代码失密或者数据丢失的现象出现,这样一来,access数据库信息就会变得透明化。尽管数据库的文件名再具有一定的难度,数据库的储备程度再具有隐藏性,但是如果ASP源代码失去意义,也会很容易被获得。但是正确应用ODBC数据源就能有效避免这种现象出现,所以,程序员最好使用ODBC数据源。
1.2 数据库的备份与恢复
因为档案网站中大多数数据具有不可随意篡改性,并且还有大量数据信息需要经常访问与创新,所以使用数据加强管理与备份的方式才是符合当前网站的变化形式。一些数据库备份还可以在归档的模式下使用,利用归档日志可以实现数据库的恢复。但是因为数据库文件無法全面同步,因此在将备份文件复制粘贴到数据库时,必须进行对应的数据库恢复,这整个过程还可以在数据库关闭或者数据库运行时展开。完整性通常在数据库常规关闭后进行,因为组成数据库的所有文件都是处于关闭状态,并且文件上的同步信号与当前检验步号相同,尚未涉及不同步等问题,所以在前期复制到数据库备份文件之后阶段,可以不进行数据库恢复过程[2]。数据的恢复不仅有数据库恢复、数据表恢复、数据结构恢复,还有数据库、数据表、数据结构的多样性恢复工作。各个工作环节可以还能合理运用系统在正常运行时形成的备份数据包进行对应的恢复。
2 基于ASP技术档案网站开发设计安全技术设计
2.1 强调用户在验证数据时输入过程的合法性
因为SQL注入存在着隐含的攻击性,攻击人员能够在输入过程中导入一些特殊的数据符合,从而可以改变SQL查询原始目的,导数服务器不得不执行恶意的查询指令,最终造成数据的丢失。因此要想顺利抵制SQL注入攻击,就应该适当的在程序开发过程中,验证用户所输入的数据是否属于合适的数据的类型,是否执行了安全的预设格式,尤其是邮政编码、身份证号、电子邮件等这些重要的身份信息数据。或者规范指定的数据必须作用在某个指定范围字符的集合中,进而忽略掉星号、引号等特殊字符[3]。
2.2 Inc文件
在档案网站中,与ASP技术相关的文件数据库在处理的时候,更多是以代码的形式出现在Inc文件中,如果ASP文件中应该进行对应的数据库处理,可以采取在ASP文件前面直接添加有其有关的文件指令即可。但是不法人员向利用搜索引擎对网站页面进行查找,就会轻易找到Inc文件,导致文件内容被泄漏,网站中数据信息也会随之泄漏。所以,网站管理人员必须高度重视不良的Inc文件隐患问题,进而结合文件形式采取对应的加密处理,或者直接将Inc文件转换成asp文件再进行保存,并且设置一定找出障碍,也就是说尽管不法侵入者找到了文件,也无法获得里面的内容,进而网站的安全性随之提高[4]。
2.3 Script脚本代码
在动态网站的网页操作过程中,还应该进行交互的操作,尤其是应该对服务器中的数据进行处理操作,通常情况下使用Script脚本代码工具进行处理,只要将脚本贯穿到htm或html网页中,用户就在客户终端直接进行浏览,但是Script脚本代码就会显露的明显。因此在通常情况在最好不要让Script脚本代码出现在网页文件中,将其归纳到单独的文件中,尤其是对服务器具有直接影响的Script脚本代码,更应该单独进行处理,以防将服务器的信息与数据库信息泄漏给不法人员。
2.4 运用存储过程与视图代替SQL查询语句
因为在存储过程中,最具有实际意义的优势,就是正确管理存储过程中的访问限制问题,如果用户没有权限就绝对无法进行访问,因此只有具备对应的系统权限才是正确管理对应的存储过程。或者只对存储过程进行访问,不对存储过程中出现的图表或者视图进行访问,只利用存储过程中给定的特殊功能进行数据库的间接性操作。为此进一步的提升数据的安全性,在进行程序代码编写时应该重点使用存储过程。
3 结束语
为了稳定性的保持网站安全性,在进行网站开发时,必须重视某些细节上的安全性,促使用户在使用档案网站时能养成良好的安全习惯,有效制止出现不必要的安全隐患。此外,还应该对网站管理人员进行一系列网络安全知识的培训,促使网站管理人员树立正确的安全防范意识与强烈的安全管理意识。通过这样双重安全防范工作的进行,正确规避安全隐患的出现,促使网站能真正实现安全运行。
参考文献
[1]赵岩.WEB技术在档案网站建设中的应用[J].辽宁省交通高等专科学校学报,2017,19(05):25-27.
[2]何保荣,李建荣.基于档案网站的ASP技术安全分析——兼与梁惠卿先生探讨[J].档案管理,2017(02):89-90.
[3]张蕊.档案网站管理研究文献综述[J].学理论,2012(21):155-156.
[4]青妮.简介基于ASP技术的档案管理信息系统网站[J].民营科技,2008(04):120+139.