刘昕林 邓巍
(深圳供电局有限公司 广东省深圳市 518000)
在网络服务端开发中,ASP 主要被用于创建动态交互网页,结合旗下的操作系统,可有效提升开发语言的兼容性。为进一步发挥出ASP 应用技术的价值,必须对其常见的安全漏洞进行分析,并采取行之有效的网络信息安全防护系统,以此遏制各种风险的发生,保障人们的人身安全与财产安全。
非编译性语言会在ASP 程序的页面出现漏洞、缺陷时显示页面报错,就会让ASP 源代码出现安全性降低的问题,此时黑客可以轻松获得源代码,并且租用服务器的用户也可通过一定操作造成源代码泄露。例如,黑客可以根据编程人员在网站交互中浏览痕迹找到获取源代码的途径,从而出现安全隐患。因此,可使用组件技术来增强ASP页面的逻辑性,并且可大大降低ASP程序的操作难度。
木马病毒侵入ASP 程序后,能够轻松地更改网页数据、删除数据,使得黑客可以轻松地控制程序中文件依据反馈数据的上传。为降低木马病毒对网络系统的威胁,可使用FTP 代替安装AS 的上传,或是上传文件前进行身份认证,并将文件、图片格式改为与数据库扩展名相符的文件名,做好备份工作,以此避免意外的发生。
密码验证漏洞隐患是指ASP 程序受到SQL 注入式攻击,黑客会在服务器生成SQL 命令、运行SQL 命令时,利用代码对ASP 程序进行攻击,从而轻松获得网络系统中的重要数据与文件。因此,应将系统设置为只有全部代码验证均能够通过才能查看文件,或是及时检查程序安全配置中SQL 的安全防护设置,使用权限控制切断SQL 命令的运行路径,以此降低风险发生概率[1]。
计算机安全、通信安全、数据安全、密码安全等是网络信息安全防护系统设计的重点,以此避免ASP 的安全漏洞对网络信息系统造成较大影响,避免信息泄露、损失、变更。在大数据、互联网等新兴技术快速发展的背景下,各领域对信息服务提出了更高的要求,连续性、高效性、可靠性是现阶段对网络信息系统的主流需求,同时还应注重ASP的灵活性与可编译性的发挥,从而保障物理设备、网络交换机以及网络系统能够可靠稳定运行,使得入侵攻击、安全漏洞或是人为损坏造成的风险隐患降至最低。
2.2.1 信息安全防护框架
结合网络信息安全防护系统整体需求,基于静态评估加固规划信息安全防护框架,高效利用软件定义网络的可编程性,从而实现系统安全性、稳定性的提升。安全评估与安全加固是信息安全防护框架的两大组成部分,其中,安全评估负责发现、扫描、分析漏洞,为安全策略的生成做好铺垫。安全加固主要是利用安全隔离、虚拟补丁对评估模块分析出的安全隐患进行加固,生成的安全策略与加固策略相融合,保障网络信息系统安全稳定运行。基于静态评估加固的网络信息安全防护框架如图1所示。
2.2.2 安全评估
设计的系统安全评估模块复杂系统拓扑的生成、漏洞信息的分析以及网络节点信息的加固,根据系统需求,可将模块细化为设备发现、漏洞扫描、隐患分析、加固策略四个模块,促使系统在遭遇ASP 的安全漏洞时,可从整体角度出发,量化各阶段加固策略的代价,以此阻断安全漏洞攻击ASP 程序的路径。
(1)系统拓扑的生成。与系统配套的控制工具能够主动发现存在ASP 程序上的外来设备,通过分析节点信息获取设备型号、IP 地址、固定版本等信息,通过分析链路信息、结合网络协议获得各网络信息节点链路上的各类源信息,从而生成拓扑结构。
(2)漏洞信息的分析。利用特征匹配、验证性测试对启机后的主机进行漏洞检测与风险分析,主要是利用ASP 的开发功能,最终生成的报告可直观地反映出存在的漏洞。此外,利用攻击图来定性分析ASP 程序潜在的隐患,由于网络信息安全防护系统中每个设备以及程序承担的功能有所不同,在受到攻击后,需要筛选出特定地址范围中与外来设备IP 地址相符的作为策略实施目标,然后运行系统中无损以及深度扫描程序,最终生成可视化的攻击图。
(3)网络节点信息的加固。加固策略的生成主要基于二进制PSO 算法,由于ASP 的安全漏洞较为复杂,首先,量化漏洞加固定节点代价,利用补丁修复漏洞,或是改变ASP 程序主机的网络连接方式,但应注意使用补丁修复漏洞后,控制系统通信的时延,避免对程序正常运行造成影响。此外,当安全漏洞的加固节点维数较多时,需要对节点代价组合进行优化,以此增强问题处理的效果,最终确定攻击粒子的位置。可利用Sigmoid 函数来实现[2]。
Sig(vid)=1/(1+exp(-vid))
其中,vid表示攻击粒子位置的变换速度,当vid越大,代表粒子位置趋近于1。
2.2.3 网络安全加固
表1:Snort 规则字段
对网络节点信息进行加固处理后,还应从ASP 程序整体角度出发,基于软件定义网络对整体进行进一步的安全坚固,确保管理人员可以轻松获得应用使用补丁修复的位置。一般情况下,使用的技术有同感虚拟补丁加固程序各安全漏洞的节点,或是使用细粒度隔离的方式将ASP 中的安全程序划分出来,以此实现安全加固的目标。其中,安全区域的划分对于连通ASP 程序中的安全漏洞节点具有十分重要的现实意义,主要是将ICS 划分、隔离出多个阶段,以此最大限度地降低子网级别中ICS 受到敏感信息攻击的风险,从而实现保护ASP 程序的目的。在实际应用过程中,还可使用SDN划分出系统的安全区域,使得系统各程序与设备间形成通信隔离,不仅能够实现设备间的通信协议细粒度隔离的目标,而且不会影响主机设备的正常运行,极大地提高了网络安全加固过程的效率。
2.3.1 动态安全防护框架
被动防护与主动防护是系统动被动态安全防护框架的两大主要部模块。其中,被动动态防护主要是基于检测响应模型建立的检测ASP 程序的定义软件,一旦程序遭到恶意攻击或是出现安全漏洞,便会向管理人员发出警报,以此实现对网络的安全防护。主动动态防护则是利用ASP的可编译性,在程序设计层面便可实现拓扑变换,同时利用IP 端口跳变等技术感知系统网络系统的随机变化,然后从海量的数据包中提取有价值的信息来主动追踪攻击者的位置,以此实现网络系统树洞防御,以此从根源上提升ASP 相关程序以及设备的安全防护性,充分发挥出ASP 的灵活性与可编译性。
2.3.2 主动动态防护
网络信息安全防护系统的主动动态安全防护框架是基于移动目标防御建立起来的,当控制系统出现安全漏洞时,可主动确定安全漏洞与攻击者的位置,提供的拓扑变换平台旨在对漏洞链路中的窃听、攻击行为进行动态监测,在SDN 交换机功能发挥的前提下,将系统中的安全漏洞转换在同一控制器中,从而实现局部拓扑变换向全局拓扑变换的转变。主动动态防护的流程包括路径生成、方案选取、路径切换,每一步骤都会对ASP 的安全漏洞路径进行处理,然后利用深度算法计算不同路径之间的变换方法,为IP/端口的跳变打下坚实基础[3]。IP/端口的跳变旨在接受ASP 程序相应的网络信息安全防护系统接收与发送的文件,在不断修改程序以及网络通信路径的基础上,实现对两个交换机的保护。在实际生活以及生产中,系统中包含大量的PLC、DTU 等设备,需要设计人员以及管理人员结合实际条件以及系统设计需求,采取有针对性的主动动态防护措施,进而提升ASP 程序运行稳定性。
2.3.3 被动动态防护
网络信息安全防护系统的动态安全防护框架是基于检测响应建立起来的,当ASP 程序出现安全漏洞后,防护系统会同时进行异常检测与误用检测,以此实现系统动态分析风险隐患的目标。其中,异常检测旨在检测用户进入网络、设备的行为元素,一旦与原有的“生活模式”不相符,系统便会通过学习对异常状态进行检测,然后按照“采集数据—离线训练—检测异常—分析异常”这一流程执行相应的命令。根据攻击数据包的间隔对进行连续攻击的N 个数据包进行分析,最终实现异常分析任务的完成。ASP 程序的安全日志以及警报信息的输出类型如表1所示。
基于被动动态防护与主动动态防护建立起的网络信息安全系统,功能模块包括网络设备管理模块、流量管理模块、入侵检测管理模块、用户管理模块、系统设置模块。各个模块安全防护的实现如下:
(1)用户利用权限管理设备信息、运行状况、维护维修以及安全日志的管理,点击详细链接便可进入设备管理界面。
(2)流量管理模块提供监控设置、预警设置、流量日志监控三个功能,当网络系统运行ASP 程序的流量在合理范围内变换时,代表系统处于安全运行状态,一旦显示共色便代表系统存在安全漏洞。
(3)用户进入网络信息系统的“菜单”界面后,可任选入侵检测设置子菜单、任务设置子菜单、监测日志子菜单,当出现与系统必须相符的程序时,便会执行相应的设置指令,从而充分发挥出系统动态安全防护功能。
(4)用户登录网络信息安全防护系统之后,根据实际需求进入相应的管理界面,并按照提示进行一系列操作,从而实现信息的合规更改,从根本上避免违法攻击行为的发生[4]。
(5)当ASP 程序运行中出现漏洞时,安全防护系统便会针对问题执行防护指令,可通过恢复数据、利用权限管理、设置系统日志、备份系统数据等行为,将系统可能遭受的损害程度降至最低,从而实现网络信息安全防护系统安全稳定运行。
综上所述,网络信息安全始终是人们保护自身安全中关注的重点,但由于ASP 的安全漏洞的复杂性,部分影响网站安全的因素会在设计中被忽略。因此,设计人员必须基于ASP 的安全漏洞,设计出具有优秀防护性能的网络信息系统,以此避免各类风险的发生,使得系统能够及时采取有效措施避免漏洞的存在,为网络安全的发展提供健康的环境。