對ASP的安全漏洞與網絡信息安全防護的分析

劉昕林 鄧巍

（深圳供電局有限公司 廣東省深圳市 518000）

在網絡服務端開發中，ASP 主要被用于創建動態交互網頁，結合旗下的操作系統，可有效提升開發語言的兼容性。為進一步發揮出ASP 應用技術的價值，必須對其常見的安全漏洞進行分析，并采取行之有效的網絡信息安全防護系統，以此遏制各種風險的發生，保障人們的人身安全與財產安全。

1 ASP的常見安全漏洞類型

1.1 ASP源代碼安全隱患

非編譯性語言會在ASP 程序的頁面出現漏洞、缺陷時顯示頁面報錯，就會讓ASP 源代碼出現安全性降低的問題，此時黑客可以輕松獲得源代碼，并且租用服務器的用戶也可通過一定操作造成源代碼泄露。例如，黑客可以根據編程人員在網站交互中瀏覽痕跡找到獲取源代碼的途徑，從而出現安全隱患。因此，可使用組件技術來增強ASP頁面的邏輯性，并且可大大降低ASP程序的操作難度。

1.2 ASP木馬安全隱患

木馬病毒侵入ASP 程序后，能夠輕松地更改網頁數據、刪除數據，使得黑客可以輕松地控制程序中文件依據反饋數據的上傳。為降低木馬病毒對網絡系統的威脅，可使用FTP 代替安裝AS 的上傳，或是上傳文件前進行身份認證，并將文件、圖片格式改為與數據庫擴展名相符的文件名，做好備份工作，以此避免意外的發生。

1.3 密碼驗證漏洞隱患

密碼驗證漏洞隱患是指ASP 程序受到SQL 注入式攻擊，黑客會在服務器生成SQL 命令、運行SQL 命令時，利用代碼對ASP 程序進行攻擊，從而輕松獲得網絡系統中的重要數據與文件。因此，應將系統設置為只有全部代碼驗證均能夠通過才能查看文件，或是及時檢查程序安全配置中SQL 的安全防護設置，使用權限控制切斷SQL 命令的運行路徑，以此降低風險發生概率[1]。

2 基于ASP的安全漏洞網絡信息安全防護設計

2.1 網絡信息安全防護系統需求

計算機安全、通信安全、數據安全、密碼安全等是網絡信息安全防護系統設計的重點，以此避免ASP 的安全漏洞對網絡信息系統造成較大影響，避免信息泄露、損失、變更。在大數據、互聯網等新興技術快速發展的背景下，各領域對信息服務提出了更高的要求，連續性、高效性、可靠性是現階段對網絡信息系統的主流需求，同時還應注重ASP的靈活性與可編譯性的發揮，從而保障物理設備、網絡交換機以及網絡系統能夠可靠穩定運行，使得入侵攻擊、安全漏洞或是人為損壞造成的風險隱患降至最低。

2.2 靜態評估加固

2.2.1 信息安全防護框架

結合網絡信息安全防護系統整體需求，基于靜態評估加固規劃信息安全防護框架，高效利用軟件定義網絡的可編程性，從而實現系統安全性、穩定性的提升。安全評估與安全加固是信息安全防護框架的兩大組成部分，其中，安全評估負責發現、掃描、分析漏洞，為安全策略的生成做好鋪墊。安全加固主要是利用安全隔離、虛擬補丁對評估模塊分析出的安全隱患進行加固，生成的安全策略與加固策略相融合，保障網絡信息系統安全穩定運行?；陟o態評估加固的網絡信息安全防護框架如圖1所示。

2.2.2 安全評估

設計的系統安全評估模塊復雜系統拓撲的生成、漏洞信息的分析以及網絡節點信息的加固，根據系統需求，可將模塊細化為設備發現、漏洞掃描、隱患分析、加固策略四個模塊，促使系統在遭遇ASP 的安全漏洞時，可從整體角度出發，量化各階段加固策略的代價，以此阻斷安全漏洞攻擊ASP 程序的路徑。

（1）系統拓撲的生成。與系統配套的控制工具能夠主動發現存在ASP 程序上的外來設備，通過分析節點信息獲取設備型號、IP 地址、固定版本等信息，通過分析鏈路信息、結合網絡協議獲得各網絡信息節點鏈路上的各類源信息，從而生成拓撲結構。

（2）漏洞信息的分析。利用特征匹配、驗證性測試對啟機后的主機進行漏洞檢測與風險分析，主要是利用ASP 的開發功能，最終生成的報告可直觀地反映出存在的漏洞。此外，利用攻擊圖來定性分析ASP 程序潛在的隱患，由于網絡信息安全防護系統中每個設備以及程序承擔的功能有所不同，在受到攻擊后，需要篩選出特定地址范圍中與外來設備IP 地址相符的作為策略實施目標，然后運行系統中無損以及深度掃描程序，最終生成可視化的攻擊圖。

（3）網絡節點信息的加固。加固策略的生成主要基于二進制PSO 算法，由于ASP 的安全漏洞較為復雜，首先，量化漏洞加固定節點代價，利用補丁修復漏洞，或是改變ASP 程序主機的網絡連接方式，但應注意使用補丁修復漏洞后，控制系統通信的時延，避免對程序正常運行造成影響。此外，當安全漏洞的加固節點維數較多時，需要對節點代價組合進行優化，以此增強問題處理的效果，最終確定攻擊粒子的位置?？衫肧igmoid 函數來實現[2]。

Sig(vid)=1/(1+exp(-vid))

其中，vid表示攻擊粒子位置的變換速度，當vid越大，代表粒子位置趨近于1。

2.2.3 網絡安全加固

表1：Snort 規則字段

對網絡節點信息進行加固處理后，還應從ASP 程序整體角度出發，基于軟件定義網絡對整體進行進一步的安全堅固，確保管理人員可以輕松獲得應用使用補丁修復的位置。一般情況下，使用的技術有同感虛擬補丁加固程序各安全漏洞的節點，或是使用細粒度隔離的方式將ASP 中的安全程序劃分出來，以此實現安全加固的目標。其中，安全區域的劃分對于連通ASP 程序中的安全漏洞節點具有十分重要的現實意義，主要是將ICS 劃分、隔離出多個階段，以此最大限度地降低子網級別中ICS 受到敏感信息攻擊的風險，從而實現保護ASP 程序的目的。在實際應用過程中，還可使用SDN劃分出系統的安全區域，使得系統各程序與設備間形成通信隔離，不僅能夠實現設備間的通信協議細粒度隔離的目標，而且不會影響主機設備的正常運行，極大地提高了網絡安全加固過程的效率。

2.3 動態安全防護

2.3.1 動態安全防護框架

被動防護與主動防護是系統動被動態安全防護框架的兩大主要部模塊。其中，被動動態防護主要是基于檢測響應模型建立的檢測ASP 程序的定義軟件，一旦程序遭到惡意攻擊或是出現安全漏洞，便會向管理人員發出警報，以此實現對網絡的安全防護。主動動態防護則是利用ASP的可編譯性，在程序設計層面便可實現拓撲變換，同時利用IP 端口跳變等技術感知系統網絡系統的隨機變化，然后從海量的數據包中提取有價值的信息來主動追蹤攻擊者的位置，以此實現網絡系統樹洞防御，以此從根源上提升ASP 相關程序以及設備的安全防護性，充分發揮出ASP 的靈活性與可編譯性。

2.3.2 主動動態防護

網絡信息安全防護系統的主動動態安全防護框架是基于移動目標防御建立起來的，當控制系統出現安全漏洞時，可主動確定安全漏洞與攻擊者的位置，提供的拓撲變換平臺旨在對漏洞鏈路中的竊聽、攻擊行為進行動態監測，在SDN 交換機功能發揮的前提下，將系統中的安全漏洞轉換在同一控制器中，從而實現局部拓撲變換向全局拓撲變換的轉變。主動動態防護的流程包括路徑生成、方案選取、路徑切換，每一步驟都會對ASP 的安全漏洞路徑進行處理，然后利用深度算法計算不同路徑之間的變換方法，為IP/端口的跳變打下堅實基礎[3]。IP/端口的跳變旨在接受ASP 程序相應的網絡信息安全防護系統接收與發送的文件，在不斷修改程序以及網絡通信路徑的基礎上，實現對兩個交換機的保護。在實際生活以及生產中，系統中包含大量的PLC、DTU 等設備，需要設計人員以及管理人員結合實際條件以及系統設計需求，采取有針對性的主動動態防護措施，進而提升ASP 程序運行穩定性。

2.3.3 被動動態防護

網絡信息安全防護系統的動態安全防護框架是基于檢測響應建立起來的，當ASP 程序出現安全漏洞后，防護系統會同時進行異常檢測與誤用檢測，以此實現系統動態分析風險隱患的目標。其中，異常檢測旨在檢測用戶進入網絡、設備的行為元素，一旦與原有的“生活模式”不相符，系統便會通過學習對異常狀態進行檢測，然后按照“采集數據—離線訓練—檢測異?！治霎惓！边@一流程執行相應的命令。根據攻擊數據包的間隔對進行連續攻擊的N 個數據包進行分析，最終實現異常分析任務的完成。ASP 程序的安全日志以及警報信息的輸出類型如表1所示。

3 網絡信息安全防護系統的實現

基于被動動態防護與主動動態防護建立起的網絡信息安全系統，功能模塊包括網絡設備管理模塊、流量管理模塊、入侵檢測管理模塊、用戶管理模塊、系統設置模塊。各個模塊安全防護的實現如下：

（1）用戶利用權限管理設備信息、運行狀況、維護維修以及安全日志的管理，點擊詳細鏈接便可進入設備管理界面。

（2）流量管理模塊提供監控設置、預警設置、流量日志監控三個功能，當網絡系統運行ASP 程序的流量在合理范圍內變換時，代表系統處于安全運行狀態，一旦顯示共色便代表系統存在安全漏洞。

（3）用戶進入網絡信息系統的“菜單”界面后，可任選入侵檢測設置子菜單、任務設置子菜單、監測日志子菜單，當出現與系統必須相符的程序時，便會執行相應的設置指令，從而充分發揮出系統動態安全防護功能。

（4）用戶登錄網絡信息安全防護系統之后，根據實際需求進入相應的管理界面，并按照提示進行一系列操作，從而實現信息的合規更改，從根本上避免違法攻擊行為的發生[4]。

（5）當ASP 程序運行中出現漏洞時，安全防護系統便會針對問題執行防護指令，可通過恢復數據、利用權限管理、設置系統日志、備份系統數據等行為，將系統可能遭受的損害程度降至最低，從而實現網絡信息安全防護系統安全穩定運行。

4 結論

綜上所述，網絡信息安全始終是人們保護自身安全中關注的重點，但由于ASP 的安全漏洞的復雜性，部分影響網站安全的因素會在設計中被忽略。因此，設計人員必須基于ASP 的安全漏洞，設計出具有優秀防護性能的網絡信息系統，以此避免各類風險的發生，使得系統能夠及時采取有效措施避免漏洞的存在，為網絡安全的發展提供健康的環境。