【正文】 ity. The four parts are designed through the system, the user and the handler. This passage stresses the introduction of the design of the system security. It includes preventing the user name and password are unbound, the verification is rounded, SQL transfuses, the source code is let out, database is downloaded and the web page rogue software etc. Keywords: the digital munity。曾任國家科技部部長的徐冠華教授在一次信息安全工作會議上說：“ 信息 安全是涉及我國經濟發(fā)展、社會發(fā)展和國家安全的重大問題。 ” 隨著科學的發(fā)展，尤其是計算機技術、網絡控制技術、多媒體技術、遙感技術、控制技術和智能技術的發(fā)展，人類走進了信息時代。社區(qū)范圍內 ,可以利用計算機技術、通訊技術、控制網絡技術、 IC 卡技術、 互聯(lián)網技術，建立社區(qū)建設、 —2— 管理、服務綜合性信息共享平臺，并與城市建設、管理、服務的綜合信息共享平臺互連互通。 隨著全球信息化水平的不斷提高，網絡安全的重要性日趨增強。 盡管如此，當前社區(qū)網站安全的現(xiàn)狀卻不容樂觀。這些單位包括金融機構和國防、商貿、能源和電信等政府部門。當前有多個國際組織致力于社區(qū)網站安全方面的研究。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息社區(qū)安全，成為了本文探討的重點。 （ 1）隨著計算機技術、網絡技術和通訊技 術等現(xiàn)代科技突飛猛進的發(fā)展，社區(qū)的成為必然的趨勢。其中政府類網站有 3661 個；企業(yè)類網站為 —4— 11828 個（其中博客運營類被黑數(shù)量達到 1683 個）；教育 \培訓類被黑網站數(shù)量達到 2216 個，其中：中、職專及中小學網站占百分之 %（ 1628 個），大學網站的二級網站占 %（ 398 個），培訓類機構 127 個，大學一級域名站點為 63 個。 網絡安全有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。目前在國外，社區(qū)建設的發(fā)展非常迅速，尤其是在美國、日本等一些信息技術發(fā)達的國家，目前國內對社區(qū)進行建設與開發(fā)的也逐漸增多。為了加強行業(yè)監(jiān)管力度，規(guī)范市場，促進中國建筑及住宅社區(qū)應用項目的實施，在國內建立并倡導公平、公正、公開的競爭發(fā)展環(huán)境。 —6— 2 網絡安全需求分析 網站安全研究涵蓋多樣內容，其中包括網絡自身的可用性、網絡的運營安全、信息傳遞的機密性、有害信息傳播控制等大量問題。社區(qū)網絡安全是現(xiàn)實社區(qū)與技術所營造的虛擬社區(qū)的安全保障。 社區(qū)網站對安全的需求具有必要的可靠性，防范可能的入侵和攻擊并具有必要的信息對抗能力和容侵能力，保障人民群眾通信自由的需求以及重要信息系統(tǒng)持續(xù)可靠。通信內容機密性要求：用戶希望通信的內容應當通過加密或者隔離等手段，除國家授權機關以外只有通信對端能夠 獲取并使用。 網站硬件安全，指網站所需硬件得到充分利用和安全保障，不會因為過分的使用而損壞。 —9— 3 網絡安全技術分析 安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現(xiàn)自身的價值。訪問控制涉及的技術也比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數(shù)量。 權限控制 網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。受托者指派和繼承權限屏蔽（ irm）可作為兩種實現(xiàn)方式。用戶對網絡資源的訪問權限可以用訪問控制表來描述。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。屬性安全在權限安全的基礎上提供更進一步的安全性。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、 執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 —12— 第三種方法，通過用戶本身所具備的某些特性對其進行驗證，如用戶的指紋 或者視網膜，這是最安全也是最昂貴的方式。 目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外 , 從技術上分別在軟件和硬件兩方面采取措施 , 推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術對所發(fā)送文件進行加密 ,把明文（也即原文）加密成密文（加密后的文件，這些 文件內容是一些看不懂的代碼）， 然后進入 TCP/IP 數(shù)據(jù)包封裝穿過互聯(lián)網 , 當這些信息一旦到達目的地 , 將由收件人運用相應的密鑰 —13— 進行解密 , 使密文恢復成為可讀數(shù)據(jù)明文。如上面提到的 PGP 加密軟件，它不光可以為互聯(lián)網上通信的文件 進行加密和數(shù)字簽名，還可以對本地硬盤文件資料進行加密，防止非法訪問。這種鑒別技術主要應用于大型的數(shù)據(jù)庫管理系統(tǒng)中，因為一個單位的數(shù) —14— 據(jù)通常是一個單位的命脈，所以保護好公司數(shù)據(jù)庫的安全通 常是一個單位網管甚至到一把手的最重要的責任。 入侵檢測系統(tǒng) 入侵檢測技術是網絡安全 研究 的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截相應入侵。 （ 1）身份認證如后臺登錄，需要用戶名，密碼及驗證碼。并有此闡述了在社區(qū)網絡中用到的一部分安全技術。 我們以常熟花園浜社區(qū)的建設為實踐對象。 —17— 圖 42整體安全架構 服務器安全 服務器的惡意網絡行為包括兩個方面 :一是惡意的攻擊行為，如拒絕服務攻擊，網絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網絡的癱瘓 。對 IIS 有以下一些基本置的設置。當網絡出現(xiàn)攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。 如何避免網絡服務器受網上那些惡意的攻擊行為 構建好你的硬件安全防御系統(tǒng) 選用一套好的安全系統(tǒng)模型。 如何應對黑客入侵網絡服務器 首先，世界上沒有絕對安全的系統(tǒng)。把你自己的敏感信息和服務信息分別放在不同的磁盤分區(qū)。 Windows 系統(tǒng)有很多默認的服務其實沒必要開的，甚至可以說是危險的，比如 :默認的共享遠程注冊表訪問 (RemoteRegistryService)，系統(tǒng)很多敏感的信息都是寫在注冊表里的，如 pcanywhere的加密密碼等。對端口的進一步訪問，還可以返回該服務器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。安裝以后會減少很到麻煩的。 刪除系統(tǒng)盤下的虛擬目錄，如 :_vti_bin、 IISSamples、 Scripts、 IIShelp、 —21— IISAdmin、 IIShelp、 MSADC。同時及時跟蹤最新漏洞補丁 ?；剀嚕瑔螕?“ 控制臺根節(jié)點 ” 下的 “ 組件服務 ” 。 社區(qū)網站本身的安全設計 由于 ASP 的方便易用，越來越多的網站后臺程序都使用 ASP 腳本語言。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。 后臺所有的管理頁面包含 （即 !include file=）用于驗證用戶的合法性。因此設計者應該在網頁發(fā)布前對它進行徹底的調試；安全專家則需要加固 ASP 文件以便外部的用戶不能看到它們。 禁止 At 命令 Cracker往往給你個木馬然后讓它運行，這時他就需要 at命令了 。不允許遠程修改注冊表。 把共享文件的權限從 “ everyone” 組改成 “ 授權用戶 ”“ everyone” 在win2020中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。然后把 Administrator 改名。 SQL 注入的一般步驟是：首先，判斷環(huán)境，尋找注入點，判斷數(shù)據(jù)庫類型。最后，在表名和列名猜解成功后，再使用 SQL語句，得出字段的值。由于異或操作的特點是 “ 經過兩次異或就恢復原值 ” ，因此，用這一密鑰與＊ .mdb 文件中的加密串進行第二次異或操作，就可以輕松地得到Access 數(shù)據(jù)庫的密碼。當然這個時候你的數(shù)據(jù)庫所在目錄是不能開放目錄瀏覽權限的 .數(shù)據(jù)庫名字寫的再復雜，都可能是沒用的，因為數(shù)據(jù)庫路徑可能被暴露。所以我總結了我的經驗，一般方法是這樣的 。 （ 3） SP 出錯法 打開你的數(shù)據(jù)庫，在數(shù)據(jù)庫里新建某一表，里面的字段名稱%nodownload%數(shù)據(jù)類型文本型，然后在數(shù)據(jù)里添上 %dsfsfsfsdf%,里面隨便只要不是可以解析的 ASP 語句就可以。 /body/html 然后在 DOS 下執(zhí)行如下命令： +意思就是文件合并拷貝， 以二進制方式， ASCII方式拷貝，合成新的數(shù)據(jù)庫 現(xiàn)在你即使被暴庫別人在瀏覽器或 flashget的想下載你的數(shù)據(jù)庫也只能下載到 。 （ 6）加密數(shù)據(jù)庫 —28— Access將你的數(shù)據(jù)庫以獨占方式打開后，在工具 安全 設置數(shù)據(jù)庫密碼，加密后 要修改數(shù)據(jù)庫連接頁，如： driver={microsoftaccessdriver(*.mdb)}。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進行 “ 異或 ” 來形成一個加密串，并將其存儲在 *.mdb 文件從地址 “ amp。 （ 7）數(shù)據(jù)庫放在 Web目錄外 WEB 目錄是 e:\webroot，可以把數(shù)據(jù)庫放到 e:\data 這個文件夾里，在e:\webroot里的數(shù)據(jù)庫連接頁中修改數(shù)據(jù)庫連接地址為： /data/數(shù)據(jù)庫名 的形式，這樣數(shù)據(jù)庫可以正常調用，但是無法下載的，因為它不在 WEB目錄里！這個方法一般也不適合購買虛擬空間的用戶。 —29— 只要修改一處，整個站點的數(shù)據(jù)庫都可以防止被下載。配置再完善的防火墻、功能再強大的入侵檢測系統(tǒng)、結構再復雜的系統(tǒng)密碼也擋不住內部人員從網管背后的一瞥。 。 5. 定期安全審核，由于網絡安全是一個動態(tài)的過程，組織和部門的計算機網絡的配置可能經常變化，因此組織和部門對安全的需求也會發(fā)生變化，組織的安全策略需要進行相應地調整。 IIS，服務器和系統(tǒng)本身和管理進行一系列的安全設計。 最后，針對社區(qū)網絡安全的設計，作了網絡安全方面的代碼的實現(xiàn)和運行的實現(xiàn)。