【正文】 ity. The four parts are designed through the system, the user and the handler. This passage stresses the introduction of the design of the system security. It includes preventing the user name and password are unbound, the verification is rounded, SQL transfuses, the source code is let out, database is downloaded and the web page rogue software etc. Keywords: the digital munity。曾任國家科技部部長的徐冠華教授在一次信息安全工作會議上說：“ 信息 安全是涉及我國經(jīng)濟(jì)發(fā)展、社會發(fā)展和國家安全的重大問題。 ” 隨著科學(xué)的發(fā)展，尤其是計算機(jī)技術(shù)、網(wǎng)絡(luò)控制技術(shù)、多媒體技術(shù)、遙感技術(shù)、控制技術(shù)和智能技術(shù)的發(fā)展，人類走進(jìn)了信息時代。社區(qū)范圍內(nèi) ,可以利用計算機(jī)技術(shù)、通訊技術(shù)、控制網(wǎng)絡(luò)技術(shù)、 IC 卡技術(shù)、 互聯(lián)網(wǎng)技術(shù)，建立社區(qū)建設(shè)、 —2— 管理、服務(wù)綜合性信息共享平臺，并與城市建設(shè)、管理、服務(wù)的綜合信息共享平臺互連互通。 隨著全球信息化水平的不斷提高，網(wǎng)絡(luò)安全的重要性日趨增強(qiáng)。 盡管如此，當(dāng)前社區(qū)網(wǎng)站安全的現(xiàn)狀卻不容樂觀。這些單位包括金融機(jī)構(gòu)和國防、商貿(mào)、能源和電信等政府部門。當(dāng)前有多個國際組織致力于社區(qū)網(wǎng)站安全方面的研究。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息社區(qū)安全，成為了本文探討的重點。 （ 1）隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通訊技 術(shù)等現(xiàn)代科技突飛猛進(jìn)的發(fā)展，社區(qū)的成為必然的趨勢。其中政府類網(wǎng)站有 3661 個；企業(yè)類網(wǎng)站為 —4— 11828 個（其中博客運營類被黑數(shù)量達(dá)到 1683 個）；教育 \培訓(xùn)類被黑網(wǎng)站數(shù)量達(dá)到 2216 個，其中：中、職專及中小學(xué)網(wǎng)站占百分之 %（ 1628 個），大學(xué)網(wǎng)站的二級網(wǎng)站占 %（ 398 個），培訓(xùn)類機(jī)構(gòu) 127 個，大學(xué)一級域名站點為 63 個。 網(wǎng)絡(luò)安全有以下幾大特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。目前在國外，社區(qū)建設(shè)的發(fā)展非常迅速，尤其是在美國、日本等一些信息技術(shù)發(fā)達(dá)的國家，目前國內(nèi)對社區(qū)進(jìn)行建設(shè)與開發(fā)的也逐漸增多。為了加強(qiáng)行業(yè)監(jiān)管力度，規(guī)范市場，促進(jìn)中國建筑及住宅社區(qū)應(yīng)用項目的實施，在國內(nèi)建立并倡導(dǎo)公平、公正、公開的競爭發(fā)展環(huán)境。 —6— 2 網(wǎng)絡(luò)安全需求分析 網(wǎng)站安全研究涵蓋多樣內(nèi)容，其中包括網(wǎng)絡(luò)自身的可用性、網(wǎng)絡(luò)的運營安全、信息傳遞的機(jī)密性、有害信息傳播控制等大量問題。社區(qū)網(wǎng)絡(luò)安全是現(xiàn)實社區(qū)與技術(shù)所營造的虛擬社區(qū)的安全保障。 社區(qū)網(wǎng)站對安全的需求具有必要的可靠性，防范可能的入侵和攻擊并具有必要的信息對抗能力和容侵能力，保障人民群眾通信自由的需求以及重要信息系統(tǒng)持續(xù)可靠。通信內(nèi)容機(jī)密性要求：用戶希望通信的內(nèi)容應(yīng)當(dāng)通過加密或者隔離等手段，除國家授權(quán)機(jī)關(guān)以外只有通信對端能夠 獲取并使用。 網(wǎng)站硬件安全，指網(wǎng)站所需硬件得到充分利用和安全保障，不會因為過分的使用而損壞。 —9— 3 網(wǎng)絡(luò)安全技術(shù)分析 安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實現(xiàn)自身的價值。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時間和方式。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。 權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。受托者指派和繼承權(quán)限屏蔽（ irm）可作為兩種實現(xiàn)方式。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。用戶對文件或目標(biāo)的有效權(quán)限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、 執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 —12— 第三種方法，通過用戶本身所具備的某些特性對其進(jìn)行驗證，如用戶的指紋 或者視網(wǎng)膜，這是最安全也是最昂貴的方式。 目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外 , 從技術(shù)上分別在軟件和硬件兩方面采取措施 , 推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術(shù)對所發(fā)送文件進(jìn)行加密 ,把明文（也即原文）加密成密文（加密后的文件，這些 文件內(nèi)容是一些看不懂的代碼）， 然后進(jìn)入 TCP/IP 數(shù)據(jù)包封裝穿過互聯(lián)網(wǎng) , 當(dāng)這些信息一旦到達(dá)目的地 , 將由收件人運用相應(yīng)的密鑰 —13— 進(jìn)行解密 , 使密文恢復(fù)成為可讀數(shù)據(jù)明文。如上面提到的 PGP 加密軟件，它不光可以為互聯(lián)網(wǎng)上通信的文件 進(jìn)行加密和數(shù)字簽名，還可以對本地硬盤文件資料進(jìn)行加密，防止非法訪問。這種鑒別技術(shù)主要應(yīng)用于大型的數(shù)據(jù)庫管理系統(tǒng)中，因為一個單位的數(shù) —14— 據(jù)通常是一個單位的命脈，所以保護(hù)好公司數(shù)據(jù)庫的安全通 常是一個單位網(wǎng)管甚至到一把手的最重要的責(zé)任。 入侵檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全 研究 的一個熱點，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。 （ 1）身份認(rèn)證如后臺登錄，需要用戶名，密碼及驗證碼。并有此闡述了在社區(qū)網(wǎng)絡(luò)中用到的一部分安全技術(shù)。 我們以常熟花園浜社區(qū)的建設(shè)為實踐對象。 —17— 圖 42整體安全架構(gòu) 服務(wù)器安全 服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個方面 :一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓 。對 IIS 有以下一些基本置的設(shè)置。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。 如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為 構(gòu)建好你的硬件安全防御系統(tǒng) 選用一套好的安全系統(tǒng)模型。 如何應(yīng)對黑客入侵網(wǎng)絡(luò)服務(wù)器 首先，世界上沒有絕對安全的系統(tǒng)。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。 Windows 系統(tǒng)有很多默認(rèn)的服務(wù)其實沒必要開的，甚至可以說是危險的，比如 :默認(rèn)的共享遠(yuǎn)程注冊表訪問 (RemoteRegistryService)，系統(tǒng)很多敏感的信息都是寫在注冊表里的，如 pcanywhere的加密密碼等。對端口的進(jìn)一步訪問，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。安裝以后會減少很到麻煩的。 刪除系統(tǒng)盤下的虛擬目錄，如 :_vti_bin、 IISSamples、 Scripts、 IIShelp、 —21— IISAdmin、 IIShelp、 MSADC。同時及時跟蹤最新漏洞補(bǔ)丁 ?；剀?，單擊 “ 控制臺根節(jié)點 ” 下的 “ 組件服務(wù) ” 。 社區(qū)網(wǎng)站本身的安全設(shè)計 由于 ASP 的方便易用，越來越多的網(wǎng)站后臺程序都使用 ASP 腳本語言。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。 后臺所有的管理頁面包含 （即 !include file=）用于驗證用戶的合法性。因此設(shè)計者應(yīng)該在網(wǎng)頁發(fā)布前對它進(jìn)行徹底的調(diào)試；安全專家則需要加固 ASP 文件以便外部的用戶不能看到它們。 禁止 At 命令 Cracker往往給你個木馬然后讓它運行，這時他就需要 at命令了 。不允許遠(yuǎn)程修改注冊表。 把共享文件的權(quán)限從 “ everyone” 組改成 “ 授權(quán)用戶 ”“ everyone” 在win2020中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。然后把 Administrator 改名。 SQL 注入的一般步驟是：首先，判斷環(huán)境，尋找注入點，判斷數(shù)據(jù)庫類型。最后，在表名和列名猜解成功后，再使用 SQL語句，得出字段的值。由于異或操作的特點是 “ 經(jīng)過兩次異或就恢復(fù)原值 ” ，因此，用這一密鑰與＊ .mdb 文件中的加密串進(jìn)行第二次異或操作，就可以輕松地得到Access 數(shù)據(jù)庫的密碼。當(dāng)然這個時候你的數(shù)據(jù)庫所在目錄是不能開放目錄瀏覽權(quán)限的 .數(shù)據(jù)庫名字寫的再復(fù)雜，都可能是沒用的，因為數(shù)據(jù)庫路徑可能被暴露。所以我總結(jié)了我的經(jīng)驗，一般方法是這樣的 。 （ 3） SP 出錯法 打開你的數(shù)據(jù)庫，在數(shù)據(jù)庫里新建某一表，里面的字段名稱%nodownload%數(shù)據(jù)類型文本型，然后在數(shù)據(jù)里添上 %dsfsfsfsdf%,里面隨便只要不是可以解析的 ASP 語句就可以。 /body/html 然后在 DOS 下執(zhí)行如下命令： +意思就是文件合并拷貝， 以二進(jìn)制方式， ASCII方式拷貝，合成新的數(shù)據(jù)庫 現(xiàn)在你即使被暴庫別人在瀏覽器或 flashget的想下載你的數(shù)據(jù)庫也只能下載到 。 （ 6）加密數(shù)據(jù)庫 —28— Access將你的數(shù)據(jù)庫以獨占方式打開后，在工具 安全 設(shè)置數(shù)據(jù)庫密碼，加密后 要修改數(shù)據(jù)庫連接頁，如： driver={microsoftaccessdriver(*.mdb)}。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行 “ 異或 ” 來形成一個加密串，并將其存儲在 *.mdb 文件從地址 “ amp。 （ 7）數(shù)據(jù)庫放在 Web目錄外 WEB 目錄是 e:\webroot，可以把數(shù)據(jù)庫放到 e:\data 這個文件夾里，在e:\webroot里的數(shù)據(jù)庫連接頁中修改數(shù)據(jù)庫連接地址為： /data/數(shù)據(jù)庫名 的形式，這樣數(shù)據(jù)庫可以正常調(diào)用，但是無法下載的，因為它不在 WEB目錄里！這個方法一般也不適合購買虛擬空間的用戶。 —29— 只要修改一處，整個站點的數(shù)據(jù)庫都可以防止被下載。配置再完善的防火墻、功能再強(qiáng)大的入侵檢測系統(tǒng)、結(jié)構(gòu)再復(fù)雜的系統(tǒng)密碼也擋不住內(nèi)部人員從網(wǎng)管背后的一瞥。 。 5. 定期安全審核，由于網(wǎng)絡(luò)安全是一個動態(tài)的過程，組織和部門的計算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門對安全的需求也會發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。 IIS，服務(wù)器和系統(tǒng)本身和管理進(jìn)行一系列的安全設(shè)計。 最后，針對社區(qū)網(wǎng)絡(luò)安全的設(shè)計，作了網(wǎng)絡(luò)安全方面的代碼的實現(xiàn)和運行的實現(xiàn)。