【正文】 —32— 參考文獻(xiàn) [1] 蔡立軍 .計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) [M].北京 : 中國(guó) 水利水電出版社 , 2020. [2] 方天培 .數(shù)字社區(qū)建設(shè)基本概念初探 [J].智能建筑與城市信息， 2020(1). [3] 倪紅 .新設(shè)計(jì)的數(shù)字社區(qū) [J].智能建筑與城市信息， 2020(1). [4] 余建斌 .黑客的攻擊手段及用戶對(duì)策 .北京人民郵電出版社 .2020 [5] 蔡立軍 .計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) .中國(guó)水利水電出版社 .2020 [6] 鄧文淵 ,陳惠貞 ,陳俊榮 .ASP 與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù) .中國(guó)鐵道出版社 . [7] 劉麗琳 .網(wǎng)絡(luò)安全問題及其對(duì)策 .電腦知識(shí)與技術(shù) .2020 [8] 張興成 .網(wǎng) 絡(luò)安全技術(shù) [J].網(wǎng)絡(luò)時(shí)代 , 2020( 11) . [9] 余建斌 .黑客的攻擊手段及用戶對(duì)策 [M].北京 : 人民郵電出版社 , 1998. [10] 程大章 .數(shù)字社區(qū)與智能化住宅小區(qū) [J].智能建筑與城市信息， 2020(1). —33— 致 謝 感謝計(jì)算機(jī)學(xué)院為我們提供這么好的學(xué)習(xí)環(huán)境來書寫討論我們的論文，衷心感謝 xxxx教授、 教授和 老師，一直以來對(duì)我的幫助，他們利用他們本來休息的時(shí)間為我們輔導(dǎo)，抽出寶貴的時(shí)間一遍一遍為我們的論文作修改指，沒有他們的付出，我們的設(shè)計(jì)與論文很難得以實(shí)現(xiàn)，非常感謝他們 。 針對(duì)于設(shè)計(jì)部分，大部分已經(jīng)實(shí)現(xiàn)且運(yùn)行，有部分未完成的有待于我們小組后期的一系列的不斷的探索和努力。 針對(duì)用戶對(duì)社區(qū)網(wǎng)絡(luò)安全的需求，社區(qū)管理者對(duì)社區(qū)網(wǎng)絡(luò)安全的需求和系統(tǒng)對(duì)社區(qū)網(wǎng)絡(luò)安全的需 求，進(jìn)行了四個(gè)方面的安全設(shè)計(jì)， IIS 安全設(shè)置，服務(wù)器安全設(shè)置，社區(qū)網(wǎng)站安全設(shè)計(jì)，和社區(qū)管理安全設(shè)計(jì)。 —31— 5 總結(jié) 本次論文主要對(duì)社區(qū)網(wǎng)絡(luò)做了安全需求的分析，分別從用戶對(duì)社區(qū)網(wǎng)絡(luò)安全的需求，社區(qū)管理者對(duì)社區(qū)網(wǎng)絡(luò)安全的需求和系統(tǒng)對(duì)社區(qū)網(wǎng)絡(luò)安全的需求出發(fā)，進(jìn)行一系列的需求分析。 從四個(gè)方面根據(jù)用戶和社區(qū)管理者和系統(tǒng)本身對(duì)社區(qū)網(wǎng)絡(luò)安全的需求，我分別從四個(gè)方面全面設(shè)計(jì)了以下行之有效的設(shè)計(jì)。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。 4. 通過恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件。 ，杜絕安全隱患。下面針對(duì)花園浜社區(qū)管理者的實(shí)際需求給出一些管理方面的安全措施。 微軟被黑案 的事例證明，當(dāng)前企業(yè)網(wǎng)絡(luò)最大的安全漏洞來自內(nèi)部管理的不嚴(yán)密。 管理安全設(shè)計(jì) “ 千里之堤，潰于蟻穴 ” 。無(wú)須修改代碼即使暴露目標(biāo)地址也可以防止下載。 （ 9）添加數(shù)據(jù)庫(kù)名的如 MDB的擴(kuò)展映射 這個(gè)方法就是通過修改 IIS 設(shè)置來實(shí)現(xiàn)，適合有 IIS控制權(quán)的人，不適合購(gòu)買虛擬主機(jī)用戶 (除非管理員已經(jīng)設(shè)置了）。 （ 8）使用 ODBC 數(shù)據(jù)源 在 ASP 等程序設(shè)計(jì)中，如果有條件，應(yīng)盡量使用 ODBC 數(shù)據(jù)源，不要把數(shù)據(jù)庫(kù)名寫在程序中，否則， ASP 源代碼失密后，也很容易被下載下來。因此，只要數(shù)據(jù)庫(kù)被下載，其信息安全依然是個(gè)未知數(shù)。H42” 開始的區(qū)域內(nèi)。dbq=數(shù)據(jù)庫(kù)路徑 這樣修改后，數(shù)據(jù)庫(kù)即使被人下載了，別人也無(wú)法打開（前提是你的數(shù)據(jù)庫(kù)連接頁(yè)中的密碼沒有被泄露）但值得注意的是，由于Access 數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單，即使設(shè)置了密碼，解密也很容易。uid=admin。無(wú)論是 IE 還是 FlashGET 等 下 到 的 都 是 等你在 IIS 設(shè)置的首頁(yè)文檔 )另外在數(shù)據(jù)庫(kù)文件名中保留一些空格也起到類似作用，由于HTTP 協(xié)議對(duì)地址解析的特殊性，空格會(huì)被編碼為 %, 下載的時(shí) 有 123% 這個(gè)文件，所以下載也是無(wú)效的這樣的修改后，即使你暴露了數(shù)據(jù)庫(kù)地址，一般情況下別人也是無(wú)法下載。 （ 5）數(shù)據(jù)庫(kù)名前加 “ ” 只需要把數(shù)據(jù)庫(kù)文件前名加上 、然后 修改數(shù)據(jù)庫(kù)連接文件（如 ）中的數(shù)據(jù)庫(kù)地址。再做一個(gè) 頁(yè)面，代碼如下： html head/headbody 數(shù)據(jù)庫(kù)受到保護(hù)了。服務(wù)器會(huì)把 ASP 后綴的文件當(dāng)作ASP 文件解析，但一旦里面出現(xiàn)非法的 ASP 語(yǔ)句，就是以無(wú)法解析的 ASP 語(yǔ)句，下載時(shí)就會(huì)顯示第幾行 ASP語(yǔ)句出錯(cuò)，就無(wú)法被下載了。這樣你的數(shù)據(jù)庫(kù)就不會(huì)被非法 下載了。 （ 2）添加錯(cuò)誤處理 修改數(shù)據(jù)庫(kù)連接頁(yè) ，在里面打開連接的地方寫上。數(shù)據(jù)庫(kù)后綴改為 asa,asp 或在前面在 也都是不可行的，我試了，都是可以用網(wǎng)際快車下載的。一旦被人在地址欄用非法的一些字符暴露了數(shù)據(jù)庫(kù)路徑。這個(gè)是最基本的，要保證文件名復(fù)雜，不可猜測(cè)性。基于這種原理，可以很容易地編制出解密程序。該數(shù)據(jù)庫(kù)系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行異或來形成一 個(gè)加密串，并將其存儲(chǔ)在＊ .mdb 文件中從地址 “ ＆ H42” 開始的 —26— 區(qū)域內(nèi)。 本網(wǎng)站采取頁(yè)面包含 （即 !Include File=）用于過濾一些非法字符，從而防止 SQL注入。 猜表名，將 Count(*)替換成 Count(字段名 )，用同樣的原理猜解字段名。其次，根據(jù)注入?yún)?shù)類型，重構(gòu) SQL語(yǔ)句的原貌。 防止 SQL注入 SQL 注入的原理，就是從客戶端提交特殊的代碼，從而收集程序、數(shù)據(jù)庫(kù)及服務(wù)器的信息，進(jìn)而獲取想到得到的資料。建個(gè)Administrator賬戶，不過是什么權(quán)限都沒有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到 “ 密碼 ” 里去 . 取消顯示最后登用戶 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVe —25— rsion\Winlogon： DontDisplayLastUserName把值改為 1。 賬戶安全 首先禁止一切賬戶，除了你自己。任何時(shí)候都不要把共享文件的用戶設(shè)置成 “ everyone” 組。 關(guān)閉 DCOM 服務(wù)這就是 135 端口了，除了被用做查詢服務(wù)外，它還可能引起直 接的攻擊，關(guān)閉方法是：在運(yùn)行里輸入 dfg，在彈出的組件服務(wù)窗口里選擇 默認(rèn)屬性標(biāo)簽，取消 “ 在此計(jì)算機(jī)上啟用分布式 COM” 即可。 禁用 TCP/IP 上的 NetBIOS 網(wǎng)上鄰居 屬性 本地連接 屬性 Inter 協(xié)議（ TCP/IP）屬性 高級(jí) WINS 面板 NetBIOS 設(shè)置 禁用 TCP/IP 上的 NetBIOS。 關(guān)閉 RemoteRegistry服務(wù)。打開管理工具 服務(wù)，禁用 taskscheduler服務(wù)即可。 防止網(wǎng)頁(yè)木馬 —24— 一般情況下只要做到下面幾點(diǎn)就可以防止大部分的網(wǎng)頁(yè)木馬。首先對(duì) .inc 文件內(nèi)容進(jìn)行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找，會(huì)得到有關(guān)文件的定位，并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)，并以此揭示完整的源代碼。如果想直接輸入 URL打開管理頁(yè)面，則提示要求用戶登陸的信息；如果用戶登陸信息正確，則正常顯示管理頁(yè)面。需要經(jīng)過驗(yàn)證的 ASP頁(yè)面，可跟蹤上一個(gè)頁(yè)面的文件名， 只有從上一頁(yè)面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁(yè)面。如果涉及與數(shù)據(jù)庫(kù)連接，在理想狀態(tài)下只給它以執(zhí)行存儲(chǔ)過程的權(quán)限，不直接給予該用戶修改、插入、刪除記錄的權(quán)限。目前，大多數(shù)網(wǎng)站的 ASP程序有這樣那樣的安全漏洞，但如果編寫程的時(shí)候注意一點(diǎn)的話，還是可以避免的 . 防 止用戶名與口令被破解 —23— 在網(wǎng)站中和用戶交互過程涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少在 ASP 文件里出現(xiàn)，涉及與數(shù)據(jù)庫(kù)連接的用戶名與口令應(yīng)給予最小的權(quán)限。但是，由于 ASP 本身存在一些安全漏洞，稍不小心就會(huì)給黑客提供可乘之機(jī)。選擇 “ 默認(rèn)屬性 ” 選項(xiàng)卡。打 開 “ 計(jì)算機(jī) ” 子文件夾。 1防止 SYN洪水攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD值，名為 SynAttackProtect，值為 2 —22— ICMP 路由通告報(bào)文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建 DWORD值，名為 PerformRouterDiscovery值為 0 ICMP 重定向報(bào) 文的攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 將 EnableICMPRedirects 值設(shè)為 0 IGMP 協(xié)議 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD值，名為 IGMPLevel值為 0 1禁用 DCOM 運(yùn)行中輸入 。 停掉 Guest帳號(hào)、并給 guest加一個(gè)異常復(fù)雜的密碼，把 Administrator改名或偽裝。 系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁，尤其是 、 SQLSP3a補(bǔ)丁，甚至 。 刪除不必要的 IIS 擴(kuò)展名映射 右鍵單擊 “ 默認(rèn) Web 站點(diǎn) → 屬性 → 主目錄 → 配置 ” ，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。 刪除 IIS 默認(rèn)創(chuàng)建的 Ipub目錄 (在安裝系統(tǒng)的盤上 )。 開啟你的事件日志 雖然開啟日志服務(wù)雖然說對(duì)阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分 析入侵者在我們的系統(tǒng)上到底做過什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務(wù)器到底還存在哪些安全漏洞等等。 軟件防火墻、殺毒軟件 軟件防火墻、殺毒軟件就像是對(duì)系統(tǒng)的 “ 保鏢 ” 一樣。此外，開啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門戶。 69 端口告訴黑客你的操作系統(tǒng)極有可能是linux或者 unix系 統(tǒng)，因?yàn)?69 是這些操作系統(tǒng)下默認(rèn)的 tftp 服務(wù)使用的端口。 —20— 關(guān)閉那些不必要的端口。 關(guān)閉不必要的服務(wù)，只開該開的端口 關(guān)閉那些 不必要開的服務(wù)，做好本地管理和組管理。這樣即使黑客通過某些方法獲得你的服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問到保存在其他磁盤上的敏感信息。 NTFS 文件系統(tǒng)里你可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問權(quán)限。我們只可以盡量避免被入侵，最大的程度上減少傷亡。入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。一套完善的安全模型應(yīng) 該包括以下一些必要的組件 :防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。 服務(wù)器的安全設(shè)計(jì) 服務(wù)器的惡意網(wǎng)絡(luò)行為包括惡意的攻擊行為和入侵行為，在保證網(wǎng)絡(luò)服務(wù)器的安全的情況下