2024年4月11日发(作者:)

第13卷第2期 

2 0 1 1年6月 辽宁师专学报 

Journal of Liaoning Teachers College 

VOlI 13 N0.2 

Jun.2 0 1 1 

【学术研究】 

浅谈基于IIS的网站安全管理 

赵 宝 

(盘锦职业技术学院,辽宁盘锦124000) 

摘 要:阐述网站安全管理的发展现状、面临的主要问题以及影响网站安全性的因素,对基于IIS的网站 

安全管理问题给出相应对策,并指出管理人员的素质对于网站管理的重要性. 

关键词:网站;安全管理;TCP/IP;IIS;数据验证 

中图分类号:TP393.08 文献标识码:A 文章编号:1008--5688(2011)02—0035~02 

0 前言 

近年来,网络与网站已经成为人们耳熟能详的名词,成为与生活不可分割的部分.基于网站的各种应 

用层出不穷,各种基于网络的B/S系统,B2B、B2C、C2C等新的电子商务模式不断涌现.网站建设的成 

本和技术门槛也越来越低,机关、企事业单位和个人都纷纷建立自己的门户网站. 

网站的重要性不言而喻,但是其安全性管理也是一个不可忽视的问题.自从网络普及以来,我们知道 

了微软的操作系统也会有漏洞,知道有各种各样的网络病毒、黑客与骇客,在编程中也要刻意防止出现被 

入侵者利用的代码I】].网站的价值首先在于它的可访问性,所以网站安全性管理是值得不断探索的一个历 

久而弥新的课题. 

1影响网站安全性的因素 

1.1 自然因素 

客观地说,互联网是一个先天不足的“新生儿”,它的前身是用于科研目的的ARPANET,设计之初 

并没有过多地考虑安全性问题,导致目前互联网协议成为网络安全领域的最大漏洞.在TCP/IP上发现了 

100多种安全弱点或漏洞,如IP地址欺骗、TCP序号袭击、ICMP袭击、IP碎片袭击和UDP欺骗等, 

MODEM也很容易被攻破_2J. 

基于TCP/IP协议的windows系列操作系统的大范围使用,使得这种缺陷被无限放大,IIS的不当设 

置又会让设计无论多么周密的网站代码顷刻之间崩溃. 

病毒攻击是另外一个客观因素,早期的病毒以文件型病毒为主,主要以文件破坏为目的.自从网络普 

及以来,以窃取帐号和文件、窥探隐私为目的通过网络传播的各种木马病毒呈现几何增长的趋势,2008 

年全年新增病毒近1 400万个,其中75 为木马病毒. 

1.2人为因素 

其一是密码泄漏,这是最低级的失误,往往因为网络管理员、网站管理人员的无知或疏忽,设置简单 

密码或者密码泄漏、权限设置不当,导致入侵者轻而易举地获取登录帐号和权限,堂而皇之地从“正门” 

入侵.不过经过安全性知识的普及,现在这种情况已经不是主要问题. 

其二在网站代码开发中缺乏必要的安全意识,对输入的信息没有进行有效的验证,比如输入超过处理 

能力的数据,导致溢出;再如对输入信息中的敏感字符没有进行过滤,导致部分对数据库来说有特定含义 

的字符被执行,这样数据库就会一览无余地暴露在人侵者面前;还有的客户端JS脚本验证之后再元服务 

器端验证的问题,当客户端验证被绕过后就长驱直入地进人数据库.上述这些情况都比较常见,对初级管 

理者来说,全面掌握有一定难度,因为既要掌握管理的知识,还要懂得开发常识. 

2基于IIS的网站安全管理措施 

安全性问题的存在不能阻止互联网应用的前进脚步,无数基于IIS的网站正良好运行,发挥着巨大的 

收稿日期:2O11一O3—2O 

作者简介:赵宝(1971一),男,辽宁盘山县人,实验师,主要从事网站设计方面研究 

辽宁师专学报 2011年第2期 

商业价值和宣传价值.但这的确需要网站开发者和管理者下大力气,花费大量精力去研究有效的安全措 

施,确保网站运行安全. 

2.1物理上的安全措施 

服务器通常都会处在一个局域网的环境中,因此可以把服务器放在DMZ中,即非军事区中,这样可 

以保证服务器与内外网均有限制地访问.另外,在路由器及交换机中可以做适当设置,可以进一步限制来 

自内外网的威胁. 

2.2操作系统漏洞的处理 

为了安全的原因,网站管理者往往会限制服务器对外网的访问,并且会限制开放的端V1数量,但同时 

又要经常升级操作系统的补丁,那么最好在同一服务器区中设置windows系统升级服务器(即WSUS). 

2.3 IIS的安全设置 

对于IIS的处理,往往要对其本身固有的缺陷进行设置.IIS的某些自定义错误会反馈给访问者一些 

有用的出错信息,改掉这样的信息对安全会有帮助. 

IIS目录安全允许网管拒绝特定的IP地址、子网,甚至是域名.WhosOn软件可以让网管了解哪些 

IP地址正在试图访问服务器上的特定文件,如果发现有人正在试图访问你的cmd.exe,WhosOn会列出 

系列的异常反应,你可以选择拒绝这个用户访问Web服务器. 

安装IIS会产生一个TSInternetUser账户.除非你真正需要这个账户,否则应该禁用它,因为这个用 

户很容易被渗透,是黑客们的显著目标[3].为了帮助管理用户账户,确定其本地安全策略没有问题, 

IUSR用户的权限也应该尽可能小. 

2.4专业的安全防范措施 

服务器的前端设置防火墙是十分必要的,专业的防火墙可以屏蔽大多数一般性的外来攻击,可以记录 

下来自外网的访问痕迹,便于追踪,性能更好一些的可以同时监测访问流量,可以说应付一般的中小企业 

甚至一些专业网站的安全工作已经足够了. 

在条件许可以情况下,可以设置入侵检测系统(IDS),它分为实时人侵检测和事后入侵检测.实时入 

侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络 

模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 

据恢复.这个检测过程是不断循环进行的.而事后入侵检测则是由具有网络安全专业知识的网络管理人员 

来进行的,他们根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断 

开连接,并记录入侵证据和进行数据恢复. 

2.5软件设计中的安全意识 

首先,要对系统接收的数据进行全方位的验证,包括数据长度、非法字符的验证等,并且要在客户端 

和服务器端同时进行验证,避免非法数据访问数据库进而破坏系统.比如在Asp代码中可以进行如下的 

客户端验证: 

//过滤非法字符 

function checkStr(s) 

{ 

if(s.1ength一一0 l l S一一””){ 

{ 

alert(”请不要输入空值!t.); 

&*()+一[] 

return false; 

var str0一”<> ~!@#¥ 

\”;?/:{) 1.,“”’“一”; 

} 

return true; 

for(var i一0;i<strO.1ength;i++) 

{ 

讧(s.indexOf(strO.substring(i,i+1))!一一1) 

) 

//效验长度 

function isLength(s,i) 

{alert(”输入字符串中包含非法字符(如:<,>, 

等)!”); 

return false; 

( 

if(s,length>i)f 

) 

) 

return true; 

alert(”长度超出了范围!”); 

return false; 

) 

} 

/f不il为空 

function isNull(s) 

王群 计算机基础课程(网络版)考试系统的设计与实施 

StatusBar1.SimpleText一”有考生上交考试成绩,建立 

输……” 

与接收计算机的连接.” 

End Sub 

srs0cket(Index).GetData kscj1 

srsocket(Index).GetData ksxm 

srsocket(Index).GetData ksxb 

Private Sub srsocket

DataArrival(Index As Integer, 

ByVal bytesTotal As Long) 

Dim kscj1 As Integer,kscj2 As Integer,ks cj3 As 

Integer,kscj4 As Integer,kscj5 As Integer,kscj9 As Integer 

Dim ksbj As String,ksxb As String,kscj As Integer 

Dim nextont As String 

srsocket(Index).GetData ksbj 

nextone一”已经成功接收”+ksxm+”的考试成绩!.’ 

srsocket(Index).SendData nextone 

End Sub 

StatusBar1.SimpleText一”正在进行考生成绩数据传 

4结语 

本网络考试系统的开发,使得学生考试更规范和客观,教师评卷更公平和科学.本系统在抚顺师专的 

计算机基础课程考试应用中,取得了较好的效果,受到师生的好评. 

(审稿人 李树东,责任编辑王 巍) 

(上接36页) 

Asp中可进行如下的服务器数据验证: 

Public Function lensCheck(Str,nl,n2) 

lensCheck—True 

Set re=New RegExp 

re.IgnoreCase=true 

if len(Str)<cint(n1)or len(Str)>cint(n2)then re.Global=true 

lensCheck False re.pattern=” [~!@#¥ &*()+l<> 

End Function 

Function CheckName(str) 

If str= 

Dim re 

\/7]” 

CheekName=re.test(str) 

Set re—nothing 

End Function 

Then Exit Function 

其次,在代码设计中对数据库的访问尽量使用存储过程、视图等技术,尽量不在代码中暴露出数据库 

的信息,这样可以有效地防止初级黑客的攻击,而据统计这样的攻击者占到90%以上 . 

最后,还要注意防止SQL注人等问题.这是个非常棘手的问题,所有的网站代码都不会没有任何漏 

洞,找一些黑客工具来测试一下是否安全是十分必要的,特别是针对注入问题,没有比这个入侵方式更普 

遍的了. 

2.6安全习惯的培养 

’ 

合理设置并保存好用户名与密码、对重要数据定时备份、经常查看日志等好习惯对网站管理大有好 

处.机智的安全管理员总是会采用非常有效的方式对抗计算机犯罪,所以在网站安全管理上的最佳投资就 

是教育.通过各种途径的培训和交流经验,网站管理人员的管理水平会不断上新的台阶. 

3 未来展望 

网站管理这一工作从诞生之日起就是一个苦差事,而且随着网络的越来越发达,管理员面对的工作也 

越来越复杂,攻击者的手段也不断翻新花样,“道高一尺,魔高一丈”,最有经验的管理员是由实战中锻炼 

出来的,所以选择做一个网站管理员就选择了不断的学习和超越,不过一旦你掌握了规律也就一通百通, 

乐在其中了. 

参考文献: 

Eli范明钰.网络安全协议理论与技术EM].北京:清华大学出版社,2009. 

E2]高怡新.ASP动态网页设计(第2版)EM].北京:人民邮电出版社,2009. 

[3]Marty Jost,Michacl Cobb.IIs安全技术[M].肖国尊译.北京:清华大学出版社,2003. 

[4]张银鹤,梁文新,李新磊.JavaScript完全学习手册[M].北京:清华大学出版社,2009. 

(审稿人李树东,责任编辑朱成杰)