泰语视听说课程教学网站安全防范研究和实践.docVIP

泰语视听说课程教学网站安全防范研究和实践 　　【摘 要】“中泰教育合作下信息技术与《泰语视听说》课程整合的研究与实践”是2012年度新世纪广西高等教育教学改革工程立项项目，其中，建设课程教学网站是其中的一项主要内容。团队通过探讨研究，采用了ASP.net+SQL的技术建设该课程的教学网站。本文首先分析了采用ASP.net +SQL的技术的原因，其次再分析采用这些技术所面临的风险，最后提出解决这些风险的安全防范措施。 　　【关键词】ASP.net SQL 网站安全 SQL注入 　　《泰语视听说》课程是一门实践性非常强的课程，教学内容大多来自电视和网络等媒体，课程的目的是让学生能听得懂节目内容的同时，还能运用泰、汉两种语言进行复述以及归纳中心意思。 　　建立课程教学网站，是“中泰教育合作下信息技术与《泰语视听说》课程整合的研究与实践”项目的一项主要内容，作用重要，因为通过该网站，可以把优秀的教学资源共享出去，实现课程的远程教学和多媒体教学，为其它泰语专业的课程甚至其它小语种课程的网络化、多媒体化打下基础，提高泰语专业教师对现代教育技术的应用能力，进而服务于中泰高校的教育合作，提高泰语专业的人才培养质量。同时，泰语专业的学生也可以通过该网站的学习，让听、说方面的能力得到提高，为学生今后出国留学深造作铺垫。 　　一、ASP.NET和SQL技术的优势 　　之所以选择ASP.net +SQL的技术去构建该课程教学网站，主要是出于以下的考虑： 　　1.ASP.net的优势 　　虽然说ASP.net有这样那样的缺点，比如数据库的连接复杂；但是优点也是非常明显的。 　　（1）简单性和易学性：其使运行的任务，如表单的提交客户端的身份验证、分页系统和网站配置，变得非常简单，它可以通过语言简化开发简化代码的生成。 　　（2）高效可管理性：其使用字符基础的、分级的配置系统，服务器环境和应用程序的设置更加简单。 　　（3）其是一种用于多处理器的开发工具，它在多处理器的环境下用特殊的列缝连接技术，极大的提高了运行速度。 　　（4）安全性高：在安全这一块，提供了两种安全机制：验证和授权。 　　ASP.net除了以上的的优点外，还有其它的优点，比如：易于写出结构清晰的代码、代码易于重用和共享、可用编译类语言编写等等。 　　2.SQL的优点 　　之所以选择SQL作为支撑数据库，主要还是考虑到了它的优点：易用性、适合分布式组织的可伸缩性、用于决策支持的数据仓库功能、与许多其他服务器软件紧密关联的集成性、良好的性价比等。除这些的优点外，SQL还为数据管理与分析带来了灵活性，允许单位在快速变化的环境中从容响应，从而获得竞争优势。 　　二、网站所面临的威胁 　　尽管ASP.NET和SQL的优点令人看起来是那么的完美，但是随着网络的普及以及相应的网络技术的发展，其所暴露出来的漏洞也越来越多。同时，网络系统本身的脆弱性、开发性和复杂性这些特点，在为网络带来发展机遇的同时，也带来了很大的风险。同时，对网络的攻击也越来越多样化，而且技术也越来越先进。 　　在安全宝发布的《2012年网站安全统计报告》中，给出了主要攻击的方式所占的比例：SQL注入为36.5%，任意文件读取为19.1%，跨站脚本攻击为4.5%，fastcgi解析为2.2%，IIS6.0解析漏洞为0.4%，其它攻击为37.3%。在攻击方式中，SQL注入以36.5%的比例位居榜首。在近两年，虽然SQL注入攻击有所减少，但依然是Web程序的一个主要威胁。黑客通过SQL注入攻击，可以操控数据库、篡改数据，甚至进一步入侵服务器，危害较大。其次是任意文件读取和跨站脚本攻击，任意文件读取是指黑客通过目录跳转，查看文件内容。跨站脚本攻击也叫XSS，黑客通过XSS攻击可以盗取用户账号信息，网站挂马操作等，XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。 　　所以，对于课程教学网站来说，课程资源都是教师多年积累、辛苦劳动的成果，上网后就有可能会被其他人下载，甚至一经改名成了别人的成果，得不到有效保护，严重影响甚至伤害了教师创建课程网站的积极性；同时，也会受到一些不良黑客的攻击，导致课程资源破坏或者丢失，损失了宝贵的资源。 　　基于这些因素，很有必要对课程教学网站进行安全防范。 　　三、教学网站的安全防范措施 　　因为在网络攻击里面，SQL注入攻击所占的比例最高，而且规模越来越大，破坏性也越来越强，所以在这里主要是探讨这种类型攻击的安全防范措施。 　　1.使用参数化查询 　　通过制定并且强化安全编码指南，要求网站开发人员通过参数化查询去构建SQL查询，从而使数据和代码区分出来。参数化查询就是在SQL语句中有一个或者多个嵌入参数的查询，这种方式和动态构造SQL字