网络安全措施.pdfVIP

信息系统网络安全措施

1硬件设施方面

1.1使用异地备份网络存储设备。

针对不同信息系统，定期将线上服务器上备份出来的文件、

数据库转存备份到异地网络存储设备上。即使线上服务器遭到攻

击、或机房遭遇火灾等极端情况下，保障系统数据不丢失。

1.2、使用硬件防火墙。

针对不同信息系统，只对外打开所需的特定端口，最大程度

减少被攻击的入口。

2代码级防护

2.1参数过滤

针对用户恶意提交的特殊字符进行过滤,达到防止sql注入

的目的。以网站为例，在网站Global.asax文件

(ASP.NET应用程序文件，提供了一种在一个中心位置响应应用

程序级或模块级事件的方法)中加入如下过滤代码：

//summary

//当有数据时交时，触发事件

///summary

//paramname=sender/param

1

//paramname=e/param

protectedvoidApplication_BeginRequest(Objectsender,EventArgse)

{

//遍历Get参数。

foreach(stringiinthis.Request.QueryString)

{

this.SqlFilter(this.Request.QueryString[i].ToString());

}

}

///summary

///SQL注入过滤

////summary

///paramname=InText要过滤的字符串/param

///returns如果参数存在不安全字符，则返true/returns

publicvoidSqlFilter(stringInText)

{

stringword=

@=||and|or|exec|insert|select|delete|drop|update|count|master|truncate|decla

re|char(|mid(|chr(|||[-|;|,|\/|(|)|[|]|}|{|%|@|*|!|\]|script;

boolflag=false;

foreach(stringiinword.Split(|))

{

if(InText.ToLower().IndexOf(i)-1)

{

flag=true;

break;

}

}

if(flag)

Response.Redirect(~/index/error.html);

}

在该文件中加入以上代码后，会在每次传递参数时进行筛选，

如遇到sql关键字、特殊字符时，将其过滤掉并跳转至错误页面。

Java及其他编程语言，有对应的类库，代码编写方式类似。

2.2传参数的方法：

在sql语句中使用SqlCommand（以为例）给参数

2

赋值，而不是直接sql语句中把参数值引入。

stringstrSQL=SELECT*FROM[user]WHEREuser_id=@id;

SqlCommandcmd=newSqlCommand();

cmd.CommandText=strSQL;

cmd.Parameters.Add(@id,SqlDbType.VarChar,20).Value

=Request[id].ToString();

java语言有相应的类库，实现方式类似。

2.3对上传文件类型进行限制

不允许上传asp、php、jsp等可执行代码类型文件。

2.4站点错误页面配置

对网站配置指定错误输出页面，不允许直接输出服务器端错

误信息。以网站为例，

在网站根目录的web.config文件中加入：

customErrorsmode=OndefaultRedirect=index/error.html

/customErrors

2.5后台验证