论文总字数：29241字

摘 要

随着互联网的基础设施的建设，互联网越来越成为人们工作生活中不可分割的一部分。基于Web应用的飞速发展，各类网站的数量也日益增长，随之而来的，是日益突出的安全问题。

目前很多业务都依赖于互联网，比如网上银行、网上购物、网游等，很多出于不良的目的攻击者对Web服务器进行恶意攻击，想方设法通过各种手段获取他人的账户信息谋取利益。正因如此，Web的业务平台很容易就遭受攻击。同时，对Web服务器的攻击层出不穷，常见的有SQL注入、缓冲区溢出、IIS等。

本设计是在Windows环境下研究Web的安全性，采用ASP.NET和SQL Server构建了一个网站原型，通过这个网站原型来研究和分析Windows系统本身以及Web服务器和应用程序存在的各种漏洞、威胁，并探讨了解决这些漏洞的对策，来巩固和提高Web的安全性。

关键字：系统安全，网络安全，加密算法，SQL注入，漏洞，系统补丁

Abstract:

The Internet is increasingly becoming an integral part of people’s daily life, with its infrastructure. With the rapid development of Web applications, the number of Web sites is also growing, followed by the increasingly prominent security issues.

At present a lot of businesses are dependent on the Internet, such as online banking, online shopping, online games and so on. Many bad attackers maliciously attack on Web servers, trying to get others’ information to seek benefits through various means. So, the Web platform is easy to attack. At the same time, Web attack is endless, which the common is SQL injection, buffer overflow, IIS, etc.

This design is to study the security of the Web in the environment of Windows, using ASP.NET and SQL Server to build a Website prototype. The purpose is to analyze the loopholes of the Windows system, Web server, Web application and investigate the corresponding solutions to consolidate and enhance the security of the Web.

Keywords: System security, network security, encryption algorithm, SQL injection, loopholes, Server pack

目 录

1 引言 3

1.1 课题来源 3

1.2 国内外研究状况 3

1.3 课题开发环境与目标 4

2 WEB安全研究概述 4

2.1 Web目前面临的安全问题 4

2.2 制度上的完善 4

2.3 技术上的要求 5

3 核心相关的安全性研究 6

3.1 操作系统的安全 6

3.2 WEB服务器安全研究 8

3.3 数据库系统安全研究 9

3.4 架构的安全性研究 10

4 案例分析——基于ASP.NET SQL Server的网站安全 11

4.1 操作系统Windows Server 2008 11

4.2 数据库SQL Server 11

4.3 ASP.NET安全策略 13

4.4 系统设计 14

4.5 其它安全措施 31

结论 33

参考文献 34

致谢 35

1 引言

1.1 课题来源

随着社会日新月异的进步，计算机和网络等信息技术的普及，人们的工作生活与网络有着越来越密切的联系，在享受网络带来的方便、快捷、乐趣的同时，人们也面临着越来越复杂和严重的网络安全威胁和难以规避的风险。计算机病毒的迅速扩散，多次大面积的网络瘫痪，不断出现的系统漏洞，越来越猖獗的多样化和先进性手段的网络黑客对网络的攻击，以及时有发生的计算机犯罪等，使得网络安全问题成为信息技术领域一个至关重要、急需解决的问题。

我国的互联网发展已经进入第二个十年，如今基于互联网的Web应用传播很快，无处不在，呈现在我们面前的网站不计其数，随之而来的安全问题也日益突出，Web站点被黑客入侵的事件屡有发生，这对我们生活工作造成一定的困扰。Web安全问题已引起人们的极大重视。

1.2 国内外研究状况

目前和相当长的一段时间内，国内外关于Web安全的研究主要是从制定安全的协议、系统平台的安全、网站程序的编程安全、开发安全的产品、Web服务器的安全控制等方面入手。在安全协议的制定方面，已经提出了大量实用的安全协议，最具有代表性的有：电子商务协议SET，IPSec协议，SSL/TLS协议，简单网络管理协议SNMP，PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。这些协议的安全性分析特别是电子商务协议，IPSec协议和TLS协议是当前协议研究中的热点。

系统平台的安全方面主要研究操作系统的安全、数据库的安全等，以及现有常用系统(例如Windows、Unix、Linux)的安全配置；还有就是针对黑客常用的攻击手段制定安全策略。

网站程序的安全编程方面，主要研究规范化编程以及现有编程语言（ASP，ASP.NET，PHP，JSP等）的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面，目前在市场上比较流行，且又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有主要的发展方向和产品种类上，都包含了密码技术的应用，并且是非常基础性的应用。 Web服务器的安全控制方面，主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置，如Apache的访问控制机制、安全模块，IIS的安全锁定等。

1.3 课题开发环境与目标

本设计主要是基于Windows Server 2008环境下的Web安全研究，通过ASP.NET和SQL　Server数据库创建一个网站模型，在设计网站的过程中研究操作系统本身、数据库、IIS以及ASP.NET架构存在的漏洞，并对这些漏洞给予修复，加强Web的安全性。

2 WEB安全研究概述

2.1 Web目前面临的安全问题

（1）端口漏洞。因为大部分基于万维网的应用都在公认的端口即用于HTTP的TCP80或用于HTTPS/SSL/TLS的TCP443上操作，而这些技术一般在确定了基本目标URL之后就不需要了。攻击者可能会使用一个常用的Web服务器端口列表对目标IP进行端口扫描，寻找运行于不常用的端口上的Web应用攻击主机，或通过种植木马、数据溢出的手段进攻主机，甚至利用某些软件设计的漏洞直接或间接控制主机。

（2）信息泄漏。攻击者非法访问和获取目标计算机（Web服务器或浏览器）上的敏感信息；或中途截获Web服务器和浏览器之间传输的敏感信息；或由于配置和软件bug等原因无意中泄露敏感信息。这些敏感信息包含账户的用户名和密码等，

剩余内容已隐藏，请支付后下载全文，论文总字数：29241字