基于双IIS主机的在线策略研究与应用

摘要：随着网络的飞速发展及对信息获取的迫切需求，越来越多的信息资源需要通过网络进行。但方出于某种考虑，往往不希

>> 基于IIS创建虚拟主机的方法与实现 基于IPv6/IPv4双栈主机认证方法的应用研究 基于IIS技术烟机设备资料查阅系统的应用与实现 IIS中虚拟主机业务的配置和管理 基于RSS的在线教育资源与订阅 基于VxWorks实时操作系统的双主机计算机系统的设计与实现 基于IIS的WEB相关课程实验平台的设计与实现 主机备用技术的探索与应用 基于HTML5在线编辑平台的移动学习资源构建与应用研究 利用GNS3+VMware+真实主机仿真网络实验的研究与应用 新型制丝主机排潮尾气处理技术的研究与应用 基于双DSP的在线式电能质量监测装置的研究 基于主机负载预测的动态任务调度算法研究 基于z/OS的大型主机安全管理研究 基于Sniffer的动态主机配置协议研究及分析 大屏幕显示系统双主机冗余控制设计与应用 基于微课程的在线教育应用模式研究 基于主机的DDoS防御 地市公司信息主机在线监测应用实践 基于网格的在线考试系统的分析与研究 常见问题解答 当前所在位置：文件直接接收用户请求，它是用户唯一可见的文件；屏蔽层的Frame.htm文件以零框架层构建屏蔽，设置“陷阱”，“误导”网页源码嗅探工具，导向无效的资源文件；引导层的Guide.html文件内部采用“重定向”技术，为避免网页源码嗅探工具攻破“屏蔽层”，直接操作引导层，而将直接指向引导层的访问请求重新“定向”回用户层。由于框架的存在，嗅探工具对引导层的源代码是不可见的。

在Y服务器上，需要部署的编号为④的文件全部与满足信息资源访问请求相关。除了需要的内部资源文件外，其核心的一组文件就是服务层的Service.html文件（该文件名需对外保密，以确保内部资源的安全），它真正对用户层提交的访问请求做出反应，并直接操作内部资源文件，将其以特定的形式（可以装载到网页内嵌的CA8A9780-280D-11CF-A24D-444553540000控件中[4]）反馈给X服务器的用户层。值得一提的是，该文件中的直接访问内部资源文件的代码是被有效加密的，通过代码中自动解析的解密代码段来实现对内部资源的强化保护。

为了使内部资源的保护更加严密，使网页的关键性源代码不被攻击者获取，还可以在网页源文件中增加必要的脚本代码，从而实现一系列扩展功能，如：屏蔽鼠标右键、屏蔽键盘上的特殊功能键、禁止网页上的选择复制、禁止截屏（控制剪贴板）等；通过网页内嵌的控件来信息资源，可以禁止对文档的保存、复制、打印等。即使攻击者通过浏览器自带的打印功能妄图将文档内容输出到打印机，结果也只能是输出空白的控件框架而已。通过一些简单易行的反黑客技术，还可以屏蔽IE8（及其以上版本）内置的Developer Tool，从而增强了网页源代码的安全性。

简而言之，用户唯一可见的是用户层，常规性的网络工具可以看到屏蔽层，IE8内置的Developer Tool可以通过解析获取到引导层的部分代码，因此，引导层中访问Y服务器的代码段以及服务层中访问内部信息资源的代码段都是被有效加密的，采用加密强度较高的非对称加密算法以加强保护。

通过上述一系列屏蔽手段，用户实际提交请求并访问内部资源时，体会到的资源获取过程，即用户将访问请求通过企业网络提交，然后直接由X服务器（伪文件服务器）充当资源提供方来操作内部资源，并响应用户请求。此时，妄图获取内部信息资源的攻击者如果按照表面上得到的X服务器的相关信息，来攫取内部资源，结果只能是徒劳无功。因为表面上存放于X服务器的内部资源文件，实际并未存放于此，理论上讲，这些文件可能存放于企业网络中的任何一台IIS服务器上。

3 策略的应用

一套策略，只有应用于实践才能实现其价值。将上述策略应用于实践，以企业某大型管理类系统User Guide的在线为例。该系统用于管理企业内部研发费用相关数据，包含大量的工作流程，这些流程对应于企业的完整组织结构及核心管理模式，同时系统中还包含了大量的人事及财务信息。该文档的特点是内容量较大（36万余字，合千余页），无法通过观看完成内容记忆。因此，出于对企业内部信息安全的考虑，提出“在线阅读、禁止下载”的总体需求。由于该文档会伴随系统功能的调整而不定期改版，因此不能将内容完全图片化或信息流化，要考虑使其便于及后的更新维护。

应用本文提出的策略，搭建安全可靠的双IIS服务器[5，6]。然后，针对防火墙服务器及文件服务器分别开发并部署相关内部文件。从而使攻击者无法通过常规性嗅探工具获取文档源文件存放的实际网络位置。辅以必要的代码脚本，最终实现上述企业需求。

4 结语

本文提出的基于双IIS主机架构的在线策略，适用于企业敏感信息资源的在线。如果基于本策略扩展IIS架构，集群式部署多IIS主机（或分支），可以有效提高信息安全等级。

该策略尚有待完善之处。从网络安全角度分析，实施该策略，需重点加强对充当非军事区的X服务器节点的安全防护，及对Y服务器的有效屏蔽。

参考文献

[1]张波，王秀梅.Web安全设置和对策[J].电脑知识与技术，2012，8（12）：2711-2712.

[2]刘辉.我国计算机网络保密技术发展综述[J].保密科学技术，2011（5）：11-13.

[3]娄凯.关于防火墙技术浅析[J].科技信息，2011（18）：236.

[4]康亮.HTTP Streaming 技术发展趋势[J].电信网技术，2011（6）：36-41.

[5]王盛明，张莉.安全WEB服务器的设计与实现[J].科技资讯，2011（3）：15.

[6]裴衣非.构架安全网络服务器的研究[J].价值工程，2011（33）：164-165.