論網絡安全

［摘 要］隨著計算機信息技術的高速發展，人們的生活、工作越來越依賴互聯網上的信息發布和信息獲取，但是人們卻時刻被信息網絡的安全隱患所困擾，越來越多的人也開始了關于網絡、網站的安全性管理研究。本文介紹了網絡與網站安全的有關問題。

［關鍵詞］網站安全性管理

［中圖分類號］TP ［文獻標識碼］A ［文章編號］1009－5489(2008)05－0152－02

一、網絡與網站安全隱患概述

目前影響網站安全的問題主要來自于網絡的不安全性，所以在這個意義上講，網站的安全漏洞其實也就是網絡的安全漏洞，其漏洞主要來自以下幾個方面：

1.自然因素

(1)軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊等。

(2)病毒攻擊

計算機病毒一般分為四類：①文件型病毒(FileViruses)；②引導型病毒(SystemorBootSectorVirus)；③鏈式病毒(SYSTEMorCLUSTERVirus)；④宏病毒(MacroVirus)。計算機病毒的主要危害有：對計算機數據信息的直接破壞作用，給用戶造成重大損失：占用系統資源并影響運行速度：產生其他不可預見的危害：給用戶造成嚴重的心理壓力。

計算機病毒疫情呈現出多元化的發展趨勢，以網絡為主要傳播途徑。呈現以下顯著特點：①網絡病毒占據主要地位；②病毒向多元化、混合化發展；③利用漏洞的病毒越來越多。

2.人為因素：

(1)操作失誤

操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少。對網絡安全己不構成主要威脅。

(2)惡意攻擊

這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信急。

當然作為本文最討論的網站安全，它也有它自身的安全隱患存在，主要體現在以下幾點：

3.用戶輸入驗證不全面

在網站編程中，對于用戶和用戶的輸入，都必須抱懷疑態度，不能完全信任。所以，對于用戶的輸入，不能簡單的直接采用，而必須經過嚴格驗證，確定用戶的輸入是否符合輸入規則才可以錄入數據庫。用戶輸入驗證應該包括以下幾個方面：

(1)輸入信息長度驗證。程序員往往認為一般用戶不會故意將輸入過分拉長，不進行輸入驗證可能沒有危害。但如果用戶輸入的信息達到幾個兆，而程序又沒有驗證長度的話，可以使程序驗證出錯或變量占用大量內存，出現內存溢出，致使服務器服務停止甚至關機。

(2)輸入信息敏感字符檢查。在設計程序的時候，程序員可能都會關注JavaScript的一些敏感字符，如在設計留言版的時候，會將“<”等符號的信息過濾，以免用戶留下頁面炸彈。但還有以下幾個方面需要特別注意，一是留言版內容信息的過濾。二是用戶名信息的過濾。程序設計中，對用戶名的驗證往往只是驗證長度，沒有驗證JavaScript或者HTML的標記，這樣就容易形成漏洞。

二、網站安全管理策略

1.網絡安全的管理

(1)使用防火墻

防火墻作為使用最多，效率最高的網絡安全產品自然有它自身的優勢，所以防火墻在整個網絡安全中的地位將是無可替代的。

(2)與因特網接入處增設網絡入侵檢測系統

入侵檢測系統(IDS即IntrusionDetectSystem)是實時網絡違規自動識別和響應系統，它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方，通過實時截獲網絡數據流，能夠識別、記錄入侵或破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問，一經發現入侵檢測系統根據系統安全策略做出反應，包括實時報警、自動阻斷通信連接或執行用戶自定義安全策略等。

(3)病毒防御

選購殺毒軟件，必須考慮產品的采購成本、應用(管理、維護)成本，以及將來企業或網絡規模變化后，軟件能否實現平滑過渡等問題。只有明確需求，重視產品的應用和管理，把網絡防病毒納入到信息安全防范體系之中進行綜合防范，才能有效提升企業的信息安全水平。單純防病毒，并不是企業的最終目標。

2.網站自身的安全管理

(1)網站服務器的安全管理

網站服務器的日常管理、維護工作包‘括網站服務器的內容更新、日志文件的審計、安裝一些新的工具和軟件、更改服務器配置、對服務器進行安全檢查等。主要注意以下幾點：

1)從網絡結構設計上解決安全問題

安裝一個功能強大的防火墻可以有效防御外界對Web服務器的攻擊，還可通過安裝非法人侵監測系統，提升防火墻的性能，達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作，當有入侵者攻擊時可以立刻有效終止服務。同時應限制非法用戶對網絡的訪問，規定具有特定IP地址的客戶機對本地網絡服務器的訪問權限，以防止從外界對網絡服務器配置的非法修改。

2)定期對網站服務器進行安全檢查

由于網站服務器是對外開放的，容易受到病毒的攻擊，所以應為服務器建立例行安全審核機制，利用漏洞掃描工具和IDS工具，加大對服務器的安全管理和檢查。另外，隨著新漏洞的出現，我們要及時為服務器安裝各類新漏洞的補丁程序，從而避免服務器受到攻擊和出現其他異常情況。

3)定期進行必要的數據備份

對服務器上的數據定期進行備份是很重要的。網站的核心是數據，數據一旦遭到破壞，后果不堪設想。除了設置相應權限外，應建立一個正式的備份方案，而且隨著網站的更新，備份方案也需要不斷地調整。

(2)數據庫安全管理

數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業務應用系統后臺數據庫的安全性，采用基于Client/Server模式訪問后臺數據庫，為不同的應用建立不同的服務進程和進程用戶標識，后臺數據庫系統以服務器進程的用戶標識作為訪問主體的標識，以確定其訪問權限。我們通過如下方法和技術來實現后臺數據庫的訪問控制。

1)訪問矩陣

訪問矩陣就是以矩陣的方式來規定不同主體(用戶或用戶進程)對于不同數據對象所允許執行的操作權限，并且控制各主體只能存取自己有權存取的數據。它以主體標行，訪問對象標列，訪問類型為矩陣元素的矩陣。Informix提供了二級權限：數據庫權限和表權限，并且能為表中的特定字段授予Select和Update權限。因此，我們在訪問矩陣中定義了精細到字段級的數據訪問控制。

2)視圖的使用

通過視圖可以指定用戶使用數據的范圍，將用戶限定在表中的特定字段或表中的特定記錄，并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶的視圖，在授權給一用戶的視圖中不包括那些不允許訪問的機密數據，從而提高了系統的安全性。

3)數據驗證碼DAC

對后臺數據庫中的一些關鍵性數據表，在表中設置數據驗證碼DAC字段，它是由銀行密鑰和有關的關鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數據庫中的數據，則DAC效驗將出錯，從而提高了數據的安全性。

網站管理員，有責任同時也有義務做好網站的維護與管理，這就需要我們管理人員時刻保持虛心學習的心態，時刻關注新的管理技術與安全防御技術。對于已經出現的安全問題應該用最快、最有效的方法加以解決，對于目前還未出現的安全問題要有預見性，這才是一名優秀的網絡管理員。

［參考文獻］

［1］沈昌樣：《網絡安全與信息戰#8226;網絡安全技術與應用》，2001年版。

［2］駱耀祖、龔洵禹：《動態網頁設計教程》，中山大學出版社2002年版。

［3］駱耀祖、劉永初等：《計算機網絡技術及應用》，清華大學出版社、北方交大出版社2003年版。