企業(yè)網(wǎng)站面臨的安全問題及應對策略

[摘 要] 目前，越來越多的企業(yè)開始通過網(wǎng)站這一平臺來進行信息發(fā)布和交流，而隨之而來的網(wǎng)站安全問題也越來越受到人們的關注。本文主要從企業(yè)網(wǎng)站的安全問題出發(fā)，來介紹目前企業(yè)網(wǎng)站存在的安全隱患，以及保障網(wǎng)站安全運行的網(wǎng)站安全技術和安全策略。

[關鍵詞] 網(wǎng)站安全;安全技術;安全策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 14 . 031

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)14- 0080 - 02

隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，越來越多的企業(yè)開始通過網(wǎng)站這一平臺來進行信息的發(fā)布和交流，而隨之而來的網(wǎng)站安全問題也越來越受到人們的關注，新的安全漏洞和攻擊方法給網(wǎng)站的安全運行帶來了巨大的威脅。例如，網(wǎng)頁被掛馬使得網(wǎng)站成為傳播木馬給瀏覽網(wǎng)站用戶的一個載體。在黑客的眼里，網(wǎng)站并非是一個信息發(fā)布和信息交流的平臺，而是為其謀取私利的一個工具。因此，對網(wǎng)站安全技術的研究顯得十分必要。

一、企業(yè)網(wǎng)站面臨的安全問題

網(wǎng)站安全是指對網(wǎng)站進行管理和控制，并采取一定的技術措施，從而確保在一個網(wǎng)站環(huán)境里信息數(shù)據(jù)的機密化、完整性及可使用性受到有效的保護。雖然當前互聯(lián)網(wǎng)的應用在不斷發(fā)展，但信息系統(tǒng)的脆弱性和網(wǎng)絡環(huán)境的復雜性使得現(xiàn)有的計算機系統(tǒng)還不具備與自身的應用發(fā)展規(guī)模相對應的安全防護能力，大量的網(wǎng)絡安全威脅以各種方式不斷沖擊著網(wǎng)絡應用平臺。目前，企業(yè)網(wǎng)站的安全隱患主要體現(xiàn)在以下幾個方面:

(1) 網(wǎng)站的非授權訪問。由于Internet所采用的TCP/IP協(xié)議在設計時并沒有很好地考慮安全問題，使得 Internet自身的安全面臨著巨大的威脅。而且，由于網(wǎng)站的安全配置過于復雜和一些Internet應用服務存在的安全缺陷，黑客經常會利用各種安全漏洞入侵到服務器中，對網(wǎng)站的安全性帶來了嚴重的挑戰(zhàn)。系統(tǒng)密碼簡單、應用軟件的缺陷、操作系統(tǒng)的漏洞、非必須服務的開啟、默認的共享文件夾、過低的安全級別設置等都會為黑客的非法入侵提供方便之門。

(2) 信息的安全管理。信息的安全管理包括應用防護和物理防護。應用防護是指系統(tǒng)中的電子信息在應用中的各個環(huán)節(jié)進行防護。目前在網(wǎng)站服務器上的信息通常都是通過數(shù)據(jù)庫來進行保存的，并根據(jù)用戶的請求來進行響應。由于一般的人員很難對所采用的數(shù)據(jù)庫進行安全配置，從而對信息的安全埋下了隱患。而且，在計算機上存儲、傳輸和處理的信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協(xié)議中是憑借君子協(xié)定來維系的。物理防護是指為存儲信息的物理設備設置屏障，防止來自物理線路的電磁信號竊聽。在網(wǎng)管中心、重要的數(shù)據(jù)交換和數(shù)據(jù)存儲場所，要按照保密施工要求，建立規(guī)范、相對獨立的網(wǎng)絡交換中心和重要交換節(jié)點，采取防靜電接地、物理屏蔽或防電磁干擾等措施，抑制數(shù)據(jù)交換信號的電磁擴散和輻射，從而防止信息被非法物理竊聽。

(3) 網(wǎng)絡病毒的泛濫。計算機病毒是人為制造程序，具有自我復制能力和很強的感染性。隨著網(wǎng)絡規(guī)模的擴大和病毒數(shù)量的增加，計算機網(wǎng)絡病毒對網(wǎng)站的威脅越來越大。一旦網(wǎng)站服務器被計算機病毒感染，必然會對網(wǎng)站的信息安全和系統(tǒng)的正常運行帶來巨大的危害。

(4) 安全的系統(tǒng)管理體制。以上3個方面的安全問題屬于技術層面，而網(wǎng)站面臨的安全威脅還可能來自系統(tǒng)本身的管理層面。如果不能制定出完善的網(wǎng)站安全管理策略，并把這些策略付諸實施，網(wǎng)站同樣會面臨著巨大的安全問題。目前的網(wǎng)站安全防御更加側重的是對外部風險的防范，對于來自內部的風險往往不夠重視。要真正保證網(wǎng)站的安全，只有從技術層面和管理層面入手，才有可能最大限度地保證網(wǎng)站的安全運行。

二、企業(yè)網(wǎng)站的安全技術

網(wǎng)站安全技術目前已發(fā)展成為一個跨學科的綜合性學科，它包括通信技術、計算機軟件設計技術、硬件設計技術、密碼學、網(wǎng)站安全與計算機安全技術等，網(wǎng)站安全技術是在攻擊與防范這一對矛盾相互作用的過程中發(fā)展起來的。通常，網(wǎng)站的安全技術可以分為以下幾個部分:

(1) 操作系統(tǒng)平臺的安全。網(wǎng)站的所有服務都是建立在操作系統(tǒng)平臺上的，因此，保證網(wǎng)站安全的第一步就是要保證操作系統(tǒng)的安全。為保證操作系統(tǒng)的安全，必須對操作系統(tǒng)建立一套嚴密的安全規(guī)則，才能使其在復雜的網(wǎng)絡環(huán)境中實現(xiàn)安全服務。這些安全規(guī)則包括:及時安裝補丁、為系統(tǒng)管理員賬號更名、關閉沒用的協(xié)議和服務、安裝網(wǎng)絡防毒軟件等。

(2) Web服務器的安全。目前廣泛應用的Web服務器軟件有IIS、Apache等，配置Web站點的安全性除充分考慮操作系統(tǒng)的安全性外，還應使用Web服務器本身提供的安全機制。這些安全機制包括:匿名訪問和身份驗證控制、IP地址及域名限制、訪問權限控制、修改端口號、SSL安全機制等。

(3) Web數(shù)據(jù)庫的安全性。數(shù)據(jù)庫安全的主要任務是防止非法用戶訪問或合法用戶越權訪問數(shù)據(jù)庫中的數(shù)據(jù)。在網(wǎng)絡中用戶訪問Web數(shù)據(jù)庫是通過瀏覽器和Web服務器采用HTTP協(xié)議，用戶在瀏覽器上發(fā)出對數(shù)據(jù)庫文件的請求，Web服務器根據(jù)用戶的請求訪問后臺數(shù)據(jù)庫。因此，根據(jù)Web數(shù)據(jù)庫的特點，可以采用防火墻、用戶身份認證、授權控制、數(shù)據(jù)加密、使用日志監(jiān)視數(shù)據(jù)庫、數(shù)據(jù)存儲安全、審計、備份與數(shù)據(jù)恢復等安全管理技術。

(4) 網(wǎng)站代碼的安全性。僅有安全的架構和設計不會使網(wǎng)站高枕無憂，它只是其中重要的因素之一。當完成安全的架構和設計之后，還必須寫出安全的代碼。如果Web應用程序的編寫人員在編程過程中沒有充分考慮到有可能面臨的安全問題，就有可能使黑客能夠利用一些程序上的漏洞發(fā)起對網(wǎng)站的攻擊。如 SQL注入攻擊、跨站腳本攻擊等。

三、企業(yè)網(wǎng)站安全的策略

在制定網(wǎng)站安全策略時，要綜合考慮影響網(wǎng)站安全的各種因素，并從網(wǎng)站安全的技術策略和管理策略兩方面來制定。

(1) 技術策略。該策略主要是利用現(xiàn)有的安全技術來保證網(wǎng)站的安全。技術策略主要有:第一，用戶認證和訪問控制。應該對用戶名和密碼使用加密技術進行加密，在此基礎上對用戶身份進行驗證，并限制用戶對文件、目錄、各種設備的操作和訪問。第二，安全漏洞檢測。應該定期掃描系統(tǒng)漏洞，以便盡快發(fā)現(xiàn)問題并修補安全漏洞。第三，病毒防范。防止病毒對系統(tǒng)和數(shù)據(jù)的破壞。第四，入侵檢測。使用入侵檢測技術來預防和檢測來自系統(tǒng)內外部的入侵。第五，系統(tǒng)日志。對各種事件進行記錄，并且需要控制對系統(tǒng)日志的訪問，以便監(jiān)控黑客的攻擊方式。第六，備份和恢復。對系統(tǒng)和數(shù)據(jù)進行備份，以便在網(wǎng)站受到攻擊后可盡快恢復系統(tǒng)和數(shù)據(jù)。

(2) 管理策略。該策略主要是通過制定相關規(guī)章制度來加強對網(wǎng)站安全的管理，策略內容主要包括:制定有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

總之，網(wǎng)站安全要通過先進的安全技術手段和完善的管理策略才能最大限度地保證網(wǎng)站的安全性。

四、總結

網(wǎng)站安全是一個系統(tǒng)性的問題，其涉及的范圍很廣，因此，為保證網(wǎng)站的安全，只有結合實際層層設防，才能最大限度地保證網(wǎng)站的安全性。同時，由于網(wǎng)絡的攻擊手段也在不斷地提高，因此，網(wǎng)站的安全防范手段也需要不斷地更新。

主要參考文獻

[1] 劉勁松，胡軼，王東方.淺談網(wǎng)站安全技術[J] .網(wǎng)絡安全技術與應用，2006(7).

[2] 卜勝賢，李鷹. Web網(wǎng)站安全技術研究[J] . 微機發(fā)展，2004(5).

[3] 符鳳平. Web網(wǎng)站安全技術分析[J] . 計算機系統(tǒng)應用，2008(12).

[4] 鄭繼勝 . Web網(wǎng)站安全防御系統(tǒng)的研究與應用[D] . 長春:吉林大學，2008.