網(wǎng)站安全防范淺析

摘 要：無論何種網(wǎng)站，網(wǎng)站的安全對于整個網(wǎng)站的運行都至關(guān)重要，網(wǎng)站被黑會對網(wǎng)站造成“致命”的災(zāi)難，因此對網(wǎng)站進行安全防范是保障網(wǎng)站正常工作的前提和基礎(chǔ)，網(wǎng)站進行安全防范可以從硬件、軟件和管理三大方面進行操作，可以最大限度的保障網(wǎng)站的安全。

關(guān)鍵詞：網(wǎng)站；安全；防范

互聯(lián)網(wǎng)上各種資源服務(wù)中，主要應(yīng)用當屬Web方式的應(yīng)用服務(wù)了，搭建Web服務(wù)器的軟件有好多種，基于操作系統(tǒng)可以分為linux下的Web服務(wù)軟件，windows 下的Web服務(wù)軟件。無論哪種服務(wù)軟件搭建的Web服務(wù)，都需要做好安全防范措施，防止數(shù)據(jù)被篡改，防止網(wǎng)站被黑掉，這是網(wǎng)絡(luò)管理員的責任。

決定網(wǎng)站安全的因素有很多，從網(wǎng)站內(nèi)部看，構(gòu)成網(wǎng)站的計算機硬件、通信設(shè)備的可靠性，網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫系統(tǒng)等自身的安全性都會影響到網(wǎng)站的安全運行。從網(wǎng)站外部看，網(wǎng)絡(luò)的黑客入侵、計算機病毒等也是危害網(wǎng)站安全的重要因素。

如何做到網(wǎng)站的安全防范呢？筆者認為要從以下幾點來進行操作更具有可操作性和可執(zhí)行性：

1 硬件方面

網(wǎng)站的硬件安全要求網(wǎng)站的計算機硬件、附屬通信設(shè)備及網(wǎng)站傳輸線路的穩(wěn)定、可靠，硬件建設(shè)是網(wǎng)站安全穩(wěn)定的基礎(chǔ)，沒有穩(wěn)定的硬件資源，軟件肯定會出問題。

1.1 服務(wù)器

服務(wù)器性能要有保證，服務(wù)器的穩(wěn)定，是網(wǎng)站對外提供服務(wù)的基礎(chǔ)。所以，服務(wù)器cpu性能要強勁，內(nèi)存容量要高，考慮到web應(yīng)用以并發(fā)居多，因此，cpu的多任務(wù)及并發(fā)處理能力要強。

1.2 防火墻

防火墻，是應(yīng)用服務(wù)器前面的一道墻，它將允許正常應(yīng)用的進出，阻止非正常應(yīng)用訪問，對互聯(lián)網(wǎng)應(yīng)用提供有效的保護。防火墻分為流入流出防護，可以禁止服務(wù)器主動向外連接，允許外部流入訪問80端口，同時，對訪問80端口的http協(xié)議進行處理，防止DDos攻擊及注入攻擊等。

1.3 網(wǎng)段規(guī)劃

網(wǎng)絡(luò)服務(wù)的攻擊，往往是從內(nèi)部攻入的，所以，內(nèi)部網(wǎng)絡(luò)的劃分較為重要。通常的做法是為服務(wù)器規(guī)劃一個單獨的網(wǎng)段，其它網(wǎng)段與服務(wù)器網(wǎng)段禁止通信，即物理鏈路上實現(xiàn)禁止局域網(wǎng)內(nèi)部訪問，同時，在服務(wù)器群前放置防火墻，無論是單位內(nèi)部還是單位外部，都要經(jīng)過防火墻來訪問服務(wù)器。

防火墻中將應(yīng)用服務(wù)的端口進行映射，沒用的端口不映射出去，保證系統(tǒng)的絕對安全。

2 軟件方面

2.1 操作系統(tǒng)

操作系統(tǒng)要用正版軟件，目前國內(nèi)好多網(wǎng)管人員對正版系統(tǒng)軟件認知不足，認為盜版系統(tǒng)一樣提供服務(wù)，無所謂。其實，好多盜版軟件中內(nèi)置木馬后門，使得系統(tǒng)對外提供服務(wù)的同時，后門也存在了，這樣，即使硬件防火墻已經(jīng)做好了訪問控制策略，開放了正常的端口，系統(tǒng)還是被攻入，網(wǎng)站同樣被黑或篡改。

2.2 殺毒軟件及木馬防護軟件

服務(wù)器、網(wǎng)絡(luò)管理及開發(fā)維護人員電腦要安裝殺毒軟件及木馬防護軟件，一旦管理人員或開發(fā)維護人員電腦被病毒或木馬入侵后，就會通過其計算機進行攻擊甚至控制服務(wù)器，這樣就存在安全隱患，所以，計算機要安裝殺毒及木馬防護軟件，并時常更新其病毒庫，同時更新系統(tǒng)補丁，達到系統(tǒng)漏洞最小化。

2.3 數(shù)據(jù)定期備份

網(wǎng)站防范的一個重要措施就是數(shù)據(jù)備份工作。我們知道，系統(tǒng)沒有十全十美的，安全策略再完美，也不可能將所有攻擊防范住，一旦出現(xiàn)問題，備份的數(shù)據(jù)就有作用了，數(shù)據(jù)備份有本機備份，異機備份，重要的數(shù)據(jù)可進行異地備份。

2.4 代碼編寫

代碼編寫很重要，很多網(wǎng)站都是通過代碼編寫漏洞攻入的，流行的攻擊為通過程序中sql語句的漏洞，獲取sa權(quán)限后創(chuàng)建系統(tǒng)賬號及打開系統(tǒng)服務(wù)及相應(yīng)的端口，進而獲取系統(tǒng)完全控制權(quán)，所以，網(wǎng)站程序開發(fā)，無論采用的事java還是。Net，一定要杜絕sql語句攻擊。

2.5 部署防篡改程序

網(wǎng)站防篡改，自從web應(yīng)用后就相應(yīng)的誕生了一些防篡改的技術(shù)，比如早起采用的定期覆蓋頁面技術(shù)，即使頁面被更改，幾秒后頁面還是會被自動覆蓋成正常的頁面，但此種方式有缺點，被篡改的頁面還是能被訪問，此種方案已經(jīng)不再適用了。常用的防篡改方案有：

a） 定時循環(huán)掃描技術(shù)：這是早期使用的技術(shù)，比較落后，已經(jīng)被淘汰了，原因是：現(xiàn)在的網(wǎng)站少則幾千個文件，大則幾萬，幾十萬個文件，如果采用定時循環(huán)掃描，從頭掃到尾，不僅需要耗費大量的時間，還會大大影響服務(wù)器性能。在掃描的間隙或者掃描過程中，如果有文件被二次篡改，那么在下次循環(huán)掃描到該文件之前，文件就一直是被篡改的，公眾訪問到的也將是被篡改的網(wǎng)頁，這是一段“盲區(qū)”，“盲區(qū)”的時長由網(wǎng)站文件數(shù)量、磁盤性能、CPU性能等眾多客觀因素來決定。

b） 事件觸發(fā)技術(shù)：這是目前主流的防篡改技術(shù)之一，該技術(shù)以穩(wěn)定、可靠、占用資源極少著稱，其原理是監(jiān)控網(wǎng)站目錄，如果目錄中有篡改發(fā)生，監(jiān)控程序就能得到系統(tǒng)通知事件，隨后程序根據(jù)相關(guān)規(guī)則判定是否是非法篡改，如果是非法篡改就立即給予恢復(fù)。

c） 核心內(nèi)嵌技術(shù)（即“數(shù)字水印”或“數(shù)字指紋”）：這也是目前的主流技術(shù)之一，該技術(shù)以無進程、篡改網(wǎng)頁無法流出、使用密碼學算法作支撐而著稱，其原理是：對每一個流出的網(wǎng)頁進行數(shù)字水印（數(shù)字指紋）檢查，如果發(fā)現(xiàn)相關(guān)水印與之前備份的水印不同，則可斷定該文件被篡改，并且阻止其繼續(xù)流出，并傳喚恢復(fù)程序進行恢復(fù)。

d） 文件過濾驅(qū)動技術(shù)：這是新興的一種防篡改技術(shù)，其原理是采用操作系統(tǒng)底層文件過濾驅(qū)動技術(shù)，攔截與分析IRP流，對所有受保護的網(wǎng)站目錄的寫操作都立即截斷，與“事件觸發(fā)技術(shù)”的“后發(fā)制人”相反，該技術(shù)是典型的“先發(fā)制人”，在篡改寫入文件之前就阻止。

3管理方面

網(wǎng)站安全中，好多問題是因為制度建設(shè)不完善、管理混亂、賬號丟失造成的，這就要求我們網(wǎng)絡(luò)管理部門要建立起一套完善的管理制度，比如定期更換服務(wù)器用戶名及密碼，服務(wù)器用戶名及密碼要專人專管等；管理上要走正規(guī)的管理流程，不能將賬號密碼不按流程給予他人，這樣才能防范密碼丟失造成的網(wǎng)站安全問題。

總之，網(wǎng)站安全管理是一個綜合了各個方面策略的結(jié)果，不是某項技術(shù)或管理就可以解決的，需要從硬件、軟件、管理這三方面進行安全防范，這樣才能盡最大可能減少安全隱患，保證互聯(lián)網(wǎng)服務(wù)的正常有效。

作者簡介：于艷杰（1977--），女，哈爾濱學院教師。