論網站信息管理存在安全問題及防御措施

閆亞琦

（吉林省科學技術協會信息中心，吉林 長春 130021）

隨著計算機網站技術的飛速發展，因特網進行信息發布、獲取信息的方式日益融入人們的日常生活和工作中。然而，網站的安全問題卻時時受到威脅，網站安全的管理迫在眉睫。網站安全由通信技術、網站技術、計算機軟件、硬件設計、密碼學、網站安全技術等多學科綜合。網站安全襲擊使人們不得不對新的防御手段進行研究，新的防御手段會引來新的攻擊者，如此周而復始，網站安全技術在雙方的斗爭中逐漸完善和發展。

一、影響網站信息管理的主要因素

網站安全是通過技術手段對網站進行有效的管理與控制，因此，在一個站點環境下，可以有效地保證信息和數據的機密性、完整性和易用性。它的主要目的是保證通過該站點傳遞的信息始終不會增加、改變、丟失或被其他用戶非法閱讀。要實現這一目標，就需要確保網站系統軟件和數據庫系統具有一定的安全防護能力，并且確保諸如終端、數據鏈路等站點部件的功能不會改變，只有被授權的用戶才能使用。因此，從某種程度上來說，網站的安全問題實際上就是網站的安全漏洞，它的缺陷主要來源于以下幾個方面。

1.自然因素

1.1 軟件漏洞。即使是最完善的軟件和應用程序，也不可能百分百的沒有漏洞。而正是這種漏洞，成為非法用戶、黑客竊取秘密和惡意攻擊的方式。針對內部安全缺陷的攻擊，主要包括：

1.1.1 協議漏洞。比如，IMAP和POP3必須在Unix的根目錄下執行，攻擊者可以通過這個弱點來攻擊IMAP，使其無法訪問到系統的根目錄。

1.1.2 緩沖區溢出。許多系統可以接收任意長度的數據，而不用檢查程序和緩沖的改變，將溢出的部分放置到堆疊中，而系統仍然能夠正常地執行指令。

攻擊者會使用這個弱點來發出命令，這些命令的長度超過了緩沖的能力，導致系統的不穩定。

1.1.3 口令攻擊。比如Unix系統的軟件經常會將密碼存儲在一個可以被復制或者密碼破解的文件里。所以，如果系統沒有及時的升級，很可能會遭到攻擊。

1.2 病毒攻擊。電腦病毒的主要危害是：對電腦的數據和信息產生直接的損害，使使用者遭受巨大的損害：對系統資源的消耗和運行速度的降低：產生其他未預料到的危險：使使用者承受巨大的精神壓力。電腦病毒一般有四種類型：①文件類型的病毒；②引導病毒（系統啟動系統）；③鏈病毒；④宏病毒。

2.人為因素

2.1 操作失誤。由于操作人員的安全意識不強，安全配置不合理，用戶口令的選擇不正確，賬號的任意外借、與他人分享，這些安全隱患都會危及網站的安全。但在建立了網站管理系統和員工培訓后，這種現象逐步消失，不再是對網站安全的主要威脅[1]。

2.2 黑客攻擊。這是目前電腦網絡所面對的最大威脅，其中包括敵方電腦的攻擊及電腦犯罪。這種攻擊有兩種類型：一類是主動攻擊，通過多種途徑選擇性地摧毀信息的正確性和完整性；第二種是被動式攻擊，即通過截取、竊取、破譯來獲取關鍵的保密信息，而不會對網站的正常運行造成干擾。

2.3 用戶輸入驗證不夠全面。在網站設計中，一定要對使用者和使用者的輸入持懷疑的態度，而不是絕對的信賴。因此，不能簡單地使用使用者的信息，而要進行嚴格的驗證。判斷使用者的輸入是否符合輸入規則，以便輸入資料庫。使用者輸入確認應包含下列內容：

2.3.1 輸入信息長度驗證。程序員傾向于相信普通的使用者不會刻意地把輸入拖得太長，而且不做輸入確認也不會造成傷害。但是，當使用者輸入了數萬億的數據時，如果程序沒有校驗長度，就會導致程序的校驗錯誤，或者使用了很多的變量，導致內存溢出，致使服務器服務中斷，或者是關閉。.

2.3.2 輸入信息敏感字符檢查。程序員在設計軟件時，很有可能會注意到 JavaScript中的一些敏感的字符，比如在設計消息時，會把諸如“＜”之類的信息過濾掉，這樣就不會給用戶帶來網頁炸彈了。但是，要特別關注的是，對留言板的內容進行篩選。二是篩選用戶姓名。在編程過程中，用戶名的校驗通常僅限于校驗長度，而不能校驗JavaScript和HTML標簽，因此很容易產生缺陷。三是郵件信息的核實，郵件中的郵件通常也只是確認是否包含了“@”，其余的都沒有，這就造成了兩個缺陷：內存溢出漏洞，輸入信息太多；包含諸如JavaScript之類的文字信息，在顯示用戶郵件時會產生網頁爆炸等。四是對檢索資料進行確認。雖然不能將搜索結果直接存儲在網站上，但這些信息都和數據庫、服務器的文件有著千絲萬縷的聯系，一旦出現了問題，很可能會泄露出一些不該被發現的數據。如果使用者對程式有一定的認識，可以設定特定的搜尋資訊，以擷取不該搜尋的資料庫，如使用者賬號密碼表等。所以，通常要確認一些常用的數據庫操作語句，比如搜索信息中是否包含“Select”之類的，以限制用戶的輸入，防止信息泄漏[2]。

二、網絡信息安全存在的問題

網絡的安全隱患主要是利用網絡自身的安全漏洞，而網絡使用、管理過程中的不正當行為，會使網絡的安全問題更加嚴重。目前存在著許多問題，其中技術問題、管理問題和人為問題。

1.技術問題

在技術方面，主要有3種類型的安全問題：硬件系統安全、軟件系統安全、系統安全配置不合理等。

1.1 硬件系統的安全缺陷。由于技術和理論上的限制，電腦和硬件設備都有一定的缺陷，從而在實際應用中出現了各種安全隱患。

1.2 軟件系統的安全漏洞，在軟件開發過程中，為了方便地對所使用的系統軟件、應用軟件進行不斷地改進和完善，而在軟件開發過程中，經常會有“后門”來進行軟件的升級和修改，而這些“后門”一旦被黑客利用，就會對系統的安全造成威脅。同時，在軟件開發中，由于結構設計上的不足，或者程序編制上的不規范，也容易造成安全漏洞。

1.3 系統安全配置不當造成的其他安全漏洞。一般情況下，系統中會有一個缺省的組態，而且缺省組態的安全性一般會比較低。另外，由于網絡組態過程中的一些問題，如匿名FTP、Telnet的開放、密碼文件的安全保護、命令的不合理使用等，都會造成安全上的安全隱患。黑客可以通過這些弱點進行攻擊，從而破壞網絡的安全[3]。

2.管理問題

管理上的問題，主要是由于網絡的管理上的缺陷。通常，許多組織在設計內部網絡時，都會把注意力集中在外部的威脅上，由于沒有考慮到來自內部的攻擊，造成了內部網絡中缺少稽核追蹤機制，而網管人員對日志及其他信息的關注不夠。此外，管理人員素質差、管理措施不健全、使用者的安全意識薄弱等因素也是造成網絡安全問題的主要原因。安全問題的根本原因在于人類。以上所述的技術與管理問題，都可以歸結為人的問題。網絡安全問題按人類行為的不同可劃分為人為故意錯誤和人為無意錯誤。人為的無意失誤，這些問題主要是由于系統本身的錯誤，操作上的錯誤，或者是軟件上的錯誤。其中，安全漏洞是由管理員的安全配置問題引起的，也是網絡用戶安全意識薄弱所導致的。預處理問題是指利用系統中的漏洞進行的攻擊，或者是對實體設備造成的直接的損害。比如，該病毒能夠攻破網絡的安全防護，入侵到網絡主機，從而導致網絡的安全問題。

三、網站安全管理的相應策略

1.網站安全的管理

1.1 使用防火墻。防火墻作為一種新型的網站安全技術，在整個網站的安全中占有舉足輕重的位置，是當前應用最為廣泛和高效的一種網站安全技術。

1.2 與因特網接入處增設網站入侵檢測系統。IDS是一種對網站的實時違反進行自動識別和響應的系統，它所處的位置是一個具有敏感數據的網站，或者是任何有危險的網站，能夠識別、記錄入侵或破壞的代碼，查找網站違法行為和未經許可的網站接入，一旦被發現，系統就會按照系統的安全政策進行響應，包括實時報警、自動切斷通信聯系、以及用戶定制的安全政策。

1.3 病毒防御。純粹的抗病毒，并非公司的終極目的。只有明確市場的需求，注重產品的使用與管理，將其融入系統的整體防御系統中，才能真正提高企業的信息安全。我們必須選擇合適的技術，將各種技術有機地結合起來，以實現目標。

2.網站自身的安全管理

2.1 網站服務器的安全管理。網站服務器的日常維護和管理工作主要有：更新網頁服務器的內容，審計日志文件，安裝一些新的工具和軟件，修改服務器的配置，以及服務器的安全檢查。主要注意以下幾點：

2.1.1 網站的安全問題要從網站的結構設計入手。從網站的基本安全性出發，可以從網站的架構入手，首先，安裝一個強有力的防火墻，能夠有效地抵御外部入侵，其次，可以通過設置非法入侵監控系統，提高防火墻的性能，實現對網站進行實時攔截，并對數據包和內容進行分析。在受到入侵時，可以立即有效地中斷服務。再一次，應該限制非法使用者進入網絡，指定IP位址的客戶可以存取局域網服務器，以阻止非法修改來自外部的網站服務器配置。

2.1.2 解決網站安全問題應定期對網站服務器進行安全檢查。由于該站點的服務器是開放的，每天都有數以千計的用戶來瀏覽，因此，必須對服務器進行例行的安全審查，并采用漏洞掃描和IDS工具加強對服務器的安全管理與檢查。此外，當新的安全漏洞不斷涌現時，我們必須適時地對各種新的安全漏洞進行補丁，以防止服務器遭到攻擊或其他異常狀況。

2.1.3 解決網站安全問題應定期進行必要的數據備份。一個網站的核心就是資料，一旦資料被毀，將會造成嚴重的后果。因此，在設定對應的權限時，應該制定一套正規的備用計劃，并且，在網站升級的同時，也要隨時修改備份計劃。

2.2 數據庫安全管理。資料庫的安全，就是要對資料庫進行保護，避免因非法使用而導致的資料泄漏與損毀。為保障企業應用系統的后臺數據安全，利用客戶機/服務器的方式對后臺數據庫進行訪問，為各種應用程序創建不同的業務流程和進程用戶識別。后臺資料庫系統利用服務器處理來識別存取使用者的身份，以決定存取的存取。本文采用了以下幾種方式和技術，對后臺數據庫進行存取控制。

2.2.1 訪問矩陣。訪問矩陣是指在不同的數據對象中，由不同的主體（使用者或者使用者過程）可以進行的操作，而每個人都可以通過自己的權限訪問這些數據。它使用body行、存取物件表、存取矩陣元素的矩陣。Informix提供二級許可：資料庫許可和資料表許可，可以將選擇和更新授權給資料表中的具體欄位。所以，我們在存取矩陣中定義一個精確到字段級別的存取控制。

2.2.3 視圖的使用?？梢酝高^檢視來指定使用者的資料使用范圍，將使用者限制于表格中的具體欄位或資料表，而檢視與基本資料表相同，也可作為授權單位。對于不同的使用者，在一個被授權的使用者的視圖中，沒有包含不可存取的保密資料，以增加系統的安全。

2.2.4 數據驗證碼DAC。在后臺資料庫中幾個關鍵資料表格，設定資料驗證DAC欄位，該欄位是由銀行金鑰及相關關鍵字段值所產生。DAC字段的數值在不同的記錄中也是不同的。若使用者在資料庫內非法更改資料，則會造成DAC效能錯誤，增加資料之安全性。

2.3 在程序編碼中進行安全管理。

2.3.1 避免惡意代碼的入侵。首先要做的是確認輸入，這樣攻擊者就不能插入腳本代碼或者讓緩沖區溢出；其次，編碼所有的輸出，包括輸入，可阻止客戶機以程式碼的形式轉換潛在的惡意程式碼；第三個方法是采用一個接收參數的儲存程序，避免資料庫把SQL輸入到一個可執行的陳述式中。同時使用具有最低權限的處理程序賬戶和仿真賬戶。當攻擊者試圖在應用程式的安全性環境中執行程式碼時，可以減輕危險，并降低傷害。

2.3.2 要防止會話劫持。首先，將個人cookie與認證cookie分開；其次，將認證cookie通過HTTPS連接進行傳輸；第三個不會在查詢字串中傳送使用者識別碼，該使用者識別碼表示已經經過認證。

作為一個網站的管理者，既要做好自己的網站，又要承擔起維護和管理的職責，這就要求我們的管理者要時刻保持謙虛的態度，不斷地關注著新的管理技術.和安全防護技術。針對現有的安全問題，要采取最快、最有效的辦法，對尚未發生的安全問題進行預測，從而保證對網站的安全風險。

結語

綜上所述，隨著互聯網時代的來臨以及信息的普及，人們每天都要訪問一些網站，因此，對互聯網的管理和維護也變得更加重要。在實際工作中，網站管理中出現了許多問題，強調建設，忽視管理，這是一個很常見的問題。另外，為了保障網站的正常運作，我們需要對站點的管理員進行監控，并對其進行實時的修改和修改，以保證網站的安全和穩定。