网站安全管理研究
来源:用户上传
作者:
【摘要】随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息发布和信息获取,但是同时也时刻被信息网络的安全隐患所困扰。因此,越来越多的人开始了关于网络、网站的安全性管理研究。
【关键词】网站;信息;安全性管理
【中图分类号】TP393【文献标识码】A
【文章编号】1007-4309(2010)12-0057-2
一、网站安全的含义
网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要确保经由网站传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。要做到这一点,必须保证网站系统软件、数据库系统有一定的安全保护功能,并保证网站部件如终端、数据链路等的功能不变,而且仅仅是那些被授权的人才可以访问。
二、网络与网站安全隐患概述
目前影响网站安全的问题主要来自于网络的不安全性,所以从这个意义上讲,网站的安全漏洞其实也就是网络的安全漏洞,其漏洞主要来自以下几个方面:
(一)自然因素
1.软件漏洞
任何系统软件和应用软件都不能是百分之百无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在协议漏洞、缓冲区溢出、口令攻击等几个方面。
2.病毒攻击
计算机病毒一般分为四类:(1)文件型病毒(FileViruses);(2)引导型病毒(SystemorBootSectorVirus);(3)链式病毒(SYSTEMorCLUSTERVirus);(4)宏病毒(MacroVirus)。计算机病毒的主要危害有:对计算机数据信息的直接破坏作用,给用户造成重大损失;占用系统资源并影响运行速度;产生其他不可预见的危害;给用户造成严重的心理压力。
(二)人为因素
1.操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况会逐渐减少,对网络安全已不构成主要威胁。
2.恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。
(三)用户输入验证不全面
在网站编程中,对于用户和用户的输入,都必须抱怀疑态度,不能完全信任。所以,对于用户的输入,不能简单地直接采用,而必须经过严格验证,确定用户的输入符合输入规则才可以录入数据库。用户输入验证应该包括以下两个方面:(1)输入信息长度验证;(2)输入信息敏感字符检查。
三、网站安全管理策略探讨
(一)网络安全的管理
1.使用防火墙
防火墙作为使用最多、效率最高的网络安全产品有其自身的优势,所以防火墙在整个网络安全中的地位将是无可替代的。
2.在与因特网接入处增设网络入侵检测系统
入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统,它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,寻找网络违规模式和未授权的网络访问,一经发现入侵,检测系统会根据系统安全策略做出反应,包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
3.病毒防御
选购杀毒软件,必须考虑产品的采购成本、应用(管理、维护)成本,以及将来企业或网络规模变化后,软件能否实现平滑过渡等问题。只有明确需求,重视产品的应用和管理,把网络防病毒纳入到信息安全防范体系之中进行综合防范,才能有效提升企业的信息安全水平。单纯防病毒,并不是企业的最终目标。当然,对于网络安全的防御目前比较成熟的技术相当多,我们只有选择适合自己的技术,并采用多种技术相互结合才能达到相应的目的,由于篇幅有限对于其他诸如身份认证、数字签名等技术的介绍就不在此累赘了。
(二)网站自身的安全管理
1.网站服务器的安全管理
网站服务器的日常管理、维护工作包括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点:
(1)从网络结构设计上解决安全问题
安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击;还可通过安装非法入侵监测系统,提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问,规定具有特定IP地址的客户机对本地网络服务器的访问权限,以防止从外界对网络服务器配置的非法修改。
(2)定期对网站服务器进行安全检查
由于网站服务器是对外开放的,容易受到病毒的攻击,所以应为服务器建立例行安全审核机制,利用漏洞扫描工具和IDS工具,加大对服务器的安全管理和检查。另外,随着新漏洞的出现,我们要及时为服务器安装各类新漏洞的补丁程序,从而避免服务器受到攻击和出现其他异常情况。
(3)定期进行必要的数据备份
对服务器上的数据定期进行备份是很重要的。网站的核心是数据,数据一旦遭到破坏,后果不堪设想。除了设置相应权限外,还应建立一个正式的备份方案,而且随着网站的更新,备份方案也需要不断地调整。
2.数据库安全管理
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性,采用基于Client/Server模式访问后台数据库,为不同的应用建立不同的服务进程和进程用户标识。后台数据库系统以服务器进程的用户标识作为访问主体的标识,以确定其访问权限。我们通过访问、矩阵视图的使用、数据验证码DAC等方法和技术来实现后台数据库的访问控制。
3.编码中的安全管理
(1)防止恶意代码注入
①验证输入,使攻击者无法注入脚本代码或使缓冲区溢出。
②对所有包含输入的输出进行编码。这样可以防止客户端误将潜在的恶意脚本标记作为代码进行转换。
③使用接受参数的存储过程,防止数据库将恶意SQL输为可执行语句进行处理。同时使用特权最低的进程账户和模拟账户。在攻击者企图应用程序的安全漏洞执行代码时,可缓解风险并减少损害。
(2)防止会话劫持
①分隔个性化cookie和身份验证cookie。
②仅通过HTTPS连接传递身份验证cookie。
③不传递在查询字符串中代表已通过身份验证的用户标识符。
作为一名网络或者网站管理员,有责任同时也有义务做好网站的维护与管理,这就需要我们管理人员时刻保持虚心学习的心态,时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决,对于目前还未出现的安全问题要有预见性。这样才能成为一名优秀的网络管理员。
【参考文献】
[1]沈文智.MicrosoftBS网页技术[M].北京:人民邮电出版社.2008.
[2]沈昌样.网络安全与信息战[J].网络安全技术与应用.2001(8).
[3]骆耀祖,龚洵禹.动态网页设计教程[M].广州:中山大学出版社,2002.
[4]骆耀祖,刘永初等.计算机网络技术及应用[M].北京:清华大学出版社、北京:北方交大出版社,2003.
【收稿日期】2010年11月10日
【作者简介】张继先:就职于天津海河建设发展投资有限公司,同济大学软件工程硕士班学员。
转载注明来源:https://www.xzbu.com/1/view-196910.htm