企业网站面临的安全问题及应对策略
来源:用户上传
作者:
[摘 要] 目前,越来越多的企业开始通过网站这一平台来进行信息发布和交流,而随之而来的网站安全问题也越来越受到人们的关注。本文主要从企业网站的安全问题出发,来介绍目前企业网站存在的安全隐患,以及保障网站安全运行的网站安全技术和安全策略。
[关键词] 网站安全;安全技术;安全策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 14 . 031
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673 - 0194(2010)14- 0080 - 02
随着互联网技术的飞速发展,越来越多的企业开始通过网站这一平台来进行信息的发布和交流,而随之而来的网站安全问题也越来越受到人们的关注,新的安全漏洞和攻击方法给网站的安全运行带来了巨大的威胁。例如,网页被挂马使得网站成为传播木马给浏览网站用户的一个载体。在黑客的眼里,网站并非是一个信息发布和信息交流的平台,而是为其谋取私利的一个工具。因此,对网站安全技术的研究显得十分必要。
一、企业网站面临的安全问题
网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。虽然当前互联网的应用在不断发展,但信息系统的脆弱性和网络环境的复杂性使得现有的计算机系统还不具备与自身的应用发展规模相对应的安全防护能力,大量的网络安全威胁以各种方式不断冲击着网络应用平台。目前,企业网站的安全隐患主要体现在以下几个方面:
(1) 网站的非授权访问。由于Internet所采用的TCP/IP协议在设计时并没有很好地考虑安全问题,使得 Internet自身的安全面临着巨大的威胁。而且,由于网站的安全配置过于复杂和一些Internet应用服务存在的安全缺陷,黑客经常会利用各种安全漏洞入侵到服务器中,对网站的安全性带来了严重的挑战。系统密码简单、应用软件的缺陷、操作系统的漏洞、非必须服务的开启、默认的共享文件夹、过低的安全级别设置等都会为黑客的非法入侵提供方便之门。
(2) 信息的安全管理。信息的安全管理包括应用防护和物理防护。应用防护是指系统中的电子信息在应用中的各个环节进行防护。目前在网站服务器上的信息通常都是通过数据库来进行保存的,并根据用户的请求来进行响应。由于一般的人员很难对所采用的数据库进行安全配置,从而对信息的安全埋下了隐患。而且,在计算机上存储、传输和处理的信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭借君子协定来维系的。物理防护是指为存储信息的物理设备设置屏障,防止来自物理线路的电磁信号窃听。在网管中心、重要的数据交换和数据存储场所,要按照保密施工要求,建立规范、相对独立的网络交换中心和重要交换节点,采取防静电接地、物理屏蔽或防电磁干扰等措施,抑制数据交换信号的电磁扩散和辐射,从而防止信息被非法物理窃听。
(3) 网络病毒的泛滥。计算机病毒是人为制造程序,具有自我复制能力和很强的感染性。随着网络规模的扩大和病毒数量的增加,计算机网络病毒对网站的威胁越来越大。一旦网站服务器被计算机病毒感染,必然会对网站的信息安全和系统的正常运行带来巨大的危害。
(4) 安全的系统管理体制。以上3个方面的安全问题属于技术层面,而网站面临的安全威胁还可能来自系统本身的管理层面。如果不能制定出完善的网站安全管理策略,并把这些策略付诸实施,网站同样会面临着巨大的安全问题。目前的网站安全防御更加侧重的是对外部风险的防范,对于来自内部的风险往往不够重视。要真正保证网站的安全,只有从技术层面和管理层面入手,才有可能最大限度地保证网站的安全运行。
二、企业网站的安全技术
网站安全技术目前已发展成为一个跨学科的综合性学科,它包括通信技术、计算机软件设计技术、硬件设计技术、密码学、网站安全与计算机安全技术等,网站安全技术是在攻击与防范这一对矛盾相互作用的过程中发展起来的。通常,网站的安全技术可以分为以下几个部分:
(1) 操作系统平台的安全。网站的所有服务都是建立在操作系统平台上的,因此,保证网站安全的第一步就是要保证操作系统的安全。为保证操作系统的安全,必须对操作系统建立一套严密的安全规则,才能使其在复杂的网络环境中实现安全服务。这些安全规则包括:及时安装补丁、为系统管理员账号更名、关闭没用的协议和服务、安装网络防毒软件等。
(2) Web服务器的安全。目前广泛应用的Web服务器软件有IIS、Apache等,配置Web站点的安全性除充分考虑操作系统的安全性外,还应使用Web服务器本身提供的安全机制。这些安全机制包括:匿名访问和身份验证控制、IP地址及域名限制、访问权限控制、修改端口号、SSL安全机制等。
(3) Web数据库的安全性。数据库安全的主要任务是防止非法用户访问或合法用户越权访问数据库中的数据。在网络中用户访问Web数据库是通过浏览器和Web服务器采用HTTP协议,用户在浏览器上发出对数据库文件的请求,Web服务器根据用户的请求访问后台数据库。因此,根据Web数据库的特点,可以采用防火墙、用户身份认证、授权控制、数据加密、使用日志监视数据库、数据存储安全、审计、备份与数据恢复等安全管理技术。
(4) 网站代码的安全性。仅有安全的架构和设计不会使网站高枕无忧,它只是其中重要的因素之一。当完成安全的架构和设计之后,还必须写出安全的代码。如果Web应用程序的编写人员在编程过程中没有充分考虑到有可能面临的安全问题,就有可能使黑客能够利用一些程序上的漏洞发起对网站的攻击。如 SQL注入攻击、跨站脚本攻击等。
三、企业网站安全的策略
在制定网站安全策略时,要综合考虑影响网站安全的各种因素,并从网站安全的技术策略和管理策略两方面来制定。
(1) 技术策略。该策略主要是利用现有的安全技术来保证网站的安全。技术策略主要有:第一,用户认证和访问控制。应该对用户名和密码使用加密技术进行加密,在此基础上对用户身份进行验证,并限制用户对文件、目录、各种设备的操作和访问。第二,安全漏洞检测。应该定期扫描系统漏洞,以便尽快发现问题并修补安全漏洞。第三,病毒防范。防止病毒对系统和数据的破坏。第四,入侵检测。使用入侵检测技术来预防和检测来自系统内外部的入侵。第五,系统日志。对各种事件进行记录,并且需要控制对系统日志的访问,以便监控黑客的攻击方式。第六,备份和恢复。对系统和数据进行备份,以便在网站受到攻击后可尽快恢复系统和数据。
(2) 管理策略。该策略主要是通过制定相关规章制度来加强对网站安全的管理,策略内容主要包括:制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
总之,网站安全要通过先进的安全技术手段和完善的管理策略才能最大限度地保证网站的安全性。
四、总结
网站安全是一个系统性的问题,其涉及的范围很广,因此,为保证网站的安全,只有结合实际层层设防,才能最大限度地保证网站的安全性。同时,由于网络的攻击手段也在不断地提高,因此,网站的安全防范手段也需要不断地更新。
主要参考文献
[1] 刘劲松,胡轶,王东方.浅谈网站安全技术[J] .网络安全技术与应用,2006(7).
[2] 卜胜贤,李鹰. Web网站安全技术研究[J] . 微机发展,2004(5).
[3] 符凤平. Web网站安全技术分析[J] . 计算机系统应用,2008(12).
[4] 郑继胜 . Web网站安全防御系统的研究与应用[D] . 长春:吉林大学,2008.
转载注明来源:https://www.xzbu.com/3/view-10593271.htm
