網(wǎng)站安全性管理論文鑒賞

　　一、隨著(zhù)計算機信息技術(shù)的高速發(fā)展，人們的生活、工作越來(lái)越依賴(lài)互聯(lián)網(wǎng)上的信息發(fā)布和信息獲取，但是人們卻時(shí)刻被信息網(wǎng)絡(luò )的安全隱患所困擾，越來(lái)越多的人也開(kāi)始了關(guān)于網(wǎng)絡(luò )、網(wǎng)站的安全性管理研究。

　　網(wǎng)站安全是指對網(wǎng)站進(jìn)行管理和控制，并采取一定的技術(shù)措施，從而確保在一個(gè)網(wǎng)站環(huán)境里信息數據的機密化、完整性及可使用性受到有效的保護。網(wǎng)站安全的主要目標就是要穩妥地確保經(jīng)由網(wǎng)站傳達的信息總能夠在到達目的地時(shí)沒(méi)有任何增加、改變、丟失或被他人非法讀取。要做到這一點(diǎn)，必須保證網(wǎng)站系統軟件、數據庫系統其有一定的安全保護功能，并保證網(wǎng)站部件如終端、數據鏈路等的功能不變而且僅僅是那些被授權的人們可以訪(fǎng)問(wèn)。

　　網(wǎng)站安全目前已發(fā)展成為一個(gè)跨學(xué)科的綜合性學(xué)科，它包括通信技術(shù)、網(wǎng)站技術(shù)、計算機軟件、硬件設計技術(shù)、密碼學(xué)、網(wǎng)站安全與計算機安全技術(shù)等，網(wǎng)站安全是在攻擊與防范這一對矛盾相互作用的過(guò)程中發(fā)展起來(lái)的。新的攻擊導致必須研究新的防護措施，新的防護措施又招致攻擊者新的攻擊，如此循環(huán)反復，網(wǎng)站安全技術(shù)也就在雙方的爭斗中逐步完善發(fā)展起來(lái)。

　　二、網(wǎng)絡(luò )與網(wǎng)站安全隱患概述

　　目前影響網(wǎng)站安全的問(wèn)題主要來(lái)自于網(wǎng)絡(luò )的不安全性，所以在這個(gè)意義上講，網(wǎng)站的安全漏洞其實(shí)也就是網(wǎng)絡(luò )的安全漏洞，其漏洞主要來(lái)自以下幾個(gè)方面：

　　1.自然因素：

　　1.1軟件漏洞

　　任何的系統軟件和應用軟件都不能是百分之百的無(wú)缺陷和無(wú)漏洞的，而這些缺陷和漏洞恰恰是非法用戶(hù)、黑客進(jìn)行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進(jìn)行攻擊，主要在以下幾個(gè)方面：

　　1.1.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶(hù)的特權。

　　1.1.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長(cháng)度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區所能處理的長(cháng)度的指令，來(lái)造成系統不穩定狀態(tài)。

　　1.1.3、口令攻擊。例如，Unix系統軟件通常把加密的口令保存在一個(gè)文件中，而該文件可通過(guò)拷貝或口令破譯方法受到入侵。因此，任何不及時(shí)更新的系統，都是容易被攻擊的。

　　1.2病毒攻擊

　　計算機病毒一般分為四類(lèi)：①文件型病毒（FileViruses）;②引導型病毒（SystemorBootSectorVirus）;③鏈式病毒（SYSTEMorCLUSTERVirus）;④宏病毒（MacroVirus）。計算機病毒的主要危害有：對計算機數據信息的直接破壞作用，給用戶(hù)造成重大損失:占用系統資源并影響運行速度:產(chǎn)生其他不可預見(jiàn)的危害:給用戶(hù)造成嚴重的心理壓力。

　　計算機病毒疫情呈現出多元化的發(fā)展趨勢，以網(wǎng)絡(luò )為主要傳播途徑。呈現以下顯著(zhù)特點(diǎn):①網(wǎng)絡(luò )病毒占據主要地位；②病毒向多元化、混合化發(fā)展；③利用漏洞的病毒越來(lái)越多。

　　2、人為因素：

　　2.1操作失誤

　　操作員安全配置不當造成的安全漏洞，用戶(hù)安全意識不強.用戶(hù)口令選擇不慎.用戶(hù)將自己的帳號隨意轉借他人或與別人共享等都會(huì )對網(wǎng)絡(luò )安全帶來(lái)威脅。這種情況在企業(yè)計算機網(wǎng)絡(luò )使用初期較常見(jiàn)，隨著(zhù)網(wǎng)絡(luò )管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網(wǎng)絡(luò )安全己不構成主要威脅。

　　2.2惡意攻擊

　　這是計算機網(wǎng)絡(luò )所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類(lèi)。此類(lèi)攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò )正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信急。

　　當然作為本文最討論的網(wǎng)站安全，它也有它自身的安全隱患存在，主要體現在以下幾點(diǎn)：

　　3.用戶(hù)輸入驗證不全面

　　在網(wǎng)站編程中，對于用戶(hù)和用戶(hù)的輸入，都必須抱懷疑態(tài)度，不能完全信任。所以，對于用戶(hù)的輸入，不能簡(jiǎn)單的直接采用，而必須經(jīng)過(guò)嚴格驗證，確定用戶(hù)的輸入是否符合輸入規則才可以錄入數據庫。用戶(hù)輸入驗證應該包括以下幾個(gè)方面：

　�。�1）輸入信息長(cháng)度驗證。程序員往往認為一般用戶(hù)不會(huì )故意將輸入過(guò)分拉長(cháng)，不進(jìn)行輸入驗證可能沒(méi)有危害。但如果用戶(hù)輸入的信息達到幾個(gè)兆，而程序又沒(méi)有驗證長(cháng)度的話(huà)，可以使程序驗證出錯或變量占用大量?jì)却�，出現內存溢出，致使服務(wù)器服務(wù)停止甚至關(guān)機。論文網(wǎng)在線(xiàn)

　�。�2）輸入信息敏感字符檢查。在設計程序的時(shí)候，程序員可能都會(huì )關(guān)注&#106avascript的一些敏感字符，如在設計留言版的時(shí)候，會(huì )將“<”等符號的信息過(guò)濾，以免用戶(hù)留下頁(yè)面炸彈。但還有以下幾個(gè)方面需要特別注意，一是留言版內容信息的過(guò)濾。二是用戶(hù)名信息的過(guò)濾。程序設計中，對用戶(hù)名的驗證往往只是驗證長(cháng)度，沒(méi)有驗證&#106avascript或者HTML的標記，這樣就容易形成漏洞。三是Email信息的驗證，Email信息往往也只驗證是否含有“@”符號，其他沒(méi)有限制，這容易形成兩個(gè)漏洞：輸入信息過(guò)長(cháng)的內存溢出漏洞；含有&#106avascript等字符信息，造成顯示用戶(hù)Email的時(shí)候形成頁(yè)面炸彈等。四是搜索信息的驗證。盡管搜索信息不會(huì )直接保存到網(wǎng)站服務(wù)器，但是，搜索信息卻與數據庫或者服務(wù)器所有文件密切相關(guān)，如果搜索信息有問(wèn)題，很容易就會(huì )暴露一些本來(lái)不應該暴露的數據庫信息或者文件信息。如果用戶(hù)對程序比較了解，可設計一些很特別的搜索信息，檢索他不應該檢索的數據庫表，例如用戶(hù)賬號密碼表等。因此，一般要驗證一些常見(jiàn)的用于數據庫操作的語(yǔ)句，例如搜索信息是否含有“Select”等，這樣來(lái)限制用戶(hù)輸入，避免信息的泄露。

　　4.頁(yè)面行為方式缺乏邏輯

　　在網(wǎng)站中注冊新用戶(hù)的時(shí)候，一般會(huì )首先要求用戶(hù)輸入自己需要注冊的賬號信息，驗證該賬號是否已經(jīng)存在，確保用戶(hù)的單一性。如果用戶(hù)的注冊信息通過(guò)了“存在該賬號”的檢測，在編程的時(shí)候就認為這個(gè)賬號一定不存在，可以注冊，在注冊頁(yè)面中直接使用“nsertInto”語(yǔ)句將注冊信息插入用戶(hù)數據庫。上述的問(wèn)題是：將注冊信息插入數據庫之前，并沒(méi)有再一次檢查這個(gè)用戶(hù)是否存在，而是信任前一個(gè)檢測頁(yè)面傳來(lái)的賬號信息。由于可以閱讀和保存HTML文件的源代碼，如果用戶(hù)將注冊通過(guò)的頁(yè)面保存并且將上面的賬號信息修改為一個(gè)已經(jīng)存在的賬號，由于程序認為該賬號已經(jīng)通過(guò)檢測，直接將該賬號插入數據庫，原來(lái)?yè)碛性撡~號的用戶(hù)信息就被修改，造成用戶(hù)信息流失、出錯等情況的發(fā)生。如果這個(gè)賬號剛好是一個(gè)管理員賬號，結果將是很難預料的。

　　使用以上錯誤方式編程的程序員很多，隨便在網(wǎng)上找就可以找到很多這種方式編程的源代碼和已經(jīng)采用的程序。在電子商務(wù)初期，一些電子商務(wù)網(wǎng)站的程序中，存在著(zhù)用戶(hù)可以隨意定義自己購買(mǎi)商品的價(jià)格這樣的漏洞，也就是由頁(yè)面行為方式缺乏邏輯造成的。

　　當然，網(wǎng)站安全還包括比如服務(wù)器攻擊、病毒攻擊等方面，但這些方面基本都屬于上文中介紹過(guò)的網(wǎng)絡(luò )安全問(wèn)題，另外由于篇幅問(wèn)題許多細節問(wèn)題也不在此累贅了。

　　三、網(wǎng)站安全管理策略探討

　　1.網(wǎng)絡(luò )安全的管理

　　1.1使用防火墻

　　防火墻作為使用最多，效率最高的網(wǎng)絡(luò )安全產(chǎn)品自然有它自身的優(yōu)勢，所以防火墻在整個(gè)網(wǎng)絡(luò )安全中的地位將是無(wú)可替代的。

　　1.2與因特網(wǎng)接入處增設網(wǎng)絡(luò )入侵檢測系統

　　入侵檢測系統(IDS即IntrusionDetectSystem)是實(shí)時(shí)網(wǎng)絡(luò )違規自動(dòng)識別和響應系統，它位于有敏感數據需要保護的網(wǎng)絡(luò )上或網(wǎng)絡(luò )上任何有風(fēng)險存在的地方，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò )數據流，能夠識別、記錄入侵或破壞性代碼流，尋找網(wǎng)絡(luò )違規模式和未授權的網(wǎng)絡(luò )訪(fǎng)問(wèn)，一經(jīng)發(fā)現入侵檢測系統根據系統安全策略做出反應，包括實(shí)時(shí)報警、自動(dòng)阻斷通信連接或執行用戶(hù)自定義安全策略等。

　　1.3病毒防御

　　選購殺毒軟件，必須考慮產(chǎn)品的采購成本、應用(管理、維護)成本，以及將來(lái)企業(yè)或網(wǎng)絡(luò )規模變化后，軟件能否實(shí)現平滑過(guò)渡等問(wèn)題。只有明確需求，重視產(chǎn)品的應用和管理，把網(wǎng)絡(luò )防病毒納入到信息安全防范體系之中進(jìn)行綜合防范，才能有效提升企業(yè)的信息安全水平。單純防病毒，并不是企業(yè)的最終目標。

　　當然，對于網(wǎng)絡(luò )安全的防御目前比較成熟的技術(shù)相當多，我們只有認準適合自己的技術(shù)，并采用多種技術(shù)相互結合才能達到相應的目的，由于篇幅有限對于其他諸如身份認證、數字簽名等技術(shù)的介紹就不在此累贅了。論文網(wǎng)在線(xiàn)

　　2.網(wǎng)站自身的安全管理

　　2.1網(wǎng)站服務(wù)器的安全管理

　　網(wǎng)站服務(wù)器的日常管理、維護工作包‘括網(wǎng)站服務(wù)器的內容更新、日志文件的審計、安裝一些新的工具和軟件、更改服務(wù)器配置、對服務(wù)器進(jìn)行安全檢查等。主要注意以下幾點(diǎn):

　�、購木W(wǎng)絡(luò )結構設計上解決安全問(wèn)題

　　安裝一個(gè)功能強大的防火墻可以有效防御外界對Web服務(wù)器的攻擊，還可通過(guò)安裝非法人侵監測系統，提升防火墻的性能，達到監控網(wǎng)絡(luò )、執行立即攔截動(dòng)作以及分析過(guò)濾封包和內容的動(dòng)作，當有入侵者攻擊時(shí)可以立刻有效終止服務(wù)。同時(shí)應限制非法用戶(hù)對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，規定具有特定IP地址的客戶(hù)機對本地網(wǎng)絡(luò )服務(wù)器的訪(fǎng)問(wèn)權限，以防止從外界對網(wǎng)絡(luò )服務(wù)器配置的非法修改。

　�、诙ㄆ趯�網(wǎng)站服務(wù)器進(jìn)行安全檢查

　　由于網(wǎng)站服務(wù)器是對外開(kāi)放的，容易受到病毒的攻擊，所以應為服務(wù)器建立例行安全審核機制，利用漏洞掃描工具和IDS工具，加大對服務(wù)器的安全管理和檢查。另外，隨著(zhù)新漏洞的出現，我們要及時(shí)為服務(wù)器安裝各類(lèi)新漏洞的補丁程序，從而避免服務(wù)器受到攻擊和出現其他異常情況。

　�、鄱ㄆ谶M(jìn)行必要的數據備份

　　對服務(wù)器上的數據定期進(jìn)行備份是很重要的。網(wǎng)站的核心是數據，數據一旦遭到破壞，后果不堪設想。除了設置相應權限外，應建立一個(gè)正式的備份方案，而且隨著(zhù)網(wǎng)站的`更新，備份方案也需要不斷地調整。

　　2.2數據庫安全管理

　　數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業(yè)務(wù)應用系統后臺數據庫的安全性，采用基于Client/Server模式訪(fǎng)問(wèn)后臺數據庫，為不同的應用建立不同的服務(wù)進(jìn)程和進(jìn)程用戶(hù)標識，后臺數據庫系統以服務(wù)器進(jìn)程的用戶(hù)標識作為訪(fǎng)問(wèn)主體的標識，以確定其訪(fǎng)問(wèn)權限。我們通過(guò)如下方法和技術(shù)來(lái)實(shí)現后臺數據庫的訪(fǎng)問(wèn)

　　控制。

　�、僭L(fǎng)問(wèn)矩陣

　　訪(fǎng)問(wèn)矩陣就是以矩陣的方式來(lái)規定不同主體(用戶(hù)或用戶(hù)進(jìn)程)對于不同數據對象所允許執行的操作權限，并且控制各主體只能存取自己有權存取的數據。它以主體標行，訪(fǎng)問(wèn)對象標列，訪(fǎng)問(wèn)類(lèi)型為矩陣元素的矩陣。Informix提供了二級權限：數據庫權限和表權限，并且能為表中的特定字段授予Select和Update權限。因此，我們在訪(fǎng)問(wèn)矩陣中定義了精細到字段級的數據訪(fǎng)問(wèn)控制。

　�、谝晥D的使用

　　通過(guò)視圖可以指定用戶(hù)使用數據的范圍，將用戶(hù)限定在表中的特定字段或表中的特定記錄，并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶(hù)的視圖，在授權給一用戶(hù)的視圖中不包括那些不允許訪(fǎng)問(wèn)的機密數據，從而提高了系統的安全性。

　�、蹟祿�驗證碼DAC

　　對后臺數據庫中的一些關(guān)鍵性數據表，在表中設置數據驗證碼DAC字段，它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶(hù)非法修改了數據庫中的數據，則DAC效驗將出錯，從而提高了數據的安全性。

　　2.3編碼中的安全管理

　　防止惡意代碼注入

　�、衮炞C輸入，使攻擊者無(wú)法注入腳本代碼或使緩沖區溢出

　�、趯λ�有包含輸入的輸出進(jìn)行編碼。這可防止客戶(hù)端瀏將潛在的惡意腳本標記作為代碼進(jìn)行轉換。

　�、凼褂媒邮軈�數的存儲過(guò)程，防止數據庫將惡意ＳＱＬ輸為可執行語(yǔ)句進(jìn)行處理。同時(shí)使用特權最低的進(jìn)程帳戶(hù)和模擬帳戶(hù)。在攻擊者企圖應用程序的安全上下文執行代碼時(shí)，可緩解風(fēng)險并減少損害。

　　防止會(huì )話(huà)劫持：

　�、俜指魝�(gè)性化cookie和身份驗證cookie。

　�、趦H通過(guò)HTTPS連接傳遞身份驗證cookie。

　�、鄄粋鬟f在查詢(xún)字符串中代表已通過(guò)身份驗證的用戶(hù)標識符。

　　最為一名網(wǎng)絡(luò )或者網(wǎng)站管理員，有責任同時(shí)也有義務(wù)做好網(wǎng)站的維護與管理，這就需要我們管理人員時(shí)刻保持虛心學(xué)習的心態(tài)，時(shí)刻關(guān)注新的管理技術(shù)與安全防御技術(shù)。對于已經(jīng)出現的安全問(wèn)題應該用最快、最有效的方法加以解決，對于目前還未出現的安全問(wèn)題要有預見(jiàn)性，這才是一名優(yōu)秀的網(wǎng)絡(luò )管理員。

　　參考文獻：

　　[1]沈文智.MicrosoftBS網(wǎng)頁(yè)技術(shù)[M].北京:人民郵電出版社.1998.

　　[2]沈昌樣.網(wǎng)絡(luò )安全與信息戰.網(wǎng)絡(luò )安全技術(shù)與應用.2001.

　　[3]駱耀祖，龔洵禹．動(dòng)態(tài)網(wǎng)頁(yè)設計教程［M］．廣州：中山大學(xué)出版社，2002．

　　[4]駱耀祖，劉永初等．計算機網(wǎng)絡(luò )技術(shù)及應用［M］北京：清華大學(xué)、北方交大出版社，2003．

　　摘要：

　　本文首先介紹了網(wǎng)絡(luò )與網(wǎng)站安全的隱患，其中包括常見(jiàn)的網(wǎng)絡(luò )安全隱患和網(wǎng)站自身經(jīng)常出現的安全隱患，之后作者從簡(jiǎn)要介紹了網(wǎng)絡(luò )安全的防御問(wèn)題，并詳細介紹了網(wǎng)站自身的安全防御。

　　關(guān)鍵字：網(wǎng)站安全性管理

【網(wǎng)站安全性管理論文鑒賞】相關(guān)文章：

云計算框架下的網(wǎng)站群架構及安全性設計探索論文04-19

網(wǎng)絡(luò )安全性論文03-11

電子商務(wù)安全性論文06-11

網(wǎng)站建設論文08-09

軟件安全性保障框架研究論文04-15

供電線(xiàn)路的供電安全性論文04-25

鑒賞辭典縱論論文04-28

關(guān)于書(shū)法鑒賞的論文06-12

音樂(lè )鑒賞結課論文04-11