網(wǎng)站安全性管理論文鑒賞
一、隨著計(jì)算機(jī)信息技術(shù)的高速發(fā)展,人們的生活、工作越來越依賴互聯(lián)網(wǎng)上的信息發(fā)布和信息獲取,但是人們卻時(shí)刻被信息網(wǎng)絡(luò)的安全隱患所困擾,越來越多的人也開始了關(guān)于網(wǎng)絡(luò)、網(wǎng)站的安全性管理研究。
網(wǎng)站安全是指對(duì)網(wǎng)站進(jìn)行管理和控制,并采取一定的技術(shù)措施,從而確保在一個(gè)網(wǎng)站環(huán)境里信息數(shù)據(jù)的機(jī)密化、完整性及可使用性受到有效的保護(hù)。網(wǎng)站安全的主要目標(biāo)就是要穩(wěn)妥地確保經(jīng)由網(wǎng)站傳達(dá)的信息總能夠在到達(dá)目的地時(shí)沒有任何增加、改變、丟失或被他人非法讀取。要做到這一點(diǎn),必須保證網(wǎng)站系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)其有一定的安全保護(hù)功能,并保證網(wǎng)站部件如終端、數(shù)據(jù)鏈路等的功能不變而且僅僅是那些被授權(quán)的人們可以訪問。
網(wǎng)站安全目前已發(fā)展成為一個(gè)跨學(xué)科的綜合性學(xué)科,它包括通信技術(shù)、網(wǎng)站技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)站安全與計(jì)算機(jī)安全技術(shù)等,網(wǎng)站安全是在攻擊與防范這一對(duì)矛盾相互作用的過程中發(fā)展起來的。新的攻擊導(dǎo)致必須研究新的防護(hù)措施,新的防護(hù)措施又招致攻擊者新的攻擊,如此循環(huán)反復(fù),網(wǎng)站安全技術(shù)也就在雙方的爭(zhēng)斗中逐步完善發(fā)展起來。
二、網(wǎng)絡(luò)與網(wǎng)站安全隱患概述
目前影響網(wǎng)站安全的問題主要來自于網(wǎng)絡(luò)的不安全性,所以在這個(gè)意義上講,網(wǎng)站的安全漏洞其實(shí)也就是網(wǎng)絡(luò)的安全漏洞,其漏洞主要來自以下幾個(gè)方面:
1.自然因素:
1.1軟件漏洞
任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊,主要在以下幾個(gè)方面:
1.1.1、協(xié)議漏洞。例如,IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行,攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄,從而獲得超級(jí)用戶的特權(quán)。
1.1.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下,就接受任何長(zhǎng)度的數(shù)據(jù)輸入,把溢出部分放在堆棧內(nèi),系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令,來造成系統(tǒng)不穩(wěn)定狀態(tài)。
1.1.3、口令攻擊。例如,Unix系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時(shí)更新的系統(tǒng),都是容易被攻擊的。
1.2病毒攻擊
計(jì)算機(jī)病毒一般分為四類:①文件型病毒(FileViruses);②引導(dǎo)型病毒(SystemorBootSectorVirus);③鏈?zhǔn)讲《荆⊿YSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。計(jì)算機(jī)病毒的主要危害有:對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用,給用戶造成重大損失:占用系統(tǒng)資源并影響運(yùn)行速度:產(chǎn)生其他不可預(yù)見的危害:給用戶造成嚴(yán)重的心理壓力。
計(jì)算機(jī)病毒疫情呈現(xiàn)出多元化的發(fā)展趨勢(shì),以網(wǎng)絡(luò)為主要傳播途徑。呈現(xiàn)以下顯著特點(diǎn):①網(wǎng)絡(luò)病毒占據(jù)主要地位;②病毒向多元化、混合化發(fā)展;③利用漏洞的病毒越來越多。
2、人為因素:
2.1操作失誤
操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng).用戶口令選擇不慎.用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使用初期較常見,隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn),此種情況逐漸減少.對(duì)網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。
2.2惡意攻擊
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。
當(dāng)然作為本文最討論的網(wǎng)站安全,它也有它自身的安全隱患存在,主要體現(xiàn)在以下幾點(diǎn):
3.用戶輸入驗(yàn)證不全面
在網(wǎng)站編程中,對(duì)于用戶和用戶的輸入,都必須抱懷疑態(tài)度,不能完全信任。所以,對(duì)于用戶的輸入,不能簡(jiǎn)單的直接采用,而必須經(jīng)過嚴(yán)格驗(yàn)證,確定用戶的輸入是否符合輸入規(guī)則才可以錄入數(shù)據(jù)庫(kù)。用戶輸入驗(yàn)證應(yīng)該包括以下幾個(gè)方面:
(1)輸入信息長(zhǎng)度驗(yàn)證。程序員往往認(rèn)為一般用戶不會(huì)故意將輸入過分拉長(zhǎng),不進(jìn)行輸入驗(yàn)證可能沒有危害。但如果用戶輸入的信息達(dá)到幾個(gè)兆,而程序又沒有驗(yàn)證長(zhǎng)度的話,可以使程序驗(yàn)證出錯(cuò)或變量占用大量?jī)?nèi)存,出現(xiàn)內(nèi)存溢出,致使服務(wù)器服務(wù)停止甚至關(guān)機(jī)。論文網(wǎng)在線
(2)輸入信息敏感字符檢查。在設(shè)計(jì)程序的時(shí)候,程序員可能都會(huì)關(guān)注javascript的一些敏感字符,如在設(shè)計(jì)留言版的時(shí)候,會(huì)將“<”等符號(hào)的信息過濾,以免用戶留下頁面炸彈。但還有以下幾個(gè)方面需要特別注意,一是留言版內(nèi)容信息的過濾。二是用戶名信息的過濾。程序設(shè)計(jì)中,對(duì)用戶名的驗(yàn)證往往只是驗(yàn)證長(zhǎng)度,沒有驗(yàn)證javascript或者HTML的標(biāo)記,這樣就容易形成漏洞。三是Email信息的驗(yàn)證,Email信息往往也只驗(yàn)證是否含有“@”符號(hào),其他沒有限制,這容易形成兩個(gè)漏洞:輸入信息過長(zhǎng)的內(nèi)存溢出漏洞;含有javascript等字符信息,造成顯示用戶Email的時(shí)候形成頁面炸彈等。四是搜索信息的驗(yàn)證。盡管搜索信息不會(huì)直接保存到網(wǎng)站服務(wù)器,但是,搜索信息卻與數(shù)據(jù)庫(kù)或者服務(wù)器所有文件密切相關(guān),如果搜索信息有問題,很容易就會(huì)暴露一些本來不應(yīng)該暴露的數(shù)據(jù)庫(kù)信息或者文件信息。如果用戶對(duì)程序比較了解,可設(shè)計(jì)一些很特別的搜索信息,檢索他不應(yīng)該檢索的數(shù)據(jù)庫(kù)表,例如用戶賬號(hào)密碼表等。因此,一般要驗(yàn)證一些常見的用于數(shù)據(jù)庫(kù)操作的語句,例如搜索信息是否含有“Select”等,這樣來限制用戶輸入,避免信息的泄露。
4.頁面行為方式缺乏邏輯
在網(wǎng)站中注冊(cè)新用戶的時(shí)候,一般會(huì)首先要求用戶輸入自己需要注冊(cè)的賬號(hào)信息,驗(yàn)證該賬號(hào)是否已經(jīng)存在,確保用戶的單一性。如果用戶的注冊(cè)信息通過了“存在該賬號(hào)”的檢測(cè),在編程的時(shí)候就認(rèn)為這個(gè)賬號(hào)一定不存在,可以注冊(cè),在注冊(cè)頁面中直接使用“nsertInto”語句將注冊(cè)信息插入用戶數(shù)據(jù)庫(kù)。上述的問題是:將注冊(cè)信息插入數(shù)據(jù)庫(kù)之前,并沒有再一次檢查這個(gè)用戶是否存在,而是信任前一個(gè)檢測(cè)頁面?zhèn)鱽淼馁~號(hào)信息。由于可以閱讀和保存HTML文件的源代碼,如果用戶將注冊(cè)通過的頁面保存并且將上面的賬號(hào)信息修改為一個(gè)已經(jīng)存在的賬號(hào),由于程序認(rèn)為該賬號(hào)已經(jīng)通過檢測(cè),直接將該賬號(hào)插入數(shù)據(jù)庫(kù),原來擁有該賬號(hào)的用戶信息就被修改,造成用戶信息流失、出錯(cuò)等情況的發(fā)生。如果這個(gè)賬號(hào)剛好是一個(gè)管理員賬號(hào),結(jié)果將是很難預(yù)料的。
使用以上錯(cuò)誤方式編程的程序員很多,隨便在網(wǎng)上找就可以找到很多這種方式編程的源代碼和已經(jīng)采用的程序。在電子商務(wù)初期,一些電子商務(wù)網(wǎng)站的程序中,存在著用戶可以隨意定義自己購(gòu)買商品的價(jià)格這樣的漏洞,也就是由頁面行為方式缺乏邏輯造成的。
當(dāng)然,網(wǎng)站安全還包括比如服務(wù)器攻擊、病毒攻擊等方面,但這些方面基本都屬于上文中介紹過的網(wǎng)絡(luò)安全問題,另外由于篇幅問題許多細(xì)節(jié)問題也不在此累贅了。
三、網(wǎng)站安全管理策略探討
1.網(wǎng)絡(luò)安全的管理
1.1使用防火墻
防火墻作為使用最多,效率最高的網(wǎng)絡(luò)安全產(chǎn)品自然有它自身的優(yōu)勢(shì),所以防火墻在整個(gè)網(wǎng)絡(luò)安全中的地位將是無可替代的。
1.2與因特網(wǎng)接入處增設(shè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)(IDS即IntrusionDetectSystem)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng),它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方,通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流,能夠識(shí)別、記錄入侵或破壞性代碼流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問,一經(jīng)發(fā)現(xiàn)入侵檢測(cè)系統(tǒng)根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、自動(dòng)阻斷通信連接或執(zhí)行用戶自定義安全策略等。
1.3病毒防御
選購(gòu)殺毒軟件,必須考慮產(chǎn)品的采購(gòu)成本、應(yīng)用(管理、維護(hù))成本,以及將來企業(yè)或網(wǎng)絡(luò)規(guī)模變化后,軟件能否實(shí)現(xiàn)平滑過渡等問題。只有明確需求,重視產(chǎn)品的應(yīng)用和管理,把網(wǎng)絡(luò)防病毒納入到信息安全防范體系之中進(jìn)行綜合防范,才能有效提升企業(yè)的信息安全水平。單純防病毒,并不是企業(yè)的最終目標(biāo)。
當(dāng)然,對(duì)于網(wǎng)絡(luò)安全的防御目前比較成熟的技術(shù)相當(dāng)多,我們只有認(rèn)準(zhǔn)適合自己的技術(shù),并采用多種技術(shù)相互結(jié)合才能達(dá)到相應(yīng)的目的,由于篇幅有限對(duì)于其他諸如身份認(rèn)證、數(shù)字簽名等技術(shù)的介紹就不在此累贅了。論文網(wǎng)在線
2.網(wǎng)站自身的安全管理
2.1網(wǎng)站服務(wù)器的安全管理
網(wǎng)站服務(wù)器的日常管理、維護(hù)工作包‘括網(wǎng)站服務(wù)器的內(nèi)容更新、日志文件的審計(jì)、安裝一些新的工具和軟件、更改服務(wù)器配置、對(duì)服務(wù)器進(jìn)行安全檢查等。主要注意以下幾點(diǎn):
①?gòu)木W(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上解決安全問題
安裝一個(gè)功能強(qiáng)大的防火墻可以有效防御外界對(duì)Web服務(wù)器的攻擊,還可通過安裝非法人侵監(jiān)測(cè)系統(tǒng),提升防火墻的性能,達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作,當(dāng)有入侵者攻擊時(shí)可以立刻有效終止服務(wù)。同時(shí)應(yīng)限制非法用戶對(duì)網(wǎng)絡(luò)的訪問,規(guī)定具有特定IP地址的客戶機(jī)對(duì)本地網(wǎng)絡(luò)服務(wù)器的訪問權(quán)限,以防止從外界對(duì)網(wǎng)絡(luò)服務(wù)器配置的非法修改。
②定期對(duì)網(wǎng)站服務(wù)器進(jìn)行安全檢查
由于網(wǎng)站服務(wù)器是對(duì)外開放的,容易受到病毒的攻擊,所以應(yīng)為服務(wù)器建立例行安全審核機(jī)制,利用漏洞掃描工具和IDS工具,加大對(duì)服務(wù)器的安全管理和檢查。另外,隨著新漏洞的出現(xiàn),我們要及時(shí)為服務(wù)器安裝各類新漏洞的補(bǔ)丁程序,從而避免服務(wù)器受到攻擊和出現(xiàn)其他異常情況。
③定期進(jìn)行必要的數(shù)據(jù)備份
對(duì)服務(wù)器上的數(shù)據(jù)定期進(jìn)行備份是很重要的。網(wǎng)站的核心是數(shù)據(jù),數(shù)據(jù)一旦遭到破壞,后果不堪設(shè)想。除了設(shè)置相應(yīng)權(quán)限外,應(yīng)建立一個(gè)正式的備份方案,而且隨著網(wǎng)站的`更新,備份方案也需要不斷地調(diào)整。
2.2數(shù)據(jù)庫(kù)安全管理
數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄密和破壞。為了保證業(yè)務(wù)應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的安全性,采用基于Client/Server模式訪問后臺(tái)數(shù)據(jù)庫(kù),為不同的應(yīng)用建立不同的服務(wù)進(jìn)程和進(jìn)程用戶標(biāo)識(shí),后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)以服務(wù)器進(jìn)程的用戶標(biāo)識(shí)作為訪問主體的標(biāo)識(shí),以確定其訪問權(quán)限。我們通過如下方法和技術(shù)來實(shí)現(xiàn)后臺(tái)數(shù)據(jù)庫(kù)的訪問
控制。
①訪問矩陣
訪問矩陣就是以矩陣的方式來規(guī)定不同主體(用戶或用戶進(jìn)程)對(duì)于不同數(shù)據(jù)對(duì)象所允許執(zhí)行的操作權(quán)限,并且控制各主體只能存取自己有權(quán)存取的數(shù)據(jù)。它以主體標(biāo)行,訪問對(duì)象標(biāo)列,訪問類型為矩陣元素的矩陣。Informix提供了二級(jí)權(quán)限:數(shù)據(jù)庫(kù)權(quán)限和表權(quán)限,并且能為表中的特定字段授予Select和Update權(quán)限。因此,我們?cè)谠L問矩陣中定義了精細(xì)到字段級(jí)的數(shù)據(jù)訪問控制。
②視圖的使用
通過視圖可以指定用戶使用數(shù)據(jù)的范圍,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎(chǔ)表一樣也可以作為授權(quán)的單位。針對(duì)不同用戶的視圖,在授權(quán)給一用戶的視圖中不包括那些不允許訪問的機(jī)密數(shù)據(jù),從而提高了系統(tǒng)的安全性。
③數(shù)據(jù)驗(yàn)證碼DAC
對(duì)后臺(tái)數(shù)據(jù)庫(kù)中的一些關(guān)鍵性數(shù)據(jù)表,在表中設(shè)置數(shù)據(jù)驗(yàn)證碼DAC字段,它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數(shù)據(jù)庫(kù)中的數(shù)據(jù),則DAC效驗(yàn)將出錯(cuò),從而提高了數(shù)據(jù)的安全性。
2.3編碼中的安全管理
防止惡意代碼注入
①驗(yàn)證輸入,使攻擊者無法注入腳本代碼或使緩沖區(qū)溢出
②對(duì)所有包含輸入的輸出進(jìn)行編碼。這可防止客戶端瀏將潛在的惡意腳本標(biāo)記作為代碼進(jìn)行轉(zhuǎn)換。
③使用接受參數(shù)的存儲(chǔ)過程,防止數(shù)據(jù)庫(kù)將惡意SQL輸為可執(zhí)行語句進(jìn)行處理。同時(shí)使用特權(quán)最低的進(jìn)程帳戶和模擬帳戶。在攻擊者企圖應(yīng)用程序的安全上下文執(zhí)行代碼時(shí),可緩解風(fēng)險(xiǎn)并減少損害。
防止會(huì)話劫持:
①分隔個(gè)性化cookie和身份驗(yàn)證cookie。
②僅通過HTTPS連接傳遞身份驗(yàn)證cookie。
③不傳遞在查詢字符串中代表已通過身份驗(yàn)證的用戶標(biāo)識(shí)符。
最為一名網(wǎng)絡(luò)或者網(wǎng)站管理員,有責(zé)任同時(shí)也有義務(wù)做好網(wǎng)站的維護(hù)與管理,這就需要我們管理人員時(shí)刻保持虛心學(xué)習(xí)的心態(tài),時(shí)刻關(guān)注新的管理技術(shù)與安全防御技術(shù)。對(duì)于已經(jīng)出現(xiàn)的安全問題應(yīng)該用最快、最有效的方法加以解決,對(duì)于目前還未出現(xiàn)的安全問題要有預(yù)見性,這才是一名優(yōu)秀的網(wǎng)絡(luò)管理員。
參考文獻(xiàn):
[1]沈文智.MicrosoftBS網(wǎng)頁技術(shù)[M].北京:人民郵電出版社.1998.
[2]沈昌樣.網(wǎng)絡(luò)安全與信息戰(zhàn).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2001.
[3]駱耀祖,龔洵禹.動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)教程[M].廣州:中山大學(xué)出版社,2002.
[4]駱耀祖,劉永初等.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M]北京:清華大學(xué)、北方交大出版社,2003.
摘要:
本文首先介紹了網(wǎng)絡(luò)與網(wǎng)站安全的隱患,其中包括常見的網(wǎng)絡(luò)安全隱患和網(wǎng)站自身經(jīng)常出現(xiàn)的安全隱患,之后作者從簡(jiǎn)要介紹了網(wǎng)絡(luò)安全的防御問題,并詳細(xì)介紹了網(wǎng)站自身的安全防御。
關(guān)鍵字:網(wǎng)站安全性管理
【網(wǎng)站安全性管理論文鑒賞】相關(guān)文章:
云計(jì)算框架下的網(wǎng)站群架構(gòu)及安全性設(shè)計(jì)探索論文04-19
網(wǎng)絡(luò)安全性論文03-11
電子商務(wù)安全性論文06-11
網(wǎng)站建設(shè)論文08-09
軟件安全性保障框架研究論文04-15
供電線路的供電安全性論文04-25
鑒賞辭典縱論論文04-28
關(guān)于書法鑒賞的論文06-12
音樂鑒賞結(jié)課論文04-11