淺析網站的維護與安全性管理

摘要：該文首先介紹了網站的維護內容及方法，接著介紹了網站安全管理的方法，并詳細介紹了網站自身的安全防御。

關鍵詞：網站；維護；安全性；管理

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044(2009)05-1237-02

Analysis of Website Maintenance and Security Management

ZHAO Jing1， FU Yang2， ZHAO Pei3

(1.The sixth community management center of Zhongyuan Petroleum Exploration Bureau，Kaifeng 475300，China; 2.The Third drilling Company of Zhongyuan Petroleum Exploration Bureau，Kaifeng 475300，China; 3.PLA Information Engineering University，Zhengzhou 450002，China )

Abstract: This article first introduces the maintenance of the website content and methods，followed by introduction of website safety management approach and detailed the website's own security and defense.

Key words:Website; maintenance; security; management

1 前言

企業網站的維護與管理的效果決定了訪客對網站的感受和印象。如果訪客在一段時期里，看到的網站內容基本上沒多少改變，或者是網站因遭受病毒襲擊等而不能正常訪問，那么他們就會對企業的形象產生一種不好的想法，甚至會對企業產生一種不大信任的感覺，這樣勢必會給企業帶來不可估量的負面影響。因此，網站的維護是必不可少的，只有這樣才能達到企業預計的效果。同時，要想網站的維護得以延續，網站的安全性管理則是必不可少的一項重要工作。

2 網站維護的內容、方法

2.1 網站維護的內容

網站維護的內容一般包含有：1) 內容的更新(如：重大事項的公示更新、產品信息的更新等)；2) 網站風格的更新 (如：網站改版等)；3) 網站重要頁面設計制作 (如：重大事件頁面，突發事件等頁面設計制作)；4) 網站系統維護服務(如：E-mail帳號維護服務，域名維護續費服務等)。

2.2 網站維護的方法

1) 網站更新。企業網站的更新主要是指更新產品及相應的文字說明。一般來說，中小型企業的網站都沒有后臺管理系統，而網頁更新則需要懂得設計與制作網頁的人員來完成，但企業大都沒有這樣的人員。這樣一來，就需要企業在與設計、制作網站的網絡公司簽訂合同時，在合同中明確規定有關企業網站中網頁更新服務的條款；另外，也可采取這樣的方法：企業資助、培養幾個會編輯網頁的公司人員，讓他們學會使用Front page、Dream weaver等網頁編輯程序。可以選擇在做網站的網絡公司培訓一下，也可選擇其他較好的網絡培訓學校，同時，也可讓他們購買相應的書籍進行自學。筆者認為，這種方法是比較可行的，也是較為合理的。

2) 網站推廣。對于中小型企業的網站推廣，筆者認為，可實行：重點項目外包，其它推廣工作則內部承擔。重點項目主要指：搜索引擎推廣、網絡廣告等。而國內搜索引擎和網絡廣告的業務開展都力推代理制，我們可以在網站上找到它們相應的授權代理商，通過代理的價格有時可能比媒體網站自己的對外報價還低；其它推廣維護工作主要指：尋找互換鏈接的對象、發布信息、E-mail營銷推廣、回復客戶E-mail以及網站與用戶的互動應答等，這些事項大都需要長期經營。盡管這些工作大多不需要太復雜的專業知識，但需要投入較多的精力。因此，對于企業網站維護人員來說，需要明確各自的工作職責、內容，并長期學習新的知識，為企業網站的正常運營、豎立良好的企業形象打下堅實的基礎。

3 網站的安全性管理

網站安全是指對網站進行管理和控制，并采取一定的技術措施，從而確保在一個網站環境里信息數據的機密化、完整性及可使用性受到有效的保護。

3.1 網站外部的安全管理

1) 使用防火墻。防火墻是指一種將內部網和公眾訪問網(Internet)分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。其作為使用最多、效率最高的網絡安全產品，自然有它自身的優勢。因此，防火墻在整個網絡安全中的地位將是無可替代的。

2) 增設網絡入侵檢測系統。入侵檢測系統(IDS即Intrusion Detect System)是實時網絡違規自動識別和響應系統，它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方，通過實時截獲網絡數據流，能夠識別、記錄入侵或破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問，一經發現入侵檢測系統根據系統安全策略做出反應，包括：實時報警、自動阻斷通信連接或執行用戶自定義安全策略等。

3) 病毒防御。為了防御病毒，企業網站必須安裝有效的殺毒軟件，而企業在選購殺毒軟件時，必須考慮產品的采購成本、應用(管理、維護)成本，以及將來企業或網絡規模變化后，軟件能否實現平滑過渡等問題。只有明確企業自身的需求，重視產品的應用和管理，把網絡防病毒納入到信息安全防范體系之中進行綜合防范，才能有效提升企業網站的信息安全水平。

3.2 網站自身的安全管理

1) 網站服務器的安全管理

網站服務器的日常管理、維護工作包括：網站服務器的內容更新、日志文件的審計、安裝一些新的工具和軟件、更改服務器配置、對服務器進行安全檢查等。另外，還得注意以下事項：

①從網絡結構設計上解決安全問題。安裝一個功能強大的防火墻，這樣可以有效防御外界對Web服務器的攻擊，還可通過安裝非法入侵監測系統，提升防火墻的性能，達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作。當有入侵者攻擊時，可以立刻有效終止服務。同時，應限制非法用戶對網絡的訪問，規定具有特定IP地址的客戶機對本地網絡服務器的訪問權限，以防止外界訪問者對網絡服務器配置的非法修改。

②定期對網站服務器進行安全檢查。由于網站服務器是對外開放的，容易受到病毒的攻擊，所以應為服務器建立例行安全審核機制，利用漏洞掃描工具和IDS工具，加大對服務器的安全管理和檢查。另外，隨著新漏洞的出現，我們要及時為服務器安裝各類新漏洞的補丁程序，從而避免服務器受到攻擊和發生其他異常情況。

③定期進行必要的數據備份。對服務器上的數據定期進行備份是很重要的。網站的核心是數據，數據一旦遭到破壞，后果不堪設想。除了設置相應權限外，還應建立一個正式的備份方案，而且隨著網站的更新，備份方案也需要不斷地調整。

④設立服務器動態口令。用戶名/密碼是最簡單也是最常用的身份認證方法，實際上，由于許多用戶為了防止忘記密碼，經常會采用容易被他人猜到的有意義的字符串作為密碼，這就可能會存在著許多安全隱患，極易造成密碼泄露。且由于密碼是靜態的數據，并且在驗證過程中，需要在計算機內存中和網絡中傳輸，而每次驗證過程使用的驗證信息都是相同的，很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。特別是對服務器來說，要想更好地規避這種風險，那就有必要設立動態口令。動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化，每個密碼只使用一次的技術。它采用一種稱之為動態令牌的專用硬件，密碼生成芯片運行專門的密碼算法，根據當前時間或使用次數生成當前密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份的確認。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而動態口令技術采用一次一密的方法，也有效地保證了用戶身份的安全性，同時，也可最大限度地保障服務器的安全。

2) 數據庫安全管理

數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業務應用系統后臺數據庫的安全性，采用基于Client/Server模式訪問后臺數據庫，為不同的應用建立不同的服務進程和進程用戶標識，后臺數據庫系統以服務器進程的用戶標識作為訪問主體的標識，以確定其訪問權限。我們可以通過如下方法和技術來實現后臺數據庫的訪問控制：

①訪問矩陣。訪問矩陣就是以矩陣的方式來規定不同主體(用戶或用戶進程)對于不同數據對象所允許執行的操作權限，并且控制各主體只能存取自己有權存取的數據。它以主體標行，訪問對象標列，訪問類型為矩陣元素的矩陣。Informix提供了二級權限：數據庫權限和表權限，并且能為表中的特定字段授予Select和Update權限。因此，我們在訪問矩陣中定義了精細到字段級的數據訪問控制。

②視圖的使用。通過視圖可以指定用戶使用數據的范圍，將用戶限定在表中的特定字段或表中的特定記錄，并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶的視圖，在授權給一用戶的視圖中不包括那些不允許訪問的機密數據，從而提高了系統的安全性。

③數據驗證碼DAC。對后臺數據庫中的一些關鍵性數據表，在表中設置數據驗證碼DAC字段，它是由銀行密鑰和有關的關鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數據庫中的數據，則DAC校驗將出錯，從而提高了數據的安全性。

3) 編碼中的安全管理

①防止惡意代碼注入：a.驗證輸入，使攻擊者無法注入腳本代碼或使緩沖區溢出；b.對所有包含輸入的輸出進行編碼，這可防止客戶端將潛在的惡意腳本標記作為代碼進行轉換；c.使用接受參數的存儲過程，防止數據庫將惡意SQL輸為可執行語句進行處理。同時，使用特權最低的進程帳戶和模擬帳戶。在攻擊者企圖應用程序的安全上下文執行代碼時，可緩解風險并減少損害。

②防止會話劫持： a.分隔個性化cookie和身份驗證cookie；b.僅通過Https連接傳遞身份驗證cookie；c.不傳遞在查詢字符串中代表已通過身份驗證的用戶標識符；d.執行重要操作（如下訂單、現金轉移等）前重新驗證用戶。

4 結束語

最后，筆者認為：網站的維護與管理，需要我們管理人員時刻保持積極學習的心態，多方關注新的管理與安全防御技術，且盡其所能，將網站的維護與安全性管理做到最好。

參考文獻：

[1] 駱耀祖，劉永初，等.計算機網絡技術及應用[M].北京:清華大學、北方交大出版社，2003．

[2] 楊曄.談網站的安全性管理[J].電腦與電信，2006，11.

[3] 朱傳玲.中小企業網站的管理與維護[J].安徽科技，2006，8.