企業網站面臨的安全問題及應對策略

[摘 要] 目前，越來越多的企業開始通過網站這一平臺來進行信息發布和交流，而隨之而來的網站安全問題也越來越受到人們的關注。本文主要從企業網站的安全問題出發，來介紹目前企業網站存在的安全隱患，以及保障網站安全運行的網站安全技術和安全策略。

[關鍵詞] 網站安全;安全技術;安全策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 14 . 031

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)14- 0080 - 02

隨著互聯網技術的飛速發展，越來越多的企業開始通過網站這一平臺來進行信息的發布和交流，而隨之而來的網站安全問題也越來越受到人們的關注，新的安全漏洞和攻擊方法給網站的安全運行帶來了巨大的威脅。例如，網頁被掛馬使得網站成為傳播木馬給瀏覽網站用戶的一個載體。在黑客的眼里，網站并非是一個信息發布和信息交流的平臺，而是為其謀取私利的一個工具。因此，對網站安全技術的研究顯得十分必要。

一、企業網站面臨的安全問題

網站安全是指對網站進行管理和控制，并采取一定的技術措施，從而確保在一個網站環境里信息數據的機密化、完整性及可使用性受到有效的保護。雖然當前互聯網的應用在不斷發展，但信息系統的脆弱性和網絡環境的復雜性使得現有的計算機系統還不具備與自身的應用發展規模相對應的安全防護能力，大量的網絡安全威脅以各種方式不斷沖擊著網絡應用平臺。目前，企業網站的安全隱患主要體現在以下幾個方面:

(1) 網站的非授權訪問。由于Internet所采用的TCP/IP協議在設計時并沒有很好地考慮安全問題，使得 Internet自身的安全面臨著巨大的威脅。而且，由于網站的安全配置過于復雜和一些Internet應用服務存在的安全缺陷，黑客經常會利用各種安全漏洞入侵到服務器中，對網站的安全性帶來了嚴重的挑戰。系統密碼簡單、應用軟件的缺陷、操作系統的漏洞、非必須服務的開啟、默認的共享文件夾、過低的安全級別設置等都會為黑客的非法入侵提供方便之門。

(2) 信息的安全管理。信息的安全管理包括應用防護和物理防護。應用防護是指系統中的電子信息在應用中的各個環節進行防護。目前在網站服務器上的信息通常都是通過數據庫來進行保存的，并根據用戶的請求來進行響應。由于一般的人員很難對所采用的數據庫進行安全配置，從而對信息的安全埋下了隱患。而且，在計算機上存儲、傳輸和處理的信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑借君子協定來維系的。物理防護是指為存儲信息的物理設備設置屏障，防止來自物理線路的電磁信號竊聽。在網管中心、重要的數據交換和數據存儲場所，要按照保密施工要求，建立規范、相對獨立的網絡交換中心和重要交換節點，采取防靜電接地、物理屏蔽或防電磁干擾等措施，抑制數據交換信號的電磁擴散和輻射，從而防止信息被非法物理竊聽。

(3) 網絡病毒的泛濫。計算機病毒是人為制造程序，具有自我復制能力和很強的感染性。隨著網絡規模的擴大和病毒數量的增加，計算機網絡病毒對網站的威脅越來越大。一旦網站服務器被計算機病毒感染，必然會對網站的信息安全和系統的正常運行帶來巨大的危害。

(4) 安全的系統管理體制。以上3個方面的安全問題屬于技術層面，而網站面臨的安全威脅還可能來自系統本身的管理層面。如果不能制定出完善的網站安全管理策略，并把這些策略付諸實施，網站同樣會面臨著巨大的安全問題。目前的網站安全防御更加側重的是對外部風險的防范，對于來自內部的風險往往不夠重視。要真正保證網站的安全，只有從技術層面和管理層面入手，才有可能最大限度地保證網站的安全運行。

二、企業網站的安全技術

網站安全技術目前已發展成為一個跨學科的綜合性學科，它包括通信技術、計算機軟件設計技術、硬件設計技術、密碼學、網站安全與計算機安全技術等，網站安全技術是在攻擊與防范這一對矛盾相互作用的過程中發展起來的。通常，網站的安全技術可以分為以下幾個部分:

(1) 操作系統平臺的安全。網站的所有服務都是建立在操作系統平臺上的，因此，保證網站安全的第一步就是要保證操作系統的安全。為保證操作系統的安全，必須對操作系統建立一套嚴密的安全規則，才能使其在復雜的網絡環境中實現安全服務。這些安全規則包括:及時安裝補丁、為系統管理員賬號更名、關閉沒用的協議和服務、安裝網絡防毒軟件等。

(2) Web服務器的安全。目前廣泛應用的Web服務器軟件有IIS、Apache等，配置Web站點的安全性除充分考慮操作系統的安全性外，還應使用Web服務器本身提供的安全機制。這些安全機制包括:匿名訪問和身份驗證控制、IP地址及域名限制、訪問權限控制、修改端口號、SSL安全機制等。

(3) Web數據庫的安全性。數據庫安全的主要任務是防止非法用戶訪問或合法用戶越權訪問數據庫中的數據。在網絡中用戶訪問Web數據庫是通過瀏覽器和Web服務器采用HTTP協議，用戶在瀏覽器上發出對數據庫文件的請求，Web服務器根據用戶的請求訪問后臺數據庫。因此，根據Web數據庫的特點，可以采用防火墻、用戶身份認證、授權控制、數據加密、使用日志監視數據庫、數據存儲安全、審計、備份與數據恢復等安全管理技術。

(4) 網站代碼的安全性。僅有安全的架構和設計不會使網站高枕無憂，它只是其中重要的因素之一。當完成安全的架構和設計之后，還必須寫出安全的代碼。如果Web應用程序的編寫人員在編程過程中沒有充分考慮到有可能面臨的安全問題，就有可能使黑客能夠利用一些程序上的漏洞發起對網站的攻擊。如 SQL注入攻擊、跨站腳本攻擊等。

三、企業網站安全的策略

在制定網站安全策略時，要綜合考慮影響網站安全的各種因素，并從網站安全的技術策略和管理策略兩方面來制定。

(1) 技術策略。該策略主要是利用現有的安全技術來保證網站的安全。技術策略主要有:第一，用戶認證和訪問控制。應該對用戶名和密碼使用加密技術進行加密，在此基礎上對用戶身份進行驗證，并限制用戶對文件、目錄、各種設備的操作和訪問。第二，安全漏洞檢測。應該定期掃描系統漏洞，以便盡快發現問題并修補安全漏洞。第三，病毒防范。防止病毒對系統和數據的破壞。第四，入侵檢測。使用入侵檢測技術來預防和檢測來自系統內外部的入侵。第五，系統日志。對各種事件進行記錄，并且需要控制對系統日志的訪問，以便監控黑客的攻擊方式。第六，備份和恢復。對系統和數據進行備份，以便在網站受到攻擊后可盡快恢復系統和數據。

(2) 管理策略。該策略主要是通過制定相關規章制度來加強對網站安全的管理，策略內容主要包括:制定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。

總之，網站安全要通過先進的安全技術手段和完善的管理策略才能最大限度地保證網站的安全性。

四、總結

網站安全是一個系統性的問題，其涉及的范圍很廣，因此，為保證網站的安全，只有結合實際層層設防，才能最大限度地保證網站的安全性。同時，由于網絡的攻擊手段也在不斷地提高，因此，網站的安全防范手段也需要不斷地更新。

主要參考文獻

[1] 劉勁松，胡軼，王東方.淺談網站安全技術[J] .網絡安全技術與應用，2006(7).

[2] 卜勝賢，李鷹. Web網站安全技術研究[J] . 微機發展，2004(5).

[3] 符鳳平. Web網站安全技術分析[J] . 計算機系統應用，2008(12).

[4] 鄭繼勝 . Web網站安全防御系統的研究與應用[D] . 長春:吉林大學，2008.