論單位網站信息安全維護的重要性

翟松青

(泰州市高新技術創業服務中心，江蘇泰州225300)

網站安全保障體系的建設是網站維護中的熱點問題，如果是因為安全問題導致網站不能正常運行，那么大多數的網站功能也將無法提供正常的服務，會給網站和使用網站的企業或行政部門帶來較大的負面影響。據不完全統計，2013年我國各級門戶網站被篡改網頁達6000余次，比2012年多出1000多次，整體呈上升趨勢，而且這還未包括隱蔽的未經發現的篡改行為。因此，網站信息的安全性維護是一個被優先考慮的問題。

一、網站信息安全維護的分類及定義

（一）網絡安全

重點是防范病毒和黑客的入侵，防止重要數據泄露。(1)重要的數據傳輸采用SSL協議，保證信息傳輸的安全性。(2)能夠實現內外網的物理隔離，有效防止信息泄密，同時確保內外網具有強大的抵御攻擊能力，防止非法侵入帶來的損失。(3)數據鏈路層及網絡層的信道加密和管理。(4)網絡防火墻、訪問代理、攻擊檢測。(5)系統監控、日志分析、系統管理。(6)WEB監控和在線保護。

（二）數據安全

數據安全主要包括存儲、傳輸、交換等。(1)數據存儲安全，在數據保存上確保完整、可靠和有效調用。(2)數據傳輸安全，保證數據在網絡傳輸中不輕易被盜取、數據不丟失等方面的安全性(3)數據交換安全，保證通過和其他系統的接口進行數據交換的時候數據的完整性。

（三）應用系統安全

(1)系統設計中遵循統一的身份認證和有限授權原則、全面確認原則和安全跟蹤原則，采用嚴格的安全體系，保證數據在處理和傳輸金過程的安全性。(2)應用系統提供完善的安全保密措施。(3)應用系統的功能要分級控制。(4)建立運行日志管理。(5)錯誤日志管理。(6)在線幫助。系統提供在線幫助文件，方便用戶操作。(7)服務運行情況監控。對服務程序是否正常持續穩定地運行進行監控。(8)錯誤處理。系統需提供一個修正、解決錯誤的標準流程。

二、網站信息安全被入侵的兩種主要形式

（一）SQL注入攻擊

互聯網中的許多Web應用都采用數據庫來存儲信息。使用SQL命令可以方便的將前臺Web頁面的應用數據和后臺數據庫中數據進行傳遞。這些Web站點的頁面可以根據用戶輸入的相關參數拼接成合法的SQL查詢語句，再將這些語句傳遞至服務器端對數據庫進行查詢。而別有用心者可以通過直接在URL地址欄或者表單域中直接輸入SQL命令，以此繞過web頁面的數據檢查改變查詢屬性，可以獲取對數據庫更高權限的操作。

（二）DDOS攻擊

DDoS攻擊發源于傳統的DoS(Denial of Service)拒絕服務攻擊基礎之上，DoS往往是指黑客通過單一的IP地址向某一目標主機發出“合法”的訪問請求，而耗盡目標主機的網絡帶寬和硬件資源（CPU、內存等）的攻擊方式。這種攻擊方式在當今網絡技術和硬件技術飛速發展的情況下，已基本無用武之地。于是，分布式拒絕服務DDoS攻擊方式應運而生。所謂分布式拒絕服務攻擊，就是黑客利用互聯網的優勢，利用操作系統或軟件漏洞同時聯合眾多傀儡機對某一目標主機展開更大規模、更高強度的攻擊，使目標主機的大量網絡和硬件資源被占用，而無法對正常用戶提供服務。

三、防范黑客攻擊，維護網站信息安全的具體方法

SQL注入產生的原因的是程序員在應用開發過程中的編程不嚴謹,忽視了對用戶數據的檢查而造成的，SQL注入問題的解決根本途徑就是編制完善的程序。具體需要注意以下幾點：1.敏感字符直接過濾；2.參數化用戶輸入數據；3.使用Apache Web服務的安全檢測模塊。Apache的mod_security模塊是一個集入侵檢測和防御功能的開源的web應用安全檢測程序。它基于Apache Web服務器運行,目標是增強web應用程序的安全性,防止web應用程序受到已知或未知的攻擊。如果要使用此安全模塊，需要在http://www.modsecurity.org/download/下載mod_security安全模塊并安裝，

DDoS攻擊的最終目的是要耗盡服務器的網絡和硬件資源，因此，從這個角度上來講，哪怕有足夠多的正常訪問請求也同樣可以造成服務器的“拒絕服務”的情況出現。所以，從根本上解決拒絕服務攻擊，還需要做好以下幾點工作：1.保證服務器有足夠的網絡帶寬。2.適時升級服務器硬件。3.采用較新的服務器操作系統。4.及時打補丁修復系統漏洞。4.提前做好針對性預防工作。5.準確判斷攻擊方式。發生攻擊時，應通過軟件抓取數據包進行分析，根據不同的攻擊方式采取不同的解決方法。6.保留詳細系統日志，方便追查元兇。

采用的安全手段越多．所帶來的運行成本就越高．系統的運行效率就越低．要在運行成本運行效率中間進行平衡。同時，也應該認識到安全防范手段是一個持久更新漸進的過程．所以需要不斷改進．優化采用的技術方法和安全策略。因此沒有絕對安全而只有相對的安全即在風險和運行成本、效率可以接受前提條件下的安全。通過采用上述安全體系架構，再結合相關的軟件和硬件安全措施，基本上保證了系統的安全性要求在具體技術措施的選取上，也可根據實際情況，在保證安全性的前提下進行適當的調整和修改。此外，解決網站安全問題，除了要有好的安全防護技術措施外，還要增強內部工作人員防范意識，以確保網站安全穩定運行、健康發展。

[1]孟婷.MySQL注入攻擊及防范方法[J].信息安全與技術,2013,11.

[2]趙亮.Sql語句防注入攻擊研究[J].企業導報,2013,18.

[3]黃碧玲.網站注入式攻擊的原理與防范[J].計算機時代,2013,8.

[4]張永錚.DDoS攻擊檢測和控制方法[J].軟件學報,2012,8.

[5]熊俊.應用層DDOS攻擊檢測技術研究[J].信息安全與技術,2012,9.

[6]厲斌.網絡監控與有效防御DDoS攻擊的研究[J].信息網絡安全,2013,10.