網站安全防護策略

◆羅傳軍 武國良 王 琪

（天津市氣象局 天津 300074）

網站安全防護策略

◆羅傳軍 武國良 王 琪

（天津市氣象局 天津 300074）

網站是各單位樹立形象和擴大社會影響的有效工具，安全防護是其必須解決的重要問題。本文分析了網站常見安全隱患，從安全設備、網站建設、網站管理三方面闡述了防護策略。

網站安全；安全設備；網站建設；管理制度

0 引言

互聯網已經成為人們工作和生活不可或缺的部分，網站在各單位發揮著重要的作用。網站處于互聯網的相對開放環境中，病毒木馬和惡意代碼網上肆虐，網站本身存在漏洞和安全隱患，容易被植入木馬程序、系統管理員賬戶和數據庫賬戶易泄露、服務器易被上傳非法網站內容。黑客入侵和篡改網站的安全事件時有發生，造成了重大經濟損失和形象損壞。網站安全防護策略需從網站的安全設備、網站建設、網站管理三方面設計，保障網站安全運行。

1 安全設備

網站一般放置在互聯網DMZ區，該區是對外提供服務的區域，面臨來自互聯網的各種主動攻擊，如黑客掃描和滲透攻擊、病毒或蠕蟲侵襲、DDoS/DoS攻擊、Web相關攻擊、SQL注入等【1】，需要進行重點防護。為有效保護網站的安全性、可用性、穩定性，應加強安全設備建設，如圖1所示。主要包括部署防Ddos攻擊系統、Web應用防火墻、入侵防御系統、網頁防篡改系統、網絡防病毒系統、堡壘機、審計系統。

防DDoS攻擊系統在吞吐量、最大新建連接數、http并發連接數等性能方面要求較高，以串聯部署方式為主，可將設備管理功能與業務流量處理分離。防DDoS攻擊系統針對SYN Flood、ACK Flood、ICMP Flood等流量型攻擊，Smurf、Fragment Flood等漏洞型攻擊，HTTP Proxy Flood、CC Proxy Flood等連接型攻擊進行有效識別和過濾【2】。防DDoS攻擊系統應具備對連接耗盡型攻擊的防御能力，利用TCP重傳等機制實現自我防護。入侵防護系統集成了網絡數據包分析系統、風險特征庫、網絡響應系統等多種內在安全措施，通過設置檢測與阻斷策略，對流經入侵防御系統的網絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷。應用防火墻包含目的地址、源地址轉換功能，實現真實地址隱藏。對網站、應用、文件等實施帶寬分配和流量控制。通過分析應用層的用戶請求數據，如URL、參數、鏈接，可以有效地保護Web站點和應用免受來自于應用層的攻擊，對網站內容過濾，實現文件過濾上傳與下載。

圖1 安全設備部署拓撲圖

防篡改系統分析網站的靜態網頁和動態網頁，可以杜絕篡改內容流出，實現Web頁面自動恢復。防病毒軟件病毒庫及時更新，實時監控病毒、木馬、廣告軟件、惡意插件，對多層數的存檔和壓縮格式包內病毒掃描和清除。審計系統通過syslog、snmp、agent代理等多種方式對各類網絡設備、操作系統、安全設備、數據庫等實現日志收集，實現各類系統日志、事件等信息的審計。

日志收集完成后，可實現統一的分析、查詢，為整體安全提供安全指導意見。堡壘機為多個用戶與業務系統提供了安全記錄與處理平臺，記錄地址、端口、操作指令、訪問結果等消息，支持telnet、ssh等遠程終端服務，具有密碼、動態口令、指紋識別等多種認證方式。

2 網站建設

若網站代碼漏洞多、用戶名及密碼簡單、系統權限大，網站架構存在問題，運行時將存在安全隱患。網站應統一管理建設，建立獨立的信息發布平臺，web發布平臺和數據庫分離，管理員合理設置網站權限。

網站安全建設覆蓋了網站計劃、設計、實現、測試以及運行各階段，應與網站建設同步進行。網站計劃、設計階段，需分析所有潛在威脅，確定網站訪問控制、信息加密、審計跟蹤等安全需求，確定安全策略。網站實現階段，網站開發者應使用最新的漏洞較少的網頁設計語言，設計時充分考慮網站架構的合理性、技術的先進性和網站的安全性，要防止開發公司技術人員故意保留漏洞，確保最終網站的安全。網站測試階段，必須充分進行功能、壓力測試，還應對系統安全性能、操作流程、應急方案等重要安全指標測試，測試結果存檔。網站在正式使用前請專業公司進行安全評測，通過評測的網站才正式上線發布。

定期采用漏洞掃描設備進行漏洞掃描，服務器操作系統升級成穩定的最高版本，并及時更新操作系統補丁，能夠對最新漏洞進行發現，應對最新漏洞風險。關掉無關服務、修改密碼為強密碼、修改系統或服務配置、打補丁、升級軟件版本、設置合理的安全訪問策略，增強網站部署系統環境安全。

3 網站管理

完善網站運維安全管理，包括制定網站運維人員管理制度、網站信息安全通報制度、網站值班制度、安全責任追究制度等，定期對各項制度的落實情況進行自查和監督檢查。網站安全管理應確定總體目標，保護網站信息系統的所有通訊網絡設備、服務器、軟件和數據等資源的安全，確保網站提供安全高效穩定的服務。安全管理制度不定期根據網站安全風險進行完善，保證制度符合實際情況。人員安全管理是安全管理重要環節，應制定嚴格的崗位責任制，最大程度地降低人為失誤或錯誤所造成的網站安全事故。人員安全管理應遵守職責分離、任期審計、有限授權等原則，明確網站建設與運維人員安全責任，不能越權進行訪問控制，員工離職前，應對其擁有的信息系統合法身份及權限立即消除。

安全應急管理主要應對可能出現的重大安全事件，需建立一整套應急預案。在出現網站重大安全事件，如發生網站被惡意攻擊或網頁被篡改等情況，安全工作機構能夠迅速對安全情況分析，啟動緊急應變計劃，排除安全事故【3】，做好對外的解釋、宣傳和公告等工作，防止安全事態的擴大。建立信息安全培訓機制，根據組織建立的信息安全培訓制度，開展多層次的信息安全宣傳、技能培訓和考核，持續增強安全防護意識。

4 總結

網站的安全防護對網站正常運行有重要影響，應制定可行的安全防護策略，部署網絡安全設備、優化網站設計與部署、完善網站安全管理，保障網站安全運行。

[1]郭優.網站安全問題及安全管理措施分析與研究[J].電腦知識與技術，2015.

[2]胡星，曹磊等.中國氣象局Internet 接入系統整改設計[J].計算技術與自動化，2014.

[3]慈健.計算機網絡安全管理技術分析[J].科技創新與應用，2015.