基于互联网Web信息系统的安全问题研讨.docVIP

基于互联网Web信息系统的安全问题研讨 　　【摘 要】信息安全是网络应用中的一个重要课题。Web 信息系统是信息的发布中心，其数据库中存有大量的供用户共享的重要信息，因此Web 信息系统的安全是其建设和运行过程中应该充分考虑的重要问题。针对微软的因特网信息服务器（IIS）系统，本文从网络体系、操作系统、Web服务器、应用程序、数据库和管理制度安全意识等几个方面探讨了基于IIS的Web信息系统的安全问题，并结合目前的技术手段，阐述了构建 Web 信息系统应该采取的一些安全策略。 　　【关键词】信息系统，浏览器，Web 服务器，网络安全，IIS，ASP 　　【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158（2013）02-0138-01 　　引言： 　　随着计算机技术的普及与发展，Internet/Intranet 已越来越为人们所熟知。信息系统的结构也逐渐由传统的C/S（client/server）模式向B/S（browser/server）模式转变。B/S模式相对于C/S 模式具有系统易于维护和扩展，真正实现跨平台的系统集成服务，大大降低对网络带宽要求等优势。但是，随着基于 Web 的信息系统的广泛应用，有关部门单位的信息系统遭到攻击而蒙受巨大损失的事件时有发生，因此基于 Web的信息系统的安全性问题也越来越为人们所关注。 　　1 基于Web的信息系统的体系结构 　　基于Web的信息系统一般由浏览器、Web服务器、数据库服务器组成，基于Web信息系统的安全将涉及服务器所采用的操作系统、数据库管理系统、Web 服务器、应用程序等领域。 　　2 web信息系统的安全性分析 　　信息系统的安全性包含两部分内容，一是保证系统正常运行，避免各种非故意的错误与损坏；二是防止系统及数据被非法利用或破坏。在开放的网络环境下，系统安全的保障则更加困难。基于web的信息系统安全性体系大致分为网络系统、操作系统、web服务器及应用程序和数据库等多个层次，web信息安全隐患主要有以下 5 个方面： 　　2.1 信息网络系统安全隐患：来自网络系统的安全威胁主要有DD oS（分布式拒绝服务）攻击、非授权的远程侵入、非法的扫描和探测及网络病毒对网络设备资源的消耗。对付DDoS攻击还没有行之有效的办法，只能靠加强网络的安全策略，实时对网络设备检测来防止。对于远程侵入和扫描则可以通过防火墙配合IDS（入侵检测系统）来保障。 　　2.2 操作系统安全隐患：任何操作系统都存在不同程度的漏洞，特别是默认安装和设置的系统，安全威胁更大。此外，在一台服务器上安装多种服务系统时安全性也会降低。操作系统的安全性要靠我们正确的口令策略和设置、卸载不必要的服务和软件、及时升级不安全的软件版本来保障。 　　2.3 web服务器安全隐患：web服务器通常会有以下两个方面的安全要求：①维持web内容的完整性；②防止该主机成为入侵你的网络或其它网络的跳板。大多数web服务器安全事件的发生是由于没有及时升级不安全的版本和软件配置不当造成的，配置不当的软件可能包括w eb服务器本身或者是web服务器运行的应用程序（如CGI、SSI和服务器API等）。 　　2.4 数据库及应用程序安全隐患：web站点的数据库和应用程序存在两个方面的安全问题，首先是数据库系统本身的漏洞，包括使用有漏洞的数据库版本或是没有对数据库进行安全配置；其次是应用程序的解释脚本漏洞，比如程序脚本源程序的泄漏，用户认证口令的明码传输，用户使用习惯的考虑不周等。 　　2.5 安全意识和管理制度：许多网站安全事故表明，安全意识的缺乏、管理制度和法规的不健全往往是威胁Web信息系统安全的重要因素。比如服务器供电没有UPS保护、机房无防盗措施、空闲机器的安全隐患、工作垃圾中安全信息的泄漏、合法用户的误操作、没有做数据备份和系统恢复措施等。 　　3 基于 IIS 的web信息系统的安全管理策略 　　3.1 网络系统的安全策略：一般Web网站都要对Interne t开放，网站所在的网络系统的安全性能对Web网站影响很大。网络系统的安全设计要在网络整体规划中就应该明确，所涉及的内容很多，这里针对保护Web网站提出几点措施。 　　3.1.1 设置防火墙：在内网和外网之间设置防火墙，以隔离和过滤不安全的访问，是防止来自Internet的各种攻击的有效手段。 　　3.1.2 划分VLAN：合理划分VLAN，减少“冲突域”的范围，减少网络监听的可能性，提高网络的安全性，为网站安全提供基础。 　　3.1.3 安装入侵检测和实时监控软件：在网络系统中安装入侵检测和实时监控软件，及时发现网络系统中的安全漏洞，及时监视系统的安全攻击行为的发生并及时报告，为管理员采取进一步的措施提