企业网站安全及防护策略探讨.docVIP

企业网站安全及防护策略探讨 　　摘 要：在讨论企业网站安全的各种风险的基础上，结合目前信息技术发展特点，对于企业网站防护策略进行分析，提出企业安全防护措施。另外，要想保证企业信息安全，以及企业网站的正常运转，还应该通过严格执行网站的安全管理。 　　关键词：计算机网络；企业网站；安全；防护 　　中图分类号：TP393.18 　　企业信息安全中的企业网站安全一般较为薄弱，企业信息的门户往往最为容易受到攻击，或者直接把其作为攻击的目标。企业在企业网站遭受攻击以后，肯定会遭受巨大的经济损失[1，2]。世界性的互联网瘫痪时有发生，最近大规模的网络安全事故也经常出现，包括数据破坏、泄密以及所造成的相关业务不能正常进行，这样的巨大经济损失就不可避免。数据在网站入侵后经常被篡改，病毒泛滥和黑客猖獗司空见惯，企业网站的安全防范工作显得尤为重要。所以，只有保护好企业网站的安全，才能发挥其积极作用而真正为企业服务，这就要求紧密结合信息技术与企业的生产流程、管理体系和商务活动等方面。本文在分析企业网站安全存在的各种风险的基础上，结合实际情况，提出相应的防护策略。 　　1 企业网站安全风险分析 　　各种安全风险都应该在进行企业网站信息建设中考虑到。为了更好取得攻击效果，黑客往往将各种网络信息程序、技术、工具相互结合起来使用，所以，应该充分了解企业网站的安全风险，以及黑客的常用基本技术手段。分析目前的企业网站安全问题存在以下几种[3]：第一，操作系统的安全性问题，不论何种操作系统，Unix、Windows还是Linux操作系统，都存在许多威胁着网络安全的漏洞；第二，利用系统的漏洞，或是网站设计上缺陷而制作的病毒和木马往往能够进行一定的破坏和传播。目前，网络病毒频频爆发，网络发展速度飞快，黑客软件和病毒相互结合扩大这种对于网络破坏的程度；第三，黑客技术能够在没有代价的前提下，通过系统的控制获得资源的使用。系统或者数据安全性受到重大影响，包括典型的恶意毁坏数据和修改页面内容或链接等。在互联网业户广泛开展的今天，盗取任何有价值的东西都是有可能的；第四，密码过于简单、长时间不进行修改以及管理系统使用默认的账号和密码等等，这些都是常见的管理疏漏，应该尽量避免这个漏洞，保证不给企业造成相关的负面影响。 　　企业在建设网站过程中，由于存在重建设、轻管理，再加上没有完备的管理规章制度等等，容易出现这种由于安全意识淡薄而造成的安全问题，从而成为企业网站的安全隐患。 　　2 企业网站防护策略 　　2.1 网站安全防护保障策略。“防范”和“管理”是在企业信息安全建设中的两个重要问题，为做好企业安全工作，应该在应用安全设备的基础上，进行相关的安全技术辅助，从而完成安全管理工作。安全设备主要包括桌面防病毒、防垃圾邮件、防火墙、服务器加密等等方面，为保证网站正常运行，利用安全设备组成具有深度防御能力的信息安全保证体系。 　　网站安全保政策路主要包括以下几个方面：一是路由控制建立安全的访问路径应该在网站业务终端与网站业务服务器之间设置；二是恶意代码进行检测和清除工作应该在网络边界处与终端主机上完成；三是纵深防御的安全体系应该建立；四是在直接连接外部信息系统位置以及网络边界位置，应该尽量避免部署重要网段，可靠的技术隔离手段在重要网段与其他网段之间采用；五是应该努力进行安全主机打造，不断加固网站业务服务器脆弱的服务；为了更好防止威胁的扩散，应该在区域内进行威胁的隔离操作。 　　2.2 网站状态可视化策略。监控、管理、响应和防范等方面的内容应该在企业网站的安全建设中有所体现，在信息系统和组织体系中也应该进行一定的规划设计。应该从全局角度思考安全问题，安全事件处理决策能够及时制定并执行，满足实时监控网络健康以及设备使用的要求。另外，为保证网站业务状态可视化特点，网站业务还应该统一响应和处理安全事件。 　　对于网站状态可视化策略主要分为以下几方面内容：一是能够对于重要服务器的入侵行为进行监测，同时记录相关的参数，包括攻击目的、类型和时间等等，同时，还能提供入侵的警报功能；二是监视重要服务器本身工作情况，包括建设服务器的硬盘、CPU、网络资源、内存等等使用情况；三是为能对网络系统安全漏洞进行及时修补工作，应该定期对网络系统进行扫描；四是设定系统服务水平的最小值，当达到此值以后则进行检测或者报警；五是能够满足管理网络行为的需求，使得网站业务操作流程更加规范，尽量避免意外事故而导致对于网站业务的影响，这就需要建议一套系统的网站业务保证体系；六是为了更好进行全面监控安全管理体系建立，还应设置高效和统一的管理视图。 　　2.3 网站流程可控化策略。为保障网站正常运行，应该监视与控制网站业务数据的整个处理流程，在信息安全建设过程中，网站业务及数据的访问应该采取一定的措施来