企业网站面临安全问题及应对策略.docVIP

企业网站面临的安全问题及应对策略 　　[摘 要] 目前,越来越多的企业开始通过网站这一平台来进行信息发布和交流,而随之而来的网站安全问题也越来越受到人们的关注。本文主要从企业网站的安全问题出发,来介绍目前企业网站存在的安全隐患,以及保障网站安全运行的网站安全技术和安全策略。 　　[关键词] 网站安全;安全技术;安全策略 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 14 . 031 　　[中图分类号]TP393.08 [文献标识码]A [文章编号]1673 - 0194(2010)14- 0080 - 02 　　 　　随着互联网技术的飞速发展,越来越多的企业开始通过网站这一平台来进行信息的发布和交流,而随之而来的网站安全问题也越来越受到人们的关注,新的安全漏洞和攻击方法给网站的安全运行带来了巨大的威胁。例如,网页被挂马使得网站成为传播木马给浏览网站用户的一个载体。在黑客的眼里,网站并非是一个信息发布和信息交流的平台,而是为其谋取私利的一个工具。因此,对网站安全技术的研究显得十分必要。 　　 　　一、企业网站面临的安全问题 　　 　　网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。虽然当前互联网的应用在不断发展,但信息系统的脆弱性和网络环境的复杂性使得现有的计算机系统还不具备与自身的应用发展规模相对应的安全防护能力,大量的网络安全威胁以各种方式不断冲击着网络应用平台。目前,企业网站的安全隐患主要体现在以下几个方面: 　　(1) 网站的非授权访问。由于Internet所采用的TCP/IP协议在设计时并没有很好地考虑安全问题,使得 Internet自身的安全面临着巨大的威胁。而且,由于网站的安全配置过于复杂和一些Internet应用服务存在的安全缺陷,黑客经常会利用各种安全漏洞入侵到服务器中,对网站的安全性带来了严重的挑战。系统密码简单、应用软件的缺陷、操作系统的漏洞、非必须服务的开启、默认的共享文件夹、过低的安全级别设置等都会为黑客的非法入侵提供方便之门。 　　(2) 信息的安全管理。信息的安全管理包括应用防护和物理防护。应用防护是指系统中的电子信息在应用中的各个环节进行防护。目前在网站服务器上的信息通常都是通过数据库来进行保存的,并根据用户的请求来进行响应。由于一般的人员很难对所采用的数据库进行安全配置,从而对信息的安全埋下了隐患。而且,在计算机上存储、传输和处理的信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭借君子协定来维系的。物理防护是指为存储信息的物理设备设置屏障,防止来自物理线路的电磁信号窃听。在网管中心、重要的数据交换和数据存储场所,要按照保密施工要求,建立规范、相对独立的网络交换中心和重要交换节点,采取防静电接地、物理屏蔽或防电磁干扰等措施,抑制数据交换信号的电磁扩散和辐射,从而防止信息被非法物理窃听。 　　(3) 网络病毒的泛滥。计算机病毒是人为制造程序,具有自我复制能力和很强的感染性。随着网络规模的扩大和病毒数量的增加,计算机网络病毒对网站的威胁越来越大。一旦网站服务器被计算机病毒感染,必然会对网站的信息安全和系统的正常运行带来巨大的危害。 　　(4) 安全的系统管理体制。以上3个方面的安全问题属于技术层面,而网站面临的安全威胁还可能来自系统本身的管理层面。如果不能制定出完善的网站安全管理策略,并把这些策略付诸实施,网站同样会面临着巨大的安全问题。目前的网站安全防御更加侧重的是对外部风险的防范,对于来自内部的风险往往不够重视。要真正保证网站的安全,只有从技术层面和管理层面入手,才有可能最大限度地保证网站的安全运行。 　　 　　二、企业网站的安全技术 　　 　　网站安全技术目前已发展成为一个跨学科的综合性学科,它包括通信技术、计算机软件设计技术、硬件设计技术、密码学、网站安全与计算机安全技术等,网站安全技术是在攻击与防范这一对矛盾相互作用的过程中发展起来的。通常,网站的安全技术可以分为以下几个部分: 　　(1) 操作系统平台的安全。网站的所有服务都是建立在操作系统平台上的,因此,保证网站安全的第一步就是要保证操作系统的安全。为保证操作系统的安全,必须对操作系统建立一套严密的安全规则,才能使其在复杂的网络环境中实现安全服务。这些安全规则包括:及时安装补丁、为系统管理员账号更名、关闭没用的协议和服务、安装网络防毒软件等。 　　(2) Web服务器的安全。目前广泛应用的Web服务器软件有IIS、Apache等,配置Web站点的安全性除充分考虑操作系统的安全性外,还应使用Web服务器本身提供的安全机制。这