试论Web网站安全问题和解决方法.docVIP

试论Web网站安全问题和解决方法 　　摘 要:本文主要对Web网站面临的各种安全问题进行了分析,并提出了Web网站安全问题的解决措施,可供大家交流。 　　关键词:Web网站信息安全保护解决措施 　　中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2010)08-0047-02 　　 　　1 引言 　　Web网站是各个单位在因特网上展示单位形象的门户,是各个单位对外宣传的重要窗口。同时,Web站点是政府机关开展电子政务的重要平台,为教育科研单位开展远程教育、对外信息交流提供了一个互动平台,也是企业开展电子电子商务的重要平台。 　　就在人们尽情地享受着Web网站提供的丰富多彩的服务之时,来自因特网的黑客攻击、电脑病毒和木马越来越严重威胁到Web网站的安全,进而威胁到电子政务、电子商务活动的正常进行。Web网站作为因特网的重要应用平台,成为因特网上各种威胁的首要攻击目标。在这种情形下,做好Web网站安全防御就有着十分重要的意义。 　　 　　2 Web网站构成与部署 　　典型的Web网站一般由Web服务器、应用服务器、数据库服务器三部分构成,也可以不部署应用服务器。服务器硬件系统主要有运行Windows/Linux操作系统的X86服务器与运行Unix 操作系统的RISC小型机两大类。X86服务器具有高性价比、标准化的优势,而RISC小型机具有在关键应用领域的高可靠性的优势。架设Web服务器最常用的软件主要有Microsoft IIS 和Apache。应用服务器可以简单理解为对已有中间件技术的更高层次的封装,常见的应用服务器软件主要有BEA WebLogic、IBM WebSphere、Tomcat、JBoss。数据库服务器软件主要有Microsoft SQL Server、Oracle和MySQL。Web网站构成如图1所示。 　　Web服务器主要是处理向浏览器发送HTML以供浏览,应用服务器通过HTTP等各种协议把商业逻辑暴露给(expose)客户端应用程序,数据库服务器存储大量的数据信息和数据逻辑。用户对网站的访问过程如上图所示。客户端发出数据访问请求,首先交给Web 服务器,再通过Web 服务器到达应用服务器,再由应用服务器访问数据库服务器。 　　IDC即是Internet Data Center,是基于因特网,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管、资源出租、系统维护、管理服务,以及其他支撑、运行服务等。Web网站服务器硬件一般部署在单位自有或租用的IDC机房内。 　　 　　3 Web网站安全威胁 　　Web网站作为因特网信息交流的一个重要平台,因为涉及到文字电视广播、语音会话与网络传真等WWW应用,带来了与一般计算机和网络安全不太一样的挑战。Web网站安全威胁的来源主要有:自然灾害、意外事故;计算机犯罪;人为错误。 　　Web网站面临的安全威胁主要体现在以下几个方面: 　　(1)遭受黑客入侵。由于在早期网络协议设计上对安全性的忽视,致使因特网在推动网络技术迅猛发展的同时,逐渐使自身的安全受到严重威胁。黑客(Hacker)利用各种系统软件、应用软件的漏洞侵入因特网上的各种类型网站,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。 　　(2)电脑病毒、木马的泛滥。随着因特网的极速扩展,电脑病毒、木马也同步在因特网上快速传播,危害到Web网站的正常运转。 　　(3)信息的安全管理。各种信息在因特网上传输、存储过程中,遭到破坏与窃取,信息的保密性、完整性和可用性受到破坏。 　　 　　4 安全系统的管理体制 　　很多风险不仅仅来自于技术层面,更可能来自于安全系统自身的管理方面。目前的安全防御系统更加侧重的是对外部威胁的防范,对于来自内部的威胁往往力不从心。Web网站安全不仅要在技术方面进行强化,更要在管理上积极主动,将各种隐藏的安全隐患消灭在萌芽状态,防患于未然。 　　 　　5 等级保护工作实施的意义 　　信息系统安全等级保护是指根据信息系统应用业务重要程度及其实际安全需求,对信息和信息系统划分为五个安全保护和监管等级,实行分等级保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。信息系统安全等级保护基本要求的内容分为技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 　　等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家实行信息安全等级保护制度,可以有效地