网站安全问题及安全管理措施分析和研究.docVIP

网站安全问题及安全管理措施分析和研究 　　摘要：网站作为信息的重要传输载体，一旦遭受攻击，既严重损害了广大网络用户的利益和隐私，又阻碍了网络应用的发展。研究网站安全问题的目的是为了更好地保护用户信息安全和网络安全。该文首先介绍了我国网站安全的现状，然后分析了网站被攻击的方式和危害性，最后针对各种攻击和危害提出了网站安全防范的具体措施。 　　关键词：网站安全；攻击方式；措施 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）14-0025-02 　　近年来随着互联网的高速发展，人们对于网络的依赖程度也愈加强烈。购物，网上支付，在线聊天等已经成为生活必备，政府及企业也搭建了门户网站和重要系统。然而，给人们带来极大方便的同时，网络安全问题也变得日益严峻。2014年3月携程支付日志出现漏洞，几千万数据泄露。2014年12月12306火车订票网站因被黑客撞库导致13万用户信息泄露。在互联网及大数据的今天，一旦网站存在安全漏洞，泄露信息少则几万多则上亿，数量惊人。与此同时，中央也更加重视网络信息安全，2014年3月，以习近平主席为组长的国家网络安全和信息化小组宣告成立，同年11月在世界互联网大会上习近平主席在贺词中至少三次提及网络安全。网站安全作为网络安全最重要的一部分，安全问题急需得到解决。 　　1 网站安全现状分析 　　随着计算机网络技术的迅猛发展和web站点的迅速增长，信息的交互和共享已经突破了国界，普及到了整个世界。与此同时，网站安全问题也愈来愈严重，并且为攻击者提供了更多攻击的机会，危害范围也越来越大，web站点安全越来越没有保障。目前，网站面临着如下的安全问题。 　　1）政府、学校、企业门户网站因为长期缺乏专业安全维护人员导致厂商发布的补丁不能及时更新，从而被攻击者利用。 　　2）由于网站开发人员缺乏专业的安全培训，导致所开发网站存在一系列的安全隐患。 　　3）网络中存在着大量的免费而又操作简单的攻击工具，使用这些工具并不需要很高的技术水平，也可以使网站受到巨大的打击。 　　4）随着攻击技术广泛普及，使得高水平攻击者越来越多，导致网站系统面临的压力越来越大。 　　5）攻击者通过各种攻击手段闯入网站系统、篡改网站内容、窃取用户隐私、非法贩卖个人信息从而获得非法收入。 　　2 网站被攻击方式及危害分析 　　网站被攻击的方式有SQL注入攻击、xss跨站脚本攻击、文件上传漏洞攻击以及流量攻击等等。现将这几种攻击做以详细分析。 　　2.1 SQL注入攻击 　　SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站信息，是发生在应用程序的数据库层面上的安全漏洞。在设计程序时，忽略了对输入字符串中夹带的SQL指令的检查，查询语句直接被带进数据库中，并且被数据库误认为是正常的SQL指令而运行，从而攻击者就可以使用对数据库有害的查询语句攻击数据库，进行增加、更改、删除等恶意操作以及造成信息泄漏。 　　1）get型注入 　　一般来说，get型sql注入存在于形如http：//xxx.xxx.xxx/abc.php？id=xx 等带有参数的动态网页中。由于程序员未做必要的过滤，导致id后所带的参数直接进入数据库中查询，攻击者就可以得到网站数据库中的信息。但是由于目前大多数网站都写入了过滤程序，所以这类注入攻击已经越来越少，但的确存在。 　　2）post型sql注入 　　这种攻击方式相对于get型sql注入来说更加隐蔽，容易被忽略。大多数网站后台登录框一般都是以post方式来传递数据，而一旦未过滤，将很容易让攻击者得到管理员账号密码，越权访问，导致攻击者非法进入网站后台管理系统的危险。像这类攻击方式，一些大型网站以及国家管理系统仍存在此类问题。 　　3）cookie型sql注入 　　cookie型注入是一种更高级的注入方式。在asp中request对象获取客户端提交数据常用get和post两种方式。而如果程序员没有规定提交数据通过何种方式传递的话，通过cookies也是可以获取客户端提交的数据，并且如果没有对使用request.cookie（“参数名称”）方式提交的数据过滤时，cookie注入就产生了。这种方式一般是在前两种方式因为网站存在防御措施而失效后所采取的另一种攻击方式。 　　SQL注入攻击对网站的危害包括四个方面。一是网站数据库遭受攻击。数据库作为网站数据的存储中心，放置着所有用户信息等重要数据，通过SQL注入可以把数据库中所存放的信息窃取，导致隐私信息落入攻击者手中，攻击者从而贩卖信息获得非法利益。二是获得网站管理权限。数据库中存储着网站管理员的账户信息，一旦攻击者获得管理员账户信息，攻击者将可以非法进入网站后台篡改数据