浅谈Web网站安全问题及解决措施.docxVIP

浅谈Web网站安全问题及解决措施 　　摘要:文章主要对Web网站面临的各种安全问题进行了分析,并提出TWeb网站安全问题的解决措施,可供大家参考交流。　　关键词:Web网站;因特网;信息系统;信息安全　　　　Web网站是各个单位在因特网上展示单位形象的门户,是各个单位对外宣传的重要窗口。同时,Web站点是政府机关开展电子政务的重要平台,并为教育科研单位开展远程教育、对外信息交流提供了一个互动平台,也是企业开展电子电子商务的重要平台。就在人们尽情地享受着Web网站提供的丰富多彩的服务之时,来自因特网的黑客攻击、电脑病毒和木马越来越严重地威胁到Web网站的安全,进而威胁到电子政务、电子商务活动的正常进行。Web网站作为因特网的重要应用平台,成为因特网上各种威胁的首要攻击目标。在这种情形下,做好Web网站安全防御就有着十分重要的意义。　　　　一、Web网站构成与部署　　　　典型的Web网站一般由Web服务器、应用服务器、数据库服务器三部分构成,也可以不部署应用服务器。服务器硬件系统主要有运行Windows/Linux操作系统的X86服务器与运行Unix操作系统的RISC小型机两大类。X86服务器具有高性价比、标准化的优势,而RISC小型机具有在关键应用领域的高可靠性的优势。架设Web服务器最常用的软件主要有Microsoft IIS和A-pache。应用服务器可以简单理解为对已有中间件技术的更高层次的封装,常见的应用服务器软件主要有BEA Web Logic、IBMWeb Sphere、Tomcat、J Boss。数据库服务器软件主要有Mi-crosoft SQL Server、Oracle和My SQL。Web网站构成如下图所示:　　Web服务器主要是处理向浏览器发送HTML以供浏览,应用服务器通过HTFP等各种协议把商业逻辑暴露给(expose)客户端应用程序,数据库服务器存储大量的数据信息和数据逻辑。用户对网站的访问过程如上图所示。客户端发出数据访问请求,首先交给Web服务器,再通过Web服务器到达应用服务器,再由应用服务器访问数据库服务器。　　IDC即是Internet Data Center,是基于因特网,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管、资源出租、系统维护、管理服务,以及其他支撑、运行服务等。Web网站服务器硬件一般部署在单位自有或租用的IDC机房内。　　　　二、Web网站安全威胁　　　　Web网站作为因特网信息交流的一个重要平台,因为涉及到文字电视广播、语音会话与网络传真等WWW应用,带来了与一般计算机和网络安全不太一样的挑战。Web网站安全威胁的来源主要有:自然灾害、意外事故;计算机犯罪;人为错误。Web网站面临的安全威胁主要体现在以下几个方面:　　　　　　(一)遭受黑客入侵　　由于在早期网络协议设计上对安全性的忽视,致使因特网在推动网络技术迅猛发展的同时,逐渐使自身的安全受到严重威胁。黑客(Hacker)利用各种系统软件、应用软件的漏洞侵入因特网上的各种类型网站,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。　　　　(二)电脑病毒、木马的泛滥　　随着因特网的极速扩展,电脑病毒、木马也同步在因特网上快速传播,危害到Web网站的正常运转。　　　　(三)信息的安全管理　　各种信息在因特网上传输、存储过程中,遭到破坏与窃取,信息的保密性、完整性和可用性受到破坏。　　　　三、安全系统的管理体制　　　　很多风险不仅仅来自于技术层面,更可能来自于安全系统自身的管理方面。目前的安全防御系统更加侧重的是对外部威胁的防范,对于来自内部的威胁往往力不从心。　　　　四、等级保护工作实施的意义　　　　信息系统安全等级保护是指根据信息系统应用业务重要程度及其实际安全需求,对信息和信息系统划分为五个安全保护和监管等级,实行分等级保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。信息系统安全等级保护基本要求的内容分为技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五大类。　　等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。　　　　五、Web网站安全解决措施　　　　根据对web网站安全威胁的分析,参照《信息安全等级保护管理办法》的要求,综合考虑安全、成本、效率等因素,按照信息安全等级保护三级要求进行web网站安全系统的规划设计。　　　　(一)安全域划分　　安全域是指