安徽电气工程学校 王宏勇
摘 要:互联网环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的需素发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,使用互联网也同时带有一定的风险。分析网站安全的主要隐患及设计原则对网络安全有着重大意义。
关键字:网站安全 隐患 病毒
所有电脑驱动的系统都很容易受到侵犯和破坏,对重要的经济部门或政府机构的计算机进行任何有计划的攻击,都可能产生灾难性的后果。互联网环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,使用互联网也同时带有一定的风险。所有电脑驱动的系统都很容易受到侵犯和破坏,对重要的经济部门或政府机构的计算机进行任何有计划的攻击,都可能产生灾难性的后果。Web网站是Internet/Intranet主要组成部分,在黑客猖獗、病毒肆意的网络中,认真分析来自各方面的安全威胁和各个层次存在的安全隐患,明确安全设计的原则是网站安全设计的第一步。
一、网站安全的主要隐患
网站的信息安全目标主要有:保密性、安全性、完整性安全、可用性安全和认证安全。Web网站是个复杂的系统,包含了操作系统、Web服务器、应用程序和数据库等多个方面,安全隐患存在于各个环节。同时,Web网站又联入到互联网中,有的甚至同其他的服务器进行了集群管理,对Web网站的威胁可能来自网络协议的各个层次。网站的安全存在以下主要隐患:
1、服务器系统:任何操作系统和Web服务器都存在这样那样的漏洞,尤其是系统默认设置存在很多潜在的威胁。一些黑客和病毒木马就是利用了这些漏洞来破坏系统。另外,一个服务器上安装过多服务会消耗系统过多资源同时也降低系统的安全性。服务器系统的漏洞主要通过补丁和系统安全配置来解决。
2、网络体系:来自Internet的DDoS ( 分布式拒绝服务)攻击是网站经常遭遇的攻击之一。当然,从现有技术的角度来说,还没有一种有效的方法来对付DDoS攻击,但是通过在加强网络体系的安全策略,实时检测网络设备和及时追踪处理DDoS、都是防止DDoS的积极手段。
3、服务器用户:服务器系统上的各种用户是构成服务器安全的一大隐患。比如用户的口令强度较差导致密码被破解、特殊用户(如guest)的潜在威胁、用户权限设置不当等。通过分组管理系统用户和审核用户的行为可以有效阻止这类威胁。
4、脚本程序和数据库:Web网站脚本程序和数据库存在两方面的安全问题,意识解释执行脚本的系统和数据库本身的漏洞,比如源代码泄露和SQL语句的客户资料认证漏洞等,一是程序设计逻辑上存在漏洞,比如身份认证逻辑不严密、重要文件和数据没有加密等。通过为系统补丁和优化安全认证程序能有效降低这类漏洞的危害。
5、安全意识和管理制度:许多网站安全事故表明,安全意识的缺乏、管理制度和法规的不健全往往是威胁Web网站安全的重要因素。比如服务器供电没有UPS保护、机房无防盗措施、空闲机器的安全隐患、工作垃圾中安全信息的泄漏、合法用户的误操作、没有做数据备份和系统恢复措施等。
二、网站安全的设计原则
1、网站安全的“木桶原则”,木桶原则指出:木桶的最大容积取决于最短的一块木板。如前面所述,对网站的安全威胁时多方面和多层次的,其安全性同样取决于系统中最薄弱环节的安全性都有足够的认识和考虑,清楚意识到网站的安全不能简单地靠某个环节的安全性的增加而得到提高。
2、网站安全的整体性原则:依据PDRR网络安全模型,网站的安全系统应该包括4种机制:防护(Protection)、检测(Detention)、响应(Response)和恢复(Recovery)。安全防护机制是根据系统存在的各种安全漏洞和安全威胁采取相应防护措施;安全检测机制是监测系统的运行情况,及时发现和制止对系统的各种攻击;响应和应急恢复机制是在安全防护失效的情况下,进行应急处理,尽量、及时地恢复信息,减少攻击的破坏程度。
3、网站安全的有效性与实用性原则:信息利用与安全是一对矛盾,越安全就意味着使用越不方便。网站安全应以不能影响系统的正常运行和合法用户的操作活动为前提。因此,要在确保安全性的基础上,把安全处理的运算量减少或分摊,减少用户的记忆和存储工作量。
4、网站安全的等级原则:根据网站上的目录和信息的保密程度级别不同,可以划分出安全等级,针对不同级别的安全对象,提供全面、可选的安全设计,以满足不同层次的需求,比如对用户分组管理。
5、网站安全的有价原则:现实中,网站的安全设计是受各种条件限制的,尤其是经费,在有限的代价下寻求一种合适的安全方案是网站安全设计的一个重要原则。
参考文献
[1] 蔡群英、黄镇建:《ASP.NET安全策略的研究》.计算机与现代化,2007(06):86-89
[2]卜英奇:《网站安全技术的分析及应用》. [硕士学位论文].长春:吉林大学图书馆,2006
