Web網(wǎng)站安全防護策略研究

1、遼寧警官高等?？茖W(xué)校畢業(yè)論文（設(shè)計） PAGE II Web網(wǎng)站安全防護策略研究摘 要：網(wǎng)站是信息的發(fā)布中心，其數(shù)據(jù)庫中存放著大量的供用戶共享的重要信息，因此，網(wǎng)站信息安全是網(wǎng)站建設(shè)和運行過程中應(yīng)該充分考慮和重視的問題。對于一個網(wǎng)站或信息系統(tǒng)來說，安全從主體上主要體現(xiàn)在信息安全和網(wǎng)絡(luò)安全兩個方面，安全都是以系統(tǒng)的可靠性作為前提，但又比可靠性更進一步。信息的安全是網(wǎng)絡(luò)應(yīng)用中比較重要的一個問題。本文主要探討了Web網(wǎng)站中網(wǎng)絡(luò)信息存在的安全隱患和相應(yīng)措施，結(jié)合Web網(wǎng)站安全解決過程中可能使用數(shù)據(jù)庫安全技術(shù)，著重針對門戶網(wǎng)站、政府網(wǎng)站、銀行網(wǎng)站的安全現(xiàn)狀及防護措施進行了深入探討，并給出了相應(yīng)的安全性的

2、解決策略。在構(gòu)建Web網(wǎng)站的實踐中證明，這些安全措施是行之有效的。關(guān)鍵詞：Web；網(wǎng)絡(luò)安全；防護策略；Web web security protection strategy studyAbstract:Site is the release of information center, its database to store a lot of users share important information, therefore, website information safety is the construction site and operation process shou

3、ld give full consideration and attention problem. For a web site or the information system security from the body, mainly reflected in information security and network security two respects, safety are based on system reliability as the premise, but also more than reliability. Information security i

4、s in the network application is an important problem. This paper mainly discusses the Web site network information security problems and corresponding measures, combining Web web security solution process may use the database security technology, focusing on portal website, government website, bank

5、security status and protection measures were discussed, and the corresponding security solutions. In the Web construction site proved in practice, these security measures are effective.Key word：Web；Network security；Protection strategy 目 錄TOC o 1-3 h u HYPERLINK l _Toc324795504 1引 言 PAGEREF _Toc32479

6、5504 h 1 HYPERLINK l _Toc324795505 1 Web網(wǎng)站的安全現(xiàn)狀及安全隱患 PAGEREF _Toc324795505 h 1 HYPERLINK l _Toc324795506 1.1 Web網(wǎng)站的網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc324795506 h 1 HYPERLINK l _Toc324795507 1.2 Web網(wǎng)站存在的安全隱患 PAGEREF _Toc324795507 h 2 HYPERLINK l _Toc324795512 2 Web網(wǎng)站的安全技術(shù)與安全對策 PAGEREF _Toc324795512 h 3 HYPERLINK l _To

7、c324795513 2.1 典型網(wǎng)站安全技術(shù) PAGEREF _Toc324795513 h 3 HYPERLINK l _Toc324795518 2.2 Web網(wǎng)站安全對策 PAGEREF _Toc324795518 h 4 HYPERLINK l _Toc324795524 3門戶網(wǎng)站安全防護問題和策略 PAGEREF _Toc324795524 h 5 HYPERLINK l _Toc324795525 3.1門戶網(wǎng)站安全防護的問題 PAGEREF _Toc324795525 h 5 HYPERLINK l _Toc324795529 3.2門戶網(wǎng)站安全防護策略 PAGEREF _T

8、oc324795529 h 6 HYPERLINK l _Toc324795534 4政府網(wǎng)站安全問題和應(yīng)對策略 PAGEREF _Toc324795534 h 7 HYPERLINK l _Toc324795535 4.1政府網(wǎng)站安全現(xiàn)狀 PAGEREF _Toc324795535 h 7 HYPERLINK l _Toc324795536 4.2政府網(wǎng)站安全存在問題 PAGEREF _Toc324795536 h 7 HYPERLINK l _Toc324795539 4.3政府網(wǎng)站安全應(yīng)對策略 PAGEREF _Toc324795539 h 8 HYPERLINK l _Toc32479

9、5543 5銀行網(wǎng)站的安全問題和應(yīng)對策略 PAGEREF _Toc324795543 h 9 HYPERLINK l _Toc324795544 5.1銀行網(wǎng)站的安全問題 PAGEREF _Toc324795544 h 9 HYPERLINK l _Toc324795545 5.2銀行網(wǎng)站的安全應(yīng)對策略 PAGEREF _Toc324795545 h 9 HYPERLINK l _Toc324795549 6 結(jié) 論 PAGEREF _Toc324795549 h 10 HYPERLINK l _Toc324795550 致 謝 PAGEREF _Toc324795550 h 12 HYPER

10、LINK l _Toc324795551 參考文獻 PAGEREF _Toc324795551 h 13 PAGE 12引 言我國的信息網(wǎng)絡(luò)安全研究歷經(jīng)了兩個階段：通信保密和數(shù)據(jù)保護，目前正在進入網(wǎng)絡(luò)信息安全的研究階段，現(xiàn)在已經(jīng)開發(fā)研制出了防火墻、安全網(wǎng)關(guān)和路由器、黑客入侵的檢測以及系統(tǒng)的脆弱性掃描軟件等。網(wǎng)絡(luò)安全技術(shù)在21世紀將成為發(fā)展信息網(wǎng)絡(luò)的關(guān)鍵技術(shù)，人類步入信息化社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍然有許多的工作需要開發(fā)、研究和進行探索，以此來保證網(wǎng)絡(luò)信息的安全，推動我國的國

11、民經(jīng)濟的飛速穩(wěn)定的發(fā)展。隨著計算機應(yīng)用的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展，無論是企業(yè)還是高等學(xué)校，都相繼建立了內(nèi)部信息網(wǎng)絡(luò)(Intranet)，設(shè)立了自己的Web網(wǎng)站，相關(guān)數(shù)據(jù)顯示，目前國內(nèi)存在危險漏洞的網(wǎng)站所占比例高達52%，網(wǎng)站安全防護能力有待提高。近年來國內(nèi)網(wǎng)絡(luò)的普及達到了前所未有的程度，但同時信息泄露、網(wǎng)絡(luò)病毒傳播等網(wǎng)絡(luò)安全事件頻發(fā)，不斷困擾著廣大用戶?；ヂ?lián)網(wǎng)安全問題已十分嚴峻，治理工作任重道遠，需要政府相關(guān)部門加強立法規(guī)范以及監(jiān)管力度，同時用戶也應(yīng)提高網(wǎng)絡(luò)安全防范意識。本文就目前WEB網(wǎng)站的安全狀況進行分析研究應(yīng)對策略，保護網(wǎng)站以及網(wǎng)民的安全。360安全中心近日對外發(fā)布2011年度互聯(lián)網(wǎng)網(wǎng)站安全

12、報告，數(shù)據(jù)顯示，據(jù)網(wǎng)站安全檢測平臺對隨機抽取的93233個國內(nèi)網(wǎng)站分析發(fā)現(xiàn)，存在高危漏洞的網(wǎng)站比例達36%，存在中危漏洞的網(wǎng)站則有16%，兩者合計比例高達52%。QQ電腦管家與艾瑞咨詢也于近日聯(lián)合發(fā)布2011下半年個人網(wǎng)絡(luò)安全報告稱2012年個人網(wǎng)絡(luò)安全情況依然嚴峻，切實提升網(wǎng)民安全意識至關(guān)重要。1 Web網(wǎng)站的安全現(xiàn)狀及安全隱患1.1 Web網(wǎng)站的網(wǎng)絡(luò)現(xiàn)狀很多個人用戶和企業(yè)用戶認為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)等設(shè)備，可以提高網(wǎng)絡(luò)的安全性?；趹?yīng)用的攻擊事件仍然不斷發(fā)生，究其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。目前的大

13、多防火墻、IDS、IPS都不能有效的達到防護的目標。目前網(wǎng)站安全問題主要表現(xiàn)在：一是利用Web服務(wù)器的漏洞進行攻擊，如CGI緩沖區(qū)溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁自身的安全漏洞進行攻擊，如SQL注入，跨站腳本攻擊等。網(wǎng)站面臨的Web安全威脅是非常嚴重的；而一旦出現(xiàn)網(wǎng)站掛馬、病毒爆發(fā)，入侵攻擊等問題，完全有可能馬上造成災(zāi)難性后果。如對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對用戶輸入數(shù)據(jù)的合法性進行全面的判斷，就會使應(yīng)用程序存在安全隱患。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些

14、想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。1.2 Web網(wǎng)站存在的安全隱患1.2.1沒有有效過濾垃圾信息和惡意網(wǎng)址推動“可寫互聯(lián)網(wǎng)”的主要力量之一，博客系統(tǒng)的出現(xiàn)在很大程度上降低了建立自己網(wǎng)絡(luò)空間的技術(shù)門檻。目前我國博客的數(shù)量大概是700萬。垃圾信息、垃圾博客(Splog)是國內(nèi)外博客系統(tǒng)都面臨的難題。Google的博客系統(tǒng)因為垃圾信息已經(jīng)陷入了很尷尬的局面?，F(xiàn)階段，國內(nèi)的大多數(shù)博客系統(tǒng)為用戶提供了匿名進行評論的功能，或者在線留言的功能。一些垃圾信息制造者利用這些模塊脆弱的驗證機制，很容易就可以編寫程序，自動的發(fā)布成千上萬條的垃圾信息或者惡意網(wǎng)址。這個問題同樣存在于國內(nèi)其他的網(wǎng)絡(luò)社區(qū)。1

15、.1.2開放式的信息發(fā)布平臺易轉(zhuǎn)變成僵尸網(wǎng)絡(luò)感染了IRC Bot病毒的電腦稱作僵尸計算機，因為它們會通過IRC (Internet轉(zhuǎn)播交談)聊天服務(wù)器獲取并執(zhí)行黑客命令。黑客只需要在IRC上發(fā)布一些命令，就可以遙控一個行動統(tǒng)一的由數(shù)萬臺僵尸計算機組成的僵尸網(wǎng)絡(luò)，進行DoS攻擊等破壞性的活動。就目前來說，這樣的僵尸網(wǎng)絡(luò)還沒有被發(fā)現(xiàn)，但在理論上它們的確很有可能會出現(xiàn)。1.1.3多數(shù)博客系統(tǒng)和SNS系統(tǒng)存在病毒許多的博客系統(tǒng)允許用戶自行上傳相關(guān)的文件，但是沒有對這些文件進行最基本的病毒掃描。就比如博客網(wǎng)，只是對上傳的文件進行最簡單的限制與檢查，雖然不允許直接上傳EXE可執(zhí)行文件，但對文本文件、Off

16、ice文檔、壓縮包文件等都不作查殺病毒的相關(guān)操作，這就存在著非常大的信息安全隱患。博客還將會繼續(xù)普及和不斷的壯大，此隱患的嚴重程度也會隨之越來越高。對用戶開放自由編寫腳本的功能，是博客系統(tǒng)和SNS系統(tǒng)的另一個安全隱患。腳本功能的原意是盡可能的滿足每個用戶的個性化需求，通過自行編寫的網(wǎng)頁腳本讓用戶的頁面更加大方和美觀。但是這種功能一經(jīng)濫用，就是一個很嚴重的問題。2005年6月，江民公司就曾經(jīng)報導(dǎo)過CSDN博客用戶利用惡意腳本種植木馬的事件。10月初，第一只Web2.0蠕蟲I-Worm /JSSammy也是利用著名網(wǎng)絡(luò)社區(qū)MySpacecom的系統(tǒng)漏洞，以跨站腳本攻擊(XSS)的方式進行傳播。1.

17、1.4惡意利用匿名RSS訂閱提供RSS服務(wù)，是絕大多數(shù)的網(wǎng)站必備的功能，最典型的就是信息類網(wǎng)站。新浪、百度、雅虎等新聞與搜索門戶都已經(jīng)實現(xiàn)了這一必備的功能。RSS每隔幾分鐘就會被更新一次，提供網(wǎng)站最新內(nèi)容的標題和摘要等許多的信息，任何用戶都可以自由的訂閱這些RSS。社會工程學(xué)已經(jīng)成為病毒傳播過程中的重要因素，它不是技術(shù)因素，但作用卻往往比技術(shù)因素更大。假如病毒能夠?qū)π畔⒕W(wǎng)站上的RSS進行“訂閱”，那么就可以對這些網(wǎng)站的相關(guān)資源進行利用，不斷的獲得最新的具有爆炸性的新聞標題和圖片地址，不管它傳播多長時間，均可用最嶄新的標題來誘惑用戶點擊運行并觀看它，這就可能會在很大程度上提高病毒的感染范圍和生命

18、周期。2 Web網(wǎng)站的安全技術(shù)與安全對策2.1 典型網(wǎng)站安全技術(shù)2.1.1 防火墻技術(shù)防火墻技術(shù)是一種訪問控制的技術(shù)，它是在內(nèi)部網(wǎng)絡(luò)(專用網(wǎng)絡(luò))和外部網(wǎng)絡(luò)(公用網(wǎng)絡(luò))之間設(shè)立的一道“防護欄”，也就是說在它們的界面上構(gòu)造一個保護層(或隔離層)，對信息資源的非法訪問進行阻止，并強制所有的連接都必須經(jīng)過此保護層，進行檢查和連接。只有被授權(quán)的訪問才能通過此保護層，從而提供了一個封閉的邏輯環(huán)境，保護內(nèi)部網(wǎng)絡(luò)免遭非法入侵。2.1.2用戶身份的認證技術(shù)對用戶身份的識別是用來確定此用戶是不是合法。在Web的應(yīng)用程序級，可以利用身份的認證機制來判斷試圖訪問被限制內(nèi)容的用戶是否擁有有效的Windows NT帳號的

19、用戶名和密碼。在后臺的數(shù)據(jù)處理庫中，用身份驗證機制進一步的對用戶的合法性進行確認。還可以建立User用戶表，用戶在經(jīng)過IP地址的過濾后，在Web Browser端呈現(xiàn)用戶登錄界面。用戶在系統(tǒng)提示下輸入登錄名、口令，并提交其輸入的結(jié)果由系統(tǒng)來驗證其是否合法。2.1.3 數(shù)據(jù)庫的安全訪問代理服務(wù)技術(shù)代理服務(wù)是一種網(wǎng)關(guān)功能，使用一客戶程序與特定的中間結(jié)點進行鏈接，然后中間再結(jié)點同數(shù)據(jù)庫服務(wù)器進行鏈接，以此來提供用戶身份的認證與數(shù)據(jù)庫的訪問的轉(zhuǎn)發(fā)，這樣一來，即便是防火墻倒塌了，其數(shù)據(jù)庫也可以避免受到攻擊。2.1.4 數(shù)據(jù)備份與恢復(fù)技術(shù)在網(wǎng)絡(luò)數(shù)據(jù)處理庫中數(shù)據(jù)的信息是最寶貴的，假如出現(xiàn)了故障，系統(tǒng)將無法正

20、常的運行，還有可能癱瘓，此時關(guān)注的就是如何盡快恢復(fù)，使其正常運行。故障一般分為物理故障和邏輯故障，通常在硬件一級可采用磁盤鏡像和陳列以及雙機容錯等備份的方案;在軟件一級可采用數(shù)據(jù)拷貝、熱修復(fù)等措施。2.2 Web網(wǎng)站安全對策2.2.1加強網(wǎng)站信息發(fā)布的驗證機制Web網(wǎng)站的信息主體來自數(shù)量龐大的用戶群。幾乎所有的信息發(fā)布平臺，在達到一定規(guī)模時都會遇到垃圾信息的許多問題，假如想要繼續(xù)發(fā)展下去，對信息進行驗證是非常必要功能。在早期就需要建立比較完善的驗證信息機制，對網(wǎng)站的健康發(fā)展才有利，還可以節(jié)約相關(guān)的成本。較常用的方法是驗證碼的技術(shù)，其目的在于阻止惡意的程序自動的提交相關(guān)垃圾信息。驗證碼的模塊功能

21、強大與否，使直接由編程對識別相關(guān)驗證碼圖片的難易程度決定的。圖片的生成算法至少要具備隨機噪音和散列以及字體的形變等許多特性。2.2.2加強和安全廠商合作的力度網(wǎng)站對其用戶所提交的文件和網(wǎng)址進行過濾，是對用戶群的信息安全保障的最基本的服務(wù)。自2004年4月， Windows接連公布了幾個與圖片文件處理相關(guān)的安全漏洞，涉及的圖片類型有PNG、JPEG、WMF等。想要對這些惡意的內(nèi)容進行識別，只憑對文件的類型檢測是遠遠達不到要求的。相關(guān)的網(wǎng)站非常有必要和有關(guān)的信息安全的專業(yè)公司進行密切的合作，使用最新的病毒處理庫對用戶所提交的相關(guān)信息進行充分的過濾。除了安裝反病毒的模塊，網(wǎng)站和其安全廠商之間的交流和

22、溝通也是非常重要的。比如，網(wǎng)站需要其廠商的惡意網(wǎng)址庫才能夠?qū)Π瑦阂饩W(wǎng)址的相關(guān)信息準確的刪除。2.2.3及時安裝平臺系統(tǒng)補丁網(wǎng)站系統(tǒng)正常運行的平臺包括操作系統(tǒng)平臺和運行平臺兩層。如果底層的平臺出現(xiàn)一些安全的漏洞，網(wǎng)站其本身就算做得再安全也是沒有用的。密切的關(guān)注底層平臺的最新的安全漏洞，并及時的安裝相關(guān)的補丁程序，是對網(wǎng)站進行維護的最基本的工作。2.2.4 提高Web開發(fā)的安全意識對網(wǎng)絡(luò)進行攻擊除了針對某些運行的平臺之外，還有很大一部分是針對相對不太嚴謹?shù)腤eb程序來設(shè)計的，就如SQL注入和XSS 等。把這些安全漏洞盡可能多的扼殺在其發(fā)布之前，不但對提高系統(tǒng)整體的安全性能有很大作用，還會降低其維

23、護的成本。2.2.5加強對外部Web API調(diào)用返回驗證引用大量外部Web API，是Web網(wǎng)站開發(fā)的趨勢和特征。一個網(wǎng)站的部分功能可能要依賴于其他的網(wǎng)站提供的服務(wù)。許多網(wǎng)站之間彼此功能共享和相互引用，需要形成一張復(fù)雜的拓撲圖。假如其中的一個關(guān)鍵節(jié)點出現(xiàn)了問題，被攻破并且植入了惡意的代碼，往往會造成整張拓撲上的所有節(jié)點都會帶病毒的后果。外部的Web API是由其他的網(wǎng)站提供的，無法準確的掌握它們的安全系數(shù)，所以在這些API調(diào)用前后都有必要對此加強驗證，以確保它們使用起來是比較安全的。3門戶網(wǎng)站安全防護問題和策略3.1門戶網(wǎng)站安全防護的問題 3.1.1重內(nèi)輕外重內(nèi)輕外是政府在其網(wǎng)站系統(tǒng)建設(shè)的過程

24、當中， 對其內(nèi)部的辦公網(wǎng)和專用網(wǎng)的安全有著高度的重視， 為了確保安全， 大多都采用了物理隔離的方式。但是針對直接為公眾服務(wù)的門戶網(wǎng)站的安全卻一直沒有得到足夠的重視， 并且還有許多的部門連最基本的外網(wǎng)安全的保障措施都沒有進行部署，這就形成了兩個“極端”。3.1.2 唯技術(shù)論唯技術(shù)論是認為網(wǎng)站安全僅僅取決于設(shè)備和技術(shù)，在建設(shè)網(wǎng)站安全體系的過程中，此種觀念十分的突出。 但是， 對于保障相關(guān)的電子政務(wù)安全的“軟性措施”卻一直沒有做細和做實， 就如從管理的體制上來落實安全責任制， 建立完備的相關(guān)信息安全的管理和認證的機制等，這些事項均沒有落到實處。3.1.3 缺乏認識更讓人擔心的是， 因為對網(wǎng)站的安全沒

25、有足夠的認識， 很多網(wǎng)站的安全體系建設(shè)都十分的薄弱， 其應(yīng)急響應(yīng)的能力也是很脆弱。面對網(wǎng)站中所出現(xiàn)的各種各樣的問題， 在處理上缺乏必要的認識和判斷， 重要信息暴露于外。這正如很多業(yè)內(nèi)專家所指出的那樣:政府網(wǎng)站建設(shè)僅重于形式， 但卻忽視了安全的問題。3.2門戶網(wǎng)站安全防護策略3.2.1 強化多種技術(shù)措施和增強防范的意識門戶網(wǎng)站應(yīng)當不斷的建立和完善相關(guān)信息安全的監(jiān)控系統(tǒng)， 提高對有害信息傳播或網(wǎng)絡(luò)攻擊入侵的防范能力。采用互聯(lián)網(wǎng)郵件監(jiān)視軟件、接入安全審計系統(tǒng)、反跟蹤軟件以及災(zāi)難預(yù)警等相關(guān)的安全措施。還要建設(shè)網(wǎng)站的容災(zāi)備份系統(tǒng)， 不斷的對技術(shù)安全監(jiān)控的體系進行完善。門戶網(wǎng)站應(yīng)當組織開展多層次的和多方位

26、的網(wǎng)絡(luò)安全宣傳和培訓(xùn)，避免網(wǎng)絡(luò)安全事件發(fā)生的有效途徑是增強內(nèi)部工作人員的安全防范意識和能力。門戶網(wǎng)站的安全建設(shè)一刻都不能放松， 要把它和網(wǎng)站的相關(guān)信息安全的問題都納入電子政務(wù)的安全體系建設(shè)的范疇中去。3.2.2建立信息安全管理機制電子政務(wù)的信息安全管理并不是一成不變的，它是一個動態(tài)的過程。隨著安全攻擊和防范技術(shù)的發(fā)展， 電子政務(wù)的安全策略也要跟隨各種發(fā)展形勢進行分階段的調(diào)整。建立良好的信息安全的管理機制， 做到管理和技術(shù)的完美配合， 是實現(xiàn)電子政務(wù)信息系統(tǒng)風(fēng)險防范的長期有效的途徑。許多單位雖然使用了防病毒產(chǎn)品和防火墻， 并安裝了相關(guān)的安全設(shè)備， 但在管理措施方面還是比較的薄弱。建議加快并推進相

27、關(guān)的信息安全等級保護工作的實施， 使信息網(wǎng)絡(luò)的安全管理工作不斷的走向制度化和規(guī)范化， 并逐漸建立起較完善的信息技術(shù)的防范體系。3.2.3建立和加快信息安全立法。建立相關(guān)信息安全的法制體系，加快相關(guān)信息安全的立法， 才可能做到有法可依、有法必依。也就是在法制上， 對網(wǎng)絡(luò)相關(guān)信息安全管理等方面的立法工作進行加強， 為政府的門戶網(wǎng)站的建設(shè)、管理、運行和維護等提供相關(guān)的法律保障， 構(gòu)建并促進國家相關(guān)信息化發(fā)展的社會和法律環(huán)境， 形成適用于信息網(wǎng)絡(luò)安全實際需要的法治文化。 3.2.4建立安全培訓(xùn)制度系統(tǒng)和網(wǎng)絡(luò)管理員的安全技術(shù)水平和實際的安全知識直接影響到整個系統(tǒng)的安全狀況。所以給各種信息系統(tǒng)的管理員進行

28、有效的信息系統(tǒng)安全的培訓(xùn)是很有必要的， 學(xué)習(xí)和掌握網(wǎng)絡(luò)安全的知識， 對黑客所使用的手段進行了解，并掌握各種主流的操作系統(tǒng)上所需的信息安全策略以及各種信息安全防御工具等諸多的技能。一個門戶網(wǎng)站的信息安全不只和網(wǎng)絡(luò)管理人員的技術(shù)層次和安全知識有關(guān)， 還和領(lǐng)導(dǎo)做出的決策以及整個的工作環(huán)境中每一個員工的安全性操作等都有密切的關(guān)系。建立完善的信息技術(shù)培訓(xùn)的體系， 使網(wǎng)絡(luò)管理人員更加貼近實際的業(yè)務(wù)和技術(shù)前沿。讓每一位網(wǎng)絡(luò)管理人員都成為信息安全衛(wèi)士， 才能實現(xiàn)真正意義上的全方位的信息安全。4政府網(wǎng)站安全問題和應(yīng)對策略4.1政府網(wǎng)站安全現(xiàn)狀自從互聯(lián)網(wǎng)面世以來，網(wǎng)絡(luò)信息安全就一直深受科技人員、網(wǎng)絡(luò)運營者及其使用

29、者的高度重視。政府門戶網(wǎng)站和公安網(wǎng)等專用的網(wǎng)絡(luò)不同，它是接入互聯(lián)網(wǎng)的公共服務(wù)的網(wǎng)絡(luò)，政府門戶網(wǎng)站的權(quán)威性和公信度都比較高，其影響力也較大，而且其后臺的數(shù)據(jù)處理庫中可能涉及到有關(guān)的政府機密一些數(shù)據(jù)，因此，政府的門戶網(wǎng)站一直都是黑客以及敵對勢力的重要的攻擊目標。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心每月發(fā)布的互聯(lián)網(wǎng)安全報告數(shù)據(jù)的相關(guān)統(tǒng)計，2007 年間境內(nèi)政府網(wǎng)站被篡改數(shù)量達 4234個，2008 年間被篡改網(wǎng)站數(shù)量為 3595 個，2009 年為 2765個。公安機關(guān) 2009 年 7 月中旬對國內(nèi) 6000 余家政府網(wǎng)站進行的安全抽樣檢測表明，37%的政府網(wǎng)站存在網(wǎng)頁安全漏洞，極易遭到網(wǎng)頁篡改和網(wǎng)頁掛馬等攻擊破

30、壞；另據(jù)工信部統(tǒng)計，僅 2010 年 1 月 4 日至 10日一周內(nèi)，我國境內(nèi)政府網(wǎng)站主頁被篡改的數(shù)量竟達 178 個，尤其是近期某些政府門戶網(wǎng)站被頻繁掛馬或被篡改后鏈接到淫穢色情網(wǎng)站的安全事故更是給我們敲響了警鐘。4.2政府網(wǎng)站安全存在問題4.2.1個別政府的網(wǎng)站形同虛設(shè)和相關(guān)管理員疏于防范一些政府部門的領(lǐng)導(dǎo)認為，只要是建立一個相關(guān)的主頁，其上網(wǎng)的工程也就建立好了，在這種意識的主導(dǎo)下，網(wǎng)站的功能得不到充分的發(fā)揮，網(wǎng)站的軟件及其內(nèi)容也長期沒有維護和更新，這就給入侵者以可乘之機。相關(guān)管理員疏于防范，就如其使用的密碼位數(shù)過低，或者設(shè)置密碼時采用電話號碼、生日等較弱的口令；再加上軟件的漏洞補丁不及時

31、的更新和使用盜版軟件等的，都很有可能導(dǎo)致木馬和病毒的感染。4.2.2缺乏相應(yīng)的應(yīng)急機制和打擊力度不夠大多數(shù)的市、縣級以及以下的政府網(wǎng)站都缺乏相應(yīng)的應(yīng)急機制，一旦出現(xiàn)一些網(wǎng)站安全的事故，反應(yīng)就很遲緩，幾周甚至一月之內(nèi)都不能修復(fù)，這對政府的權(quán)威性和公信度有很大程度的降低，還會對社會帶來極大的負面影響。網(wǎng)絡(luò)犯罪是不同于一般的違法犯罪行為的，網(wǎng)絡(luò)犯罪者一般都具有很高的網(wǎng)絡(luò)信息安全技術(shù)等方面的能力和知識，這給公安機關(guān)的偵查破案帶來了非常大的難度，在很多時候表現(xiàn)的無能為力，這樣的情況在一定程度上也助長了入侵者的囂張氣焰。4.2.3網(wǎng)絡(luò)信息安全法律缺失目前，雖然我國制定了很多關(guān)于計算機和網(wǎng)絡(luò)信息安全方面的條

32、例、規(guī)章和辦法，但還沒有制定出一部正式的相關(guān)法律法規(guī)，這給網(wǎng)絡(luò)犯罪的偵查、起訴和量刑帶來一定程度的困難，也無法對網(wǎng)絡(luò)犯罪形成一個有效的警示。4.3政府網(wǎng)站安全應(yīng)對策略4.3.1制定切實可行的政府網(wǎng)站安全標準規(guī)范和提高相關(guān)人員的安全意識政府網(wǎng)站是一個特殊的網(wǎng)站，在其建設(shè)的最出就要遵循相應(yīng)的網(wǎng)絡(luò)安全的標準，這樣就可以在很大程度上減少網(wǎng)絡(luò)信息安全事件的發(fā)生，以此來維護政府網(wǎng)站的公信度和權(quán)威性，保護網(wǎng)站相關(guān)數(shù)據(jù)的安全。除此之外，還有要提高相關(guān)的管理人員的網(wǎng)絡(luò)安全意識，加強對網(wǎng)絡(luò)管理人員的安全培訓(xùn)和網(wǎng)站信息安全監(jiān)管，及時的發(fā)現(xiàn)問題，并堵塞漏洞。4.3.2重視軟件建設(shè)和管理隊伍的建設(shè)除了加強對硬件的建設(shè)，

33、政府網(wǎng)站還需要重視對相關(guān)軟件的建設(shè)，選用正版的與安全性能好的軟件；更要重視建設(shè)一支業(yè)務(wù)素質(zhì)較高的網(wǎng)站管理隊伍，并對此加強業(yè)務(wù)培訓(xùn)和指導(dǎo)。 4.3.3加大網(wǎng)絡(luò)信息安全執(zhí)法力度與立法進度要充分發(fā)揮公安機關(guān)網(wǎng)監(jiān)部門的“網(wǎng)絡(luò)警察”作用，提高其相關(guān)管理人員的知識技術(shù)水平；還要加大對網(wǎng)絡(luò)犯罪的打擊力度，對惡意攻擊和篡改政府網(wǎng)站的組織以及個人給以有效和精確的打擊。此外，立法機構(gòu)還應(yīng)當加緊出臺關(guān)于網(wǎng)絡(luò)信息安全的法律，以法律的形式來規(guī)范對網(wǎng)絡(luò)的使用，以保障網(wǎng)絡(luò)信息的安全，震懾網(wǎng)絡(luò)犯罪的行為。5銀行網(wǎng)站的安全問題和應(yīng)對策略5.1銀行網(wǎng)站的安全問題一般來說，網(wǎng)上銀行的技術(shù)風(fēng)險來源于三個方面：首先是數(shù)據(jù)傳輸，一旦數(shù)據(jù)

34、傳輸系統(tǒng)被攻破，就有可能威脅到銀行業(yè)務(wù)數(shù)據(jù)的安全；其次是網(wǎng)上銀行應(yīng)用系統(tǒng)的設(shè)計，一旦其在安全設(shè)計上存在缺陷并被黑客利用，將直接危害到系統(tǒng)的安全性，造成嚴重損失；再次是來自計算機病毒的攻擊，即由于網(wǎng)絡(luò)防范不嚴，導(dǎo)致計算機病毒通過網(wǎng)上銀行入侵銀行主機系統(tǒng)，從而造成數(shù)據(jù)丟失等嚴重后果。5.2銀行網(wǎng)站的安全應(yīng)對策略5.2.1網(wǎng)站服務(wù)器架構(gòu)根據(jù)高安全性和穩(wěn)定性的設(shè)計要求，網(wǎng)站服務(wù)器使用基于Unix內(nèi)核的Linux Advanced Server系統(tǒng)平臺，Linux系統(tǒng)對于病毒、網(wǎng)絡(luò)攻擊等方面具有良好的防御能力，運轉(zhuǎn)比較穩(wěn)定。Web服務(wù)器采用支持JSP1.1、Servlet 2.2的純 Java Web服

35、 務(wù)RESIN; 運 行 支 持SHTML/HTML等文件格式的Apache服務(wù)；配合 Cocoon支持客戶端對XML文件的解析。由于使用 J2EE 架構(gòu)，網(wǎng)站易于擴展其他功能，比如銀行業(yè)務(wù)和郵件等應(yīng)用軟件。Oracle數(shù)據(jù)庫服務(wù)器采用Oracle 8i，有效保證了網(wǎng)站數(shù)據(jù)的安全性。網(wǎng)站服務(wù)器采用雙機熱備份，實現(xiàn)7*24小時不間斷服務(wù)。主服務(wù)器和備份服務(wù)器均基于磁盤陣列，定時進行靜態(tài)頁面互為備份，保證數(shù)據(jù)完全一致；同時數(shù)據(jù)庫服務(wù)器自動進行備份，每隔一段時間由人工進行磁帶或光盤備份。5.2.2網(wǎng)站項目開發(fā)方案 網(wǎng)站項目基于J2EE 規(guī)范開發(fā)，利用Web集成商的應(yīng)用開發(fā)組件、Web門戶平臺技術(shù)，構(gòu)

36、建一套分布式應(yīng)用系統(tǒng)。軟件系統(tǒng)采用企業(yè)Java組件（ EJB，Enterprise）規(guī)范來構(gòu)建業(yè)務(wù)處理層，而用戶界面則采用JSP（Java Serve Page）技術(shù)來定制。J2EE 平臺包含有一整套的服務(wù)、應(yīng)用編程接口（API）和協(xié)議，可用于開發(fā)基于Web的分布式應(yīng)用。它定義了一套標準化、模塊化的組件規(guī)范，并為這些組件提供了一整套完整的服務(wù)以及自動處理應(yīng)用行為的許多細節(jié)。由于J2EE 構(gòu)建在Java 2平臺標準版J2SE之上，因此繼承了 Java 面向?qū)ο?、跨平臺等所有優(yōu)點。J2EE 規(guī)范了應(yīng)用程序組件的包裝、接口標準，應(yīng)用系統(tǒng)之間通過XML來交換數(shù)據(jù)，這為分布式應(yīng)用之間提供了簡單、開放、標

37、準的耦合新途徑。整個應(yīng)用系統(tǒng)劃分為內(nèi)部管理系統(tǒng)和對外服務(wù)系統(tǒng)兩部分。內(nèi)部管理系統(tǒng)為網(wǎng)站管理人員和網(wǎng)站支持人員提供服務(wù)，建立一個保障網(wǎng)站正常運營的工作平臺；對外服務(wù)平臺是為用戶提供一個信息和電子商務(wù)服務(wù)的平臺，分為信息維護系統(tǒng)、信息交換系統(tǒng)兩部分。5.2.3其他措施采用漏洞檢測、入侵檢測和病毒檢測等工具全面保障網(wǎng)絡(luò)整體安全性，可以在系統(tǒng)內(nèi)配置入侵檢測設(shè)備或軟件。因為訪問控制設(shè)備雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。要動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)，就要依靠實時入侵檢測技術(shù)來監(jiān)測網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊行為并給予響應(yīng)和處理。實時入侵檢測技術(shù)還能檢測到繞過訪問控制設(shè)備的攻擊，網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠?qū)τ嬎銠C網(wǎng)絡(luò)進行自主的、實時的攻擊檢測與響應(yīng)，并對網(wǎng)絡(luò)進行輪回監(jiān)控。實時監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸，它對安全威脅具有自主響應(yīng)能力，能提供最大限度的安全保障。網(wǎng)絡(luò)入侵檢測系統(tǒng)在檢測到網(wǎng)絡(luò)入侵后，除了可以及時切斷攻擊行為之外還可以動態(tài)地調(diào)整訪問控制設(shè)備的防護策略，使訪問控制設(shè)備