網(wǎng)站安全防護管理

前言：本站為你精心整理了網(wǎng)站安全防護管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：對目前日益嚴峻的網(wǎng)站安全問題進行分析，提出了網(wǎng)站安全防護措施，通過基于UNIX和Windows等常用平臺，介紹WEB網(wǎng)站的防護經(jīng)驗。

關鍵詞：網(wǎng)站;安全;防護

1網(wǎng)站技術簡介安全威脅的來源

1.1WWW技術簡介

WorldWideWeb稱為萬維網(wǎng)，簡稱Web。分成服務器端、客戶接收機及通訊協(xié)議三個部分。

1.1.1服務器(Web服務器)

服務器結(jié)構中規(guī)定了服務器的傳輸設定、信息傳輸格式及服務器本身的基本開放結(jié)構。Web服務器的作用就是管理這些文檔，按用戶的要求返回信息。

1.1.2客戶接收機(Web瀏覽器)

客戶機系統(tǒng)稱為Web瀏覽器，用于向服務器發(fā)送資源索取請求，并將接收到的信息進行解碼和顯示。Web瀏覽器是客戶端軟件，它從Web服務器上下載和獲取文件，翻譯下載文件中的HTML代碼，進行格式化，根據(jù)HTML中的內(nèi)容在屏幕上顯示信息。

1.1.3通訊協(xié)議(HTTP協(xié)議)

Web瀏覽器與服務器之間遵循HTTP協(xié)議進行通訊傳輸。HTTP(HyperTextTransferProtocol，超文本傳輸協(xié)議)是分布式的Web應用的核心技術協(xié)議，在TCP/IP協(xié)議棧中屬于應用層。它定義了Web瀏覽器向Web服務器發(fā)送索取Web頁面請求的格式，以及Web頁面在Internet上的傳輸方式。

1.2服務器安全威脅

對于Web服務器、服務器的操作系統(tǒng)、數(shù)據(jù)庫服務器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮：

Web服務器操作系統(tǒng)本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要文件，甚至造成系統(tǒng)癱瘓。

Web數(shù)據(jù)庫中安全配置不完整，存在弱口令或被數(shù)據(jù)庫注入等安全漏洞，導致數(shù)據(jù)丟失或服務中斷。

Web服務器上的數(shù)據(jù)存儲結(jié)構不合理，沒有劃分安全區(qū)域或重要數(shù)據(jù)沒有存放在安全區(qū)域，導致被侵入。

Web服務器上運行的程序存在安全漏洞，或應用程序所需要的權限過高沒有優(yōu)化，容易被黑客侵入。

1.3客戶端安全威脅

現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應用，活動內(nèi)容的不安全性是造成客戶端的主要威脅。主要用到JavaApplet、ActiveX、Cookie等技術都存在不同的安全隱患。

1.4數(shù)據(jù)傳輸中的安全威脅

Internet是連接Web客戶機和服務器通信的信道，是不安全的。未經(jīng)授權的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對信息完整性的安全威脅。此外，還有像利用拒絕服務攻擊，向網(wǎng)站服務器發(fā)送大量請求造成主機無法及時響應而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道，使網(wǎng)絡的速度便緩慢。

2WEB安全保護的原則

2.1實用的原則

針對網(wǎng)站架構，網(wǎng)站安全問題主要分為以下四個方面：服務器安全、邊界安全、Internet和Extranet上的安全，在攻擊行為發(fā)生前，做到防患于未然是預防措施的關鍵。

2.2積極預防的原則

對WEB系統(tǒng)進行安全評估，權衡考慮各類安全資源的價值和對它們實施保護所需要的費用，通過評估，確定不安全情況發(fā)生的幾率，采用必要的軟硬件產(chǎn)品，加強網(wǎng)站日常安全監(jiān)控。

2.3及時補救的原則

在攻擊事件發(fā)生后盡快恢復系統(tǒng)的正常運行，并找出發(fā)生攻擊事件問題的原因，將損失降至最低，并研究攻擊發(fā)生后應對措施。

3建立安全的Web網(wǎng)站

3.1合理配置主機系統(tǒng)

3.1.1僅提供必要的服務

默認安裝的操作系統(tǒng)都有一系列常用的服務。例如UNIX系統(tǒng)將提供Finger、Sendmail、FTP、NFS、IP轉(zhuǎn)發(fā)等，WindowsNT系統(tǒng)將提供RPC、IP)轉(zhuǎn)發(fā)、FTP、SMTP等。而且，系統(tǒng)在缺省的情況下自動啟用這些服務，或提供簡單易用的配置向?qū)А榇耍诎惭b操作系統(tǒng)時，應該只選擇安裝必要的協(xié)議和服務；對于UNIX系統(tǒng)，應檢查/etc/rc.d/目錄下的各個目錄中的文件，刪除不必要的文件；對于Windows系統(tǒng)，應刪除沒有用到的網(wǎng)絡協(xié)議，不要安裝不必要的應用軟件。一般情況下，應關閉Web服務器的IP轉(zhuǎn)發(fā)功能。

對于專門提供Web信息服務(含提供虛擬服務器)的網(wǎng)站，最好由專門的主機(或主機群)作Web服務器系統(tǒng)，對外只提供Web服務，沒有其他任務。這樣，可以保證(1)使系統(tǒng)最好地為Web服務提供支持；(2)管理人員單一，避免發(fā)生管理員之間的合作不調(diào)而出現(xiàn)安全漏洞的現(xiàn)象；(3)用戶訪問單一，便于控制；(4)日志文件較少，減輕系統(tǒng)負擔。

對于必須提供其他服務，則必須仔細設置目錄、文件的訪問權限，確保遠程用戶無法通過Web服務獲得操作權限。

3.1.2使用必要的輔助工具，簡化安全管理

啟用系統(tǒng)的日志(系統(tǒng)帳戶日志和Web服務器日志)記錄功能。監(jiān)視并記錄訪問企圖是主機安全的一個重要機制，以利于提高主機的一致性以及其數(shù)據(jù)保密性。

3.2合理配置Web服務器

在UnixOS中，以非特權用戶而不是Root身份運行Web服務器。

（1）設置Web服務器訪問控制。通過IP地址控制、子網(wǎng)域名來控制，未被允許的IP地址、IP子網(wǎng)域發(fā)來的請求將被拒絕；

（2）通過用戶名和口令限制。只有當遠程用戶輸入正確的用戶名和口令的時候，訪問才能被正確響應。

（3）用公用密鑰加密方法。對文件的訪問請求和文件本身都將加密，以便只有預計的用戶才能讀取文件內(nèi)容。

3.3設置Web服務器有關目錄的權限

為了安全起見，管理員應對”文檔根目錄“和“服務器根目錄”做嚴格的訪問權限控制。

服務器根目錄下存放日志文件、配置文件等敏感信息，它們對系統(tǒng)的安全至關重要，不能讓用戶隨意讀取或刪改。

服務器根目錄下存放CGI腳本程序，用戶對這些程序有執(zhí)行權限，惡意用戶有可能利用其中的漏洞進行越權操作。

服務器根目錄下的某些文件需要由Root來寫或者執(zhí)行，如Web服務器需要Root來啟動，如果其他用戶對Web服務器的執(zhí)行程序有寫權限，則該用戶可以用其他代碼替換掉Web服務器的執(zhí)行程序，當Root再次執(zhí)行這個程序時，用戶設定的代碼將以Root身份運行。

3.4安全管理Web服務器

Web服務器的日常管理、維護工作包括Web服務器的內(nèi)容更新，日志文件的審計，安裝一些新的工具、軟件，更改服務器配置，對Web進行安全檢查等。

參考文獻

［1］單歐.SSL在web安全中的應用［J］.信息網(wǎng)絡安全，2004，（6）.