网站安全分析与防范

摘要：钓鱼网站、假冒网站严重阻碍了网络应用的发展，我国的网站安全形势日益严峻。网站安全是指对网站进行管理和控制，并采取一定的技术措施，从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。文章介绍了网络与网站存在的安全隐患，提出了加强网站安全的应对策略。

关键词：网站 安全 防范

网站安全目前已发展成为一个跨专业的综合性学科，它包括网站技术、计算机软件、通信技术、硬件设计、密码学与计算机安全技术等，网站安全是在攻击与防范这一对矛盾相互作用的过程中发展起来的。新的攻击必然导致新的防护措施的研究，新的防护措施又让攻击者开发新的攻击，如此循环反复，网站安全技术也就在双方的争斗中发展的越来越快。

1网络与网站安全隐患概述

目前网站安全的隐患主要来自于网络的不安全性，所以在这个意义上讲，网络的安全漏洞其实也就是网站的安全漏洞，其漏洞主要来自以下几个方面：

1.1软件漏洞。任何的系统软件和应用软件都不能做到无缺陷和无漏洞的，而这些缺陷和漏洞恰恰是不法分子、黑客进行窃取机密和破坏信息的首选途径。针对固有的安全漏洞进行攻击，主要从以下几个方面：1.1协议漏洞。例如，IMAP和POP3协议一定要在Unix根目录下运行，攻击者就利用这一漏洞攻击IMAP破坏系统的根目录，从而获得超级用户的特权。1.2缓冲区溢出。很多系统不检查程序与缓冲区之间变化，就接受外部任何长度的数据输入，把溢出部分数据放在堆栈内，系统仍然照常执行命令。攻击者利用这一漏洞发送超出缓冲区所能处理的长度的指令，从而造成系统不稳定状态。1.3口令攻击。例如，Unix 系统软件通常把加密的口令保存在一个文件中，而该文件可以通过拷贝或口令破译方法受到入侵。因此，任何不及时更新的系统，都是容易被攻击的。

1.2病毒攻击。计算机病毒一般分为四类：文件型病毒、链式病毒、引导型病毒、和宏病毒。计算机病毒的主要危害：破坏计算机数据信息，给用户造成重大损失：占用系统资源并影响运行速度：产生其他不可预见的危害，给用户造成严重的心理压力。计算机病毒疫情发展呈现出多元化的趋势，主要传播途径为网络。主要有以下显著特点： ①病毒向多元化、混合化发展；②利用漏洞的病毒越来越多③网络病毒占据主要地位；。

1.3操作失误。由操作员配置不当造成的安全漏洞，像用户安全意识不强.口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会威胁网络安全。这种情况在企业计算机网络使用初期比较常见，随着网络管理制度的完善和对使用人员的培训，这种情况逐渐减少.对网络安全威胁不大。

1.4恶意攻击。这是计算机网络所面临的最大威胁，对手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为两种：一种是被动攻击，在不影响网络正常工作的情况下，进行截获、破译、窃取来获得重要机密信息。另一种是主动攻击，以各种方式选择性地破坏信息的有效性和完整性；电子商务初期，在一些电子商务网站的程序中，存在着用户可以随意定义自己购买商品的价格这样的漏洞，这是由页面行为方式缺乏逻辑造成的。当然，网站安全还包括病毒攻击、服务器攻击等方面。

2 提升网站安全的应对策略

2.1 完善网站安全责任管理体制

网站信息安全建设是一项大的系统工程，需要运转顺畅、分工合理、责任明确、协调有力的网站安全责任管理体制、信息安全立法和投资的集中统一协调机制。应参照国外加强网站信息安全统一和集中管理的具体先进做法，逐步建立健全统一的国家网站安全领导机构，统一管理我国网站信息安全。

2.2 完善网站安全相关政策法规。

营造良好政策环境继续完善网络信息安全法律体系，修订和制订包括个人隐私保护、政府信息安全条例等方面的网站安全相关法律法规，明确社会各方面的权利、义务和责任，保障基础信息网络和信息内容安全，维护广大网民的合法权益。建立健全信息审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项与网站安全有关的安全检查制度，对大面积采集和掌握用户信息、监控用户行为，以及收集国家基础数据、企业和组织重要商业数据的要作出规定，明确应当承担的法律责任和义务。

2.3 加大网站安全投入，提高网站安全防护能力

整合国家各部委资源形成合力，鼓励推进具自主知识产权的信息安全产业发展；支持促进产业发展的安全芯片、应用软件、操作系统、安全终端产品等核心技术和关键产品研发，实现信息安全产业关键技术和产品的突破；形成包含信息安全技术、产品、标准和服务等在内的信息安全产业体系，为网站安全奠定基础。

网站运营单位应该加强安全投入，重点加强专业安全运营维护团队建设。国内互联网企业应该大幅提高信息安全支出比例，增加网站安全软硬件设备的投入的同时加强专业安全维护团队的建设，确保网站涉及的系统机器及其外部设备不遭受各种物理破坏以及保证网站安全有关的系统及数据的完整性、保密性和可用性。

2.4 建设网络主体身份认证服务体系。

网络主体身份真实、网络行为可追溯是解决网络交易欺诈、网站钓鱼等问题的根本。率先推动基于信息比对和数字证书两种方式的网站身份认证服务，确保网站身份真实、可靠，逐步杜绝钓鱼网站、假冒网站的出现。逐步推广个人、设备、企业法人等网络主体的身份证书，提供适合各网络主体的身份认证服务，避免网络交易欺诈现象发生。

参考文献

[1]沈昌样.网络安全与信息战[J].网络安全技术与应用.2001

[2]骆耀祖，龚洵禹.动态网页设计教程[M].广州：中山大学出版社，2002

[3]刘权.我国网站安全形势分析与对策建议[J].信息安全与技术.2012（8），3-5

[4]郭昆.试论网络与网站安全隐患[J].改革与开放2010（4），184