网站安全防范技巧

时间:2022-10-10 09:51:28

网站安全防范技巧

摘要:无论是企业网站还是个人网站,网站安全都是一个很重要的方面,因为网站安全问题可能对网站造成信誉、流量、盈利,甚至政治影响。网站被黑带来的挂马,网站内容篡改,病毒的扩散点,用户信息泄漏等等的问题都可能会给网站带来灭顶之灾,故做好网站的安全检测和安全维护都是非常重要的工作。这里通过网站安全工作中的经验积累,分几个部分谈谈网站安全建设与管理方面的做法。在实际工作中,保证了网站的正常应用。

关键词:网站;安全;检测;防范;维护;

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)27-6472-03

Web Site Safety Prevention Tips

WANG Zhao-lin

(Office of Human Resources and Social Security of Anhui Province Information Center,Hefei 230061,China)

Abstract: Whether corporate website or personal Web site,Website security is a very important aspect,Because site security problems may cause your Web site credibility, flow, profit, and even political influence。Web sites were brought by black hung horses,Website content has been tampered,The proliferation of viruses, user information leakage problems can bring to the site of catastrophe,Web site security testing and security maintenance is a very important work。Experience in security work through a Web site here, divided into several parts to talk about website security construction and management practices。In practical work, ensure that the site’s normal application.

Key words: website; safe; check; guard; maintain

笔者常常收到上级部门的《关于加强网站安全防护的通知》和网络与信息安全情况通报,使得我们对网站安全认识进一步提高,对一般网站的安全隐患进行了认真细致的分析,积极研究整改措施,并对网站进行了全面监测,保证了网站的安全运行。

1网站安全防范做法

1.1认真组织系统自查

1)充分认识加强网络安全管理工作的重要性

领导要高度重视,组织相关部门认真学习《网站安全的工作方案》,要求通过全面的安全检查,及时掌握网站的安全现状和面临的威胁,认真查找隐患,堵塞安全漏洞,完善安全措施,保障网站安全、稳定、高效运行。

2)对照检查内容,逐条进行检查

在规定的时间内,我院按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,从网站内容、网站安全体系和管理制度三个方面对网站进行了自查。

3)网站运行和内容方面。

①网站服务器安全。指派专人负责网站的日常运行与维护,确保网站正常运行。②不断完善网上服务功能,并安排专人对数据进行核查,确保数据准确性。③在网站内容方面,明确相关责任人对相应栏目的内容更新,及时各类网站信息。四是安排多人上班时间读网,发现错链、断链现象及时纠正。

4)安全防范措施方面。①网站已配备了硬件防火墙,有一定的防攻击、防病毒等硬件防护措施。②通过与有关技术支持商合作,加强网站的安全防护能力。③利用热备份和后台密码分级管理等手段,提高数据安全性。

5)管理制度方面。①建立了网上信息审核和保密审核制度,凡上传网站的信息,须经领导审查签字后方可。②与有关技术支持商明确了各方的职责与分工,并建全落实服务器管理、网站管理数据管理等各项规章制度。③投入必须服务经费,保证网站的安全和顺利运行。

1.2网站硬件防护策略

网站系统网络拓扑结构如图1。

图1

1)前端安全设备型号。防火墙:联想网御PV1408、IPS:联想网御IPS 630、网络防篡改:中软华泰

2)服务器信息。应用服务器:IBM X3850、操作系统:Windows 2008 standard 64bit、数据库服务器:IBM X3850、操作系统:RHAS 5.4

3)网站系统的前端安全设备有防火墙和入侵防护设备以及网络防篡改设备,可提供对网站的日常安全的保护功能。同时,应用方面数据库和应用程序分离,数据库不提供对外服务可降低安全的隐患。

1.3加强网站安全设备使用

网站部署在两台服务器上,一台存放服务,一台存放数据库,采用双机互相备份的方式及时的备份数据。整个大的网络环境内部署了一想网御PV1428防火墙和一想网御IPS630,并且针对门户网站还专门配置了中软华泰的网站防护系统,可以实现“网站防病毒”、“网站防篡改”、“网站防入侵”的目的。

主要功能如下:

1)执行程序可信度量。通过可信度量技术,对系统中要启动的执行程序进行真实性和完整性度量,禁止不符合预期的程序启动。通过上述机制,实现了网站服务器对于病毒、木马、攻击程序等恶意代码自免疫,弥补了杀毒软件的滞后性问题。

2)程序安装控制。控制程序安装行为,禁止非法的程序安装行为。

3)可信代码防篡改。对于信任程序的实时保护,禁止任何的破坏和非法修改行为。

4)网页防篡改保护。在系统底层利用文件过滤驱动技术,实时监控受保护的WEB目录,实施严格的强制访问控制,禁止对受保护的WEB目录进行任何非法操作,从源头上杜绝网页非法篡改行为的发生。

5)重要资源写保护控制。对存放在服务器中的重要数据进行实时防篡改保护,禁止非法的篡改行为。

6)防SQL注入攻击。过滤含有SQL注入关键字的数据包,从而起到防SQL注入的效果。

7)防跨站脚本攻击。过滤含有跨站脚本关键字的数据包,从而起到防跨站脚本攻击的效果。

8)抗黑客扫描:阻止恶意攻击者的扫描行为,保护服务器的敏感信息。

9)SSL终止:终止SSL安全连接,对数据流进行解码,检查明文格式是否含有恶意的流量。

网站工作人员定期对服务器系统进行漏洞扫描、安装补丁、系统升级,每个月做一次独立的网站数据备份,确保门户网站安全畅通运行。

1.4注重网站漏洞修复

经常更新系统软件,堵塞系统漏洞;比如:JBoss中间件漏洞修复;针对检测的安全隐患,我们认真分析了出现安全隐患的原因,并积极进行了整改,具体的修复方案及措施如下:

1)JBoss中间件存在非授权访问漏洞。

解决方案:我们采取的解决方案是在jboss目录下的server/default/deploy/jmx-console.war/WEB-INF/web.xml文件中增加了httpmethod>HEAD以降低威胁。

2)JBoss中间件的status页面可匿名访问。

解决方案:注销了/ROOT.war/WEB-INF/web.xml文件下的

3)JBoss中间件的web-console页面可匿名访问。

解决方案:

(1)找到jboss目录下的/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml,去掉security-domain>java:/ jaas/web-console的注释。

(2)找到jboss目录下的

/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml ,去掉部分的注释。

(3)修改jobss目录下的server/default/conf/login-config.xml,设置登录web-console的用户名和角色。

(4)CVS Web Repository开发工具信息泄露。

解决方案:删除了CVS Web Repository开发工具的文件。

在今后的工作中,我们将更加重视网站安全工作,严格贯彻落实上级有关文件精神,积极采取有力措施,进一步做好网站安全工作。

1.5加强内部数据的管理及监督

网站内部数据关系到用户的个人基本信息,不管是什么类型的网站都拥有用户,还有相应的程序员、技术员、管理员、编辑员等等,而加强对这些人员的管理管理,对网站的数据保护至关重要;作为简单有效的安全措施,口令一直是身份管理普遍采用的方式。网络接入、电子邮件和Web服务使口令得到了广泛的应用,口令的安全问题开始被人们关注。我们知道,口令的安全与它的长度和复杂度息息相关,越长越复杂的口令越不容易被黑客破解,但是这样的口令却难于记忆。通过建立密码、口令管理制度来保证安全;1)对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。2)当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管理部门提交申请单,有部门负责人或系统管理员核实后,履行规定的手续,并对用户档案做更新记载。3)如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。要加强网站数据和相关用户行为的审计,确保数据不丢失、不泄露,确保用户口令保密、行为安全可靠。

2结论

1)在实际网站运行中,通过上述措施,保证了网站的安全。

2)随着党务、政务、事业公开的深入推进,企业宣传的需要,人们对保障网站安全高效运行的认识逐步提高,网站管理不断加强,安全保障的要求越来越高,本文只是一点应用经验,希望对提高网站安全防护能力和水平提供一些参考。

上一篇:有问有答 第22期 下一篇:真要撇开IE,才能免遭零日攻击么?