论计算机网络及网站的安全性

摘要：本文以政府部门计算机网络和网站在运行中碰到的安全问题，阐述了如何建设相对安全的网控中心，并对因特网上信息的网站所受到的各种攻击做出了说明，以及如何采用各种技术方法和措施填补漏洞、防范攻击，保障网站安全。

关键词：网络安全；网站安全；漏洞修补；SQL注入；跨站脚本

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 08-0000-02

The Security of Computer Network and Website

Zhang Yi

(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)

Abstract:In this paper,government computer networks and Web sites encountered in the operation of the security issues,explains how to build the relative safety of the network control center,and publish information on the Internet for sites made by the description of the various attacks and how to Using a variety of technical methods and measures to plug the loopholes to prevent attacks,protect website security.

Keywords:Network security;Site security;Bug fixes;SQL injection;

Cross-site scripting

1990年以来，我国计算机发展从单机应用逐渐向网络化应用转变，随着因特网引入中国，内部局域网也随之接入了因特网。在早期，我们的因特网接入还是通过远程拨号或分组网的方式直接接入上级服务商，由于仍然属于内部网接入加上上网的方式，因此基本上不考虑网络安全的问题。后来，随着当地电信运营商的技术进步和发展，因特网接入也由电信运营商直接完成，这时，开始出现了一系列安全问题。到如今，计算机网络系统已经形成了WEB服务器，数据库服务器等组成的网络及网站系统，因此安全问题日趋严重。

一、建立保障网络和网站安全性的运行环境

在给机房专门供电的市电基础上采用了智能在线式UPS，可以保证主要服务器和网络设备、工作站在市电断电后2小时的工作时间，以保障服务器的数据不至于市电突然断电而被破坏。还不定期对UPS的电池进行充放电试验，并检查电池组工作状态，防止电池老化和过度放电而影响UPS的正常工作。今后，还应该添加UPS设备组成UPS供电矩阵，进行UPS的冗余配备。

和专业的防雷系统安装公司合作，合理布置安全防雷系统和措施，针对市电接入防雷和建筑物防雷展开调研，最终形成一套有效的防雷系统和措施，确保了网络机房的安全防雷。

选择专业的具有一定资质的网络机房施工单位，对机房设备进行妥善的接地处理（按标准在离机房建筑物一定距离内、一定深度放置接地金属网栅，并对连接线材严格按标准进行施工），采用带钢板的机房专用防静电地板，在消除静电干扰的同时，也带来了机房地面的整洁。

对网络机房采用了防尘处理，配合空调和带防尘罩的通风口，以确保机房的防尘和温度的调节。在网络设备机柜和服务器机柜均采用下口进风上口出风的空气循环系统，保障了设备工作温度的需求。

二、保障网络及网站系统安全的技术方法

在服务器操作系统中选择正版的，并达到一定级别安全的操作系统，不至于因为使用盗版软件，而在系统中被人为添加如漏洞、木马和不良软件等不安定因素，导致系统运行不稳，数据被盗等。

在服务器上设置计算机域，并在主域控制服务器上安装网络防病毒软件，关键的工作和管理用计算机作为域成员计算机加入计算机域中，保证域中成员计算机才有权直接访问服务器内容，并安装病毒软件的受控客户端，可以及时升级更新病毒库。同时对接入系统的移动存储设备如U盘、移动硬盘等加以监控，杜绝病毒或木马、后门程序载入系统中。可能的话，还应该在外网口处配置硬件防病毒网关，把病毒侵入防范在入口出。在计算机域中设置多级访问服务器权限，除超级管理者外其他用户无法直接对服务器进行写入操作，防止一般用户篡改数据。

在服务器中采用RAID5以上级别的磁盘阵列保障系统的安全工作，确保不至于一个硬盘损坏导致的系统崩溃。采用外置的磁盘阵列存储重要数据库数据，可以确保有2个硬盘损坏时系统仍然正常工作。组成双机热备份的方式，各核心数据建立完善的数据备份策略和恢复机制，定期对数据进行备份，当计算机的软硬件发生故障时，利用备份进行数据恢复。今后有条件还可以采用虚拟带库进行数据的备份和恢复。

在网络出口处配备网络防火墙，使用过滤规则和访问控制，把网络及网站系统分为内网和外网，光纤接入防火墙外网口，局域网由千兆交换机接入内网口，使内外网隔离，并使用IP地址转换从而把内网数据隐藏在防火墙后，可以防御当今流行的多种网络攻击和非法访问。

安装入侵检测系统，可以自动实时的响应入侵行为的发生，无妨碍地监控网络传输数据，自动自动检测和响应可疑行为。在网络系统受到危害之前截取和响应安全漏洞、内部误用，从而最大程度为网络及网站提供安全。

在配备了网络防护硬件的同时针对网站的安全也采取了以下措施，保障网站的安全。

（一）及时对操作系统和应用系统中的软件漏洞进行修补，在第一时间下载安装最新的系统漏洞补丁，保证明漏洞的修补。

（二）对网站采取访问权限设置，严禁有外部写入权限的发生，确保非法数据不被写入。

（三）安装防篡改软件，防止敏感信息被修改，保证网站提供信息的准确性。

（四）配置好IIS服务器，修改错误反馈文件，防止网站软件版本等信息泄露。在必要时也增加设置URLSCAN组建，配置访问数，允许访问文件类型，访问关键词等相关内容，以及抵御拒绝服务攻击等网络攻击和非法请求。

（五）针对SSL连接协议的重要性，在服务器中禁止SSL3.0以下协议和PCT1.0协议，并对弱口令漏洞进行修改，限制128位以下加密协议的使用。

（六）针对SQL注入攻击，进行网站代码的重新审定和编写，对访问用户输入数据合法性进行判断，消除程序安全隐患，防止非法用户获取数据库密码和进行数据库内容的修改。

经过采取有效的安全措施，制定可行的安全方案，并进行实施，最后在经过WVS等软件进行模拟试验，证明可以保障网络及网站的安全。在有条件的情况下，应该做到网络及网站系统的异地容灾中心的建设，这样，才能更好地消除环境，如地震、水灾、火灾等带来的安全问题。

参考文献：

[1]蔡旭杰.浅谈医院计算机中心机房的安全建设[J].中国医疗设备,2009,7(87):77-78