网站安全管理经验浅析

【前言】网站安全管理经验浅析由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(Guiyang Municipal Meteorological Bureau,Guiyang550002,China) Abstract:As a two-way information exchange and communication tool,the Internet has become an important media dissemination of information,which is therefore called the fifth kind of medi...

摘要：互联网作为信息双向交流和通讯的工具，已经成为信息的传播重要媒介，被称之为继广播、报纸、电视后的第五种媒体―数字媒体，而网站作为它的一种体现形式，提供了一个对外的信息窗口，当然在提供对外的同时，相应地就面临了一个问题，那就是网站的安全问题。在网站建设后，针对网站的安全问题，本文根据实际经验，对网站安全管理的措施进行浅析。

关键词：网站维护；网站管理；安全

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 10-0000-02

Analysis of Site Security Management Experience

Jian Weiwei,Xiao Li,Xu Jinjing

(Guiyang Municipal Meteorological Bureau,Guiyang550002,China)

Abstract:As a two-way information exchange and communication tool,the Internet has become an important media dissemination of information,which is therefore called the fifth kind of media after radio,newspapers,TV and so on.web site,as a form of it,provides an open information window,of course,at the same time,it correspondingly faces a problem,and that's web site safety problems.After the construction of website,gearing towards the web security problems,according to the practical experience of safety management,the article has given an overall explanation on safety management of website.

Keywords:Website maintanance;Website management;Safety

一、前言

随着时代的前进，网络也在飞速地发展之中，相应地网络技术也伴随着网络的发展而发展着，与此同时，黑客技术也在随之前进，这导致了一个问题，网络安全所面临的问题也会越来越多。

目前，黑客攻击已成为一个很严重的网络问题，对于一个企业网站来说，为了保障自身的数据安全与用户信息的安全，网站的安全管理已经成为了一个网站至关重要的部分。

众所周知，网站的安全管理维护是一个持续的过程，它能加强我们网站的安全性，防止意外情况的发生，尽量将不安全因素减到最小。只要有网站的地方，就有网站的安全管理维护，本文将针对网站的安全问题，根据笔者的实际经验，对网站的安全管理进行浅析。

二、网站安全防御分析与措施

从技术上来说，一个网站所应采用的相应安全技术主要包括：防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、安全紧急响应体系。网站的安全防御工作主要由两部分构成，分为硬件的布设，软件系统和数据库系统的防范设置工作，采取分级布置，层层防御的策略，加上良好的管理维护制度，只有这样才能最大化的对网站进行有效的安全防护管理。

（一）硬件方面的防护策略

在整个网站的安全防御工作中，硬件的使用、配置是最重要的，只有设置好这第一道大门，才能更大程度上做好防御工作。一般情况下，网络环境的安全结构中，需要配置硬件防火墙，防篡改系统，入侵检测系统等。

1.防火墙技术是近年发展起来的重要信息安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部信息安全的前提下，保障内外网络通讯。在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。防火墙可以完成以下具体任务：

（1）通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问；

（2）防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样做可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘；

（3）同样，防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝；

（4）由于外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为；

（5）另外，由于安装了防火墙后，网络的安全策略由防火墙集中管理，因此，黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的，而直接攻击防火墙是很难的。

（6）防火墙可以进行地址转换工作，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。

2.应用防火墙技术，经过细致的系统配置，通常能够在内外网之间提供安全的网络保护，降低网络的安全风险。但是，仅仅使用防火墙、信息安全还远远不够。因为：

（1）入侵者可能寻找到防火墙背后敞开的后门；

（2）入侵者可能就在防火墙内；

（3）由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

入侵检测系统技术目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击，其次是因为它能够缩短黑客入侵的时间。因此，应用入侵检测技术保护网络与主机资源，防止内外网攻击。

此外，防火墙是依靠病毒或攻击数据库来防御的，黑客可以利用数据库更新的时间差来进行攻击，对此，防火墙显然是无力的，特别是对于应用层的攻击，四层防火墙基本上是起不了作用。因此，就需要防篡改系统的配合使用，才能更大化的发挥防火墙的功效。

网页防篡改能对用户站点的文件进行保护，通过WEB防护、实时阻断、流出检测等方式进行网页保护，可以有效地防止WEB非法访问，SQL注入攻击，网页文件篡改等操作，针对于WEB攻击，扫描，非法请求等操作进行拦截，发现有对网页进行修改，删除等非法操作时，进行保护，并进行报警，采取了多层次，多方位，全面地保护站点的安全，自动监控，自动还原，全智能化的防范体系，为站点提供了安全方便的保护机制

（二）软件方面的防护策略

1.软件上的防护分为系统软家的防护和应用软件的防护，系统软件只要就是指网站服务器和数据库服务器等所采用的操作系统，包括Windows，Unix和Linux。通常情况下，通过以下措施来设置好系统软件的防护设置工作：

（1）安装系统时，不要把系统安装在默认目录下，也不要安装多余的服务和多余的协议，因为有的服务存在漏洞，多余的协议会占用资源，因此，无用的服务和协议不要安装。

（2）安装Windows补丁。

（3）安装防病毒软件。

（4）选择合适的网卡驱动和显示器驱动程序。

（5）限制匿名访问本机用户，限制远程用户对光驱或软驱的访问，限制远程用户对NetMeeting的共享，禁用NetMeeting的远程桌面共享功能，用户就不能利用NetMeeting控制该计算机，限制用户执行Windows安装任务。这个策略可以防止用户在系统上安装软件。

（6）账号策略：账号尽可能少，且尽可能少用来登录；除过Administrator外，有必要再增加一个属于管理员组的账号；所有账号权限需严格控制，轻易不要给账号以特殊权限；将Administrator重命名；将Guest账号禁用，同时重命名为一个复杂的名字，增加口令，并将它从Guest组删掉；给所有用户账号一个复杂的口令（系统账号出外），长度最少在8位以上，且必须同时包含字母、数字、特殊字符。口令必须定期更改（建议至少两周改一次）；在账号属性中设立锁定次数。

最后，还要对IIS进行相关的设置，不使用默认的Web站点，避免外界对网站的攻击，要对该站点主目录权限进行设置。一般情况下设置成SYSTEM和Administrator两个用户可完全控制．IUSR可以读取文件。

2.应用软件的防护就是针对WEB应用软件的防护了，一是通过防篡改系统防护，二是在开发阶段的设置工作，主要体现在程序设计阶段，其中网站源代码必须先经过安全测试，主要测试：

（1）检查网站运行的可靠性和对环境的特殊要求。

（2）检查是否含有通用的代码或模板，其安全性如何；检查是否含有非法代码或漏洞。

（3）检查是否对重要的页面或程序源码进行加密，一般通过两种方法进行检测，一种是使用测试代码进行，另一种是使用专门的测试工具；

如：对ASP网站的程序，一种是使用组件技术将编程逻辑封装入DLL之中；另一种是使用微软的Script Encoder对ASP页面进行加密。

（4）检查在需要验证的页面开头处是否进行了相应的处理，比如：可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面等。

（5）检查程序中是否含有密码、物理路径。

（6）检查用户或用户组权限分配是否合理。

另一方面，网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响，如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解，也会致使非法用户进行程序的删改。

三、网站管理相关制度

设置好了硬件的防护和软件的防护后，不能就说高枕无忧了，还必须有一个规范的管理制度来制约，加强管理和监督维护，定期检测网站的整体系统，只有这样，才能更好的维护网站的安全。

四、结束语

对网站的安全维护来说，没有一劳永逸的事，维护者也不要抱有立竿见影的思想，只有不停地前进并将自己的技术知识进行及时的更新才能将网站的安全关把好。

总之网站的安全维护是一项颇为复杂的系统工程，只有从多方面、多角度进行维护，并且将安全措施与网站的技术漏洞进行及时更新，才有可能保证网站安全可靠地运行，因为在网站维护的天空里，没有永远的安全，只有不断地完善与前进。

参考文献：

[1]胡文启,徐军,张伍荣.网络安全大全(网管实战宝典)[M].北京:清华大学出版社,2008

[2]梁亚声.计算机网络安全教程[M].北京:机械工业出版社,2008