前言：本站為你精心整理了網(wǎng)站安全防護(hù)管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

摘要：對(duì)目前日益嚴(yán)峻的網(wǎng)站安全問(wèn)題進(jìn)行分析，提出了網(wǎng)站安全防護(hù)措施，通過(guò)基于UNIX和Windows等常用平臺(tái)，介紹WEB網(wǎng)站的防護(hù)經(jīng)驗(yàn)。

關(guān)鍵詞：網(wǎng)站;安全;防護(hù)

1網(wǎng)站技術(shù)簡(jiǎn)介安全威脅的來(lái)源

1.1WWW技術(shù)簡(jiǎn)介

WorldWideWeb稱(chēng)為萬(wàn)維網(wǎng)，簡(jiǎn)稱(chēng)Web。分成服務(wù)器端、客戶(hù)接收機(jī)及通訊協(xié)議三個(gè)部分。

1.1.1服務(wù)器(Web服務(wù)器)

服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定、信息傳輸格式及服務(wù)器本身的基本開(kāi)放結(jié)構(gòu)。Web服務(wù)器的作用就是管理這些文檔，按用戶(hù)的要求返回信息。

1.1.2客戶(hù)接收機(jī)(Web瀏覽器)

客戶(hù)機(jī)系統(tǒng)稱(chēng)為Web瀏覽器，用于向服務(wù)器發(fā)送資源索取請(qǐng)求，并將接收到的信息進(jìn)行解碼和顯示。Web瀏覽器是客戶(hù)端軟件，它從Web服務(wù)器上下載和獲取文件，翻譯下載文件中的HTML代碼，進(jìn)行格式化，根據(jù)HTML中的內(nèi)容在屏幕上顯示信息。

1.1.3通訊協(xié)議(HTTP協(xié)議)

Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進(jìn)行通訊傳輸。HTTP(HyperTextTransferProtocol，超文本傳輸協(xié)議)是分布式的Web應(yīng)用的核心技術(shù)協(xié)議，在TCP/IP協(xié)議棧中屬于應(yīng)用層。它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁(yè)面請(qǐng)求的格式，以及Web頁(yè)面在Internet上的傳輸方式。

1.2服務(wù)器安全威脅

對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞，惡意用戶(hù)都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮：

Web服務(wù)器操作系統(tǒng)本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要文件，甚至造成系統(tǒng)癱瘓。

Web數(shù)據(jù)庫(kù)中安全配置不完整，存在弱口令或被數(shù)據(jù)庫(kù)注入等安全漏洞，導(dǎo)致數(shù)據(jù)丟失或服務(wù)中斷。

Web服務(wù)器上的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)不合理，沒(méi)有劃分安全區(qū)域或重要數(shù)據(jù)沒(méi)有存放在安全區(qū)域，導(dǎo)致被侵入。

Web服務(wù)器上運(yùn)行的程序存在安全漏洞，或應(yīng)用程序所需要的權(quán)限過(guò)高沒(méi)有優(yōu)化，容易被黑客侵入。

1.3客戶(hù)端安全威脅

現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶(hù)端的主要威脅。主要用到JavaApplet、ActiveX、Cookie等技術(shù)都存在不同的安全隱患。

1.4數(shù)據(jù)傳輸中的安全威脅

Internet是連接Web客戶(hù)機(jī)和服務(wù)器通信的信道，是不安全的。未經(jīng)授權(quán)的用戶(hù)可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。

2WEB安全保護(hù)的原則

2.1實(shí)用的原則

針對(duì)網(wǎng)站架構(gòu)，網(wǎng)站安全問(wèn)題主要分為以下四個(gè)方面：服務(wù)器安全、邊界安全、Internet和Extranet上的安全，在攻擊行為發(fā)生前，做到防患于未然是預(yù)防措施的關(guān)鍵。

2.2積極預(yù)防的原則

對(duì)WEB系統(tǒng)進(jìn)行安全評(píng)估，權(quán)衡考慮各類(lèi)安全資源的價(jià)值和對(duì)它們實(shí)施保護(hù)所需要的費(fèi)用，通過(guò)評(píng)估，確定不安全情況發(fā)生的幾率，采用必要的軟硬件產(chǎn)品，加強(qiáng)網(wǎng)站日常安全監(jiān)控。

2.3及時(shí)補(bǔ)救的原則

在攻擊事件發(fā)生后盡快恢復(fù)系統(tǒng)的正常運(yùn)行，并找出發(fā)生攻擊事件問(wèn)題的原因，將損失降至最低，并研究攻擊發(fā)生后應(yīng)對(duì)措施。

3建立安全的Web網(wǎng)站

3.1合理配置主機(jī)系統(tǒng)

3.1.1僅提供必要的服務(wù)

默認(rèn)安裝的操作系統(tǒng)都有一系列常用的服務(wù)。例如UNIX系統(tǒng)將提供Finger、Sendmail、FTP、NFS、IP轉(zhuǎn)發(fā)等，WindowsNT系統(tǒng)將提供RPC、IP)轉(zhuǎn)發(fā)、FTP、SMTP等。而且，系統(tǒng)在缺省的情況下自動(dòng)啟用這些服務(wù)，或提供簡(jiǎn)單易用的配置向?qū)?。為此，在安裝操作系統(tǒng)時(shí)，應(yīng)該只選擇安裝必要的協(xié)議和服務(wù)；對(duì)于UNIX系統(tǒng)，應(yīng)檢查/etc/rc.d/目錄下的各個(gè)目錄中的文件，刪除不必要的文件；對(duì)于Windows系統(tǒng)，應(yīng)刪除沒(méi)有用到的網(wǎng)絡(luò)協(xié)議，不要安裝不必要的應(yīng)用軟件。一般情況下，應(yīng)關(guān)閉Web服務(wù)器的IP轉(zhuǎn)發(fā)功能。

對(duì)于專(zhuān)門(mén)提供Web信息服務(wù)(含提供虛擬服務(wù)器)的網(wǎng)站，最好由專(zhuān)門(mén)的主機(jī)(或主機(jī)群)作Web服務(wù)器系統(tǒng)，對(duì)外只提供Web服務(wù)，沒(méi)有其他任務(wù)。這樣，可以保證(1)使系統(tǒng)最好地為Web服務(wù)提供支持；(2)管理人員單一，避免發(fā)生管理員之間的合作不調(diào)而出現(xiàn)安全漏洞的現(xiàn)象；(3)用戶(hù)訪問(wèn)單一，便于控制；(4)日志文件較少，減輕系統(tǒng)負(fù)擔(dān)。

對(duì)于必須提供其他服務(wù)，則必須仔細(xì)設(shè)置目錄、文件的訪問(wèn)權(quán)限，確保遠(yuǎn)程用戶(hù)無(wú)法通過(guò)Web服務(wù)獲得操作權(quán)限。

3.1.2使用必要的輔助工具，簡(jiǎn)化安全管理

啟用系統(tǒng)的日志(系統(tǒng)帳戶(hù)日志和Web服務(wù)器日志)記錄功能。監(jiān)視并記錄訪問(wèn)企圖是主機(jī)安全的一個(gè)重要機(jī)制，以利于提高主機(jī)的一致性以及其數(shù)據(jù)保密性。

3.2合理配置Web服務(wù)器

在UnixOS中，以非特權(quán)用戶(hù)而不是Root身份運(yùn)行Web服務(wù)器。

（1）設(shè)置Web服務(wù)器訪問(wèn)控制。通過(guò)IP地址控制、子網(wǎng)域名來(lái)控制，未被允許的IP地址、IP子網(wǎng)域發(fā)來(lái)的請(qǐng)求將被拒絕；

（2）通過(guò)用戶(hù)名和口令限制。只有當(dāng)遠(yuǎn)程用戶(hù)輸入正確的用戶(hù)名和口令的時(shí)候，訪問(wèn)才能被正確響應(yīng)。

（3）用公用密鑰加密方法。對(duì)文件的訪問(wèn)請(qǐng)求和文件本身都將加密，以便只有預(yù)計(jì)的用戶(hù)才能讀取文件內(nèi)容。

3.3設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限

為了安全起見(jiàn)，管理員應(yīng)對(duì)”文檔根目錄“和“服務(wù)器根目錄”做嚴(yán)格的訪問(wèn)權(quán)限控制。

服務(wù)器根目錄下存放日志文件、配置文件等敏感信息，它們對(duì)系統(tǒng)的安全至關(guān)重要，不能讓用戶(hù)隨意讀取或刪改。

服務(wù)器根目錄下存放CGI腳本程序，用戶(hù)對(duì)這些程序有執(zhí)行權(quán)限，惡意用戶(hù)有可能利用其中的漏洞進(jìn)行越權(quán)操作。

服務(wù)器根目錄下的某些文件需要由Root來(lái)寫(xiě)或者執(zhí)行，如Web服務(wù)器需要Root來(lái)啟動(dòng)，如果其他用戶(hù)對(duì)Web服務(wù)器的執(zhí)行程序有寫(xiě)權(quán)限，則該用戶(hù)可以用其他代碼替換掉Web服務(wù)器的執(zhí)行程序，當(dāng)Root再次執(zhí)行這個(gè)程序時(shí)，用戶(hù)設(shè)定的代碼將以Root身份運(yùn)行。

3.4安全管理Web服務(wù)器

Web服務(wù)器的日常管理、維護(hù)工作包括Web服務(wù)器的內(nèi)容更新，日志文件的審計(jì)，安裝一些新的工具、軟件，更改服務(wù)器配置，對(duì)Web進(jìn)行安全檢查等。

參考文獻(xiàn)

［1］單歐.SSL在web安全中的應(yīng)用［J］.信息網(wǎng)絡(luò)安全，2004，（6）.