中国管理信息化
Jul.,2018Vol.21,No.l4
China Management Informationization
网站安全隐患及应对策略分析
王颖
(大庆油田矿区服务事业部托幼管理中心,黑龙江大庆163000)
[摘要]随着互联网的快速普及,用户数量不断增多,网站的安全隐患问题开始引起人们的关注。基于此,本文分析了影
响网站安全运行的因素,并提出一些提高网站运行安全、消除安全隐患的措施,希望能够为广大业内人士提供借鉴。[关键词]网站;安全隐患;网络协议
doi: 10.3969/j.issn.l673 - 0194.2018.14.065[中图分类号]TP393.08
[文献标识码]A
[文章编号]1673-0194 (2018 ) 14-0141-02
近年来,互联网通信技术发展迅速,网络已经渗人生活的 每一个领域,人们可以方便地利用网络进行交流、获取相关知 识以及购买物品。同时,一些不法分子也开始利用互联网技术 从事非法活动,各种木马病毒开始在网络上蔓延,严重影响了 人们的正常生活,存在的各类安全隐患是摆在广大网站管理人 员面前的一道难题。因此,网站安全管理必须提上日程。1
影响网站运行安全的因素
1.1.3缺省初始化文件、配置文件和访问控制文件方面存在的 问题
在某些版本的Windows系统软件里,账号密码数据库文件 能让管理员账户以及账户组内的一切成员进行访问,该SAM文 件中的加密数据却放置于其他文件内。
一
些非法访问者和黑客
就会采用口令攻击或者密码破解提取软件对SAM数据文件进 行复制,从而获取进人系统的密码。1.1.4缓冲区溢出漏洞
利用该漏洞实施攻击的是为了对具有特定权限正在运行 程序进行干扰,使网络入侵者可以获得该运行程序的使用权 限,从而能够自由操作主机。操作系统以及应用软件中都存在 该漏洞,当网络攻击者针对这方面的缺陷实现入侵会引发程序 运行错误、操作系统瘫痪、出现死机等问题,更为严重的是人侵 者可以运行没有授权的计算机指令,获取操控计算机的特殊权 限来达到各种不可告人的目的。例如,前些年的莫里斯蠕虫利 用缓冲区溢出漏洞进行网络攻击,对全球范围内的网络造成了 严重破坏,导致数千台网络服务器停止运行。1.1.5病毒攻击
电脑病毒可以破坏内部存储资料,是人为编制的具有破坏 性的程序代码,它以占用电脑或者服务器的存储空间为目的, 能够破坏系统运行程序,窃取用户的数据和银行账号密码。电 脑病毒主要利用网络途径进行传播,也可以嵌入某些应用软件 内部,随着网络用户的不断增多,新型的网络病毒不断出现,近 几年影响力最大的为Ransomware勒索病毒,如果感染该病毒 将带来无法估计的损失。1.2人为层面的原因
1.2.1操作不当引发的安全问题
1.1技术层面的原因 1.1.1软件中存在漏洞
软件在编写时存在的安全漏洞是影响网站安全的关键因 素之一。在软件开发的过程中,开发人员由于没有重视安全环 节,导致在操作系统和应用层面都存在一些安全漏洞,而且软 件编程语言功能有限,时常要对软件进行打补丁操作。人们在 使用的过程中或者开发者在对软件进行功能检查时才会发现软 件中存在的漏洞。
一
些精通计算机技术的人员或者黑客组织时
常会利用软件存在的漏洞,从事一些非法活动。1.1.2网络协议方面的漏洞
网络协议方面的漏洞主要体现在操作系统、通信层和应用 层方面存在安全漏洞。在操作系统层面,例如开放性较好的 UNIX,在组成操作系统所需要的各种可执行文件目录清单 中,一切来访用户都有权限对其执行操作,这与系统安全中 最基本的最小特权原则相抵触。同时,一些操作系统的用户 可以在可执行文件内找到它具备的版本号,从而找到可以进 行攻击的漏洞,例如,利用Telnet远程登录服务功能就可以 找到邮件传输代理程序SENDMAIL的版本标识号码。通信 层存在缺陷的有集线器、网络层的IP协议和传输层的TCP 协议等,而应用层的一些设计错识体现在路由器、服务器以 及网络防火墙等应用软件上,一些人侵者能够针对这些问题 发动网络攻击。
[收稿日期]2〇18-06-17
在互联网越来越发达的当代,大多数网民在使用网络的时 候并不关心网络安全问题,在使用电脑和互联网的过程中没有 形成网络安全防范意识。各种软件和硬件配置不合理、感染病 毒、信息丢失等问题也是由于操作不当造成的。
CHINA MANAGEMENT INFORMATIONIZATION I
141
信息技术与启用
1.2.2计算机信息系统的非法人侵者引发的网络安全问题
不对称性密钥,加解密钥的过程应用不一样的运算方法,两把 钥匙都不一样,具有单一的公用密钥,但是有很多把实现解密 功能的钥匙。
2.2.2采用身份验证技术,保证网络运行安全
身份验证技术也就是对具有权限的用户进行验证,阻止不 明身份的用户访问网站信息,同时需要特权身份才能进人信息 存储区域。应用此种技术可确保工作人员的物理身份和数字身 份达到一致方可实施相关权限内的操作,是保护互联网信息的 重要手段。常用的身份验证有手机短信验证、动态密码、数字 雛等方式。3 结语
网站的安全运行不单是技术方面可以解决的,还需要具有 较强的风险防范意识。网站的运行维护人员在做好本职工作的 同时,还要积极学习相关理论知识,对网络中存在的不安全因 素进行科学分析,及时消除各种安全隐患,保证网站安全运行。
计算机信息系统的非法入侵者也称为黑客,是一类对计算 机技术比较擅长的人群,他们对网络系统非常熟悉,并且具有 非常丰富的网络理论知识和实践技能。因此这些人就会利用网 络通信协议以及操作系统中的某些漏洞攻击计算机。1.3互联网法律不完善
国际互联网络在20世纪90年代在国内得到了大面积的推 广应用,国家也出台一些相关的法律条文。但随着互联网规模 不断扩大,网络信息技术持续更新,各种形式的网络犯罪不断 涌现,原来的相关配套法律制度已经跟不上时代的步伐,给一 些利用网络实施犯罪的不法分子提供了非法获得利益的机会, 给网络安全带来了很大影响,影响到广大人民的正常生活。2 增强网站运行安全、消除安全隐患的措施
2.1采用先进的网络安全技术,消除网站安全隐患 2.1.1加装防火墙,避免非法入侵
防火墙是由软件和硬件设备组合而成的,在内部网络和外 部网络组合而成的网络安全系统,根据相关的控制规则,允许或 者约束信息传送是否应该通过,在网络安全中发挥了重要的作 用,常用的有瑞星和360公司生产的防火墙产品,具有很高的工 作效率和较大的应用范围。防火墙能够自动识别网络中存在的 各种具有攻击性的病毒、木马或钓鱼网站,并进行科学分析,有
[1]宋斗超.高校网站的安全问题及应对策略探究[J].福建电
脑 ’2013(6).
[2 ]李苑.企业网站面临的安全问题及应对策略[J ].中国管理信息
化,2010(14).
[3 ]王强辉,刘晓莉,吴祥杰•浅析网络建设中常见的问题及其对策[J ]•
电子技术与软件工程,2013(6).
[4 ]刘长喜,吴喜达,蒋吉才.在网络开放背景下试分析网络安全的重
要性及其实际意义[J].电信与电脑技术,2015(1).
[5 ]金昌吉,王建业,刘守田.互联网条件下网站建设中存在的问题与
对策分析[J ].电子世界,2016⑷.
[6 ]王守吉,林野,张建书.互联网+环境下的网站安全建设分析[J ].
电工技术,2016(5).
[7 ]王志刚,喻金科.当前形势下网络安全的主要隐患及应对策略分
析[J] •无线互联科技,2015(1).
[8爍华博.电子信息产品数据安全隐患的应对策略分析[J ].工程技术:
文摘版,2016(8).
[9 ]段一平,李永伟•网络信息的安全隐患及应对策略研究[J ] •科技
信息:学术研究,2008(18).
[10浏应刚,周常柱,袁森超•基于JSP技术的Web网站安全性研究[J ].
现代电子技术,2004(12).
[11 ]彭建,黄家林.基于ASP技术的Web网站安全措施分析[J ].电
脑与信息技术,2002(2).
[12 ]王明.基于ASP.NET、SQL SERVER技术建设的网站安全问题及
解决方案[J ] •计算机安全,2007(5).
[13 ]卢斌.从政府网站安全事件看电子政务安全防护体系建设----2006中国政府网站安全形势分析[J ].信息化建设,2007(1).
主要参考文献
效阻挡病毒的各种伪装人侵、黑客的蓄意攻击和网上存在的各
种骗钱行为,可以为终端用户定制专业化的网络安全处理方案。
2.1.2加装互联网非法攻击监测系统
如果把防火墙视为一座建筑的安全保卫人员,互联网非法 攻击监测系统则是建筑内部加装的各种监视器或防盗装置。如 果有不明身份的人员来访或者非法入侵,就会及时发出警报, 最早应用于20世纪80年代,可以主动处理各种网络威胁。互 联网非法攻击监测系统可以实时对网络中传送的数据进行监 视,检测过程中如果发现异常数据传送便会发出警报,并立即 拦截异常数据。
2.2提高网站管理水平,去除网络不安全因素
2.2.1对传送的数据进行加密处理,保证网络传输安全
在利用互联网进行数据传送的过程中,为了避免传送的数 据出现遗失或者被不明身份的人员修改,应该采用数据加密技 术对数据进行加密,只有符合身份的用户和网站才能接收到发 送过来的原始信息。具体的实现过程是利用把原始信息打乱的 方式,让没有解读权限的人们弄不清其代表的实际意思。对于 信息的发送者以及接收方,要使用一种特别的信息处理方式进 行解密和加密,也就是人们常说的密钥,根据不同的加密运算 法则可以划分为专用密钥和公开密钥,加密与解密过程应用同 样的密钥,也就是一样的运算方法。常用并且安全等级高的加 密方法为DES密钥加密法,它采用56位的密钥,具有很高的运 算效率,能够在较大的范围内进行推广。而公开密钥也被称为
142
/ CHINA MANAGEMENTINFORMATIONIZATION
因篇幅问题不能全部显示,请点此查看更多更全内容