论文部分内容阅读
【摘要】 公众信息平台是政府网站的一个重要组成部分,研讨如何创建安全、高效的网站是很有必要的。本文主要介绍了网站在运营当中容易出现的漏洞,以及防范这些漏洞应采取的一些安全策略。
【关键词】 网站安全;防火墙;脚本;漏洞;策略
【中图分类号】:G623.58【文献标识码】:A 【文章编号】:1009-9646(2008)05-0219-01
1 政府公众信息平台安全和稳定的重要性
随着整个社会信息化程度的不断提高,政府的各个部门也在利用信息化技术为公众提供全面的信息服务。但随之而来的安全问题也变得更加突出、严重,如果因为安全的问题导致网站无法正常运行,那将给用户带来很多不便甚至会涉及注册用户的个人信息泄漏,从而给政府形象造成影响。如何认识和建设网站的安全高效体系,分析其中的问题并制定相应的策略,将对政府网站的建设具有很重要的意义。
1.1 系统安全漏洞。由于使用windows平台,用于门户网站发布操作系统一般会采用windows server 2003,数据库一般会选用SQL Server2000或2005。这两者在系统本身上都存在一定的安全漏洞,而且这些漏洞本身是在软件设计上的问题和缺陷,而这种缺陷实在开发过程中无法避免的。由于许多漏洞在该软件广泛应用前是很难被测试出的,所以这些涉及系统安全的漏洞都是被陆续的不断发现的,每次漏洞被发现被公布后,软件厂商都会及时修补程序,在这段时间内,黑客就会利用这写漏洞通过网络对计算机系统进行攻击。由于windows是目前应用最广泛的操作系统,也就成了黑客利用漏洞来实行攻击的主要目标。
1.2 脚本安全漏洞。在windows平台下,最常使用的动态网页的开发工具就是asp和asp.net,它们是当前应用最为广泛且开发周期最短的Web开ASP发平台。Asp.net是asp的全新版本,它是一个已编译的,基于.net的开发环境,可以用任何与asp.net兼容的语言开发应用程序。最为常见的就是C#,但是,由于动态Web页面需要用户输入许多资料和数据与之进行信息交互,而用户输入的信息是无法预测的,且当用户不够友好的时候,将会输入一些带有恶意的代码来破坏系统。
2 系统安全的保障
作为门户网站和公众信息平台的根基,操作系统和数据库系统的安全必须得到保障,主要采取的办法是消除windows和SQL Server本身的漏洞,安装防火墙及防病毒软件已保障系统的安全。
2.1 防护windows漏洞。Windows作为目前应用最广泛的操作系统,也就成了黑客利用漏洞来实行攻击的主要目标。Windows的漏洞主要通过服务包(Service Pack)、安全漏洞补丁、Windows Update的方式解决。在安装Windows后,必须首先更新最新的Service Pack,它包含从该版本Windows发布后直到该Service Pack发布前的所有安全漏洞补丁集合。之后可以采用Windows Update的方法安装剩余的日常更新文件。Windows Update作为微软公司保护系统安全,提高Windows性能的重要组件,目前已经是V6版本。通过它,我们可以安装所有的更新文件,同时可以以自动运行的方式检测是否有新版本的安全漏洞补丁,如果存在更新文件将会自动下载,并按照之前设定的时间自动安装。通过及时的更新安全漏洞补丁,可以保障整个系统的最根基——操作系统的安全。
2.2 sql server漏洞。SQL Server是微软公司推出的关系数据库管理系统,由于其使用方便,得到了广泛的应用。SQL Server的漏洞和解决办法主要体现在以下几个方面:
(1)数据库本身的漏洞,由于数据库本身也是一种软件,所以开发过程中的漏洞是不可避免的,微软也在定期推出数据库的补丁包,比如SQL Server2000目前最新的补丁包是Service Pack 4,为保障安全。
(2)系统管理员sa帐号的漏洞,由于sa是SQL server的缺省管理员帐号,且不能修改和删除,所以黑客经常通过sa帐号执行扩展存储过程以对服务器进行攻击。采取的办法主要是为sa设定一个复杂的密码,同时创建一个具有sa权限的超级用户来管理数据库。对于每个数据库创建对应的dbo并限定权限,使其的权限仅在当前数据库中有效,这样即可避免因为帐号的问题威胁到数据库的安全。
(3)关闭扩展存储过程。
(4)改变SQL Server的默认监听端口。
2.3 防火墙的应用。为了防止入侵者对网站进行攻击,需要利用防火墙来控制计算机流入流出的所有网络通信数据包。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,在系统运行的服务器上安装软件防火墙是最为可行的办法,可以采用的软件很多,比如天网网络版、微软的ISA,只要设定好策略,都是可以很好的保护系统,达到防止入侵的目的。
2.4 安装防病毒软件。对于个人计算机,安装防病毒软件已经成为绝大多数人的习惯,但运行网站的服务器是否也需要安装防病毒软件呢?答案是肯定的。因为网站运营管理人员虽然不会去使用服务器上网或进行其它工作,但网站维护、数据更新等工作都是无法避免的,在这些工作的过程中,就有可能将带有木马或者病毒的文件带入服务器中,从而对整个网站系统带来威胁。
3 脚本漏洞的解决办法
脚本漏洞出现的主要原因是系统程序设计的不够严谨,需要从系统的源码入手,解决登录验证、SQL注入、文件上传等漏洞。
(1)登录验证漏洞的解决办法
(2)SQL注入漏洞的解决办法
(3)防止非法文件的上传
4 结语
网站的安全在运营中是十分重要的,它是一个系统的、综合性的问题,必须从各个方面考虑并结合实际才能有效的解决。通过上述的一些安全保障措施,可以在一定程度上解决网站的安全性问题。同时,也必须主观上提高对安全策略的认识,才能保障公众信息平台稳定、高效的运行。
参考文献
[1] Windows安全漏洞与黑客防范.电子工业出版社.王大印.2005
[2] 信息平台——网站的建设.上海大学出版社.许华虎.2005
[3] 防火墙及其应用技术.清华大学出版社.黎连业.2004
[4] 安全编程修炼之道/安全技术经典译丛 (美)福斯特.(美)普里斯.清华大学出版社.2006
收稿日期:2008-5-24
【关键词】 网站安全;防火墙;脚本;漏洞;策略
【中图分类号】:G623.58【文献标识码】:A 【文章编号】:1009-9646(2008)05-0219-01
1 政府公众信息平台安全和稳定的重要性
随着整个社会信息化程度的不断提高,政府的各个部门也在利用信息化技术为公众提供全面的信息服务。但随之而来的安全问题也变得更加突出、严重,如果因为安全的问题导致网站无法正常运行,那将给用户带来很多不便甚至会涉及注册用户的个人信息泄漏,从而给政府形象造成影响。如何认识和建设网站的安全高效体系,分析其中的问题并制定相应的策略,将对政府网站的建设具有很重要的意义。
1.1 系统安全漏洞。由于使用windows平台,用于门户网站发布操作系统一般会采用windows server 2003,数据库一般会选用SQL Server2000或2005。这两者在系统本身上都存在一定的安全漏洞,而且这些漏洞本身是在软件设计上的问题和缺陷,而这种缺陷实在开发过程中无法避免的。由于许多漏洞在该软件广泛应用前是很难被测试出的,所以这些涉及系统安全的漏洞都是被陆续的不断发现的,每次漏洞被发现被公布后,软件厂商都会及时修补程序,在这段时间内,黑客就会利用这写漏洞通过网络对计算机系统进行攻击。由于windows是目前应用最广泛的操作系统,也就成了黑客利用漏洞来实行攻击的主要目标。
1.2 脚本安全漏洞。在windows平台下,最常使用的动态网页的开发工具就是asp和asp.net,它们是当前应用最为广泛且开发周期最短的Web开ASP发平台。Asp.net是asp的全新版本,它是一个已编译的,基于.net的开发环境,可以用任何与asp.net兼容的语言开发应用程序。最为常见的就是C#,但是,由于动态Web页面需要用户输入许多资料和数据与之进行信息交互,而用户输入的信息是无法预测的,且当用户不够友好的时候,将会输入一些带有恶意的代码来破坏系统。
2 系统安全的保障
作为门户网站和公众信息平台的根基,操作系统和数据库系统的安全必须得到保障,主要采取的办法是消除windows和SQL Server本身的漏洞,安装防火墙及防病毒软件已保障系统的安全。
2.1 防护windows漏洞。Windows作为目前应用最广泛的操作系统,也就成了黑客利用漏洞来实行攻击的主要目标。Windows的漏洞主要通过服务包(Service Pack)、安全漏洞补丁、Windows Update的方式解决。在安装Windows后,必须首先更新最新的Service Pack,它包含从该版本Windows发布后直到该Service Pack发布前的所有安全漏洞补丁集合。之后可以采用Windows Update的方法安装剩余的日常更新文件。Windows Update作为微软公司保护系统安全,提高Windows性能的重要组件,目前已经是V6版本。通过它,我们可以安装所有的更新文件,同时可以以自动运行的方式检测是否有新版本的安全漏洞补丁,如果存在更新文件将会自动下载,并按照之前设定的时间自动安装。通过及时的更新安全漏洞补丁,可以保障整个系统的最根基——操作系统的安全。
2.2 sql server漏洞。SQL Server是微软公司推出的关系数据库管理系统,由于其使用方便,得到了广泛的应用。SQL Server的漏洞和解决办法主要体现在以下几个方面:
(1)数据库本身的漏洞,由于数据库本身也是一种软件,所以开发过程中的漏洞是不可避免的,微软也在定期推出数据库的补丁包,比如SQL Server2000目前最新的补丁包是Service Pack 4,为保障安全。
(2)系统管理员sa帐号的漏洞,由于sa是SQL server的缺省管理员帐号,且不能修改和删除,所以黑客经常通过sa帐号执行扩展存储过程以对服务器进行攻击。采取的办法主要是为sa设定一个复杂的密码,同时创建一个具有sa权限的超级用户来管理数据库。对于每个数据库创建对应的dbo并限定权限,使其的权限仅在当前数据库中有效,这样即可避免因为帐号的问题威胁到数据库的安全。
(3)关闭扩展存储过程。
(4)改变SQL Server的默认监听端口。
2.3 防火墙的应用。为了防止入侵者对网站进行攻击,需要利用防火墙来控制计算机流入流出的所有网络通信数据包。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,在系统运行的服务器上安装软件防火墙是最为可行的办法,可以采用的软件很多,比如天网网络版、微软的ISA,只要设定好策略,都是可以很好的保护系统,达到防止入侵的目的。
2.4 安装防病毒软件。对于个人计算机,安装防病毒软件已经成为绝大多数人的习惯,但运行网站的服务器是否也需要安装防病毒软件呢?答案是肯定的。因为网站运营管理人员虽然不会去使用服务器上网或进行其它工作,但网站维护、数据更新等工作都是无法避免的,在这些工作的过程中,就有可能将带有木马或者病毒的文件带入服务器中,从而对整个网站系统带来威胁。
3 脚本漏洞的解决办法
脚本漏洞出现的主要原因是系统程序设计的不够严谨,需要从系统的源码入手,解决登录验证、SQL注入、文件上传等漏洞。
(1)登录验证漏洞的解决办法
(2)SQL注入漏洞的解决办法
(3)防止非法文件的上传
4 结语
网站的安全在运营中是十分重要的,它是一个系统的、综合性的问题,必须从各个方面考虑并结合实际才能有效的解决。通过上述的一些安全保障措施,可以在一定程度上解决网站的安全性问题。同时,也必须主观上提高对安全策略的认识,才能保障公众信息平台稳定、高效的运行。
参考文献
[1] Windows安全漏洞与黑客防范.电子工业出版社.王大印.2005
[2] 信息平台——网站的建设.上海大学出版社.许华虎.2005
[3] 防火墙及其应用技术.清华大学出版社.黎连业.2004
[4] 安全编程修炼之道/安全技术经典译丛 (美)福斯特.(美)普里斯.清华大学出版社.2006
收稿日期:2008-5-24