企业网站面临的安全问题及应对策略

２０１０年７月　中国管理信息化　Ｃｈｉｎａ　Ｍａｎａｇｅｍｅｎｔ　Ｉｎｆｏｒｍａｔｉｏｎｉｚａｔｉｏｎ　Ｊｕ１．，２０１０　Ｖｏ１．１３，Ｎｏ．１４　第１３卷第１４期　企业网站面临的安全问题及应对策略　李　苑　，２　（１．昆明理工大学，昆明６５００９３；２．昆明冶金高等专科学校，昆明６５００３３）　［摘要］目前，越来越多的企业开始通过网站这一平台来进行信息发布和交流．而随之而来的网站安全问题也越来越　受到人们的关注。本文主要从企业网站的安全问题出发，来介绍目前企业网站存在的安全隐患，以及保障网站安全运行　的网站安全技术和安全策略。　［关键词］网站安全：安全技术：安全策略　ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１６７３—０１９４．２０１０．１４．０３１　［中图分类号］ＴＰ３９３．０８　［文献标识码］Ａ　［文章编号］１６７３—０１９４（２０１０）１４－００８０—０２　随着互联网技术的飞速发展．越来越多的企业开始　ＴＣＰ　Ｐ协议在设计时并没有很好地考虑安全问题．使　通过网站这一平台来进行信息的发布和交流．而随之而　得Ｉｎｔｅｒｎｅｔ自身的安全面临着巨大的威胁。而且．由于　来的网站安全问题也越来越受到人们的关注．新的安全　网站的安全配置过于复杂和一些Ｉｎｔｅｒｎｅｔ应用服务存　漏洞和攻击方法给网站的安全运行带来了巨大的威胁　在的安全缺陷．黑客经常会利用各种安全漏洞入侵到服　例如．网页被挂马使得网站成为传播木马给浏览网站用　务器中．对网站的安全性带来了严重的挑战　系统密码　户的一个载体。在黑客的眼里．网站并非是一个信息发　简单、应用软件的缺陷、操作系统的漏洞、非必须服务的　布和信息交流的平台．而是为其谋取私利的一个工具　因此．对网站安全技术的研究显得十分必要　一开启、默认的共享文件夹、过低的安全级别设置等都会　为黑客的非法入侵提供方便之门　（２）信息的安全管理　信息的安全管理包括应用防　、企业网站面临的安全问题　网站安全是指对网站进行管理和控制．并采取一定　护和物理防护　应用防护是指系统中的电子信息在应用　的技术措施．从而确保在一个网站环境里信息数据的机　中的各个环节进行防护。目前在网站服务器上的信息通　并根据用户的请求来　密化、完整性及可使用性受到有效的保护。虽然当前互　常都是通过数据库来进行保存的．联网的应用在不断发展．但信息系统的脆弱性和网络环　进行响应。由于一般的人员很难对所采用的数据库进行　从而对信息的安全埋下了隐患。而且，在计算　境的复杂性使得现有的计算机系统还不具备与自身的　安全配置，　应用发展规模相对应的安全防护能力．大量的网络安全　机上存储、传输和处理的信息的来源和去向是否真实，威胁以各种方式不断冲击着网络应用平台。目前．企业　内容是否被改动，以及是否泄露等．在应用层支持的服　务协议中是凭借君子协定来维系的　物理防护是指为存　网站的安全隐患主要体现在以下几个方面：　（１）网站的非授权访问。由于Ｉｎｔｅｒｎｅｔ所采用的　储信息的物理设备设置屏障．防止来自物理线路的电磁　信号窃听。在网管中心、重要的数据交换和数据存储场　［收稿日期】２０１０—０４—１５　制．提高了对基本数据的管理力度．为直销分销业务的　精细化管理．提供了良好的基础数据支持．同时ＥＲＰ系　统具有良好的可扩展性．提供了许多的查询报表和查询　方法．可以通过多种方法抽取业务分析所需的各种数　主要参考文献　［１］金达仁．深化ＥＲＰ应用之我见［Ｊ］．中国石化，２００８（６）：２０－２１．　［２］孔祥才，孙建林．浅谈国内企业ＥＲＰ应用与创新［Ｊ］．甘肃科技，２００８（４）：　１Ｏ３—１０４　据。提高了工作效率。　总之．民营企业实施ＥＲＰ对于优化业务流程．提升　经济效益都有着积极的推动作用．是增强竞争力的必要　手段．能实现民营企业管理的突破，给民营企业带来巨　大效益　［３］杨漳红，陈蜻，黄荣．浅谈ＥＲＰ对企业发展的影响［Ｊ１］．科技广场，２００８　（４）：５２－５３．　［４］赵蒲，孙爱英．财务保守行为：基于中国上市企业的实证研究［Ｊ］．管理世　界，２００４（１）．　［５］朱武祥，陈寒梅，吴讯．产品市场竞争与财务保守行为——以燕京啤酒　为例的分析［Ｊ］＿经济研究，２００８（８）．　８０／ＣＨＩＮＡ　ＭＡＮＡＧＥＭＥＮＴＩＮＦＯＲＭＡＴＩＯＮＩＺＡＴＩＯＮ　企业管理信息化　所，要按照保密施工要求，建立规范、相对独立的网络交　火墙、用户身份认证、授权控制、数据加密、使用日志监　换中心和重要交换节点，采取防静电接地、物理屏蔽或　视数据库、数据存储安全、审计、备份与数据恢复等安全　防电磁干扰等措施．抑制数据交换信号的电磁扩散和辐　管理技术　（４）网站代码的安全性。仅有安全的架构和设计不　（３）网络病毒的泛滥。计算机病毒是人为制造程　会使网站高枕无忧，它只是其中重要的因素之一。当完　还必须写出安全的代码。如　序。具有自我复制能力和很强的感染性。随着网络规模　成安全的架构和设计之后．的扩大和病毒数量的增加．计算机网络病毒对网站的威　果Ｗｅｂ应用程序的编写人员在编程过程中没有充分考　就有可能使黑客能够利用　胁越来越大。一旦网站服务器被计算机病毒感染。必然　虑到有可能面临的安全问题．射，从而防止信息被非法物理窃听。　会对网站的信息安全和系统的正常运行带来巨大的危　害。　些程序上的漏洞发起对网站的攻击。如ＳＱＬ注入攻　击、跨站脚本攻击等。　一（４）安全的系统管理体制。以上３个方面的安全问　题属于技术层面．而网站面临的安全威胁还可能来自系　三、企业网站安全的策略　在制定网站安全策略时．要综合考虑影响网站安全　的各种因素。并从网站安全的技术策略和管理策略两方　面来制定　统本身的管理层面　如果不能制定出完善的网站安全管　理策略．并把这些策略付诸实施．网站同样会面临着巨　大的安全问题　目前的网站安全防御更加侧重的是对外　部风险的防范．对于来自内部的风险往往不够重视。要　真正保证网站的安全．只有从技术层面和管理层面人　手．才有可能最大限度地保证网站的安全运行　（Ｉ）技术策略。该策略主要是利用现有的安全技术　来保证网站的安全。技术策略主要有：第一．用户认证和　访问控制　应该对用户名和密码使用加密技术进行加　密．在此基础上对用户身份进行验证．并限制用户对文　件、目录、各种设备的操作和访问。第二，安全漏洞检测。　应该定期扫描系统漏洞．以便尽快发现问题并修补安全　网站安全技术目前已发展成为一个跨学科的综合　漏洞。第三。病毒防范。防止病毒对系统和数据的破坏。　性学科，它包括通信技术、计算机软件设计技术、硬件设　第四。入侵检测。使用入侵检测技术来预防和检测来自　计技术、密码学、网站安全与计算机安全技术等，网站安　系统内外部的入侵。第五，系统日志。对各种事件进行记　全技术是在攻击与防范这一对矛盾相互作用的过程中　录。并且需要控制对系统日志的访问。以便监控黑客的　备份和恢复。对系统和数据进行备份，　发展起来的。通常．网站的安全技术可以分为以下几个　攻击方式。第六，以便在网站受到攻击后可尽快恢复系统和数据　部分：　（２）管理策略。该策略主要是通过制定相关规章制　立在操作系统平台上的．因此．保证网站安全的第一步　度来加强对网站安全的管理。策略内容主要包括：制定　制定　就是要保证操作系统的安全。为保证操作系统的安全．　有关网络操作使用规程和人员出入机房管理制度：网络系统的维护制度和应急措施等。　必须对操作系统建立一套严密的安全规则．才能使其在　总之．网站安全要通过先进的安全技术手段和完善　复杂的网络环境中实现安全服务。这些安全规则包括：　的管理策略才能最大限度地保证网站的安全性　及时安装补丁、为系统管理员账号更名、关闭没用的协　（１）操作系统平台的安全。网站的所有服务都是建　议和服务、安装网络防毒软件等。　（２）Ｗｅｂ服务器的安全。目前广泛应用的Ｗｅｂ服　二、企业网站的安全技术　四、总　结　网站安全是一个系统性的问题．其涉及的范围很　务器软件有ＩＩＳ、Ａｐａｃｈｅ等，配置Ｗｅｂ站点的安全性除　充分考虑操作系统的安全性外．还应使用Ｗｅｂ服务器　本身提供的安全机制。这些安全机制包括：匿名访问和　身份验证控制、ＩＰ地址及域名限制、访问权限控制、修改　端口号、ＳＳＬ安全机制等　广，因此，为保证网站的安全，只有结合实际层层设防，　才能最大限度地保证网站的安全性。同时．由于网络的　攻击手段也在不断地提高，因此，网站的安全防范手段　也需要不断地更新　主要参考文献　（３）Ｗｅｂ数据库的安全性。数据库安全的主要任务　是防止非法用户访问或合法用户越权访问数据库中的　数据。在网络中用户访问Ｗｅｂ数据库是通过浏览器和　Ｗｅｂ服务器采用Ｈ１ＴｒＰ协议．用户在浏览器上发出对数　［１］刘劲松，胡轶，王东方溅谈网站安全技术［Ｊ］．网络安全技术与应用，　２００６（７）．　［２］ｈ胜贤，李鹰．ｗｅｂ网站安全技术研究［Ｊ］．微机发展，２００４（５）．　［３］符凤平．Ｗｅｂ网站安全技术分析［Ｊ］．计算机系统应用，２００８（１２）．　［４］郑继胜．ｗｅｂ网站安全防御系统的研究与应用［Ｄ］．长春：吉林大学，　２Ｏ０８．　据库文件的请求，Ｗｅｂ服务器根据用户的请求访问后　台数据库。因此．根据Ｗｅｂ数据库的特点，可以采用防　ＣＨＩＮＡ　ＭＡＮＡＧＥＭＥＮＴＩＮＦＯＲＭＡＴＩＯＮＩＺＡＴＩＯＮ，８１