翟松青

(泰州市高新技術(shù)創(chuàng)業(yè)服務(wù)中心，江蘇泰州225300)

網(wǎng)站安全保障體系的建設(shè)是網(wǎng)站維護(hù)中的熱點(diǎn)問(wèn)題，如果是因?yàn)榘踩珕?wèn)題導(dǎo)致網(wǎng)站不能正常運(yùn)行，那么大多數(shù)的網(wǎng)站功能也將無(wú)法提供正常的服務(wù)，會(huì)給網(wǎng)站和使用網(wǎng)站的企業(yè)或行政部門(mén)帶來(lái)較大的負(fù)面影響。據(jù)不完全統(tǒng)計(jì)，2013年我國(guó)各級(jí)門(mén)戶網(wǎng)站被篡改網(wǎng)頁(yè)達(dá)6000余次，比2012年多出1000多次，整體呈上升趨勢(shì)，而且這還未包括隱蔽的未經(jīng)發(fā)現(xiàn)的篡改行為。因此，網(wǎng)站信息的安全性維護(hù)是一個(gè)被優(yōu)先考慮的問(wèn)題。

一、網(wǎng)站信息安全維護(hù)的分類及定義

（一）網(wǎng)絡(luò)安全

重點(diǎn)是防范病毒和黑客的入侵，防止重要數(shù)據(jù)泄露。(1)重要的數(shù)據(jù)傳輸采用SSL協(xié)議，保證信息傳輸?shù)陌踩浴?2)能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)的物理隔離，有效防止信息泄密，同時(shí)確保內(nèi)外網(wǎng)具有強(qiáng)大的抵御攻擊能力，防止非法侵入帶來(lái)的損失。(3)數(shù)據(jù)鏈路層及網(wǎng)絡(luò)層的信道加密和管理。(4)網(wǎng)絡(luò)防火墻、訪問(wèn)代理、攻擊檢測(cè)。(5)系統(tǒng)監(jiān)控、日志分析、系統(tǒng)管理。(6)WEB監(jiān)控和在線保護(hù)。

（二）數(shù)據(jù)安全

數(shù)據(jù)安全主要包括存儲(chǔ)、傳輸、交換等。(1)數(shù)據(jù)存儲(chǔ)安全，在數(shù)據(jù)保存上確保完整、可靠和有效調(diào)用。(2)數(shù)據(jù)傳輸安全，保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中不輕易被盜取、數(shù)據(jù)不丟失等方面的安全性(3)數(shù)據(jù)交換安全，保證通過(guò)和其他系統(tǒng)的接口進(jìn)行數(shù)據(jù)交換的時(shí)候數(shù)據(jù)的完整性。

（三）應(yīng)用系統(tǒng)安全

(1)系統(tǒng)設(shè)計(jì)中遵循統(tǒng)一的身份認(rèn)證和有限授權(quán)原則、全面確認(rèn)原則和安全跟蹤原則，采用嚴(yán)格的安全體系，保證數(shù)據(jù)在處理和傳輸金過(guò)程的安全性。(2)應(yīng)用系統(tǒng)提供完善的安全保密措施。(3)應(yīng)用系統(tǒng)的功能要分級(jí)控制。(4)建立運(yùn)行日志管理。(5)錯(cuò)誤日志管理。(6)在線幫助。系統(tǒng)提供在線幫助文件，方便用戶操作。(7)服務(wù)運(yùn)行情況監(jiān)控。對(duì)服務(wù)程序是否正常持續(xù)穩(wěn)定地運(yùn)行進(jìn)行監(jiān)控。(8)錯(cuò)誤處理。系統(tǒng)需提供一個(gè)修正、解決錯(cuò)誤的標(biāo)準(zhǔn)流程。

二、網(wǎng)站信息安全被入侵的兩種主要形式

（一）SQL注入攻擊

互聯(lián)網(wǎng)中的許多Web應(yīng)用都采用數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)信息。使用SQL命令可以方便的將前臺(tái)Web頁(yè)面的應(yīng)用數(shù)據(jù)和后臺(tái)數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行傳遞。這些Web站點(diǎn)的頁(yè)面可以根據(jù)用戶輸入的相關(guān)參數(shù)拼接成合法的SQL查詢語(yǔ)句，再將這些語(yǔ)句傳遞至服務(wù)器端對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢。而別有用心者可以通過(guò)直接在URL地址欄或者表單域中直接輸入SQL命令，以此繞過(guò)web頁(yè)面的數(shù)據(jù)檢查改變查詢屬性，可以獲取對(duì)數(shù)據(jù)庫(kù)更高權(quán)限的操作。

（二）DDOS攻擊

DDoS攻擊發(fā)源于傳統(tǒng)的DoS(Denial of Service)拒絕服務(wù)攻擊基礎(chǔ)之上，DoS往往是指黑客通過(guò)單一的IP地址向某一目標(biāo)主機(jī)發(fā)出“合法”的訪問(wèn)請(qǐng)求，而耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬和硬件資源（CPU、內(nèi)存等）的攻擊方式。這種攻擊方式在當(dāng)今網(wǎng)絡(luò)技術(shù)和硬件技術(shù)飛速發(fā)展的情況下，已基本無(wú)用武之地。于是，分布式拒絕服務(wù)DDoS攻擊方式應(yīng)運(yùn)而生。所謂分布式拒絕服務(wù)攻擊，就是黑客利用互聯(lián)網(wǎng)的優(yōu)勢(shì)，利用操作系統(tǒng)或軟件漏洞同時(shí)聯(lián)合眾多傀儡機(jī)對(duì)某一目標(biāo)主機(jī)展開(kāi)更大規(guī)模、更高強(qiáng)度的攻擊，使目標(biāo)主機(jī)的大量網(wǎng)絡(luò)和硬件資源被占用，而無(wú)法對(duì)正常用戶提供服務(wù)。

三、防范黑客攻擊，維護(hù)網(wǎng)站信息安全的具體方法

SQL注入產(chǎn)生的原因的是程序員在應(yīng)用開(kāi)發(fā)過(guò)程中的編程不嚴(yán)謹(jǐn),忽視了對(duì)用戶數(shù)據(jù)的檢查而造成的，SQL注入問(wèn)題的解決根本途徑就是編制完善的程序。具體需要注意以下幾點(diǎn)：1.敏感字符直接過(guò)濾；2.參數(shù)化用戶輸入數(shù)據(jù)；3.使用Apache Web服務(wù)的安全檢測(cè)模塊。Apache的mod_security模塊是一個(gè)集入侵檢測(cè)和防御功能的開(kāi)源的web應(yīng)用安全檢測(cè)程序。它基于Apache Web服務(wù)器運(yùn)行,目標(biāo)是增強(qiáng)web應(yīng)用程序的安全性,防止web應(yīng)用程序受到已知或未知的攻擊。如果要使用此安全模塊，需要在http://www.modsecurity.org/download/下載mod_security安全模塊并安裝，

DDoS攻擊的最終目的是要耗盡服務(wù)器的網(wǎng)絡(luò)和硬件資源，因此，從這個(gè)角度上來(lái)講，哪怕有足夠多的正常訪問(wèn)請(qǐng)求也同樣可以造成服務(wù)器的“拒絕服務(wù)”的情況出現(xiàn)。所以，從根本上解決拒絕服務(wù)攻擊，還需要做好以下幾點(diǎn)工作：1.保證服務(wù)器有足夠的網(wǎng)絡(luò)帶寬。2.適時(shí)升級(jí)服務(wù)器硬件。3.采用較新的服務(wù)器操作系統(tǒng)。4.及時(shí)打補(bǔ)丁修復(fù)系統(tǒng)漏洞。4.提前做好針對(duì)性預(yù)防工作。5.準(zhǔn)確判斷攻擊方式。發(fā)生攻擊時(shí)，應(yīng)通過(guò)軟件抓取數(shù)據(jù)包進(jìn)行分析，根據(jù)不同的攻擊方式采取不同的解決方法。6.保留詳細(xì)系統(tǒng)日志，方便追查元兇。

采用的安全手段越多．所帶來(lái)的運(yùn)行成本就越高．系統(tǒng)的運(yùn)行效率就越低．要在運(yùn)行成本運(yùn)行效率中間進(jìn)行平衡。同時(shí)，也應(yīng)該認(rèn)識(shí)到安全防范手段是一個(gè)持久更新漸進(jìn)的過(guò)程．所以需要不斷改進(jìn)．優(yōu)化采用的技術(shù)方法和安全策略。因此沒(méi)有絕對(duì)安全而只有相對(duì)的安全即在風(fēng)險(xiǎn)和運(yùn)行成本、效率可以接受前提條件下的安全。通過(guò)采用上述安全體系架構(gòu)，再結(jié)合相關(guān)的軟件和硬件安全措施，基本上保證了系統(tǒng)的安全性要求在具體技術(shù)措施的選取上，也可根據(jù)實(shí)際情況，在保證安全性的前提下進(jìn)行適當(dāng)?shù)恼{(diào)整和修改。此外，解決網(wǎng)站安全問(wèn)題，除了要有好的安全防護(hù)技術(shù)措施外，還要增強(qiáng)內(nèi)部工作人員防范意識(shí)，以確保網(wǎng)站安全穩(wěn)定運(yùn)行、健康發(fā)展。

[1]孟婷.MySQL注入攻擊及防范方法[J].信息安全與技術(shù),2013,11.

[2]趙亮.Sql語(yǔ)句防注入攻擊研究[J].企業(yè)導(dǎo)報(bào),2013,18.

[3]黃碧玲.網(wǎng)站注入式攻擊的原理與防范[J].計(jì)算機(jī)時(shí)代,2013,8.

[4]張永錚.DDoS攻擊檢測(cè)和控制方法[J].軟件學(xué)報(bào),2012,8.

[5]熊俊.應(yīng)用層DDOS攻擊檢測(cè)技術(shù)研究[J].信息安全與技術(shù),2012,9.

[6]厲斌.網(wǎng)絡(luò)監(jiān)控與有效防御DDoS攻擊的研究[J].信息網(wǎng)絡(luò)安全,2013,10.