王穎

[摘 要]隨著互聯(lián)網的快速普及，用戶數量不斷增多，網站的安全隱患問題開始引起人們的關注?；诖?，本文分析了影響網站安全運行的因素，并提出一些提高網站運行安全、消除安全隱患的措施，希望能夠為廣大業(yè)內人士提供借鑒。

[關鍵詞]網站；安全隱患；網絡協(xié)議

doi：10.3969/j.issn.1673 - 0194.2018.14.065

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2018）14-0-02

近年來，互聯(lián)網通信技術發(fā)展迅速，網絡已經滲入生活的每一個領域，人們可以方便地利用網絡進行交流、獲取相關知識以及購買物品。同時，一些不法分子也開始利用互聯(lián)網技術從事非法活動，各種木馬病毒開始在網絡上蔓延，嚴重影響了人們的正常生活，存在的各類安全隱患是擺在廣大網站管理人員面前的一道難題。因此，網站安全管理必須提上日程。

1 影響網站運行安全的因素

1.1 技術層面的原因

1.1.1 軟件中存在漏洞

軟件在編寫時存在的安全漏洞是影響網站安全的關鍵因素之一。在軟件開發(fā)的過程中，開發(fā)人員由于沒有重視安全環(huán)節(jié)，導致在操作系統(tǒng)和應用層面都存在一些安全漏洞，而且軟件編程語言功能有限，時常要對軟件進行打補丁操作。人們在使用的過程中或者開發(fā)者在對軟件進行功能檢查時才會發(fā)現(xiàn)軟件中存在的漏洞。一些精通計算機技術的人員或者黑客組織時常會利用軟件存在的漏洞，從事一些非法活動。

1.1.2 網絡協(xié)議方面的漏洞

網絡協(xié)議方面的漏洞主要體現(xiàn)在操作系統(tǒng)、通信層和應用層方面存在安全漏洞。在操作系統(tǒng)層面，例如開放性較好的UNIX，在組成操作系統(tǒng)所需要的各種可執(zhí)行文件目錄清單中，一切來訪用戶都有權限對其執(zhí)行操作，這與系統(tǒng)安全中最基本的最小特權原則相抵觸。同時，一些操作系統(tǒng)的用戶可以在可執(zhí)行文件內找到它具備的版本號，從而找到可以進行攻擊的漏洞，例如，利用Telnet遠程登錄服務功能就可以找到郵件傳輸代理程序SENDMAIL的版本標識號碼。通信層存在缺陷的有集線器、網絡層的IP協(xié)議和傳輸層的TCP協(xié)議等，而應用層的一些設計錯識體現(xiàn)在路由器、服務器以及網絡防火墻等應用軟件上，一些入侵者能夠針對這些問題發(fā)動網絡攻擊。

1.1.3 缺省初始化文件、配置文件和訪問控制文件方面存在的問題

在某些版本的Windows系統(tǒng)軟件里，賬號密碼數據庫文件能讓管理員賬戶以及賬戶組內的一切成員進行訪問，該SAM文件中的加密數據卻放置于其他文件內。一些非法訪問者和黑客就會采用口令攻擊或者密碼破解提取軟件對SAM數據文件進行復制，從而獲取進入系統(tǒng)的密碼。

1.1.4 緩沖區(qū)溢出漏洞

利用該漏洞實施攻擊的是為了對具有特定權限正在運行程序進行干擾，使網絡入侵者可以獲得該運行程序的使用權限，從而能夠自由操作主機。操作系統(tǒng)以及應用軟件中都存在該漏洞，當網絡攻擊者針對這方面的缺陷實現(xiàn)入侵會引發(fā)程序運行錯誤、操作系統(tǒng)癱瘓、出現(xiàn)死機等問題，更為嚴重的是入侵者可以運行沒有授權的計算機指令，獲取操控計算機的特殊權限來達到各種不可告人的目的。例如，前些年的莫里斯蠕蟲利用緩沖區(qū)溢出漏洞進行網絡攻擊，對全球范圍內的網絡造成了嚴重破壞，導致數千臺網絡服務器停止運行。

1.1.5 病毒攻擊

電腦病毒可以破壞內部存儲資料，是人為編制的具有破壞性的程序代碼，它以占用電腦或者服務器的存儲空間為目的，能夠破壞系統(tǒng)運行程序，竊取用戶的數據和銀行賬號密碼。電腦病毒主要利用網絡途徑進行傳播，也可以嵌入某些應用軟件內部，隨著網絡用戶的不斷增多，新型的網絡病毒不斷出現(xiàn)，近幾年影響力最大的為Ransomware勒索病毒，如果感染該病毒將帶來無法估計的損失。

1.2 人為層面的原因

1.2.1 操作不當引發(fā)的安全問題

在互聯(lián)網越來越發(fā)達的當代，大多數網民在使用網絡的時候并不關心網絡安全問題，在使用電腦和互聯(lián)網的過程中沒有形成網絡安全防范意識。各種軟件和硬件配置不合理、感染病毒、信息丟失等問題也是由于操作不當造成的。

1.2.2 計算機信息系統(tǒng)的非法入侵者引發(fā)的網絡安全問題

計算機信息系統(tǒng)的非法入侵者也稱為黑客，是一類對計算機技術比較擅長的人群，他們對網絡系統(tǒng)非常熟悉，并且具有非常豐富的網絡理論知識和實踐技能。因此這些人就會利用網絡通信協(xié)議以及操作系統(tǒng)中的某些漏洞攻擊計算機。

1.3 互聯(lián)網法律不完善

國際互聯(lián)網絡在20世紀90年代在國內得到了大面積的推廣應用，國家也出臺一些相關的法律條文。但隨著互聯(lián)網規(guī)模不斷擴大，網絡信息技術持續(xù)更新，各種形式的網絡犯罪不斷涌現(xiàn)，原來的相關配套法律制度已經跟不上時代的步伐，給一些利用網絡實施犯罪的不法分子提供了非法獲得利益的機會，給網絡安全帶來了很大影響，影響到廣大人民的正常生活。

2 增強網站運行安全、消除安全隱患的措施

2.1 采用先進的網絡安全技術，消除網站安全隱患

2.1.1 加裝防火墻，避免非法入侵

防火墻是由軟件和硬件設備組合而成的，在內部網絡和外部網絡組合而成的網絡安全系統(tǒng)，根據相關的控制規(guī)則，允許或者約束信息傳送是否應該通過，在網絡安全中發(fā)揮了重要的作用，常用的有瑞星和360公司生產的防火墻產品，具有很高的工作效率和較大的應用范圍。防火墻能夠自動識別網絡中存在的各種具有攻擊性的病毒、木馬或釣魚網站，并進行科學分析，有效阻擋病毒的各種偽裝入侵、黑客的蓄意攻擊和網上存在的各種騙錢行為，可以為終端用戶定制專業(yè)化的網絡安全處理方案。

2.1.2 加裝互聯(lián)網非法攻擊監(jiān)測系統(tǒng)

如果把防火墻視為一座建筑的安全保衛(wèi)人員，互聯(lián)網非法攻擊監(jiān)測系統(tǒng)則是建筑內部加裝的各種監(jiān)視器或防盜裝置。如果有不明身份的人員來訪或者非法入侵，就會及時發(fā)出警報，最早應用于20世紀80年代，可以主動處理各種網絡威脅?；ヂ?lián)網非法攻擊監(jiān)測系統(tǒng)可以實時對網絡中傳送的數據進行監(jiān)視，檢測過程中如果發(fā)現(xiàn)異常數據傳送便會發(fā)出警報，并立即攔截異常數據。

2.2 提高網站管理水平，去除網絡不安全因素

2.2.1 對傳送的數據進行加密處理，保證網絡傳輸安全

在利用互聯(lián)網進行數據傳送的過程中，為了避免傳送的數據出現(xiàn)遺失或者被不明身份的人員修改，應該采用數據加密技術對數據進行加密，只有符合身份的用戶和網站才能接收到發(fā)送過來的原始信息。具體的實現(xiàn)過程是利用把原始信息打亂的方式，讓沒有解讀權限的人們弄不清其代表的實際意思。對于信息的發(fā)送者以及接收方，要使用一種特別的信息處理方式進行解密和加密，也就是人們常說的密鑰，根據不同的加密運算法則可以劃分為專用密鑰和公開密鑰，加密與解密過程應用同樣的密鑰，也就是一樣的運算方法。常用并且安全等級高的加密方法為DES密鑰加密法，它采用56位的密鑰，具有很高的運算效率，能夠在較大的范圍內進行推廣。而公開密鑰也被稱為不對稱性密鑰，加解密鑰的過程應用不一樣的運算方法，兩把鑰匙都不一樣，具有單一的公用密鑰，但是有很多把實現(xiàn)解密功能的鑰匙。

2.2.2 采用身份驗證技術，保證網絡運行安全

身份驗證技術也就是對具有權限的用戶進行驗證，阻止不明身份的用戶訪問網站信息，同時需要特權身份才能進入信息存儲區(qū)域。應用此種技術可確保工作人員的物理身份和數字身份達到一致方可實施相關權限內的操作，是保護互聯(lián)網信息的重要手段。常用的身份驗證有手機短信驗證、動態(tài)密碼、數字驗證等方式。

3 結 語

網站的安全運行不單是技術方面可以解決的，還需要具有較強的風險防范意識。網站的運行維護人員在做好本職工作的同時，還要積極學習相關理論知識，對網絡中存在的不安全因素進行科學分析，及時消除各種安全隱患，保證網站安全運行。

主要參考文獻

[1]宋斗超.高校網站的安全問題及應對策略探究[J].福建電腦，2013（6）.

[2]李苑.企業(yè)網站面臨的安全問題及應對策略[J].中國管理信息化，2010（14）.

[3]王強輝，劉曉莉，吳祥杰.淺析網絡建設中常見的問題及其對策[J].電子技術與軟件工程，2013（6）.

[4]劉長喜，吳喜達，蔣吉才.在網絡開放背景下試分析網絡安全的重要性及其實際意義[J].電信與電腦技術，2015（1）.

[5]金昌吉，王建業(yè)，劉守田.互聯(lián)網條件下網站建設中存在的問題與對策分析[J].電子世界，2016（4）.

[6]王守吉，林野，張建書.互聯(lián)網+環(huán)境下的網站安全建設分析[J].電工技術，2016（5）.

[7]王志剛，喻金科.當前形勢下網絡安全的主要隱患及應對策略分析[J].無線互聯(lián)科技，2015（1）.

[8]柴華博.電子信息產品數據安全隱患的應對策略分析[J].工程技術：文摘版，2016（8）.

[9]段一平，李永偉.網絡信息的安全隱患及應對策略研究[J].科技信息：學術研究，2008（18）.

[10]劉應剛，周常柱，袁森超.基于JSP技術的Web網站安全性研究[J].現(xiàn)代電子技術，2004（12）.

[11]彭建，黃家林.基于ASP技術的Web網站安全措施分析[J].電腦與信息技術，2002（2）.

[12]王明.基于ASP.NET、SQL SERVER技術建設的網站安全問題及解決方案[J].計算機安全，2007（5）.

[13]盧斌.從政府網站安全事件看電子政務安全防護體系建設——2006中國政府網站安全形勢分析[J].信息化建設，2007（1）.