政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]

政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 本文檔格式為 WORD,感謝你的閱讀。 【摘要】：政務(wù)網(wǎng)站是各層政府在互聯(lián)網(wǎng)上實(shí)施信息公布和辦理業(yè)務(wù)的主要窗口，是政府單位和群眾用來(lái)交流的中樞，所以政務(wù)網(wǎng)站的質(zhì)量，直接影響各部門的辦公效率和公眾形象。近幾年，以 Web 與數(shù)據(jù)庫(kù)框架基礎(chǔ)的政務(wù)系統(tǒng)逐漸作為主流。然而在現(xiàn)實(shí)的安排中，因?yàn)楸Ｗo(hù)措施不夠，政務(wù)網(wǎng)站時(shí)常會(huì)受到黑客的攻擊和破壞。文章結(jié)合最新的技術(shù)手段，提出了較全面的政務(wù)網(wǎng)站安全保護(hù)方法，這些方法通過(guò)實(shí)踐檢驗(yàn)， 是行之有效的，防護(hù)效果較為顯著。 【關(guān)鍵詞】：政務(wù)網(wǎng)站、網(wǎng)絡(luò)安全、 Web 服務(wù)器、保護(hù)措施 TU714 A 1、前言 作為政務(wù)公布和為民服務(wù)的重要窗口，政務(wù)網(wǎng)站在電子政務(wù)的設(shè)計(jì)中具有重要位置。然而伴隨我國(guó)電子政務(wù)網(wǎng)站建設(shè)的規(guī)模逐漸擴(kuò)大和互聯(lián)網(wǎng)應(yīng)用的逐漸普及，其安全問(wèn)題也越發(fā)突出嚴(yán)峻。一方面，電子政務(wù)網(wǎng)站的規(guī)模快速擴(kuò)大，另一方面，我國(guó)電子政務(wù)網(wǎng)站系統(tǒng)仍然無(wú)一套科學(xué)、完整、高效的保護(hù)機(jī)制。相關(guān)研究結(jié)果表明，電子政務(wù)網(wǎng)站在 2011年受到威脅和攻擊次數(shù)最多，造成影響和結(jié)果最為 嚴(yán)重。許多黑客通過(guò)網(wǎng)站漏洞，惡意篡改網(wǎng)站的內(nèi)容，或者將病毒種入電子政務(wù)網(wǎng)站。所以，當(dāng)前的電子政務(wù)網(wǎng)站安全遭遇的情況相當(dāng)嚴(yán)峻。 2、電子政務(wù)網(wǎng)站遭受的主要威脅 2.1 DDoS 攻擊 分布式拒絕服務(wù)攻擊 (DDoS)是當(dāng)前黑客經(jīng)常采取卻很難防范的攻擊手段。 DoS 的攻擊形式有許多種。最基礎(chǔ)的 DoS攻擊則是利用通過(guò)合理的服務(wù)請(qǐng)求來(lái)占據(jù)大量的服務(wù)資源，導(dǎo)致服務(wù)超載，不能響應(yīng)另外的請(qǐng)求。被 DDos 攻擊時(shí)的主要表現(xiàn)有：（ 1）網(wǎng)絡(luò)中存在著許多的沒(méi)用的數(shù)據(jù)包。（ 2）形成高流量沒(méi)用數(shù)據(jù)，形成網(wǎng)絡(luò)擁擠 ，令被攻擊主機(jī)不能正常與外界聯(lián)系。（ 3）用被攻擊主機(jī)提供的服務(wù)或傳送協(xié)議上的不足，重復(fù)高速地發(fā)出指定的服務(wù)請(qǐng)求，令被攻擊主機(jī)不能及時(shí)處理全部正常請(qǐng)求。（ 4）嚴(yán)重時(shí)可以引起系統(tǒng)死機(jī)。 2.2 SQL 注入攻擊 所謂 SQL 注入式攻擊，就是黑客將 SQL 命令插進(jìn)到 Web列表的輸入?yún)^(qū)或頁(yè)面請(qǐng)求的查詢字符串，蒙騙服務(wù)器運(yùn)行惡意的 SQL 命令。源自官方的解釋是 :“ 在應(yīng)用程序運(yùn)行輸入內(nèi)容來(lái)形成動(dòng)態(tài) SQL 語(yǔ)句來(lái)訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，會(huì)引起 SQL 注入攻擊。如若代碼運(yùn)行存儲(chǔ)過(guò)程，同時(shí)這些存儲(chǔ)過(guò)程當(dāng)作包括沒(méi)有篩選的用戶輸入 的字符串來(lái)傳輸，也會(huì)引起 SQL 注入攻擊。 SQL 注入可能造成攻擊者可以運(yùn)用應(yīng)用程序訪問(wèn)在數(shù)據(jù)庫(kù)中運(yùn)行命令。如若應(yīng)用程序運(yùn)用特權(quán)較高的帳戶連接進(jìn)數(shù)據(jù)庫(kù)，這類問(wèn)題會(huì)轉(zhuǎn)變更嚴(yán)重。 ” 在一些列表中，用戶輸入的內(nèi)容直接用作構(gòu)建 (動(dòng)態(tài) SQL 命令，或用作存儲(chǔ)過(guò)程的輸入?yún)?shù)，這種列表尤其容易遭受 SQL 注入式攻擊。然而大量網(wǎng)站程序在編程時(shí)，未對(duì)用戶輸入內(nèi)容的合法性進(jìn)行判定或者程序中自身的變量處置不當(dāng)，令應(yīng)用程序有安全問(wèn)題。如此用戶就能夠上交一串?dāng)?shù)據(jù)庫(kù)查詢編碼，依據(jù)程序返回的數(shù)據(jù)，得到一些敏感的信息或者掌控全部服務(wù)器，因此 SQL 注 入誕生了。換而言之， SQL 注入的機(jī)理就是從客戶端上交特定的編碼，得到程序及服務(wù)器的信息，因此取得想要獲到的資料。 2.3 跨站點(diǎn)腳本攻擊 跨站腳本攻擊（也叫 CSS 或者 XSS）指通過(guò)網(wǎng)站漏洞從用戶處惡意竊取訊息。用戶在訪問(wèn)網(wǎng)站、運(yùn)用即時(shí)通訊軟件、甚至當(dāng)瀏覽電子郵件時(shí)，正常會(huì)點(diǎn)擊當(dāng)中的鏈接。攻擊者利用在鏈接中插進(jìn)惡意編碼，就可以竊取用戶訊息。攻擊者正常會(huì)運(yùn)用十六進(jìn)制對(duì)鏈接編程，避免用戶對(duì)它的合法性產(chǎn)生懷疑。網(wǎng)站在收到包括惡意編碼的請(qǐng)求后會(huì)生成一個(gè)蘊(yùn)含惡意編碼的界面，然而這個(gè)界面看著好像是原網(wǎng)站 應(yīng)該形成的合法界面一樣。很風(fēng)靡的留言板和論壇程序同意用戶發(fā)表包括 HTML 和 javascript 的帖子。如果用戶甲發(fā)表了一篇包括惡意腳本的帖子，那么用戶乙在查閱這篇帖子時(shí)，惡意腳本就會(huì)運(yùn)行行，竊取用戶乙的 session 訊息。 3、電子政務(wù)網(wǎng)站的安全防護(hù)措施 3.1 網(wǎng)站安全架構(gòu) 為處理政務(wù)網(wǎng)站的安全隱患，第一必須建設(shè)一套全面的安全系統(tǒng)結(jié)構(gòu)來(lái)確保電子政務(wù)網(wǎng)站的安全性，建設(shè)一套事前、事中和事后的縱深保護(hù)系統(tǒng)，這是處理以上的攻擊方式的前提，在此結(jié)構(gòu)上采用別的的一些安全技術(shù)，多層次共同保護(hù) 政務(wù)網(wǎng)站的安全性。對(duì)于第 1 部分三種威脅，建設(shè)如圖 1所示的安全系統(tǒng)結(jié)構(gòu)。在基礎(chǔ)的安全和服務(wù)平臺(tái)上添加安全管理體制和緊急恢復(fù)體制。 圖 1 中間的基礎(chǔ)安全與服務(wù)平臺(tái)是網(wǎng)站安全的前提，當(dāng)中特別是物理安全極其重要，它是網(wǎng)站安全的基礎(chǔ)，因此要求政府機(jī)構(gòu)在建設(shè)網(wǎng)站初期擬定全面的安全管理體制和有效的緊急恢復(fù)體制，預(yù)防物理?yè)p壞對(duì)網(wǎng)站引起的重大損害。在網(wǎng)絡(luò)層面，要注重安全區(qū)劃分、入侵防護(hù)和防拒絕服務(wù)攻擊。文章后部分提出的技術(shù)能夠融入本平臺(tái)中，和網(wǎng)絡(luò)層與應(yīng)用層結(jié)合在一起，處理相關(guān)的安全危險(xiǎn)。構(gòu)建安全檢查監(jiān)督和激勵(lì)等體制， 增強(qiáng)管理人員的操作能力與應(yīng)變能力，構(gòu)建完善的安全管理系統(tǒng)制度。緊急恢復(fù)機(jī)制堅(jiān)持防御為主、及時(shí)分離、全面根除的原則，保證網(wǎng)站信息系統(tǒng)平穩(wěn)運(yùn)行、網(wǎng)站信息內(nèi)容安全完整。 3.2 網(wǎng)站加固技術(shù) (1)采取高性能的網(wǎng)絡(luò)配置。首先要確保網(wǎng)絡(luò)配置不會(huì)成為瓶頸，所以選取路由器、交換機(jī)、硬件防火墻等配置時(shí)應(yīng)盡可能選取名譽(yù)度高、口碑好的設(shè)備。還能夠和網(wǎng)絡(luò)供應(yīng)商作為合作伙伴，當(dāng)大量攻擊存在的時(shí)請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處進(jìn)行流量截止，這一手段對(duì)于一些種類的 DDoS 攻擊是十分有效的。 (2)盡可能減少采用易引起系 統(tǒng)性能降低的技術(shù)。某些技術(shù)的運(yùn)用，有可能使網(wǎng)絡(luò)的能力相當(dāng)大的幅度降低。比如NAT 地址轉(zhuǎn)化技術(shù)，需要對(duì)網(wǎng)絡(luò)地址不停地實(shí)施轉(zhuǎn)變，這當(dāng)中需要對(duì)網(wǎng)絡(luò)包的地址進(jìn)行海量計(jì)算和校正，大幅占據(jù) CPU 時(shí)間，所以不管是路由器還是硬件防火墻配置都需盡量地減少這類技術(shù)的運(yùn)用。 (3)增強(qiáng)操作系統(tǒng)的防護(hù)性能。 WindowsServer2008 和WindowsServer2008 作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗 DDoS 攻擊的能力，只是默認(rèn)狀態(tài)下并沒(méi)有開(kāi)啟，如果開(kāi)啟的話可抵擋約 10000 個(gè) SYN 攻擊包，若沒(méi)有開(kāi)啟則僅能 抵御數(shù)百個(gè)。因此，增強(qiáng)操作系統(tǒng)的防護(hù)性能對(duì)于 DDoS 的防范可謂事半功倍。 (4)其它加固方式。政府單位能夠選購(gòu)專業(yè)的防護(hù) DDos和腳本攻擊的防火墻設(shè)施，選用 DNS 輪詢或者負(fù)載均衡技術(shù)，對(duì)進(jìn)行攻擊的惡意編碼進(jìn)行驅(qū)動(dòng)級(jí)攔截，用詞來(lái)翻倍增強(qiáng)防護(hù)攻擊能力。 3.3 網(wǎng)站安全監(jiān)測(cè)技術(shù) (1)網(wǎng)站遠(yuǎn)程檢測(cè)。相比傳統(tǒng)的監(jiān)測(cè)方法，網(wǎng)站遠(yuǎn)程安全檢測(cè)具有鮮明的點(diǎn)。其一，遠(yuǎn)程檢測(cè)的標(biāo)準(zhǔn)化程度比較高；其二，與跟簡(jiǎn)單的 Web 漏洞掃描產(chǎn)品相比較，遠(yuǎn)程檢測(cè)對(duì) Web 漏洞的檢測(cè)更快速而全面，該種檢測(cè)采用了多種安全工具進(jìn)行檢測(cè)，還經(jīng)過(guò)了人工審核與數(shù)據(jù)分析，從而產(chǎn)生更加準(zhǔn)確和全面的結(jié)果，避免了單一工具檢查的片面性和部分誤報(bào)率。 (2)操作系統(tǒng)與應(yīng)用環(huán)境預(yù)警。服務(wù)器運(yùn)行的軟件基礎(chǔ)是操作系統(tǒng)，操作系統(tǒng)環(huán)境和應(yīng)用環(huán)境的安全直接影響著 Web應(yīng)用安全穩(wěn)定的運(yùn)行，因此需要不斷地核查系統(tǒng)，監(jiān)測(cè)應(yīng)用環(huán)境安全性，譬如是否有入侵痕跡、是否含有隱藏的克隆系統(tǒng)管理員賬號(hào)、中間件環(huán)境是否存在潛在的危險(xiǎn)。系統(tǒng)的安全檢測(cè)主要有系統(tǒng)補(bǔ)丁更新?tīng)顩r、系統(tǒng)賬戶策略安全性、系統(tǒng)密碼策略安全性、系統(tǒng)服務(wù)策略安全性等直接與系統(tǒng)安全的各種配置和漏洞修復(fù) 狀況等檢測(cè)有關(guān)。應(yīng)用環(huán)境的安全檢測(cè)包含提供 Web 服務(wù)的程序安全性檢測(cè)、提供代碼解釋和執(zhí)行的基礎(chǔ)環(huán)境的安全性檢測(cè)等。 (3)網(wǎng)站掛馬檢測(cè)。網(wǎng)站掛馬檢測(cè)服務(wù)，主要是指事先定期對(duì)網(wǎng)站進(jìn)行檢測(cè)和監(jiān)控，網(wǎng)站是否有被掛馬的跡象要及時(shí)發(fā)現(xiàn)。網(wǎng)站掛馬檢測(cè)服務(wù)在發(fā)現(xiàn)頁(yè)面代碼中是否被嵌入了木馬的同時(shí)，還可以發(fā)現(xiàn)惡意代碼及其相關(guān)目的鏈接等被嵌入到和存儲(chǔ)到數(shù)據(jù)庫(kù)中。事實(shí)表明，此種檢測(cè)方法防范 CSS跨站腳本攻擊和 SQL 注入攻擊的效果明顯。 4、結(jié)語(yǔ) 文章主要針對(duì)開(kāi)始部分中降到的主要的安全危險(xiǎn)提出對(duì)應(yīng)的處 理措施，布置以上技術(shù)措施后的電子政務(wù)網(wǎng)站，基本能夠保證電子政務(wù)網(wǎng)站的安全性，然而電子政務(wù)網(wǎng)站的安全管理，是一個(gè)系統(tǒng)工程，除了要有較好的保護(hù)措施之外，還需要建立科學(xué)、先進(jìn)的網(wǎng)站建設(shè)、運(yùn)行和維護(hù)的管理方式。另外還有其他某些存在的以及未發(fā)現(xiàn)的安全危險(xiǎn)，將別的安全危險(xiǎn)和文章中說(shuō)到的危險(xiǎn)進(jìn)行相關(guān)性分析，提取重要特征，設(shè)計(jì)相應(yīng)的解決方案。 參考文獻(xiàn)： 1 張岸 張毅東：政府網(wǎng)站安全防護(hù)解決方案研究 ,情報(bào)探索， 2010 年 11 期 2 王鍵：電子政務(wù)與信息安全，中國(guó)教育信息 化， 2007 年 13 期 3 劉奇峰：我國(guó)電子政務(wù)發(fā)展現(xiàn)狀及對(duì)策，湖南行政學(xué)院學(xué)報(bào)， 2007 年 02 期 4 李德平 鄒慧玲：電子政務(wù)建設(shè)中的信息安全保障機(jī)制研究，商業(yè)時(shí)代， 2007 年 21 期 文檔資料：政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 完整下載 完整閱讀 全文下載 全文閱讀 免費(fèi)閱讀及下載 閱讀相關(guān)文檔 :高層建筑施工技術(shù)探析 真空輔助壓漿技術(shù)在高速公路橋梁中的應(yīng)用 土建工程預(yù)算控制管理的有效措施 園林景觀施工管理心得 怎樣做好工程回訪 我國(guó)稀土發(fā)光材料產(chǎn)業(yè)的發(fā)展與現(xiàn)狀 園林景觀設(shè)計(jì)中的色彩運(yùn)用 園林綠化施工管理控制 在園林工程施工過(guò)程中應(yīng)注意的問(wèn)題 園城集團(tuán)有限公司人才流失的原因及對(duì)策研究 園林景觀工程施工及其管理技術(shù)探討 預(yù)應(yīng)力混凝土橋梁結(jié)構(gòu)加固與裂縫處理 預(yù)應(yīng)力混凝土橋梁懸臂澆筑的施工控制