政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]_第1頁(yè)
政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]_第2頁(yè)
政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]_第3頁(yè)
政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]_第4頁(yè)
政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究[權(quán)威資料]_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀 繼續(xù)免費(fèi)閱讀

付費(fèi)下載

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 本文檔格式為 WORD,感謝你的閱讀。 【摘要】:政務(wù)網(wǎng)站是各層政府在互聯(lián)網(wǎng)上實(shí)施信息公布和辦理業(yè)務(wù)的主要窗口,是政府單位和群眾用來(lái)交流的中樞,所以政務(wù)網(wǎng)站的質(zhì)量,直接影響各部門的辦公效率和公眾形象。近幾年,以 Web 與數(shù)據(jù)庫(kù)框架基礎(chǔ)的政務(wù)系統(tǒng)逐漸作為主流。然而在現(xiàn)實(shí)的安排中,因?yàn)楸Wo(hù)措施不夠,政務(wù)網(wǎng)站時(shí)常會(huì)受到黑客的攻擊和破壞。文章結(jié)合最新的技術(shù)手段,提出了較全面的政務(wù)網(wǎng)站安全保護(hù)方法,這些方法通過(guò)實(shí)踐檢驗(yàn), 是行之有效的,防護(hù)效果較為顯著。 【關(guān)鍵詞】:政務(wù)網(wǎng)站、網(wǎng)絡(luò)安全、 Web 服務(wù)器、保護(hù)措施 TU714 A 1、前言 作為政務(wù)公布和為民服務(wù)的重要窗口,政務(wù)網(wǎng)站在電子政務(wù)的設(shè)計(jì)中具有重要位置。然而伴隨我國(guó)電子政務(wù)網(wǎng)站建設(shè)的規(guī)模逐漸擴(kuò)大和互聯(lián)網(wǎng)應(yīng)用的逐漸普及,其安全問(wèn)題也越發(fā)突出嚴(yán)峻。一方面,電子政務(wù)網(wǎng)站的規(guī)模快速擴(kuò)大,另一方面,我國(guó)電子政務(wù)網(wǎng)站系統(tǒng)仍然無(wú)一套科學(xué)、完整、高效的保護(hù)機(jī)制。相關(guān)研究結(jié)果表明,電子政務(wù)網(wǎng)站在 2011年受到威脅和攻擊次數(shù)最多,造成影響和結(jié)果最為 嚴(yán)重。許多黑客通過(guò)網(wǎng)站漏洞,惡意篡改網(wǎng)站的內(nèi)容,或者將病毒種入電子政務(wù)網(wǎng)站。所以,當(dāng)前的電子政務(wù)網(wǎng)站安全遭遇的情況相當(dāng)嚴(yán)峻。 2、電子政務(wù)網(wǎng)站遭受的主要威脅 2.1 DDoS 攻擊 分布式拒絕服務(wù)攻擊 (DDoS)是當(dāng)前黑客經(jīng)常采取卻很難防范的攻擊手段。 DoS 的攻擊形式有許多種。最基礎(chǔ)的 DoS攻擊則是利用通過(guò)合理的服務(wù)請(qǐng)求來(lái)占據(jù)大量的服務(wù)資源,導(dǎo)致服務(wù)超載,不能響應(yīng)另外的請(qǐng)求。被 DDos 攻擊時(shí)的主要表現(xiàn)有:( 1)網(wǎng)絡(luò)中存在著許多的沒(méi)用的數(shù)據(jù)包。( 2)形成高流量沒(méi)用數(shù)據(jù),形成網(wǎng)絡(luò)擁擠 ,令被攻擊主機(jī)不能正常與外界聯(lián)系。( 3)用被攻擊主機(jī)提供的服務(wù)或傳送協(xié)議上的不足,重復(fù)高速地發(fā)出指定的服務(wù)請(qǐng)求,令被攻擊主機(jī)不能及時(shí)處理全部正常請(qǐng)求。( 4)嚴(yán)重時(shí)可以引起系統(tǒng)死機(jī)。 2.2 SQL 注入攻擊 所謂 SQL 注入式攻擊,就是黑客將 SQL 命令插進(jìn)到 Web列表的輸入?yún)^(qū)或頁(yè)面請(qǐng)求的查詢字符串,蒙騙服務(wù)器運(yùn)行惡意的 SQL 命令。源自官方的解釋是 :“ 在應(yīng)用程序運(yùn)行輸入內(nèi)容來(lái)形成動(dòng)態(tài) SQL 語(yǔ)句來(lái)訪問(wèn)數(shù)據(jù)庫(kù)時(shí),會(huì)引起 SQL 注入攻擊。如若代碼運(yùn)行存儲(chǔ)過(guò)程,同時(shí)這些存儲(chǔ)過(guò)程當(dāng)作包括沒(méi)有篩選的用戶輸入 的字符串來(lái)傳輸,也會(huì)引起 SQL 注入攻擊。 SQL 注入可能造成攻擊者可以運(yùn)用應(yīng)用程序訪問(wèn)在數(shù)據(jù)庫(kù)中運(yùn)行命令。如若應(yīng)用程序運(yùn)用特權(quán)較高的帳戶連接進(jìn)數(shù)據(jù)庫(kù),這類問(wèn)題會(huì)轉(zhuǎn)變更嚴(yán)重。 ” 在一些列表中,用戶輸入的內(nèi)容直接用作構(gòu)建 (動(dòng)態(tài) SQL 命令,或用作存儲(chǔ)過(guò)程的輸入?yún)?shù),這種列表尤其容易遭受 SQL 注入式攻擊。然而大量網(wǎng)站程序在編程時(shí),未對(duì)用戶輸入內(nèi)容的合法性進(jìn)行判定或者程序中自身的變量處置不當(dāng),令應(yīng)用程序有安全問(wèn)題。如此用戶就能夠上交一串?dāng)?shù)據(jù)庫(kù)查詢編碼,依據(jù)程序返回的數(shù)據(jù),得到一些敏感的信息或者掌控全部服務(wù)器,因此 SQL 注 入誕生了。換而言之, SQL 注入的機(jī)理就是從客戶端上交特定的編碼,得到程序及服務(wù)器的信息,因此取得想要獲到的資料。 2.3 跨站點(diǎn)腳本攻擊 跨站腳本攻擊(也叫 CSS 或者 XSS)指通過(guò)網(wǎng)站漏洞從用戶處惡意竊取訊息。用戶在訪問(wèn)網(wǎng)站、運(yùn)用即時(shí)通訊軟件、甚至當(dāng)瀏覽電子郵件時(shí),正常會(huì)點(diǎn)擊當(dāng)中的鏈接。攻擊者利用在鏈接中插進(jìn)惡意編碼,就可以竊取用戶訊息。攻擊者正常會(huì)運(yùn)用十六進(jìn)制對(duì)鏈接編程,避免用戶對(duì)它的合法性產(chǎn)生懷疑。網(wǎng)站在收到包括惡意編碼的請(qǐng)求后會(huì)生成一個(gè)蘊(yùn)含惡意編碼的界面,然而這個(gè)界面看著好像是原網(wǎng)站 應(yīng)該形成的合法界面一樣。很風(fēng)靡的留言板和論壇程序同意用戶發(fā)表包括 HTML 和 javascript 的帖子。如果用戶甲發(fā)表了一篇包括惡意腳本的帖子,那么用戶乙在查閱這篇帖子時(shí),惡意腳本就會(huì)運(yùn)行行,竊取用戶乙的 session 訊息。 3、電子政務(wù)網(wǎng)站的安全防護(hù)措施 3.1 網(wǎng)站安全架構(gòu) 為處理政務(wù)網(wǎng)站的安全隱患,第一必須建設(shè)一套全面的安全系統(tǒng)結(jié)構(gòu)來(lái)確保電子政務(wù)網(wǎng)站的安全性,建設(shè)一套事前、事中和事后的縱深保護(hù)系統(tǒng),這是處理以上的攻擊方式的前提,在此結(jié)構(gòu)上采用別的的一些安全技術(shù),多層次共同保護(hù) 政務(wù)網(wǎng)站的安全性。對(duì)于第 1 部分三種威脅,建設(shè)如圖 1所示的安全系統(tǒng)結(jié)構(gòu)。在基礎(chǔ)的安全和服務(wù)平臺(tái)上添加安全管理體制和緊急恢復(fù)體制。 圖 1 中間的基礎(chǔ)安全與服務(wù)平臺(tái)是網(wǎng)站安全的前提,當(dāng)中特別是物理安全極其重要,它是網(wǎng)站安全的基礎(chǔ),因此要求政府機(jī)構(gòu)在建設(shè)網(wǎng)站初期擬定全面的安全管理體制和有效的緊急恢復(fù)體制,預(yù)防物理?yè)p壞對(duì)網(wǎng)站引起的重大損害。在網(wǎng)絡(luò)層面,要注重安全區(qū)劃分、入侵防護(hù)和防拒絕服務(wù)攻擊。文章后部分提出的技術(shù)能夠融入本平臺(tái)中,和網(wǎng)絡(luò)層與應(yīng)用層結(jié)合在一起,處理相關(guān)的安全危險(xiǎn)。構(gòu)建安全檢查監(jiān)督和激勵(lì)等體制, 增強(qiáng)管理人員的操作能力與應(yīng)變能力,構(gòu)建完善的安全管理系統(tǒng)制度。緊急恢復(fù)機(jī)制堅(jiān)持防御為主、及時(shí)分離、全面根除的原則,保證網(wǎng)站信息系統(tǒng)平穩(wěn)運(yùn)行、網(wǎng)站信息內(nèi)容安全完整。 3.2 網(wǎng)站加固技術(shù) (1)采取高性能的網(wǎng)絡(luò)配置。首先要確保網(wǎng)絡(luò)配置不會(huì)成為瓶頸,所以選取路由器、交換機(jī)、硬件防火墻等配置時(shí)應(yīng)盡可能選取名譽(yù)度高、口碑好的設(shè)備。還能夠和網(wǎng)絡(luò)供應(yīng)商作為合作伙伴,當(dāng)大量攻擊存在的時(shí)請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處進(jìn)行流量截止,這一手段對(duì)于一些種類的 DDoS 攻擊是十分有效的。 (2)盡可能減少采用易引起系 統(tǒng)性能降低的技術(shù)。某些技術(shù)的運(yùn)用,有可能使網(wǎng)絡(luò)的能力相當(dāng)大的幅度降低。比如NAT 地址轉(zhuǎn)化技術(shù),需要對(duì)網(wǎng)絡(luò)地址不停地實(shí)施轉(zhuǎn)變,這當(dāng)中需要對(duì)網(wǎng)絡(luò)包的地址進(jìn)行海量計(jì)算和校正,大幅占據(jù) CPU 時(shí)間,所以不管是路由器還是硬件防火墻配置都需盡量地減少這類技術(shù)的運(yùn)用。 (3)增強(qiáng)操作系統(tǒng)的防護(hù)性能。 WindowsServer2008 和WindowsServer2008 作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗 DDoS 攻擊的能力,只是默認(rèn)狀態(tài)下并沒(méi)有開(kāi)啟,如果開(kāi)啟的話可抵擋約 10000 個(gè) SYN 攻擊包,若沒(méi)有開(kāi)啟則僅能 抵御數(shù)百個(gè)。因此,增強(qiáng)操作系統(tǒng)的防護(hù)性能對(duì)于 DDoS 的防范可謂事半功倍。 (4)其它加固方式。政府單位能夠選購(gòu)專業(yè)的防護(hù) DDos和腳本攻擊的防火墻設(shè)施,選用 DNS 輪詢或者負(fù)載均衡技術(shù),對(duì)進(jìn)行攻擊的惡意編碼進(jìn)行驅(qū)動(dòng)級(jí)攔截,用詞來(lái)翻倍增強(qiáng)防護(hù)攻擊能力。 3.3 網(wǎng)站安全監(jiān)測(cè)技術(shù) (1)網(wǎng)站遠(yuǎn)程檢測(cè)。相比傳統(tǒng)的監(jiān)測(cè)方法,網(wǎng)站遠(yuǎn)程安全檢測(cè)具有鮮明的點(diǎn)。其一,遠(yuǎn)程檢測(cè)的標(biāo)準(zhǔn)化程度比較高;其二,與跟簡(jiǎn)單的 Web 漏洞掃描產(chǎn)品相比較,遠(yuǎn)程檢測(cè)對(duì) Web 漏洞的檢測(cè)更快速而全面,該種檢測(cè)采用了多種安全工具進(jìn)行檢測(cè),還經(jīng)過(guò)了人工審核與數(shù)據(jù)分析,從而產(chǎn)生更加準(zhǔn)確和全面的結(jié)果,避免了單一工具檢查的片面性和部分誤報(bào)率。 (2)操作系統(tǒng)與應(yīng)用環(huán)境預(yù)警。服務(wù)器運(yùn)行的軟件基礎(chǔ)是操作系統(tǒng),操作系統(tǒng)環(huán)境和應(yīng)用環(huán)境的安全直接影響著 Web應(yīng)用安全穩(wěn)定的運(yùn)行,因此需要不斷地核查系統(tǒng),監(jiān)測(cè)應(yīng)用環(huán)境安全性,譬如是否有入侵痕跡、是否含有隱藏的克隆系統(tǒng)管理員賬號(hào)、中間件環(huán)境是否存在潛在的危險(xiǎn)。系統(tǒng)的安全檢測(cè)主要有系統(tǒng)補(bǔ)丁更新?tīng)顩r、系統(tǒng)賬戶策略安全性、系統(tǒng)密碼策略安全性、系統(tǒng)服務(wù)策略安全性等直接與系統(tǒng)安全的各種配置和漏洞修復(fù) 狀況等檢測(cè)有關(guān)。應(yīng)用環(huán)境的安全檢測(cè)包含提供 Web 服務(wù)的程序安全性檢測(cè)、提供代碼解釋和執(zhí)行的基礎(chǔ)環(huán)境的安全性檢測(cè)等。 (3)網(wǎng)站掛馬檢測(cè)。網(wǎng)站掛馬檢測(cè)服務(wù),主要是指事先定期對(duì)網(wǎng)站進(jìn)行檢測(cè)和監(jiān)控,網(wǎng)站是否有被掛馬的跡象要及時(shí)發(fā)現(xiàn)。網(wǎng)站掛馬檢測(cè)服務(wù)在發(fā)現(xiàn)頁(yè)面代碼中是否被嵌入了木馬的同時(shí),還可以發(fā)現(xiàn)惡意代碼及其相關(guān)目的鏈接等被嵌入到和存儲(chǔ)到數(shù)據(jù)庫(kù)中。事實(shí)表明,此種檢測(cè)方法防范 CSS跨站腳本攻擊和 SQL 注入攻擊的效果明顯。 4、結(jié)語(yǔ) 文章主要針對(duì)開(kāi)始部分中降到的主要的安全危險(xiǎn)提出對(duì)應(yīng)的處 理措施,布置以上技術(shù)措施后的電子政務(wù)網(wǎng)站,基本能夠保證電子政務(wù)網(wǎng)站的安全性,然而電子政務(wù)網(wǎng)站的安全管理,是一個(gè)系統(tǒng)工程,除了要有較好的保護(hù)措施之外,還需要建立科學(xué)、先進(jìn)的網(wǎng)站建設(shè)、運(yùn)行和維護(hù)的管理方式。另外還有其他某些存在的以及未發(fā)現(xiàn)的安全危險(xiǎn),將別的安全危險(xiǎn)和文章中說(shuō)到的危險(xiǎn)進(jìn)行相關(guān)性分析,提取重要特征,設(shè)計(jì)相應(yīng)的解決方案。 參考文獻(xiàn): 1 張岸 張毅東:政府網(wǎng)站安全防護(hù)解決方案研究 ,情報(bào)探索, 2010 年 11 期 2 王鍵:電子政務(wù)與信息安全,中國(guó)教育信息 化, 2007 年 13 期 3 劉奇峰:我國(guó)電子政務(wù)發(fā)展現(xiàn)狀及對(duì)策,湖南行政學(xué)院學(xué)報(bào), 2007 年 02 期 4 李德平 鄒慧玲:電子政務(wù)建設(shè)中的信息安全保障機(jī)制研究,商業(yè)時(shí)代, 2007 年 21 期 文檔資料:政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 完整下載 完整閱讀 全文下載 全文閱讀 免費(fèi)閱讀及下載 閱讀相關(guān)文檔 :高層建筑施工技術(shù)探析 真空輔助壓漿技術(shù)在高速公路橋梁中的應(yīng)用 土建工程預(yù)算控制管理的有效措施 園林景觀施工管理心得 怎樣做好工程回訪 我國(guó)稀土發(fā)光材料產(chǎn)業(yè)的發(fā)展與現(xiàn)狀 園林景觀設(shè)計(jì)中的色彩運(yùn)用 園林綠化施工管理控制 在園林工程施工過(guò)程中應(yīng)注意的問(wèn)題 園城集團(tuán)有限公司人才流失的原因及對(duì)策研究 園林景觀工程施工及其管理技術(shù)探討 預(yù)應(yīng)力混凝土橋梁結(jié)構(gòu)加固與裂縫處理 預(yù)應(yīng)力混凝土橋梁懸臂澆筑的施工控制

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論