Web網(wǎng)站安全防護(hù)策略研究

1、遼寧警官高等專科學(xué)校畢業(yè)論文（設(shè)計(jì)） PAGE II Web網(wǎng)站安全防護(hù)策略研究摘 要：網(wǎng)站是信息的發(fā)布中心，其數(shù)據(jù)庫(kù)中存放著大量的供用戶共享的重要信息，因此，網(wǎng)站信息安全是網(wǎng)站建設(shè)和運(yùn)行過程中應(yīng)該充分考慮和重視的問題。對(duì)于一個(gè)網(wǎng)站或信息系統(tǒng)來說，安全從主體上主要體現(xiàn)在信息安全和網(wǎng)絡(luò)安全兩個(gè)方面，安全都是以系統(tǒng)的可靠性作為前提，但又比可靠性更進(jìn)一步。信息的安全是網(wǎng)絡(luò)應(yīng)用中比較重要的一個(gè)問題。本文主要探討了Web網(wǎng)站中網(wǎng)絡(luò)信息存在的安全隱患和相應(yīng)措施，結(jié)合Web網(wǎng)站安全解決過程中可能使用數(shù)據(jù)庫(kù)安全技術(shù)，著重針對(duì)門戶網(wǎng)站、政府網(wǎng)站、銀行網(wǎng)站的安全現(xiàn)狀及防護(hù)措施進(jìn)行了深入探討，并給出了相應(yīng)的安全性的

2、解決策略。在構(gòu)建Web網(wǎng)站的實(shí)踐中證明，這些安全措施是行之有效的。關(guān)鍵詞：Web；網(wǎng)絡(luò)安全；防護(hù)策略；Web web security protection strategy studyAbstract:Site is the release of information center, its database to store a lot of users share important information, therefore, website information safety is the construction site and operation process shou

3、ld give full consideration and attention problem. For a web site or the information system security from the body, mainly reflected in information security and network security two respects, safety are based on system reliability as the premise, but also more than reliability. Information security i

4、s in the network application is an important problem. This paper mainly discusses the Web site network information security problems and corresponding measures, combining Web web security solution process may use the database security technology, focusing on portal website, government website, bank

5、security status and protection measures were discussed, and the corresponding security solutions. In the Web construction site proved in practice, these security measures are effective.Key word：Web；Network security；Protection strategy 目 錄TOC o 1-3 h u HYPERLINK l _Toc324795504 1引 言 PAGEREF _Toc32479

6、5504 h 1 HYPERLINK l _Toc324795505 1 Web網(wǎng)站的安全現(xiàn)狀及安全隱患 PAGEREF _Toc324795505 h 1 HYPERLINK l _Toc324795506 1.1 Web網(wǎng)站的網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc324795506 h 1 HYPERLINK l _Toc324795507 1.2 Web網(wǎng)站存在的安全隱患 PAGEREF _Toc324795507 h 2 HYPERLINK l _Toc324795512 2 Web網(wǎng)站的安全技術(shù)與安全對(duì)策 PAGEREF _Toc324795512 h 3 HYPERLINK l _To

7、c324795513 2.1 典型網(wǎng)站安全技術(shù) PAGEREF _Toc324795513 h 3 HYPERLINK l _Toc324795518 2.2 Web網(wǎng)站安全對(duì)策 PAGEREF _Toc324795518 h 4 HYPERLINK l _Toc324795524 3門戶網(wǎng)站安全防護(hù)問題和策略 PAGEREF _Toc324795524 h 5 HYPERLINK l _Toc324795525 3.1門戶網(wǎng)站安全防護(hù)的問題 PAGEREF _Toc324795525 h 5 HYPERLINK l _Toc324795529 3.2門戶網(wǎng)站安全防護(hù)策略 PAGEREF _T

8、oc324795529 h 6 HYPERLINK l _Toc324795534 4政府網(wǎng)站安全問題和應(yīng)對(duì)策略 PAGEREF _Toc324795534 h 7 HYPERLINK l _Toc324795535 4.1政府網(wǎng)站安全現(xiàn)狀 PAGEREF _Toc324795535 h 7 HYPERLINK l _Toc324795536 4.2政府網(wǎng)站安全存在問題 PAGEREF _Toc324795536 h 7 HYPERLINK l _Toc324795539 4.3政府網(wǎng)站安全應(yīng)對(duì)策略 PAGEREF _Toc324795539 h 8 HYPERLINK l _Toc32479

9、5543 5銀行網(wǎng)站的安全問題和應(yīng)對(duì)策略 PAGEREF _Toc324795543 h 9 HYPERLINK l _Toc324795544 5.1銀行網(wǎng)站的安全問題 PAGEREF _Toc324795544 h 9 HYPERLINK l _Toc324795545 5.2銀行網(wǎng)站的安全應(yīng)對(duì)策略 PAGEREF _Toc324795545 h 9 HYPERLINK l _Toc324795549 6 結(jié) 論 PAGEREF _Toc324795549 h 10 HYPERLINK l _Toc324795550 致 謝 PAGEREF _Toc324795550 h 12 HYPER

10、LINK l _Toc324795551 參考文獻(xiàn) PAGEREF _Toc324795551 h 13 PAGE 12引 言我國(guó)的信息網(wǎng)絡(luò)安全研究歷經(jīng)了兩個(gè)階段：通信保密和數(shù)據(jù)保護(hù)，目前正在進(jìn)入網(wǎng)絡(luò)信息安全的研究階段，現(xiàn)在已經(jīng)開發(fā)研制出了防火墻、安全網(wǎng)關(guān)和路由器、黑客入侵的檢測(cè)以及系統(tǒng)的脆弱性掃描軟件等。網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為發(fā)展信息網(wǎng)絡(luò)的關(guān)鍵技術(shù)，人類步入信息化社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍然有許多的工作需要開發(fā)、研究和進(jìn)行探索，以此來保證網(wǎng)絡(luò)信息的安全，推動(dòng)我國(guó)的國(guó)

11、民經(jīng)濟(jì)的飛速穩(wěn)定的發(fā)展。隨著計(jì)算機(jī)應(yīng)用的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展，無論是企業(yè)還是高等學(xué)校，都相繼建立了內(nèi)部信息網(wǎng)絡(luò)(Intranet)，設(shè)立了自己的Web網(wǎng)站，相關(guān)數(shù)據(jù)顯示，目前國(guó)內(nèi)存在危險(xiǎn)漏洞的網(wǎng)站所占比例高達(dá)52%，網(wǎng)站安全防護(hù)能力有待提高。近年來國(guó)內(nèi)網(wǎng)絡(luò)的普及達(dá)到了前所未有的程度，但同時(shí)信息泄露、網(wǎng)絡(luò)病毒傳播等網(wǎng)絡(luò)安全事件頻發(fā)，不斷困擾著廣大用戶?；ヂ?lián)網(wǎng)安全問題已十分嚴(yán)峻，治理工作任重道遠(yuǎn)，需要政府相關(guān)部門加強(qiáng)立法規(guī)范以及監(jiān)管力度，同時(shí)用戶也應(yīng)提高網(wǎng)絡(luò)安全防范意識(shí)。本文就目前WEB網(wǎng)站的安全狀況進(jìn)行分析研究應(yīng)對(duì)策略，保護(hù)網(wǎng)站以及網(wǎng)民的安全。360安全中心近日對(duì)外發(fā)布2011年度互聯(lián)網(wǎng)網(wǎng)站安全

12、報(bào)告，數(shù)據(jù)顯示，據(jù)網(wǎng)站安全檢測(cè)平臺(tái)對(duì)隨機(jī)抽取的93233個(gè)國(guó)內(nèi)網(wǎng)站分析發(fā)現(xiàn)，存在高危漏洞的網(wǎng)站比例達(dá)36%，存在中危漏洞的網(wǎng)站則有16%，兩者合計(jì)比例高達(dá)52%。QQ電腦管家與艾瑞咨詢也于近日聯(lián)合發(fā)布2011下半年個(gè)人網(wǎng)絡(luò)安全報(bào)告稱2012年個(gè)人網(wǎng)絡(luò)安全情況依然嚴(yán)峻，切實(shí)提升網(wǎng)民安全意識(shí)至關(guān)重要。1 Web網(wǎng)站的安全現(xiàn)狀及安全隱患1.1 Web網(wǎng)站的網(wǎng)絡(luò)現(xiàn)狀很多個(gè)人用戶和企業(yè)用戶認(rèn)為，在網(wǎng)絡(luò)中不斷部署防火墻，入侵檢測(cè)系統(tǒng)(IDS)，入侵防御系統(tǒng)(IPS)等設(shè)備，可以提高網(wǎng)絡(luò)的安全性?；趹?yīng)用的攻擊事件仍然不斷發(fā)生，究其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范，作用十分有限。目前的大

13、多防火墻、IDS、IPS都不能有效的達(dá)到防護(hù)的目標(biāo)。目前網(wǎng)站安全問題主要表現(xiàn)在：一是利用Web服務(wù)器的漏洞進(jìn)行攻擊，如CGI緩沖區(qū)溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁自身的安全漏洞進(jìn)行攻擊，如SQL注入，跨站腳本攻擊等。網(wǎng)站面臨的Web安全威脅是非常嚴(yán)重的；而一旦出現(xiàn)網(wǎng)站掛馬、病毒爆發(fā)，入侵攻擊等問題，完全有可能馬上造成災(zāi)難性后果。如對(duì)于和后臺(tái)數(shù)據(jù)庫(kù)產(chǎn)生交互的網(wǎng)頁，如果沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷，就會(huì)使應(yīng)用程序存在安全隱患。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫(kù)查詢代碼，使后臺(tái)應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些

14、想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。1.2 Web網(wǎng)站存在的安全隱患1.2.1沒有有效過濾垃圾信息和惡意網(wǎng)址推動(dòng)“可寫互聯(lián)網(wǎng)”的主要力量之一，博客系統(tǒng)的出現(xiàn)在很大程度上降低了建立自己網(wǎng)絡(luò)空間的技術(shù)門檻。目前我國(guó)博客的數(shù)量大概是700萬。垃圾信息、垃圾博客(Splog)是國(guó)內(nèi)外博客系統(tǒng)都面臨的難題。Google的博客系統(tǒng)因?yàn)槔畔⒁呀?jīng)陷入了很尷尬的局面?，F(xiàn)階段，國(guó)內(nèi)的大多數(shù)博客系統(tǒng)為用戶提供了匿名進(jìn)行評(píng)論的功能，或者在線留言的功能。一些垃圾信息制造者利用這些模塊脆弱的驗(yàn)證機(jī)制，很容易就可以編寫程序，自動(dòng)的發(fā)布成千上萬條的垃圾信息或者惡意網(wǎng)址。這個(gè)問題同樣存在于國(guó)內(nèi)其他的網(wǎng)絡(luò)社區(qū)。1

15、.1.2開放式的信息發(fā)布平臺(tái)易轉(zhuǎn)變成僵尸網(wǎng)絡(luò)感染了IRC Bot病毒的電腦稱作僵尸計(jì)算機(jī)，因?yàn)樗鼈儠?huì)通過IRC (Internet轉(zhuǎn)播交談)聊天服務(wù)器獲取并執(zhí)行黑客命令。黑客只需要在IRC上發(fā)布一些命令，就可以遙控一個(gè)行動(dòng)統(tǒng)一的由數(shù)萬臺(tái)僵尸計(jì)算機(jī)組成的僵尸網(wǎng)絡(luò)，進(jìn)行DoS攻擊等破壞性的活動(dòng)。就目前來說，這樣的僵尸網(wǎng)絡(luò)還沒有被發(fā)現(xiàn)，但在理論上它們的確很有可能會(huì)出現(xiàn)。1.1.3多數(shù)博客系統(tǒng)和SNS系統(tǒng)存在病毒許多的博客系統(tǒng)允許用戶自行上傳相關(guān)的文件，但是沒有對(duì)這些文件進(jìn)行最基本的病毒掃描。就比如博客網(wǎng)，只是對(duì)上傳的文件進(jìn)行最簡(jiǎn)單的限制與檢查，雖然不允許直接上傳EXE可執(zhí)行文件，但對(duì)文本文件、Off

16、ice文檔、壓縮包文件等都不作查殺病毒的相關(guān)操作，這就存在著非常大的信息安全隱患。博客還將會(huì)繼續(xù)普及和不斷的壯大，此隱患的嚴(yán)重程度也會(huì)隨之越來越高。對(duì)用戶開放自由編寫腳本的功能，是博客系統(tǒng)和SNS系統(tǒng)的另一個(gè)安全隱患。腳本功能的原意是盡可能的滿足每個(gè)用戶的個(gè)性化需求，通過自行編寫的網(wǎng)頁腳本讓用戶的頁面更加大方和美觀。但是這種功能一經(jīng)濫用，就是一個(gè)很嚴(yán)重的問題。2005年6月，江民公司就曾經(jīng)報(bào)導(dǎo)過CSDN博客用戶利用惡意腳本種植木馬的事件。10月初，第一只Web2.0蠕蟲I-Worm /JSSammy也是利用著名網(wǎng)絡(luò)社區(qū)MySpacecom的系統(tǒng)漏洞，以跨站腳本攻擊(XSS)的方式進(jìn)行傳播。1.

17、1.4惡意利用匿名RSS訂閱提供RSS服務(wù)，是絕大多數(shù)的網(wǎng)站必備的功能，最典型的就是信息類網(wǎng)站。新浪、百度、雅虎等新聞與搜索門戶都已經(jīng)實(shí)現(xiàn)了這一必備的功能。RSS每隔幾分鐘就會(huì)被更新一次，提供網(wǎng)站最新內(nèi)容的標(biāo)題和摘要等許多的信息，任何用戶都可以自由的訂閱這些RSS。社會(huì)工程學(xué)已經(jīng)成為病毒傳播過程中的重要因素，它不是技術(shù)因素，但作用卻往往比技術(shù)因素更大。假如病毒能夠?qū)π畔⒕W(wǎng)站上的RSS進(jìn)行“訂閱”，那么就可以對(duì)這些網(wǎng)站的相關(guān)資源進(jìn)行利用，不斷的獲得最新的具有爆炸性的新聞標(biāo)題和圖片地址，不管它傳播多長(zhǎng)時(shí)間，均可用最嶄新的標(biāo)題來誘惑用戶點(diǎn)擊運(yùn)行并觀看它，這就可能會(huì)在很大程度上提高病毒的感染范圍和生命

18、周期。2 Web網(wǎng)站的安全技術(shù)與安全對(duì)策2.1 典型網(wǎng)站安全技術(shù)2.1.1 防火墻技術(shù)防火墻技術(shù)是一種訪問控制的技術(shù)，它是在內(nèi)部網(wǎng)絡(luò)(專用網(wǎng)絡(luò))和外部網(wǎng)絡(luò)(公用網(wǎng)絡(luò))之間設(shè)立的一道“防護(hù)欄”，也就是說在它們的界面上構(gòu)造一個(gè)保護(hù)層(或隔離層)，對(duì)信息資源的非法訪問進(jìn)行阻止，并強(qiáng)制所有的連接都必須經(jīng)過此保護(hù)層，進(jìn)行檢查和連接。只有被授權(quán)的訪問才能通過此保護(hù)層，從而提供了一個(gè)封閉的邏輯環(huán)境，保護(hù)內(nèi)部網(wǎng)絡(luò)免遭非法入侵。2.1.2用戶身份的認(rèn)證技術(shù)對(duì)用戶身份的識(shí)別是用來確定此用戶是不是合法。在Web的應(yīng)用程序級(jí)，可以利用身份的認(rèn)證機(jī)制來判斷試圖訪問被限制內(nèi)容的用戶是否擁有有效的Windows NT帳號(hào)的

19、用戶名和密碼。在后臺(tái)的數(shù)據(jù)處理庫(kù)中，用身份驗(yàn)證機(jī)制進(jìn)一步的對(duì)用戶的合法性進(jìn)行確認(rèn)。還可以建立User用戶表，用戶在經(jīng)過IP地址的過濾后，在Web Browser端呈現(xiàn)用戶登錄界面。用戶在系統(tǒng)提示下輸入登錄名、口令，并提交其輸入的結(jié)果由系統(tǒng)來驗(yàn)證其是否合法。2.1.3 數(shù)據(jù)庫(kù)的安全訪問代理服務(wù)技術(shù)代理服務(wù)是一種網(wǎng)關(guān)功能，使用一客戶程序與特定的中間結(jié)點(diǎn)進(jìn)行鏈接，然后中間再結(jié)點(diǎn)同數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行鏈接，以此來提供用戶身份的認(rèn)證與數(shù)據(jù)庫(kù)的訪問的轉(zhuǎn)發(fā)，這樣一來，即便是防火墻倒塌了，其數(shù)據(jù)庫(kù)也可以避免受到攻擊。2.1.4 數(shù)據(jù)備份與恢復(fù)技術(shù)在網(wǎng)絡(luò)數(shù)據(jù)處理庫(kù)中數(shù)據(jù)的信息是最寶貴的，假如出現(xiàn)了故障，系統(tǒng)將無法正

20、常的運(yùn)行，還有可能癱瘓，此時(shí)關(guān)注的就是如何盡快恢復(fù)，使其正常運(yùn)行。故障一般分為物理故障和邏輯故障，通常在硬件一級(jí)可采用磁盤鏡像和陳列以及雙機(jī)容錯(cuò)等備份的方案;在軟件一級(jí)可采用數(shù)據(jù)拷貝、熱修復(fù)等措施。2.2 Web網(wǎng)站安全對(duì)策2.2.1加強(qiáng)網(wǎng)站信息發(fā)布的驗(yàn)證機(jī)制Web網(wǎng)站的信息主體來自數(shù)量龐大的用戶群。幾乎所有的信息發(fā)布平臺(tái)，在達(dá)到一定規(guī)模時(shí)都會(huì)遇到垃圾信息的許多問題，假如想要繼續(xù)發(fā)展下去，對(duì)信息進(jìn)行驗(yàn)證是非常必要功能。在早期就需要建立比較完善的驗(yàn)證信息機(jī)制，對(duì)網(wǎng)站的健康發(fā)展才有利，還可以節(jié)約相關(guān)的成本。較常用的方法是驗(yàn)證碼的技術(shù)，其目的在于阻止惡意的程序自動(dòng)的提交相關(guān)垃圾信息。驗(yàn)證碼的模塊功能

21、強(qiáng)大與否，使直接由編程對(duì)識(shí)別相關(guān)驗(yàn)證碼圖片的難易程度決定的。圖片的生成算法至少要具備隨機(jī)噪音和散列以及字體的形變等許多特性。2.2.2加強(qiáng)和安全廠商合作的力度網(wǎng)站對(duì)其用戶所提交的文件和網(wǎng)址進(jìn)行過濾，是對(duì)用戶群的信息安全保障的最基本的服務(wù)。自2004年4月， Windows接連公布了幾個(gè)與圖片文件處理相關(guān)的安全漏洞，涉及的圖片類型有PNG、JPEG、WMF等。想要對(duì)這些惡意的內(nèi)容進(jìn)行識(shí)別，只憑對(duì)文件的類型檢測(cè)是遠(yuǎn)遠(yuǎn)達(dá)不到要求的。相關(guān)的網(wǎng)站非常有必要和有關(guān)的信息安全的專業(yè)公司進(jìn)行密切的合作，使用最新的病毒處理庫(kù)對(duì)用戶所提交的相關(guān)信息進(jìn)行充分的過濾。除了安裝反病毒的模塊，網(wǎng)站和其安全廠商之間的交流和

22、溝通也是非常重要的。比如，網(wǎng)站需要其廠商的惡意網(wǎng)址庫(kù)才能夠?qū)Π瑦阂饩W(wǎng)址的相關(guān)信息準(zhǔn)確的刪除。2.2.3及時(shí)安裝平臺(tái)系統(tǒng)補(bǔ)丁網(wǎng)站系統(tǒng)正常運(yùn)行的平臺(tái)包括操作系統(tǒng)平臺(tái)和運(yùn)行平臺(tái)兩層。如果底層的平臺(tái)出現(xiàn)一些安全的漏洞，網(wǎng)站其本身就算做得再安全也是沒有用的。密切的關(guān)注底層平臺(tái)的最新的安全漏洞，并及時(shí)的安裝相關(guān)的補(bǔ)丁程序，是對(duì)網(wǎng)站進(jìn)行維護(hù)的最基本的工作。2.2.4 提高Web開發(fā)的安全意識(shí)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊除了針對(duì)某些運(yùn)行的平臺(tái)之外，還有很大一部分是針對(duì)相對(duì)不太嚴(yán)謹(jǐn)?shù)腤eb程序來設(shè)計(jì)的，就如SQL注入和XSS 等。把這些安全漏洞盡可能多的扼殺在其發(fā)布之前，不但對(duì)提高系統(tǒng)整體的安全性能有很大作用，還會(huì)降低其維

23、護(hù)的成本。2.2.5加強(qiáng)對(duì)外部Web API調(diào)用返回驗(yàn)證引用大量外部Web API，是Web網(wǎng)站開發(fā)的趨勢(shì)和特征。一個(gè)網(wǎng)站的部分功能可能要依賴于其他的網(wǎng)站提供的服務(wù)。許多網(wǎng)站之間彼此功能共享和相互引用，需要形成一張復(fù)雜的拓?fù)鋱D。假如其中的一個(gè)關(guān)鍵節(jié)點(diǎn)出現(xiàn)了問題，被攻破并且植入了惡意的代碼，往往會(huì)造成整張拓?fù)渖系乃泄?jié)點(diǎn)都會(huì)帶病毒的后果。外部的Web API是由其他的網(wǎng)站提供的，無法準(zhǔn)確的掌握它們的安全系數(shù)，所以在這些API調(diào)用前后都有必要對(duì)此加強(qiáng)驗(yàn)證，以確保它們使用起來是比較安全的。3門戶網(wǎng)站安全防護(hù)問題和策略3.1門戶網(wǎng)站安全防護(hù)的問題 3.1.1重內(nèi)輕外重內(nèi)輕外是政府在其網(wǎng)站系統(tǒng)建設(shè)的過程

24、當(dāng)中， 對(duì)其內(nèi)部的辦公網(wǎng)和專用網(wǎng)的安全有著高度的重視， 為了確保安全， 大多都采用了物理隔離的方式。但是針對(duì)直接為公眾服務(wù)的門戶網(wǎng)站的安全卻一直沒有得到足夠的重視， 并且還有許多的部門連最基本的外網(wǎng)安全的保障措施都沒有進(jìn)行部署，這就形成了兩個(gè)“極端”。3.1.2 唯技術(shù)論唯技術(shù)論是認(rèn)為網(wǎng)站安全僅僅取決于設(shè)備和技術(shù)，在建設(shè)網(wǎng)站安全體系的過程中，此種觀念十分的突出。 但是， 對(duì)于保障相關(guān)的電子政務(wù)安全的“軟性措施”卻一直沒有做細(xì)和做實(shí)， 就如從管理的體制上來落實(shí)安全責(zé)任制， 建立完備的相關(guān)信息安全的管理和認(rèn)證的機(jī)制等，這些事項(xiàng)均沒有落到實(shí)處。3.1.3 缺乏認(rèn)識(shí)更讓人擔(dān)心的是， 因?yàn)閷?duì)網(wǎng)站的安全沒

25、有足夠的認(rèn)識(shí)， 很多網(wǎng)站的安全體系建設(shè)都十分的薄弱， 其應(yīng)急響應(yīng)的能力也是很脆弱。面對(duì)網(wǎng)站中所出現(xiàn)的各種各樣的問題， 在處理上缺乏必要的認(rèn)識(shí)和判斷， 重要信息暴露于外。這正如很多業(yè)內(nèi)專家所指出的那樣:政府網(wǎng)站建設(shè)僅重于形式， 但卻忽視了安全的問題。3.2門戶網(wǎng)站安全防護(hù)策略3.2.1 強(qiáng)化多種技術(shù)措施和增強(qiáng)防范的意識(shí)門戶網(wǎng)站應(yīng)當(dāng)不斷的建立和完善相關(guān)信息安全的監(jiān)控系統(tǒng)， 提高對(duì)有害信息傳播或網(wǎng)絡(luò)攻擊入侵的防范能力。采用互聯(lián)網(wǎng)郵件監(jiān)視軟件、接入安全審計(jì)系統(tǒng)、反跟蹤軟件以及災(zāi)難預(yù)警等相關(guān)的安全措施。還要建設(shè)網(wǎng)站的容災(zāi)備份系統(tǒng)， 不斷的對(duì)技術(shù)安全監(jiān)控的體系進(jìn)行完善。門戶網(wǎng)站應(yīng)當(dāng)組織開展多層次的和多方位

26、的網(wǎng)絡(luò)安全宣傳和培訓(xùn)，避免網(wǎng)絡(luò)安全事件發(fā)生的有效途徑是增強(qiáng)內(nèi)部工作人員的安全防范意識(shí)和能力。門戶網(wǎng)站的安全建設(shè)一刻都不能放松， 要把它和網(wǎng)站的相關(guān)信息安全的問題都納入電子政務(wù)的安全體系建設(shè)的范疇中去。3.2.2建立信息安全管理機(jī)制電子政務(wù)的信息安全管理并不是一成不變的，它是一個(gè)動(dòng)態(tài)的過程。隨著安全攻擊和防范技術(shù)的發(fā)展， 電子政務(wù)的安全策略也要跟隨各種發(fā)展形勢(shì)進(jìn)行分階段的調(diào)整。建立良好的信息安全的管理機(jī)制， 做到管理和技術(shù)的完美配合， 是實(shí)現(xiàn)電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)防范的長(zhǎng)期有效的途徑。許多單位雖然使用了防病毒產(chǎn)品和防火墻， 并安裝了相關(guān)的安全設(shè)備， 但在管理措施方面還是比較的薄弱。建議加快并推進(jìn)相

27、關(guān)的信息安全等級(jí)保護(hù)工作的實(shí)施， 使信息網(wǎng)絡(luò)的安全管理工作不斷的走向制度化和規(guī)范化， 并逐漸建立起較完善的信息技術(shù)的防范體系。3.2.3建立和加快信息安全立法。建立相關(guān)信息安全的法制體系，加快相關(guān)信息安全的立法， 才可能做到有法可依、有法必依。也就是在法制上， 對(duì)網(wǎng)絡(luò)相關(guān)信息安全管理等方面的立法工作進(jìn)行加強(qiáng)， 為政府的門戶網(wǎng)站的建設(shè)、管理、運(yùn)行和維護(hù)等提供相關(guān)的法律保障， 構(gòu)建并促進(jìn)國(guó)家相關(guān)信息化發(fā)展的社會(huì)和法律環(huán)境， 形成適用于信息網(wǎng)絡(luò)安全實(shí)際需要的法治文化。 3.2.4建立安全培訓(xùn)制度系統(tǒng)和網(wǎng)絡(luò)管理員的安全技術(shù)水平和實(shí)際的安全知識(shí)直接影響到整個(gè)系統(tǒng)的安全狀況。所以給各種信息系統(tǒng)的管理員進(jìn)行

28、有效的信息系統(tǒng)安全的培訓(xùn)是很有必要的， 學(xué)習(xí)和掌握網(wǎng)絡(luò)安全的知識(shí)， 對(duì)黑客所使用的手段進(jìn)行了解，并掌握各種主流的操作系統(tǒng)上所需的信息安全策略以及各種信息安全防御工具等諸多的技能。一個(gè)門戶網(wǎng)站的信息安全不只和網(wǎng)絡(luò)管理人員的技術(shù)層次和安全知識(shí)有關(guān)， 還和領(lǐng)導(dǎo)做出的決策以及整個(gè)的工作環(huán)境中每一個(gè)員工的安全性操作等都有密切的關(guān)系。建立完善的信息技術(shù)培訓(xùn)的體系， 使網(wǎng)絡(luò)管理人員更加貼近實(shí)際的業(yè)務(wù)和技術(shù)前沿。讓每一位網(wǎng)絡(luò)管理人員都成為信息安全衛(wèi)士， 才能實(shí)現(xiàn)真正意義上的全方位的信息安全。4政府網(wǎng)站安全問題和應(yīng)對(duì)策略4.1政府網(wǎng)站安全現(xiàn)狀自從互聯(lián)網(wǎng)面世以來，網(wǎng)絡(luò)信息安全就一直深受科技人員、網(wǎng)絡(luò)運(yùn)營(yíng)者及其使用

29、者的高度重視。政府門戶網(wǎng)站和公安網(wǎng)等專用的網(wǎng)絡(luò)不同，它是接入互聯(lián)網(wǎng)的公共服務(wù)的網(wǎng)絡(luò)，政府門戶網(wǎng)站的權(quán)威性和公信度都比較高，其影響力也較大，而且其后臺(tái)的數(shù)據(jù)處理庫(kù)中可能涉及到有關(guān)的政府機(jī)密一些數(shù)據(jù)，因此，政府的門戶網(wǎng)站一直都是黑客以及敵對(duì)勢(shì)力的重要的攻擊目標(biāo)。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心每月發(fā)布的互聯(lián)網(wǎng)安全報(bào)告數(shù)據(jù)的相關(guān)統(tǒng)計(jì)，2007 年間境內(nèi)政府網(wǎng)站被篡改數(shù)量達(dá) 4234個(gè)，2008 年間被篡改網(wǎng)站數(shù)量為 3595 個(gè)，2009 年為 2765個(gè)。公安機(jī)關(guān) 2009 年 7 月中旬對(duì)國(guó)內(nèi) 6000 余家政府網(wǎng)站進(jìn)行的安全抽樣檢測(cè)表明，37%的政府網(wǎng)站存在網(wǎng)頁安全漏洞，極易遭到網(wǎng)頁篡改和網(wǎng)頁掛馬等攻擊破

30、壞；另據(jù)工信部統(tǒng)計(jì)，僅 2010 年 1 月 4 日至 10日一周內(nèi)，我國(guó)境內(nèi)政府網(wǎng)站主頁被篡改的數(shù)量竟達(dá) 178 個(gè)，尤其是近期某些政府門戶網(wǎng)站被頻繁掛馬或被篡改后鏈接到淫穢色情網(wǎng)站的安全事故更是給我們敲響了警鐘。4.2政府網(wǎng)站安全存在問題4.2.1個(gè)別政府的網(wǎng)站形同虛設(shè)和相關(guān)管理員疏于防范一些政府部門的領(lǐng)導(dǎo)認(rèn)為，只要是建立一個(gè)相關(guān)的主頁，其上網(wǎng)的工程也就建立好了，在這種意識(shí)的主導(dǎo)下，網(wǎng)站的功能得不到充分的發(fā)揮，網(wǎng)站的軟件及其內(nèi)容也長(zhǎng)期沒有維護(hù)和更新，這就給入侵者以可乘之機(jī)。相關(guān)管理員疏于防范，就如其使用的密碼位數(shù)過低，或者設(shè)置密碼時(shí)采用電話號(hào)碼、生日等較弱的口令；再加上軟件的漏洞補(bǔ)丁不及時(shí)

31、的更新和使用盜版軟件等的，都很有可能導(dǎo)致木馬和病毒的感染。4.2.2缺乏相應(yīng)的應(yīng)急機(jī)制和打擊力度不夠大多數(shù)的市、縣級(jí)以及以下的政府網(wǎng)站都缺乏相應(yīng)的應(yīng)急機(jī)制，一旦出現(xiàn)一些網(wǎng)站安全的事故，反應(yīng)就很遲緩，幾周甚至一月之內(nèi)都不能修復(fù)，這對(duì)政府的權(quán)威性和公信度有很大程度的降低，還會(huì)對(duì)社會(huì)帶來極大的負(fù)面影響。網(wǎng)絡(luò)犯罪是不同于一般的違法犯罪行為的，網(wǎng)絡(luò)犯罪者一般都具有很高的網(wǎng)絡(luò)信息安全技術(shù)等方面的能力和知識(shí)，這給公安機(jī)關(guān)的偵查破案帶來了非常大的難度，在很多時(shí)候表現(xiàn)的無能為力，這樣的情況在一定程度上也助長(zhǎng)了入侵者的囂張氣焰。4.2.3網(wǎng)絡(luò)信息安全法律缺失目前，雖然我國(guó)制定了很多關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)信息安全方面的條

32、例、規(guī)章和辦法，但還沒有制定出一部正式的相關(guān)法律法規(guī)，這給網(wǎng)絡(luò)犯罪的偵查、起訴和量刑帶來一定程度的困難，也無法對(duì)網(wǎng)絡(luò)犯罪形成一個(gè)有效的警示。4.3政府網(wǎng)站安全應(yīng)對(duì)策略4.3.1制定切實(shí)可行的政府網(wǎng)站安全標(biāo)準(zhǔn)規(guī)范和提高相關(guān)人員的安全意識(shí)政府網(wǎng)站是一個(gè)特殊的網(wǎng)站，在其建設(shè)的最出就要遵循相應(yīng)的網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，這樣就可以在很大程度上減少網(wǎng)絡(luò)信息安全事件的發(fā)生，以此來維護(hù)政府網(wǎng)站的公信度和權(quán)威性，保護(hù)網(wǎng)站相關(guān)數(shù)據(jù)的安全。除此之外，還有要提高相關(guān)的管理人員的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)對(duì)網(wǎng)絡(luò)管理人員的安全培訓(xùn)和網(wǎng)站信息安全監(jiān)管，及時(shí)的發(fā)現(xiàn)問題，并堵塞漏洞。4.3.2重視軟件建設(shè)和管理隊(duì)伍的建設(shè)除了加強(qiáng)對(duì)硬件的建設(shè)，

33、政府網(wǎng)站還需要重視對(duì)相關(guān)軟件的建設(shè)，選用正版的與安全性能好的軟件；更要重視建設(shè)一支業(yè)務(wù)素質(zhì)較高的網(wǎng)站管理隊(duì)伍，并對(duì)此加強(qiáng)業(yè)務(wù)培訓(xùn)和指導(dǎo)。 4.3.3加大網(wǎng)絡(luò)信息安全執(zhí)法力度與立法進(jìn)度要充分發(fā)揮公安機(jī)關(guān)網(wǎng)監(jiān)部門的“網(wǎng)絡(luò)警察”作用，提高其相關(guān)管理人員的知識(shí)技術(shù)水平；還要加大對(duì)網(wǎng)絡(luò)犯罪的打擊力度，對(duì)惡意攻擊和篡改政府網(wǎng)站的組織以及個(gè)人給以有效和精確的打擊。此外，立法機(jī)構(gòu)還應(yīng)當(dāng)加緊出臺(tái)關(guān)于網(wǎng)絡(luò)信息安全的法律，以法律的形式來規(guī)范對(duì)網(wǎng)絡(luò)的使用，以保障網(wǎng)絡(luò)信息的安全，震懾網(wǎng)絡(luò)犯罪的行為。5銀行網(wǎng)站的安全問題和應(yīng)對(duì)策略5.1銀行網(wǎng)站的安全問題一般來說，網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)來源于三個(gè)方面：首先是數(shù)據(jù)傳輸，一旦數(shù)據(jù)

34、傳輸系統(tǒng)被攻破，就有可能威脅到銀行業(yè)務(wù)數(shù)據(jù)的安全；其次是網(wǎng)上銀行應(yīng)用系統(tǒng)的設(shè)計(jì)，一旦其在安全設(shè)計(jì)上存在缺陷并被黑客利用，將直接危害到系統(tǒng)的安全性，造成嚴(yán)重?fù)p失；再次是來自計(jì)算機(jī)病毒的攻擊，即由于網(wǎng)絡(luò)防范不嚴(yán)，導(dǎo)致計(jì)算機(jī)病毒通過網(wǎng)上銀行入侵銀行主機(jī)系統(tǒng)，從而造成數(shù)據(jù)丟失等嚴(yán)重后果。5.2銀行網(wǎng)站的安全應(yīng)對(duì)策略5.2.1網(wǎng)站服務(wù)器架構(gòu)根據(jù)高安全性和穩(wěn)定性的設(shè)計(jì)要求，網(wǎng)站服務(wù)器使用基于Unix內(nèi)核的Linux Advanced Server系統(tǒng)平臺(tái)，Linux系統(tǒng)對(duì)于病毒、網(wǎng)絡(luò)攻擊等方面具有良好的防御能力，運(yùn)轉(zhuǎn)比較穩(wěn)定。Web服務(wù)器采用支持JSP1.1、Servlet 2.2的純 Java Web服

35、 務(wù)RESIN; 運(yùn) 行 支 持SHTML/HTML等文件格式的Apache服務(wù)；配合 Cocoon支持客戶端對(duì)XML文件的解析。由于使用 J2EE 架構(gòu)，網(wǎng)站易于擴(kuò)展其他功能，比如銀行業(yè)務(wù)和郵件等應(yīng)用軟件。Oracle數(shù)據(jù)庫(kù)服務(wù)器采用Oracle 8i，有效保證了網(wǎng)站數(shù)據(jù)的安全性。網(wǎng)站服務(wù)器采用雙機(jī)熱備份，實(shí)現(xiàn)7*24小時(shí)不間斷服務(wù)。主服務(wù)器和備份服務(wù)器均基于磁盤陣列，定時(shí)進(jìn)行靜態(tài)頁面互為備份，保證數(shù)據(jù)完全一致；同時(shí)數(shù)據(jù)庫(kù)服務(wù)器自動(dòng)進(jìn)行備份，每隔一段時(shí)間由人工進(jìn)行磁帶或光盤備份。5.2.2網(wǎng)站項(xiàng)目開發(fā)方案 網(wǎng)站項(xiàng)目基于J2EE 規(guī)范開發(fā)，利用Web集成商的應(yīng)用開發(fā)組件、Web門戶平臺(tái)技術(shù)，構(gòu)

36、建一套分布式應(yīng)用系統(tǒng)。軟件系統(tǒng)采用企業(yè)Java組件（ EJB，Enterprise）規(guī)范來構(gòu)建業(yè)務(wù)處理層，而用戶界面則采用JSP（Java Serve Page）技術(shù)來定制。J2EE 平臺(tái)包含有一整套的服務(wù)、應(yīng)用編程接口（API）和協(xié)議，可用于開發(fā)基于Web的分布式應(yīng)用。它定義了一套標(biāo)準(zhǔn)化、模塊化的組件規(guī)范，并為這些組件提供了一整套完整的服務(wù)以及自動(dòng)處理應(yīng)用行為的許多細(xì)節(jié)。由于J2EE 構(gòu)建在Java 2平臺(tái)標(biāo)準(zhǔn)版J2SE之上，因此繼承了 Java 面向?qū)ο?、跨平臺(tái)等所有優(yōu)點(diǎn)。J2EE 規(guī)范了應(yīng)用程序組件的包裝、接口標(biāo)準(zhǔn)，應(yīng)用系統(tǒng)之間通過XML來交換數(shù)據(jù)，這為分布式應(yīng)用之間提供了簡(jiǎn)單、開放、標(biāo)

37、準(zhǔn)的耦合新途徑。整個(gè)應(yīng)用系統(tǒng)劃分為內(nèi)部管理系統(tǒng)和對(duì)外服務(wù)系統(tǒng)兩部分。內(nèi)部管理系統(tǒng)為網(wǎng)站管理人員和網(wǎng)站支持人員提供服務(wù)，建立一個(gè)保障網(wǎng)站正常運(yùn)營(yíng)的工作平臺(tái)；對(duì)外服務(wù)平臺(tái)是為用戶提供一個(gè)信息和電子商務(wù)服務(wù)的平臺(tái)，分為信息維護(hù)系統(tǒng)、信息交換系統(tǒng)兩部分。5.2.3其他措施采用漏洞檢測(cè)、入侵檢測(cè)和病毒檢測(cè)等工具全面保障網(wǎng)絡(luò)整體安全性，可以在系統(tǒng)內(nèi)配置入侵檢測(cè)設(shè)備或軟件。因?yàn)樵L問控制設(shè)備雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。要?jiǎng)討B(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠實(shí)時(shí)入侵檢測(cè)技術(shù)來監(jiān)測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊行為并給予響應(yīng)和處理。實(shí)時(shí)入侵檢測(cè)技術(shù)還能檢測(cè)到繞過訪問控制設(shè)備的攻擊，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主的、實(shí)時(shí)的攻擊檢測(cè)與響應(yīng)，并對(duì)網(wǎng)絡(luò)進(jìn)行輪回監(jiān)控。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸，它對(duì)安全威脅具有自主響應(yīng)能力，能提供最大限度的安全保障。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外還可以動(dòng)態(tài)地調(diào)整訪問控制設(shè)備的防護(hù)策略，使訪問控制設(shè)備