网站安全策略分析(全文)

网站安全策略分析

【摘 要】目前,互联网站受到病毒、木马、黑客攻击等安全威胁的危害越来越多,设计合理的网站安全策略能够帮助网站最大程度降低安全威胁带来的负面影响和损失。本文将从网络、操作系统、Web应用、数据库等多个层面提出切实有效的安全策略,供互联网网站借鉴。

【关键词】网站;威胁;安全策略

一、引言

随着互联网技术的发展和普及,互联网深刻地影响和改变着人们生活的方方面面,电子政务网站、电子商务网站等等众多网络应用为人们创造了便利高效的生活方式。然而事物的发展往往带有两面性,网络是一柄双刃剑,它在对社会及经济的发展起到越来越重要的作用的同时,网络应用自身的安全问题像挥之不去的阴影,时时刻刻伴随和影响着网络应用的发展。病毒、木马、黑客攻击等网络攻击是互联网网站面临的最大安全威胁,近年来,网络攻击给全球造成的经济损失超过千亿美元。因此,制定合理、有效的网站安全策略对于互联网的发展具有重要意义。

二、网站安全策略分析

网站面临的安全威胁主要有通信安全威胁、操作系统安全威胁、Web应用安全威胁、数据库安全威胁等几个方面,应该从不同层面针对不同的安全威胁制定相对应的安全策略,才能形成一个统一的、有效的网站安全防护体系。下面主要从网络、操作系统、Web应用、数据库等多个层面来分析网站安全策略。

(一)网络安全策略

互联网络的开放性决定了网站所遭受的攻击绝大部分是来自于网络,因此,网络层安全策略对于网站安全防护来说是重中之重。网络安全策略主要包括:

1、访问控制策略

访问控制策略是指对于网络不同区域域采取双向控制或有限访问控制策略,使受控的子网或主机访问权限和信息流能得到有效控制。对于网站而言,有效的访问控制策略可以控制哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。访问控制策略通常通过防火墙设备来实现,它一般部署在不同网络区域边界处,对进出网络的IP信息包进行过滤并按网络安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。

防火墙的基本策略有两种,一是未被允许的就是禁止的。基于该策略,防火墙默认封锁所有信息流,然后对提供的服务逐项开放。该策略可以形成一种相对更安全的网络环境,只有经过筛选的服务才被允许使用。其弊端是安全性高于用户使用的方便性,用户所能使用的范围大大受到限制。二是未被禁止的就是允许的。基于该策略,防火墙默认允许所有信息流,然后逐项屏蔽可能有害的服务。该策略构成了一种相对更灵活的网络环境,可为用户提供更多的服务。其弊病是,在日益增多的网络服务面前,网管人员将疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。

2、网络检测策略

网络检测策略指的是采取信息侦听的方式监控未授权的网络访问尝试和违规行为,从而能够在系统遭受攻击前或攻击时及时发现攻击行为,消除或降低攻击所带来的损失。网络检测策略通常通过网络入侵检测设备和主机入侵检测系统来实现,对于网站应用来说,可以将网络入侵检测设备部署在网站应用所在的网络区域中,实现对网站访问事件的实时监控,也可以在网站服务器上安装主机入侵检测系统,对网站服务器操作系统事件及安全日志进行监控。

3、通信传输加密策略

通信传输加密策略指的是在通信双方进行通信的过程中,对重要传输信息进行加密处理以防止数据在传输过程中被窃听或篡改的策略。在网站中普遍采用SSL安全协议来实现通信传输加密策略。SSL安全协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性保障等安全措施。SSL安全协议主要提供三方面的服务:

(1)客户端和服务器双向认证,能够确保数据被发送到正确的客户端和服务器上。

(2)对传送数据进行加密。

(3)保障数据的完整性,确保数据在传输过程中不被篡改。

(二)操作系统安全策略

操作系统安全策略主要有以下几点:

1、应面向应用选择可靠、稳定的操作系统,在安装操作系统时,应遵循最小安装原则,对操作系统的身份认证、访问控制等进行严格的安全配置。以Windows系列操作系统为例,应该关闭不必要的端口(如135端口、445端口等),关闭不必要的服务(如Remote Registry Service、Run As Service等),开启审核、密码、账号策略,禁止空连接等。

2、利用专用的漏洞扫描工具,定期对操作系统漏洞进行扫描,及时修复存在的漏洞,降低病毒、木马利用漏洞入侵操作系统的可能性。

3、在网站服务器上安装防病毒软件,提高病毒防护能力。

(三)Web应用安全策略

利用Web应用编码缺陷进行攻击的SQL注入攻击和跨站脚本攻击的防范策略如下:

1、SQL注入攻击是针对应用脚本开发不足进行的攻击方式,目前典型的安全防护措施如防火墙等无法进行有效的防护,在脚本开发时,应对提交数据库的内容进行过滤,过滤特殊字符如单引号、双引号、斜杠、反斜杠等字符,过滤对象包括用户的输入、提交URL请求中的参数部分、从cookie中得到的数据等,当发现存在敏感字符时,采取丢弃处理;应对传递的参数进行格式化处理,例如限制其长度,字符类型等。

2、跨站脚本攻击与SQL注入攻击类似,也是利用脚本或页面对数据的过滤不足导致,如果不是必要情况,对用户提交的信息不支持脚本显示,对用户可提交的信息进行严格过滤,将支持脚本的关键字“javascript”等进行过滤,检测到用户提交信息中包含“javascript”等关键字,阻止相关信息的提交。

(四)数据库安全策略

Web数据库安全策略主要有以下几点:

1、所有的数据库系统都具备访问授权的机制,需要进行用户的标识和鉴别后才能访问,数据库系统根据用户的权限给予相应的访问授权。数据库用户的授权应按最小授权原则,避免出现过度的特权滥用和合法的授权滥用。

2、在数据库开发设计时,应尽量对不同的用户定义不同的视图,使机密数据不出现在不应看到这些数据的视图上,这样通过视图机制就自动提供了对机密数据的安全保护功能。

3、应对数据库中存储的数据进行加密处理,防止数据在存储和传输过程中被窃取。

4、应采用磁带备份、双机热备份、手工备份等方式,对数据库进行备份

5、目前主流的数据库软件如DB2、Oracal、SQL Server等均存在安全漏洞,应及时安装数据库漏洞补丁,避免因为这些漏洞引起的非法攻击。

三、总结

本文通过网络安全、操作系统安全、Web应用安全、数据库安全等几个层面对网站安全策略进行了详细分析和介绍,期望能对互联网网站的安全防护提供相应的帮助。

作者简介:

邢诒俊(1983-),男,海南海口人,硕士,中国人民银行海口中心支行科技处科长。

符瑞武(1981-),男,海南海口人,中国人民银行海口中心支行金融稳定处科长。

陈彪(1968-),男,海南海口人,中国人民银行海口中心支行科技处科长。

原文链接:https://www.wenmi.com/article/pvpkiz028qlt.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18356

(0)
上一篇 2023年11月11日 21:48
下一篇 2023年11月11日 23:55

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml