来源:期刊VIP网所属分类:计算机应用发布时间:2013-10-10浏览:次
摘要:网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。本文首先介绍了网络与网站安全的隐患,其中包括常见的网络安全隐患和网站自身经常出现的安全隐患,之后作者从简要介绍了网络安全的防御问题,并详细介绍了网站自身的安全防御。文章发表在《计算机工程与科学》上,是软件设计师论文发表范文,供同行参考。
关键字:网站安全,安全管理,电子论文投稿
由于一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。
一、前言
随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息发布和信息获取,但是人们却时刻被信息网络的安全隐患所困扰,越来越多的人也开始了关于网络、网站的安全性管理研究。
网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要稳妥地确保经由网站传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。要做到这一点,必须保证网站系统软件、数据库系统其有一定的安全保护功能,并保证网站部件如终端、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。
网站安全目前已发展成为一个跨学科的综合性学科,它包括通信技术、网站技术、计算机软件、硬件设计技术、密码学、网站安全与计算机安全技术等,网站安全是在攻击与防范这一对矛盾相互作用的过程中发展起来的。新的攻击导致必须研究新的防护措施,新的防护措施又招致攻击者新的攻击,如此循环反复,网站安全技术也就在双方的争斗中逐步完善发展起来。
二、网络与网站安全隐患概述
目前影响网站安全的问题主要来自于网络的不安全性,所以在这个意义上讲,网站的安全漏洞其实也就是网络的安全漏洞,其漏洞主要来自以下几个方面:
大多数网站设计,只考虑正常用户稳定使用,但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有15%的网站存在SQL注入漏洞。
1.自然因素:
1.1软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.1.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.1.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.2病毒攻击
计算机病毒一般分为四类:①文件型病毒(FileViruses);②引导型病毒(SystemorBootSectorVirus);③链式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。计算机病毒的主要危害有:对计算机数据信息的直接破坏作用,给用户造成重大损失:占用系统资源并影响运行速度:产生其他不可预见的危害:给用户造成严重的心理压力。
计算机病毒疫情呈现出多元化的发展趋势,以网络为主要传播途径。呈现以下显著特点:①网络病毒占据主要地位;②病毒向多元化、混合化发展;③利用漏洞的病毒越来越多。
大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库。
比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。导致目 前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。
当然作为本文最讨论的网站安全,它也有它自身的安全隐患存在,主要体现在以下几点:
防火墙作为使用最多,效率最高的网络安全产品自然有它自身的优势,所以防火墙在整个网络安全中的地位将是无可替代的。
1.2与因特网接入处增设网络入侵检测系统
入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统,它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,寻找网络违规模式和未授权的网络访问,一经发现入侵检测系统根据系统安全策略做出反应,包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
网站防御不佳还有另一个原因,有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多网站负责的单位、人员,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识就这一点。
软件设计师论文投稿须知:《计算机工程与科学》是由国防科技大学计算机学院主办、国防科技大学主管的中国计算机学会会刊,是国内外公开发行的计算机类综合性学术刊物,刊登文章涉及计算机科学理论、计算机组织与系统结构、计算机软件、计算机应用、计算机器件设备与工艺等学科领域。
期刊VIP网,您身边的高端学术顾问
文章名称: 软件设计师网站的安全性管理发表范文
文章地址: http://www.qikanvip.com/jisuanjiyingyong/9326.html