《企业网站建设与信息安全浅析》由会员分享,可在线阅读,更多相关《企业网站建设与信息安全浅析(18页珍藏版)》请在金锄头文库上搜索。
1、企业网站建设与信息安全浅析企业网站建设与信息安全浅析国电大渡河流域水电开发有限公司贺玉彬随着信息技术的迅速发展,Internet迅速成长为覆盖全球的信息传播载体。其特有的分散性、快捷性、多样性 因素,使其成为全球最重要的信息传播工具之一。企业网站是企业信息直接面向用户的接口,也是企业网络防御的最薄弱的环节。各种攻击往往都从对网站的攻 击开始,或者直接以攻击网站为目的。企业网站一旦被入 侵或中止服务,将给企业带来难以计算的重大损失。因此, 要做好企业信息的整体安全防御,必须先做好企业网站安 全工作。企业网站所面临的安全问题主要包括企业网络的安 全 、WEB服务器的安全 、网站程序文件的安全 、数
2、据库 安全 等方面。下面就这几方面做一简要阐述。一、企业网络的安全小型企业网站,如采取网站托管、服务器托管等方式运行,可不必特别考虑企业内部安全问题对网站的影 响。但不少企业因有特殊业务需求或者为节省成本考虑, 自行设置和管理企业的网站服务器,企业网站依托企业 信息网络方式运行,此时就必须针对网站的特点,对企 业网络安全防护进行特别考虑和部署,以免因内网安全 问题导致网站受到攻击或停止服务,或者相反,网站受 到攻击从而影响内网安全。企业网络的安全防范主要从预防来自企业网内部的 安全风险及部署入侵检测系统(IDS) 两方面入手。1、来自企业网内部的安全风险及防护、来自企业网内部的安全风险及防护来
3、自企业网内部的安全风险及防护硬件安全 风险防护系统软件及业 务系统安全风 险防护企业网内部用 户安全操作风 险及防护加强门禁的技术场地, 可靠稳定的供电系统, 完备的防火、防水、 防雷、防生物侵害设 施,必要的防盗视频 监控和自动报警设备 等。及时下载安 装操作系统 和数据库系 统补丁,消 除各种业务 系统存在的 BUG 。在企业内部建立完善的行政管理 制度和监督、奖惩手段;禁止随 意下载安装使用黑客软件或网络 安全测试软件 ;合理规划网络结 构,建立DMZ区,将内、外网隔 离;统一安装企业版防病毒软件 并进行集中管理,及时升级 。2、部署入侵检测系统(、部署入侵检测系统(IDS)入侵检测系统
4、(Intrusion Detection System,简称 IDS)是有效的辅助安全设备,它通过网络旁路方式,在不影响原有网络性能的情况下对网络进行安全监测。 IDS提供了对内部攻击、外部攻击和误操作的实时保护,是继防火墙之后的又一层可靠的安全防线。在企业网内 合理部署IDS,可获得更高的安全性和可管理性,且一 旦发生不安全事件,可提取证据,便于事后追查。二、WEB服务器的安全WEB服务器本身存在某些漏洞,使得一些恶意人 员利用WEB服务器本身的漏洞侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。WEB服务器存在的主要漏洞物理路径泄露CGI源代码泄露目录遍历执行任意命令缓冲区溢出拒绝服
5、务条件竞争跨站脚本执行漏洞扩展组件存在漏洞WEB服务器安全预防措施对WEB服务器软件经常进行升级安装相应的安全补丁在WEB服务器上去掉一些绝对不用的如SHELL解释器定期查看服务器中的日志logs文件,分析一切可疑事件设置好WEB服务器上系统文件的权限和属性WEB服务器与数据库服务器分开,采用数据源连接数据库删除可以删除的所有共享通过防火墙和杀毒软件保证服务器安全避免把WEB服务安装在域控制器上,尤其是主域控制器WEB服务器尽量与FTP、MAIL等服务器分开配置好应用程序映射,删除不使用的脚本映射限制在WEB服务器开账户及口令长度,定期更改口令停止默认web站点,禁用或删除所有示例应用程序三、
6、网站程序文件的安全与防范网站程序代码编写的不完善常常会造成一些安全漏洞。而这种安全漏洞极有可能会导致网站数 据库或后台管理等重要的安全信息的暴露。网站程序文件安全网页代码漏洞 安全与防范后台管理入口 安全与防范管理员口令的 安全与防范1、网页代码漏洞安全问题及防范、网页代码漏洞安全问题及防范网页代码漏洞安全与防范数据库 连接字 串错误身份验 证漏洞注 入漏洞恶意代码 上传漏洞后门和调 试漏洞在编写后台管理 程序代码时一定 要对所有管理页 面要求身份验证, 防止非法用户非 法进入到后台管 理中去对页面所提交 的所有参数都 应该作合法性 判断,预防 注入导致 网站的安全隐 患在编写代码时 一定要对
7、提交 上来的数据进 行校验,屏蔽 asp、java等 代码,提高网 站安全性在网站程序 正式发布时, 一定要将调 试用后门程 序去掉。2、后台管理入口安全问题与防范。、后台管理入口安全问题与防范。目前大多数企业都采用后台管理的方式对网站进行管理,网站后台入口的安全是很多程序开发人员容易忽视的 问题。许多程序开发人员在开发企业网站后台入口时通常 会采用admin、manage等作为企业网站后台入口目录,而 入口程序文件采用Login.asp、Index.htm等常见形式。甚至有的网站竟然在网站首页页面上直接链接后台管理入口, 这样,非法用户很容易就能找到网站的后台管理入口,成 为网站建设的重大安
8、全隐患。对于这类安全问题的解决方 法是使网站的后台入口路径复杂化,最好是设定一个不易 被猜解到的目录和文件名,同时一定不要在前台页面上暴 露出后台的管理入口使网站的后台入口路径复杂化,最好是设定一个不易 被猜解到的目录和文件名,同时一定不要在前台页面上暴 露出后台的管理入口。3 、管理员口令的安全与防范、管理员口令的安全与防范网站管理口令的安全问题也是不少企业网站管理员容易忽视的问题。有些管理员为了记忆方便会以一些弱口 令来进行管理,如用Admin、manager、Master、 webmaster等作为管理员的用户名,用Admin、123456、 888888、111111等来作为管理员密码
9、,这些弱口令是很容易被黑客猜测到。另外,一些网站设计人员有时对管理 员密码采用明文来保存或只进行简单的对称加密,很容易 就被不法人员破解。最好的解决办法是杜绝使用弱口令, 坚决禁止使用空口令,采用字母杜绝使用弱口令, 坚决禁止使用空口令,采用字母+数字数字+符号字符并超过符号字符并超过8位以上的密码,并强制对所有用户密码进行非对称或不可 逆的加密运算加密,推荐使用位以上的密码,并强制对所有用户密码进行非对称或不可 逆的加密运算加密,推荐使用32位的位的MD5码码。四、数据库安全四、数据库安全数据库是一个网站建设中的核心,数据库的安全也成为网站安全的首要问题。数据库的安全问题包括数据库被下载的安
10、全隐患及 防范、数据库结构安全问题 、数据库连接宇串安全问题等方面。1 、网站数据库被下载的安全隐患及防范。一个网站的数据库路径如果被黑客猜解到,那这个网站数据库文件就很容易被黑客下载,从而使网站的所有数 据被窃取。许多网站开发人员常常把数据库放在Database 或Data等目录下,对数据库的文件名也通常采用Data、 Mydata、Database等通用文件名或者与域名相同的文件名,这种做法就很容易被黑客猜解到数据库路径。对于这 类安全问题的解决方法如同前面提到的后台管理入口安全 问题一样,最好是使网站数据库路径复杂化,设定一个不 易被猜解到的目录和文件名,推荐采用字母使网站数据库路径复杂
11、化,设定一个不 易被猜解到的目录和文件名,推荐采用字母+数字并超过数字并超过8 位的组合作为数据库文件目录或文件名,对于位的组合作为数据库文件目录或文件名,对于Access文 件最好更改其扩展名文 件最好更改其扩展名.MDB为为.ASP以加强安全性以加强安全性。2 、数据库结构安全问题数据库结构安全主要包括数据表的命名与字段名的命名。如果数据表名与与字段名太简单,那黑客就很容 易利用SQL注入方式猜解出表名及字段名,从而导致网站的安全。为了安全需要,同样需要将数据表的命名与 字段名的命名复杂化,推荐使用字母、数字及符号三者 组合方式,以防止将数据表的命名与 字段名的命名复杂化,推荐使用字母、数
12、字及符号三者 组合方式,以防止SQL注入时被猜解出表名及字段名注入时被猜解出表名及字段名。3、数据库连接宇串安全问题数据库连接宇串安全问题主要是明文密码安全问题 与数据连接文件名的安全问题。明文密码安全指在数据 库连接字串中不直接出现明文密码,采用非对称加密密 码方式提高数据库的安全,最好使用数据源的形式来连 接数据库;数据连接文件名的安全是指数据连接文件不 要用常见的Conn、DbConn作为文件名,避免使 用.inc、.asa、.txt作为扩展名,同时也不要把文件放 在类似Inc、include、Conn等目录下,以防数据库连接 被非法下载。采用非对称加密密 码方式提高数据库的安全,最好使用数据源的形式来连 接数据库;数据连接文件名的安全是指数据连接文件不 要用常见的Conn、DbConn作为文件名,避免使 用.inc、.asa、.txt作为扩展名,同时也不要把文件放 在类似Inc、include、Conn等目录下,以防数据库连接 被非法下载。总之,企业网站安全作为企业信息安全的重要内容,必须高度重视、密切关注。相关管理人员和 开发人员需要随时掌握业界安全动态,做到“知己知 彼”,不断提高网站防御攻击的能力。俗话说:“魔高 一尺、道高一丈”,多管齐下,提前做好各种防御措施,就一定能保障网站安全、信息安全,为企业信 息化建设保驾护航。谢谢!
