Web網(wǎng)站安全技術(shù)探究

張艷麗

摘要：網(wǎng)絡(luò)安全一直是人們關(guān)注的一個(gè)重要問(wèn)題，網(wǎng)站是信息的主要傳播渠道，其數(shù)據(jù)庫(kù)中擁有大量可進(jìn)行共享的信息，因此，在網(wǎng)站的建設(shè)及運(yùn)行中需要重點(diǎn)考慮到網(wǎng)站的安全問(wèn)題，確保網(wǎng)站信息能夠安全的傳播，結(jié)合Web服務(wù)器、數(shù)據(jù)庫(kù)以及技術(shù)手段等內(nèi)容，對(duì)Web網(wǎng)站的建設(shè)中涉及到的一些安全措施進(jìn)行了闡述，并且這些安全措施的實(shí)施對(duì)于Web網(wǎng)站順利構(gòu)建有很大的幫助。

關(guān)鍵詞：Web網(wǎng)站；安全技術(shù)；數(shù)據(jù)庫(kù)

現(xiàn)代社會(huì)已經(jīng)進(jìn)入信息時(shí)代，計(jì)算機(jī)以及網(wǎng)絡(luò)信息技術(shù)的應(yīng)用愈加廣泛，Web網(wǎng)站更是在企業(yè)、高校等領(lǐng)域得到了普遍的應(yīng)用，其中大部分的應(yīng)用系統(tǒng)都在朝著因特網(wǎng)平臺(tái)進(jìn)行轉(zhuǎn)移，網(wǎng)絡(luò)信息技術(shù)為人們的工作生活都帶來(lái)了很大的便利，但是其中存在的安全隱患也逐漸引起了人們的關(guān)注，網(wǎng)絡(luò)安全問(wèn)題也是網(wǎng)站建設(shè)中的重點(diǎn)問(wèn)題，Web網(wǎng)站運(yùn)營(yíng)過(guò)程中需要重視對(duì)安全技術(shù)的應(yīng)用與升級(jí)。

一、Web網(wǎng)站的安全現(xiàn)狀分析

現(xiàn)代社會(huì)中計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了快速的發(fā)展，尤其是因特網(wǎng)的推廣以及Web站點(diǎn)的增加，使得信息交互和共享已經(jīng)涉及到了全球范圍。網(wǎng)絡(luò)所具備的互聯(lián)性與開(kāi)放性在為社會(huì)發(fā)展帶來(lái)便利的同時(shí)，網(wǎng)站運(yùn)營(yíng)中的安全問(wèn)題也變的更加突出。相關(guān)的計(jì)算機(jī)犯罪方式正在不斷變化，犯罪水平也在提高，網(wǎng)站具備的這種交互性特點(diǎn)是造成安全隱患的主要方面。比如在Web網(wǎng)站中比較受到人們喜愛(ài)的聊天室、E-mall等功能，就是出現(xiàn)安全問(wèn)題的主要部分。當(dāng)前，自動(dòng)化的安全攻擊工具廣泛的存在與網(wǎng)絡(luò)平臺(tái)上，各種攻擊技術(shù)也逐漸得到了普及。另外，還有病毒泛濫產(chǎn)生的很多潛在危害。這些方面的安全問(wèn)題，表明網(wǎng)站的運(yùn)行面對(duì)著非常大的挑戰(zhàn)?？梢詫⑵渲邪陌踩珕?wèn)題進(jìn)行分類，一種是服務(wù)器信息被破譯造成的服務(wù)器被入侵；一種是瀏覽器具有強(qiáng)大的功能，在為用戶提供便利的同時(shí)也為黑客的攻擊帶來(lái)了方便；另一種網(wǎng)站上發(fā)布的文件會(huì)遭到非法訪問(wèn)，嚴(yán)重的威脅著文件信息的機(jī)密性與完整性；最后一種就是Web服務(wù)器自身存在的程序漏洞會(huì)成為黑客主要的攻擊對(duì)象。

二、操作系統(tǒng)平臺(tái)的安全規(guī)則

在Web服務(wù)器的發(fā)展中安全漏洞是普遍存在的，作為開(kāi)發(fā)商的微軟并沒(méi)有針對(duì)存在的安全問(wèn)題提出具體的解決方案，只是陸續(xù)推出了一些補(bǔ)丁程序，所以，有必要對(duì)網(wǎng)站系統(tǒng)建立一套安全規(guī)則[1]。在安全規(guī)則的規(guī)范之下網(wǎng)站才可以在復(fù)雜的運(yùn)行環(huán)境之中提供更加安全、可靠的信息服務(wù)，一方面，在Web網(wǎng)站的操作系統(tǒng)運(yùn)行中，應(yīng)該隨時(shí)的關(guān)注微軟新推出的安全公告以及最新發(fā)布的補(bǔ)丁程序，這樣可以獲得所需的信息對(duì)安全漏洞進(jìn)行有效的填補(bǔ)。

另外，還可以利用NTFS系統(tǒng)，它具備FAT所沒(méi)有的安全控制的作用，能夠根據(jù)文件夾的區(qū)別去設(shè)置獨(dú)立的訪問(wèn)權(quán)限，使得文件的安全性得到了很大的提升。還可以通過(guò)系統(tǒng)管理員的賬號(hào)更名去加強(qiáng)安全管理，域用戶管理器能夠限制登陸過(guò)程中猜測(cè)口令的輸入次數(shù)，但是不能限制系統(tǒng)管理員的登陸，因此其賬號(hào)的更名可以防止管理員賬號(hào)被一些非法用戶攻擊。

此外，在網(wǎng)站運(yùn)行中安裝有兩個(gè)或多個(gè)操作系統(tǒng)的會(huì)增加被黑客攻擊的機(jī)會(huì)，因此最好的辦法就是只安裝一個(gè)操作系統(tǒng)。對(duì)系統(tǒng)中不使用的協(xié)議或者服務(wù)進(jìn)行關(guān)閉，減少其中存在的漏洞及被攻擊的機(jī)會(huì)。對(duì)網(wǎng)絡(luò)中產(chǎn)生的共享資源進(jìn)行及時(shí)的刪除，強(qiáng)化日志的審核環(huán)節(jié)，也可以通過(guò)防毒軟件的使用實(shí)現(xiàn)系統(tǒng)安全性的升級(jí)。

三、Web服務(wù)器IIS的安全機(jī)制分析

IIS是目前使用最廣泛的因特網(wǎng)服務(wù)器軟件之一，其安全性是建立在操作系統(tǒng)安全機(jī)制之上的，配置IIS構(gòu)建的Web站點(diǎn)的安全性除利用操作系統(tǒng)的安全性外還要使用IIS提供的安全機(jī)制[2]。IIS的應(yīng)用過(guò)程中產(chǎn)生的匿名用戶不會(huì)與其自身產(chǎn)生交互，也就是任何的用戶都可以直接進(jìn)行匿名訪問(wèn)，這種情況就為Web服務(wù)器的安全運(yùn)作帶來(lái)了較大的威脅，因此，需要對(duì)其具備的權(quán)限進(jìn)行有效的控制，如果網(wǎng)站中不需要匿名訪問(wèn)這一功能，則可以直接取消其中的匿名服務(wù)功能。用戶在輸入自己的用戶名以及口令的時(shí)候缺乏加密，都是以明文的形式進(jìn)行信息傳播的，所以很容易引起非法用戶的監(jiān)聽(tīng)或者對(duì)數(shù)據(jù)進(jìn)行攔截，安全性能不高。而通過(guò)集成Windows驗(yàn)證的非法，使得瀏覽器具備的加密方式能夠和IIS服務(wù)器直接交流，可以很好的防止信息被竊聽(tīng)，提高了系統(tǒng)的安全性認(rèn)證水平。

四、Web數(shù)據(jù)庫(kù)的安全性分析

1、Web網(wǎng)站的防火墻技術(shù)與用戶身份認(rèn)證技術(shù)

防火墻技術(shù)是一種訪問(wèn)控制技術(shù)，它是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（公用網(wǎng)絡(luò)）之間設(shè)立的一道防護(hù)欄，即在它們的界面上構(gòu)造一個(gè)保護(hù)層[3]?？梢杂行У谋苊庑畔①Y源被非法訪問(wèn)，規(guī)定與之相關(guān)的任何連接都要經(jīng)過(guò)這一保護(hù)層，通過(guò)檢查之后進(jìn)行連接。訪問(wèn)只有在被授權(quán)的情況下才可以突破這一保護(hù)層，可以為網(wǎng)絡(luò)操作提供一個(gè)相對(duì)封閉的邏輯環(huán)境，使得內(nèi)部網(wǎng)絡(luò)獲得了很好的保護(hù)，減少了非法入侵情況的出現(xiàn)。

通過(guò)身份認(rèn)證技術(shù)的應(yīng)用可以對(duì)用戶是否合法進(jìn)行確認(rèn)，在Web網(wǎng)站中，如果有人想要訪問(wèn)被限制的內(nèi)容，就可以通過(guò)這一技術(shù)對(duì)其身份進(jìn)行識(shí)別，判斷這一用戶是否具有真正的Windows NT帳號(hào)的用戶名與密碼。然后利用后臺(tái)運(yùn)行的數(shù)據(jù)庫(kù)，通過(guò)身份驗(yàn)證機(jī)制對(duì)用戶的合法性進(jìn)行再次確認(rèn)。也可以將用戶名、口令等信息進(jìn)行整合后形成User用戶表，對(duì)用戶身份進(jìn)行更有效的識(shí)別。

2、數(shù)據(jù)加密技術(shù)及監(jiān)視跟蹤、審計(jì)技術(shù)

加密技術(shù)是指將一個(gè)信息經(jīng)過(guò)加密算法進(jìn)行轉(zhuǎn)換，利用附加密碼、加密模塊等方法使之變成無(wú)意義的密文，接受方可以將此密文通過(guò)解密算法等還原[4]。另外，在Web網(wǎng)站運(yùn)行中要提升其安全性能，還可以通過(guò)監(jiān)視跟蹤的方法實(shí)現(xiàn)。大部分的應(yīng)用程序具備的日志記錄只是在事后起到監(jiān)督作用，但在日志的分析過(guò)程中，還能將其應(yīng)用在預(yù)防入侵方面，以此來(lái)提高網(wǎng)絡(luò)應(yīng)用的安全。在Web網(wǎng)站的應(yīng)用系統(tǒng)之中，日志會(huì)將用戶從登錄到退出系統(tǒng)的這段時(shí)間中所進(jìn)行的所有操作進(jìn)行完整的記錄，比如登錄失敗操作、對(duì)數(shù)據(jù)庫(kù)的操作等等內(nèi)容。所以，在這一過(guò)程中完善的日志記錄功能是非常必要的。審計(jì)技術(shù)則主要是對(duì)網(wǎng)絡(luò)信息的可查性提供保障。它屬于安全技術(shù)類型，可以利用審計(jì)機(jī)制的設(shè)置提供和系統(tǒng)運(yùn)行中出現(xiàn)的可疑現(xiàn)象有關(guān)的一些信息，為管理人員的分析提供依據(jù)，使其可以及時(shí)的找到隱患所在。

結(jié)束語(yǔ)：

網(wǎng)站運(yùn)行的安全在整體的網(wǎng)站系統(tǒng)建設(shè)中占據(jù)著重要的位置，Web網(wǎng)站的安全化發(fā)展屬于一個(gè)系統(tǒng)化的問(wèn)題，其包含的內(nèi)容比較廣泛，安全技術(shù)的應(yīng)用也需要根據(jù)網(wǎng)站的發(fā)展去進(jìn)行更新，在Web網(wǎng)站建設(shè)中層層設(shè)防，有針對(duì)性的選擇適合的安全技術(shù)，增強(qiáng)網(wǎng)站管理人員的安全防范意識(shí)，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全性能，使得Web網(wǎng)站可以正常的運(yùn)行，為人們輸送安全性高的信息數(shù)據(jù)。

參考文獻(xiàn)：

[1]汪穎，胡順.Windows Server2003下Web服務(wù)器的安全技術(shù)探究[J]. 電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2007，13：80-81.

[2]符鳳平.Web網(wǎng)站安全技術(shù)分析[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2008，12：162-165+131.

[3]霍漢強(qiáng).Web應(yīng)用系統(tǒng)安全問(wèn)題的探究[J].大眾科技，2008，03：47-49.

[4]卜勝賢，李鷹.Web網(wǎng)站安全技術(shù)研究[J].微機(jī)發(fā)展，2004，05：87-89.