Web网站的安全建设(共9篇)
Web网站的安全建设 篇1
1. 引言
随着气象事业的发展, 气象WEB服务已成为气象部门重要的服务形式。置身于大数据环境中的WEB服务器最易受到来自网络的攻击, 如何确保气象WEB服务器的安全不仅关系到气象部门业务的正常运行, 也与人们的生产、生活息息相关。本文阐述了气象WEB网站运行的内部系统环境和外部网络环境的安全的设置与防护策略。
2. 构建安全的气象WEB网站
2.1 构建安全的操作系统
操作系统做为一个支撑软件, 是气象WEB服务器正常运行的基础。要让WEB服务器能正常运行, 首先要对WEB服务器的建立基础即操作系统进行严密的安全配置, 以下是气象WEB服务器在windows2008操作系统环境下的安全措施。
2.1.1 操作系统安装部分
(1) 在断开网络的情况下安装操作系统。安装系统最少需要三个分区, 分区格式均采用NTFS格式, 分别为系统盘、应用盘、数据备份盘。
(2) 将机器联入局域网安装瑞星网络版客户端杀毒软件, 并通过瑞星服务端控制台进行病毒库的升级。
(3) windows2008安装完成后要删除系统盘的默认共享。
(4) 安装系统补丁。扫描系统漏洞并全面杀毒。
2.1.2 设置和管理系统账户
(1) 禁用Guest账户;重命名Adminstrator账户和管理员用户组Administrators。
(2) 创建一陷阱账户名为“administrator”, 将它的权限设为最低, 同时设一个超极复杂的密码。
(3) 在运行中输入gpedit.msc回车, 打开组策略编辑器, 在气象WEB服务器中选择计算机配置--->Windows设置—>安全设置—>账户策略—>账户锁定策略, 将账户设为“三次登陆无效”, “锁定时间为15分钟”, “复位锁定计数为15分钟”
(4) 同样在打开组策略编辑器中选择计算机配置--->Windows设置—>安全设置—>账户策略—安全选项中将“不显示上次的用户名”设为“启用”。
2.1.3 设置相应的审核策略
设置本地组策略。在运行中输入gpedit.msc回车, 打开组策略编辑器可进行审核策略的配置。系统在网络环境下很容易受到攻击, 审核策略对于windows2008系统的安全性起着至关重要的作用。WEB管理人员可以利用审核功能对各种攻击行为进行跟踪, 遇到潜在安全威胁的事件发生时, 我们可通过审核功能监控到事件内容并有针对的处理问题, 从而保障WEB服务器不受非法攻击。windows2008系统包含有九项审核策略, 启用审核功能要消耗服务器资源, 造成系统运行性能下降, 在WEB服务器系统资源有限的情况下要对每个参数进行合理的配置才可最大可能保护系统的安全。例如通过WEB服务器对登录事件的成功和失败进行审核, 这样系统会自动对WEB服务器的所有系统登录操作进行跟踪、记录, 仔细分析这些记录可发现本地服务器是否存在非法登录甚至非法入侵行为。
2.1.4 禁用一些威胁系统安全的服务
WEB管理人员需要禁用一些威胁系统安全的服务, 例如Server (允许计算机通过网络的文件、打印和命名管道共享) 、TCP/IP Net BIOS Helper (允许对“tcp/ip上NETBIOS”服务及NETBIOS名称解析的支持) 、Distributed Link Tracking Client (用于网络中计算机保持链接) 、Remote Registry (用于远程用户修改注册表) 、Terminal Services (用于远程桌面控制) 。
2.2 利用Apache配置的气象WEB服务器相关的安全措施
建立的WEB服务器可采用的WEB软件有微软系统带的IIS或者Apache, 它们安全方面的设置关系到WEB服务器的正常运行, 同时也关系到与之相联的业务系统的安全。以下文章以采用Apache建立的气象WEB服务器为例, 介绍部署气象WEB服务器的安全措施。
(1) 首先要到Apache官方网站确认及下载最新Apache版本。
(2) 在安装Apache时不要将Apache安装在系统分区上, 且要修改安装的默认路径。安装完成后在sebug上搜索该版本漏洞, 跟据提示打上安全补丁。在日常工作中要勤打补丁, 这也是维护WEB网站最有用的手段。
(3) 安装完Apache必须隐藏其版本和其它敏感信息。通过编辑Apache安装目录下配置文件httpd.conf实现。在配置文件中加入以下语句:
Server Tokens prod
Server Singature off
(4) 禁用不必须的Apache模块, 减少WEB服务器的风险度增加性能, 只启用网站必须的功能模块。在具体配置中通过编辑Apache安装目录下配置文件httpd.conf, 用“#”注释掉不需要的模块。
(5) 按最小特权原则为Apache创建一个专门的用户和组, 确保Apache以其自身账号和组完成WEB服务。通过编辑A-pache安装目录下配置文件httpd.conf, 在配置文件中加入以下语句:
User Apache
Group Apache
(6) 将气象WEB网站所有文件均放在一个目录下, 确保A-pache不能访问WEB根目录之外的任何文件。通过编辑A-pache安装目录下配置文件httpd.conf, 在配置文件加入以下语句:
Order allow, Deny
Deny from all
Option None
Allow Override None
Order allow, Deny
Allow from all
3. 为WEB网站构建安全网络环境
面对目前WEB服务器所遇到的网络安全威胁, 仅仅对WEB服务器自身进行安全配置是远远不够的, 应从WEB服务器所处网络环境的安全防护去对WEB服务器进行安全保护。我们首先要在WEB服务器的前端布设好网络安全环境, 以下是针对气象WEB服务器的安全威胁采用的应对措施。
3.1 防火墙的安全配置
所谓防火墙, 指的是本地网络与外界网络之间的一道防御系统, 它能允许“被同意”的人和数据进入你的网络, 同时将“不被同意”的人和数据拒之门外, 最大限度地阻止外界网络中的非法用户访问你的网络.防火墙应当部署在内网的出口处, 这样可为内网网络中的WEB服务器提供一道屏障。要让防火墙保护网络中的一台气象WEB服务器, 需要确定此WEB服务器的数据流向和需要开放端口或者协议类型。根据WEB服务器的访问需求, 确定访问策略。以下以面向互联网为乡镇用户提供WEB服务的“乡镇服务平台”为例, 介绍为该WEB网站的安全而布设的防火墙安全配置。
首先我们在前期工作中需要从运营商申请一固定IP地址并提供给服务平台作为该网站在互联网上的访问地址, 将“乡镇服务平台”服务器的互联网地址和内网地址添加到防火墙主机地址资源中, 即在防火墙中定义共享平台主机。
接下来我们需要配置防火墙NAT规则 (地址转换) 和ACL规则 (访问控制列表) 。如果服务平台要访问互联网, 则做源转换, 防火墙隐藏其内网地址实现对互联网的访问;如果外部网络要访问服务平台服务器, 则做目的地址转换。即当乡镇用户访问该网站访问的是服务平台在防火墙上映射的地址, 经防火墙NAT转化后可访问该平台服务器, 这样WEB服务器在一定程度上减少被攻击的风险。ACL规则 (访问控制列表) 使用的是包过滤技术, 通过读取防火墙上已定义好的地址资源定义访问规则。对通过的数据包进行过滤, 从而达到访问控制的目的。这样一方面保护资源地址, 阻止非法用户对资源节点的访问, 另一方面限制特定用户节点所能具备的访问权限。由此定义两条规则:一是只允许服务平台服务器访问互联网, 其它内网机器不允许访问互联网;二是互联网用户仅可访问服务平台服务器, 不允许访问内网其它机器。
3.2 网闸安全配置
网闸又称为网络安全隔离与信息交换系统, 是模拟人工在两个隔离网络之间的信息交换, 中断两个网络间所有通信协议连接, 包括TCP/IP、IPX/SPX、Net BEUI等, 使之不能直接进行网络协议通信。当数据要由外网向内网传递时, 外部主机中止了外网所有网络协议, 将数据包经安全处理后被专用隔离开关系统摆渡到内部主机, 摆渡时仅有读和写两个命令。同样数据由内网向外网传递时, 也遵从相似过程。这样网闸也就为网络中的WEB服务器提供又一道屏障。
我们选用了具有SAT (服务器地址映射) 功能的伟思网闸。它能实现将内网可信端服务器通过SAT功能将自身特定服务虚拟映射到网闸上不可信端端口上, 通过隔离系统的不可信端对外提供服务, 访问者仅能访问虚拟端口而无法直接连接服务器, 从而对外屏蔽服务器。在具体的配置中我们需要事先规划好一个虚拟地址作为“乡镇服务平台”WEB服务器在网闸非可信端的映射地址, 然后在网闸“安全配置”中“隔离设备映射配置”添加“内部映射”, 即将“乡镇服务平台”WEB服务器需要提供外网访问的服务映射到对应的规划的虚拟地址。
3.3 入侵检测的安全配置
入侵检测系统是指依照一定的安全策略, 对网络的运行状况进行监视, 尽可能发现各种攻击企图、攻击行为或者攻击结果, 以保证网络系统资源的机密性、完整性和可用性。
在网络部署时, 我们在互联网与防火墙之间增加一个IDS入侵检测系统, 设备采用透明桥接的部署方式;提供各种入侵行为的分析, 阻断, 病毒、木马的过滤, 安全日志的存储。在部署前期开启一些常用攻击检测规则, 动作为默认即高风险阻断、低风险告警, 源和目的不限。后期网络人员要根据网络环境的攻击事件情况来调整攻击规则, 入侵防御策略没有所谓固定的模板, 一般是以适应网络环境的实际情况为原则设计调整。入侵检测的部署保护了整个内部网络, 防止非法入侵、病毒、木马的侵入传播。同时保护了气象web网站, 使其免受各种外界的攻击, 保障WEB网站的安全、稳定的运行。
3.4 网页防篡改安全配置
气象WEB网站除了使用以上网络安全设备外, 还需要有效的网页防篡改系统来专门对页面进行保护, 防止来自外部网络对页面和内容进行篡改和非法添加。我们所部署的网页防篡改系统通过对WEB服务器工作目录下所有文件内容实时监测, 若发现变更, 可立刻实时阻断篡改行为。
4. 运维网站必须注意的环节
4.1 气象WEB网站支撑数据库安全性措施
气象网站支撑的数据库安装时只安装需要的组件, 这样可防止安装上对网站建设无用但却具有安全漏洞的组件。
安装数据库系统时会有一些默认用户生成, 应该在数据库安装完毕之后, 经过功能筛选, 锁定或失效这些默认用户。对于不能锁定或失效的用户, 必须修改默认密码。
针对每个数据库账户按最小权限原则设置其在相应数据库中的权限。定期或不定期修改网站支撑数据库管理员口令。
4.2 定期进行必要的数据备份
对服务器上的数据定期进行备份是很重要的。网站的核心是数据, 要建立一个正式的备份方案, 而且随着网站的更新, 备份方案也需要不断的调整。
5. 结语
气象WEB网站作为气象部门重要的服务形式, 网站的安全策略必须不断的进行完善。构建气象网站的安全防护系统是一项艰巨且长远的任务, 这就要求我们及时学习和更新自身的知识与技能, 关注新的管理和防御技术, 及时采用新的防御手段去保障网站的安全。
摘要:随着网络技术在气象领域的深入应用, WEB服务已成为气象部门重要的服务形式。本文阐述气象WEB网站从内部系统到外部网络环境的安全设置与防护策略。
关键词:WEB网站安全,内部系统环境,外部网络环境
参考文献
[1]蔡宏生.Apache服务器在网站中的安全保护方案设计[D].电子科技大学, 2007.
[2]赵娟.Windows Server 2008操作系统安全性的研究与应用[J].网络安全技术与应用, 2014, 03:6+8.
[3]李昌.Web应用安全防护技术研究与实现[D].中南大学, 2010.
[4]许云明, 李春生.物理隔离网闸原理及应用[J].计算机安全, 2005, 12:26-29.
[5]郭晓佳.Net Eye FW4016防火墙在气象网络安全上的应用[J].网络安全技术与应用, 2009, 10:47-49.
Web网站的安全建设 篇2
简略答一下,
一般来说,很多安全专家都会告诉你没有绝对的安全,如果 一定要长期盯着你的公司有针对性的渗透,很少有可以幸免的。
这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙。就算所有公司都被 黑掉了,我们也希望自己能是最后被黑掉的那一个。同时,如果采取的措施恰当,是有可能将损失降至最低的。
对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题。最常见的是:
1. 代码更新频繁且快速,增加安全检查是一种额外的负担
2. 测试环境、生产环境混乱,程序员、测试、运维可能都有服务器的权限
3. 缺乏必要的策略和流程,以至于产生SVN权限乱给、离职员工还能有权限、员工随意在服务器上开端口暴露出去等诸多问题
以上问题都给安全工作带来了很多困难,而且创业团队一般来说是没有全职的安全工程师岗位的。
根据我的经验,一般公司对安全的重视程度,与这家公司是否出过安全事件有着极大的关系。如果一家公司以前从没有遇到过安全问题,那么也不会有什么决心在安全方面有所投入;相对的是,如果一家公司遭遇过 攻击,并且造成了一定损失,那么对安全问题的态度就会来个一百八十度的转弯。
无论是教科书上,还是我的从业经验,都认定了一个事实:安全工作需要自顶向下展开。无数次教训告诉我们,自底向上展开安全工作,是注定要失败的。
所以如何有效的开展安全工作?最重要的前提,就是公司的管理层能够从战略上重视安全问题。如果最高管理层本身具有很强的安全意识,甚至懂很多攻击或防御的技术知识,那么安全工作往往会很有成效,而且能够省很多钱。
对于创业团队来说,如何开展安全工作我有如下建议:
1. 定期请第三方安全公司做安全评估
这样你可以减少人力成本的投入,同时让更专业的人做专业的事情,
2. 考虑使用开源或商业的WAF(Web应用防火墙),或者是IPS(入侵防御系统)
使用WAF的好处是可以尽量少的改动代码,同时为打补丁赢得时间。因为有时候改代码是很麻烦的一件事情,而有些第三方程序的代码改起来就更麻烦了。
3. 合理收紧各种权限
包括数据库、服务器、应用后台、SVN等权限,只把权限开放给需要使用的人。
4. 妥善保管好所有的日志
包括各种应用的日志、Web日志、服务器日志等。需要实时的远程收集起来,远程收集的原因是有的 入侵后的第一件事情就是篡改日志。
5. 给员工做一些安全培训
基本的安全意识还是要有的。经常有 会打客服电话或者发邮件过来搞搞诈骗。同时还要杜绝弱口令,很多管理后台都是因为弱口令被黑掉的。程序员也需要具备一些基本的素质,杜绝常见的不安全代码的写法。
6. 考虑找一套比较合理与靠谱的安全解决方案
解决方案一般考虑三个方面:代码安全如何实现、网络安全策略如何制定、操作系统如何加固。
如果想把整套安全体系跑起来的话,你还需要制定一个安全运营的策略,比如定期扫描网站、审计日志和代码,以及制定应急响应的流程。
大致就这些了,写着写着发现和一般公司做安全差不多了,安全想做好确实不容易,有条件的话还是招聘专业的人吧。
回到题主最开始的问题“低成本”上来。
以上几点都有不花钱的方式,定期的安全评估可以用定期的扫描替代,不过效果要差上一些。还有取巧的方式是向安全社区公开征集漏洞,并有奖答谢,成本也不会很高,但效果却出奇的好
Web网站的安全建设 篇3
“根据安启华的监测,每天监测到的攻击篡改文件的比例为万分之93.8,接近1%,而其他同类服务每天监测到的攻击篡改事件比例仅为万分之2.6。”安启华(Anchiva)中国区总经理李松在近期举行的媒体沟通会上表示,随着政府开放网站数量的日益增加,相应的网站受攻击的情况也越来越多,其中以网站挂马和网站篡改为主的攻击事件日益攀升。政府网站的安全性,必须引起有关部门以及安全厂商的高度重视。
李松认为,从政府现有网络防护架构来看,目前政府网络都部署了基于端口、IP、MAC,甚至基于TCP会话进行网络访问控制的防火墙和基于数据包有效负载进行攻击检测防御的IPS产品,但缺乏针对Web交互内容的过滤防护产品。这也是为什么网络中部署了防火墙、IPS等产品,Web站点还是频频被攻击的原因。
鉴于此,李松表示,政府确实很需要Web应用安全网关(简称WAF)来保护网站的安全,而且,政府网站对WAF还有自身的细化需求,例如要求设备免维护、自服务;能对网站进行加速;能防止网页被篡改。与国外的WAF产品相比,国内产品可以更好地满足用户需求。
为了把握这一市场,2009年年底,安启华开始考虑做政府行业的业务,并于今年年初专门成立了纯内资的公司——安信华。李松还表示,安启华也在加大对政府行业的技术投入,最近,安启华为进一步解决政府网站的安全防护问题,还为政府行业重点推出了10M带宽的解决方案,网站卫士——安信华S60。和安启华以往的基于WAF产品的企业级市场解决方案不同的是,政府网站安全卫士除了WAF产品之外,还涵盖了更多为政府行业提供的服务内容,比如三年的网站监控及挂马通知服务、网站的漏洞扫描服务、网页静态页面防篡改,甚至网站加速服务等。
WEB网站的建设与维护 篇4
在新的经济条件下,网络技术的发展前提下,电子商务的环境和竞争状况变化如此之快,商业规则已经发生了一些改变,因此企业为了能在市场上获得更多的利润,就要建立企业自己的网站,树立企业在科技信息时代的完美形象。通过网络宣传自己,创造更多的销售机会。加强客户沟通宣传企业产品企业可以通过网站建立与客户沟通的便捷渠道,全面展示企业的所有产品。丰富营销手段,扩大产品销售渠道企业网站可以满足一部分客户网上查询与采购的需要,抓住网络商机。企业通过网站可以开展电子营销。
2 网站开发的技术
随着社会不断发展,网络技术日新月异,国内外信息化建设已经到了以Web应用为基础核心的阶段,越来越多的企业选择以Web来建立其应用系统。企业对系统功能需求的增加使企业级应用系统的结构和规模日趋庞大,而Web应用系统的开发也越来越复杂,开发周期越来越紧迫,这也要求开发者采用一种合适的方法来开发软件,以便降低开发和维护成本,提高程序的复用性。WEB网站开发技术从大的方向上来说,主要有Java web、.NET、PHP三个方向。
Java Web,是用Java技术来解决相关web互联网领域的技术总和。web包括 :web服务器和web客户端两部分。Java在客户端的应用有java applet不过现在使用的很少,Java在服务器端的应用非常的丰富,比如Servlet,JSP和第三方框架等等。Java技术对Web领域的发展注入了强大的动力。
.NET是Microsoft XML Web services平台。XML Web services允许应用程序通过Internet进行通讯和共享数据,而不管所采用的是哪种操作系统、设备或编程语言。Microsoft .NET平台提供创建XML Web services并将这些服务集成在一起之所需。对个人用户的好处是无缝的、吸引人的体验。
PHP(PHP: Hypertext Preprocessor的缩写,中文名 :“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php。
PHP独特的语 法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多 ;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
3 网站开发工具
Dreamweaver是一个功能强大的网页设计工具,有着方便实用的工具和所见即所得的排版功能,见面十分友好,使用方便。在不需要掌握HTML语言的情况下,即可利用其强大的功能开发出专业的网页。
Adobe Photoshop,简称“PS”,是由Adobe Systems开发和发行的图像处理软件。Photoshop主要处理以像素所构成的数字图像。使用其众多的编修与绘图工具,可以有效地进行图片编辑工作。ps有很多功能,在图像、图形、文字、视频、出版等各方面都有涉及。
4 网站整体设计
根据业务流程,需要将网站划分为前台、后台和数据库。客户在登录网站主页后即可链接查看到产品信息等,还可以给企业留言。数据库将要作为网站后台重要的组成部分,管理员的主要操作几乎全部围绕数据库,最后将更新的数据要显示给前台。
前台是一个比较大的功能群,它所包含的信息不仅数量多,而且种类不同。将它设计成比较优化的结构形式能组织好网站的信息内容并将其归类,方便用户获得所需要的信息。
系统的后台要对整个网站的信息和数据进行维护。网站前台所显示的信息在后台都应该有对应的维护。
在设计好网站前台与后台的结构以后,就将数据库加入到结构中。后台将更新的数据写入到数据库中,前台再将数据库中的信息取出来并显示。
5 企业网站维护
为了适应互联网时代的疯狂,几乎每个企业都有一个属于自己的网站。从某种意义上来说,一个企业的网站,关系到自身的发展。因此,企业的网站维护是非常重要的。网站维护大致可分为软硬件维护和内容更新。
5.1 软硬件维护
计算机硬件在使用中常会出现一些问题,同样,网络设备也同样影响企业网站的工作效率,网络设备管理属于技术操作,非专业人员的误操作有可能导致整个企业网站瘫痪。
关于软件维护,最重要的莫过于操作系统软件。任何操作系统都不是是绝对安全的。想要维护操作系统的安全,必须不断的留意相关网站,及时的为系统安装升级包或者打上补丁。其他的诸如SQL Server等等服务器软件也要及时打上补丁。服务器配置本身就是安全防护的重要环节。有不少黑客案例是利用了没有正确配置的微软的IIS服务而产生的漏洞。
5.2 网站内容更新
Web网站的安全建设 篇5
后来我搜下发现有很多这样的网站。
今天还是一个网友发现告诉我的,他说现在虽然我发现了,也停止了,但是他的权重会越来越高,就是说我的三级域名的权重会越来越高,数量越来越多,直到权重超过你的首页。
最近好多人加我,叫我出售泛解析,我都温婉的拒绝了,我也不知道这些人哪里来的,如果域名商的内部人员这么操作,这确实是一门生意。如果是域名商的话,这事就有的说了,如果是域名密码被知道了,只能认倒霉。其实一般都很少用到域名密码,都是直接登陆那注册的IDC网站,再去管理域名。
发现这个情况会就立刻删掉那域名解析,但问题还是有的,百度那边已经收录了,被泛解析后,直接就降权了,
今天给百度站长论坛提交了反馈不知道会不会处理。泛解析的域名是站长不能控制的,都是乱七八糟的字母。
域名商查的8份开始的,这是个另外一个网友的IDC通告,这倒好,IDC直接禁止了所有蜘蛛爬行。对我们站长来说影响也很大。
我:那你现在就是立刻停止解析域名和百度申诉了,其他的都没做?
答:没有做,其他的我也不知道要做什么了,改域名的管理密码就是了。
我:去和你的域名供应商联系一下,肯定是你的密码什么的泄露了。这样的情况,进入管理后台把里面的*解析删除,然后修改管理密码,如果还是被别人泛解析,那就该DNS服务器地址。
另外,如果网站域名被泛解析后,又被百度等搜索引擎收录了,就很麻烦了,如文中所讲先是去百度申诉,不过一般没戏。360提供了网页快照删除的申诉(地址),还不错。不过如果被百度标记为危险网站的话,可以考虑去知道创宇申诉。因为百度的是采用安全联盟的数据库。在站长工具网站被K申诉通道中,我记录了大部分的投诉通道。有兴趣的朋友可以去看看。
Web网站的安全建设 篇6
关键词:Web网站,信息安全,保护,解决措施
1 引言
We b网站是各个单位在因特网上展示单位形象的门户, 是各个单位对外宣传的重要窗口。同时, Web站点是政府机关开展电子政务的重要平台, 为教育科研单位开展远程教育、对外信息交流提供了一个互动平台, 也是企业开展电子电子商务的重要平台。
就在人们尽情地享受着Web网站提供的丰富多彩的服务之时, 来自因特网的黑客攻击、电脑病毒和木马越来越严重威胁到Web网站的安全, 进而威胁到电子政务、电子商务活动的正常进行。Web网站作为因特网的重要应用平台, 成为因特网上各种威胁的首要攻击目标。在这种情形下, 做好Web网站安全防御就有着十分重要的意义。
2 Web网站构成与部署
典型的Web网站一般由Web服务器、应用服务器、数据库服务器三部分构成, 也可以不部署应用服务器。服务器硬件系统主要有运行Windows/Linux操作系统的X86服务器与运行Unix操作系统的RISC小型机两大类。X86服务器具有高性价比、标准化的优势, 而RISC小型机具有在关键应用领域的高可靠性的优势。架设Web服务器最常用的软件主要有Microsoft IIS和Ap ache。应用服务器可以简单理解为对已有中间件技术的更高层次的封装, 常见的应用服务器软件主要有BEA Web Logic、IBM Web Sphere、Tomcat、JBoss。数据库服务器软件主要有Microsoft SQL Server、Oracle和My SQL。Web网站构成如图1所示。
We b服务器主要是处理向浏览器发送HTML以供浏览, 应用服务器通过HTTP等各种协议把商业逻辑暴露给 (expose) 客户端应用程序, 数据库服务器存储大量的数据信息和数据逻辑。用户对网站的访问过程如上图所示。客户端发出数据访问请求, 首先交给Web服务器, 再通过Web服务器到达应用服务器, 再由应用服务器访问数据库服务器。
IDC即是Internet Data Center, 是基于因特网, 为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管、资源出租、系统维护、管理服务, 以及其他支撑、运行服务等。Web网站服务器硬件一般部署在单位自有或租用的IDC机房内。
3 Web网站安全威胁
We b网站作为因特网信息交流的一个重要平台, 因为涉及到文字电视广播、语音会话与网络传真等WWW应用, 带来了与一般计算机和网络安全不太一样的挑战。W eb网站安全威胁的来源主要有:自然灾害、意外事故;计算机犯罪;人为错误。
We b网站面临的安全威胁主要体现在以下几个方面:
(1) 遭受黑客入侵。由于在早期网络协议设计上对安全性的忽视, 致使因特网在推动网络技术迅猛发展的同时, 逐渐使自身的安全受到严重威胁。黑客 (Hacker) 利用各种系统软件、应用软件的漏洞侵入因特网上的各种类型网站, 或窃取机密数据和盗用特权, 或破坏重要数据, 或使系统功能得不到充分发挥直至瘫痪。
(2) 电脑病毒、木马的泛滥。随着因特网的极速扩展, 电脑病毒、木马也同步在因特网上快速传播, 危害到Web网站的正常运转。
(3) 信息的安全管理。各种信息在因特网上传输、存储过程中, 遭到破坏与窃取, 信息的保密性、完整性和可用性受到破坏。
4 安全系统的管理体制
很多风险不仅仅来自于技术层面, 更可能来自于安全系统自身的管理方面。目前的安全防御系统更加侧重的是对外部威胁的防范, 对于来自内部的威胁往往力不从心。Web网站安全不仅要在技术方面进行强化, 更要在管理上积极主动, 将各种隐藏的安全隐患消灭在萌芽状态, 防患于未然。
5 等级保护工作实施的意义
信息系统安全等级保护是指根据信息系统应用业务重要程度及其实际安全需求, 对信息和信息系统划分为五个安全保护和监管等级, 实行分等级保护, 保障信息安全和系统安全正常运行, 维护国家利益、公共利益和社会稳定。信息系统安全等级保护基本要求的内容分为技术和管理两大部分, 其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类, 管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家实行信息安全等级保护制度, 可以有效地提高我国信息安全建设的整体水平;有利于在信息化建设过程中同步建设信息安全设施, 保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;有利于明确国家、法人和其他组织、公民的安全责任, 强化政府监管职能, 共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性, 推动信息安全产业水平, 逐步探索一条适应社会主义市场经济发展的信息系统安全发展模式。
信息系统安全等级保护制度的建立适应了当前国家各个部门应对日益严重的信息系统安全威胁的需要, 对信息系统安全存在的问题、如何整改、需要多少投资等问题进行了梳理, 明确了信息系统安全建设和管理的工作方向、中心任务。信息系统安全等级保护制度的建立对包括Web网站在内的信息系统的安全建设具有重要的指导意义, 我们可以参照《信息安全等级保护管理办法》的相关安全标准和相关法律、法规, 分析Web网站的网络现状和安全需求, 结合实际应用和未来发展, 进行Web网站安全系统的实际建设。
6 Web网站安全解决方法
根据对Web网站安全威胁的分析, 参照《信息安全等级保护管理办法》的要求, 综合考虑安全、成本、效率等因素, 按照信息安全等级保护三级要求进行Web网站安全系统的规划设计。
6.1 安全域划分
安全域是指具有相同的安全保护需求、并相互信任, 执行相同的安全访问控制和边界控制策略的信息与信息载体组成的逻辑区域。安全域划分的目的是把一个大规模复杂系统的安全问题, 化解为更小区域的安全保护问题, 是实现大规模复杂信息系统安全等级保护的有效方法。
6.2 物理安全
主要是考虑加强IDC机房防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全防范能力, 同时加强进出IDC机房人员的管理。
6.3 网络安全
(1) 通过物理线路以及网络设备的冗余设计, 满足业务高峰期的需要。通过配置安全登录、身份鉴别、安全路由以及划分VLAN进行安全访问控制。通过配置网络设备审计功能, 记录网络设备的运行状况, 以供分析安全事故的原因。同时在网络中配置Qo S保证在网络发生拥堵的时候关键数据得到优先传输。
(2) 通过在与因特网连接的网络边界处部署DDOS防御网关, 对DOS/DDo S攻击 (拒绝/分布式拒绝服务攻击) 进行检测、分析和阻断, 有效防止大规模拒绝服务攻击, 确保Web网站系统资源的可持续正常使用。
(3) 通过部署基于网络的入侵防护系统 (NIPS) , 配合防火墙、防毒墙等安全设备, 在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等攻击行为, 根据预先设定的安全策略, 对隐藏于流经网络的网络攻击行为进行阻截。
6.4 主机安全
(1) 通过冗余设计, 防止Web网站主机系统出现单点故障。通过及时升级操作系统、Web服务器软件、数据库系统积极应对各种软件系统自身的缺陷导致的安全问题。通过对各种软件系统的合理配置, 保证授权用户的合法访问, 防范各种非法访问事件。
(2) 通过部署网络防病毒系统, 有效抵御各种电脑病毒和混合威胁的攻击, 与防毒墙一起构成一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系。通过在Web网站主机上基于主机的入侵防护系统 (HIPS) , 防止网络攻击入侵操作系统以及应用程序, 阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的行为, 从而保护Web网站主机免受攻击。
6.5 应用安全
(1) 通过合理配置Web网站应用软件防止非法访问, 对与Web网站应用软件有关的重要安全事件进行审计。通过数据加密、数字证书等技术手段, 保证数据传输的安全性、数据的完整性和不可抵赖性。通过合理设计Web网站应用软件, 强化Web网站应用软件对错误、故障的检测处理能力。
(2) 通过部署We b应用防火墙, 通过对H T T P/H T T P S及应用层数据的深度检测分析, 识别及阻断各种传统类型防火墙无法识别的Web应用攻击。通过部署网页防篡改系统, 在网站被黑客入侵后, 通过用先前备份的网页覆盖被黑客篡改的网页来降低网站被黑客入侵的后果。Web应用防火墙是一种主动型防御手段, 网页防篡改系统一种被动型防御手段, 这两种技术手段是Web网站区别于其它信息系统, 需要重点考虑的安全防御手段。
6.6 安全管理
“三分技术, 七分管理”这句话是对信息安全非常客观的描述, 任何信息系统仅在技术上是做不到完整的安全的。通过细化安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5个方面的安全管理工作, 弥补纯技术手段的不足, 切实保证Web网站系统的安全。
6.7 安全服务
安全服务贯穿到安全建设、管理的咨询、设计、选型、实施、售后服务等各个环节, 主要包括信息安全评估服务、安全巡检服务、安全加固服务、紧急响应服务、安全培训服务、安全管理策略服务和安全顾问服务等。
7 结语
We b网站正影响着社会生活的各个方面, Web网站安全是各行各业必须认真考虑的重要问题。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点, 保障重要信息资源和重要信息系统的安全。按照信息安全等级保护相关标准进行Web网站安全系统建设, 可以有效地解决Web网站系统所亟待解决的各种安全问题。
参考文献
[1]黄传河.网络规划设计师教程.北京:清华大学出版社, 2009.
Web网站的安全建设 篇7
1 移动商务网站应用模式
1)随着我国电子商务的不断发展,对商务网站的建设要求也不断加大,移动应用程序主要包括 :移动Web应用和原生应用。原生应用指的是支持手机系统的应用软件,比如,i Phone i OS系统软件,在手机中有针对性的对应用软件进行安装,移动WEB应用在WEB服务器中,对HTMI5标准内核浏览器进行支持。
2)原生应用也有一定的使用范围,只兼容一些特定的手机操作系统,通过内置的API来进行全方位的快速开发,不同手机需要使用不同的应用软件,调查显示 :销售量大于100万的手机操作系统一般是Andriod、Black和Windows Phone等。如果对每部手机都进行应用软件的编程,会增加成本。
3)移动WEB应用软件通过浏览器和HTML5等技术,提供一定的平台和解决方案、进行一次编程能够在很大程度上对手机或者平板电脑的移动站点进行应用,不需要对每部手机进行移动WEB操作系统的开发,也不用对客户端应用程序进行安装。随着Wi Fi的到来,在很大程度上加大了网络的发展,以此获得服务和信息。
4)科技不断强大,手机和平板电脑也形成了普及的状态,很多传统网站和商务网络在很大程度上已经不能适应目前发展的步伐,逐渐向移动WEB应用方向发展,在发展的过程中,传统网站不能对移动WEB应用完全适应,需要进行移动WEB网站的开发。不同的移动设备都具有独立性,但是这种独立性有很大差异,需采用有别与传统的开发方式进行开发。
5)在WEB服务器中布置了传统的Web程序,超文本传输协议能够很好的对文档实现共享,对服务器中的文件进行访问时需要通过统一资源标示符来完成,然而在传统WEB程序的基础上增添了一些新数据和文档格式,这样能够在最大程度上解决设备资源受限制问题。
开发满足要求的移动平台,可以采用模型开发方法,解决平台间的设计标准。
2 基于 HTML5 移动应用模型
HTML5是在HTML的基础上的升级版本,这种新的应用有比较严格的标准和良好的跨平台性,这能够在很大程度上使原生程序在进行不同系统开发中解决应用程序问题,大大提高我国网络的发展速度和质量,使WEB得到快速的发展。HTML5有很大的技术优势,因此应当把这种优势运用到移动互联网中。HTML5具有良好的跨平台性,这种平台性能够对多种智能终端提供必要的移动Web应用,它是快速推动HTML5应用和互联网发展的良好途径。跨平台在HTML5应用中有很大的优势,能够对不同设备和分辨率进行必要的维护,维护工作比较简单,它还对PC机和移动设备进行同时支持。HTML5应用还对一些功能进行优化,比如,扩展了网页视觉功能,去除各种应用插件。移动终端用户在进行操作时不用对客户端进行下载就能够运行应用。HTML5应用还增添了三维立体效果,大大方便了网页的搜索功能。
HTML5应用的开 发平台主 要有 :Sencha Touch、j QTouch、j Query Mobile和Titanium Mobile等。j Query Mobile是智能手机与平板电脑等移动设备上常使用的版本,是一个使用非常广泛的应用软件,它是在HTML5应用中进行开发和使用,并且具有很多的优点,能够帮助用户进行操作,方法易于掌握、对快速迭代进行支持、跨平台技术并且可以对多种移动设备进行满足,已经发展成为移动WEB开发中的主流框架模型。j Query Mobile在很大程度上能够对不同主流移动平台进行支持,发展出了一个较为系统的移动UI框架,移动程序的开发能够保证多种浏览器的正常运行,开发人员能够结合这种功能进行移动Web网站的开发,对JQuery Mobile页面、工具栏和对话框等内容进行掌握之后,在最短的时间内开发出完善的移动WEB页面。
3 结束语
企业中上网站点的建设对资源的获得有很大帮助,这种系统工程的建立需要企业根据自身情况和经营状况来进行网站的规划。对移动设备功能的不断提高和功能的增多,我国进入了4G时代,移动商务已经到了全方位发展阶段,网站建设将带动商务网站建设。由于移动客户端的应用程序呈现增多的态势,虽然如此,很多平台不能进行兼容多系统的操作,因此,在此基础上形成以移动WEB商务网站为核心的发展方向。
摘要:随着我国经济不断发展,科技不断进步,电子商务已经逐渐成为以后商务发展的一个趋势,商务网站建设是企业重要的开展平台。电子商务和移动设备在我国已全面普及,移动商务网站的建设受到人们的重视,在HTML5移动的基础上对WEB进行技术开发已经成为了未来商务网站发展的一个方向。移动互联网完全实现了移动通信和传统Web的相互融合,更新出了具有确定性和移动性的个人化终端,这在很大程度上在商务领域中取得了一个很好的成绩,但是也面临着严峻的挑战。本文主要阐述了商务网站建设中的移动WEB技术的开发。
Web网站的安全建设 篇8
随着油田生产生活的丰富多彩, 越来越多的主题网站呈现在大家面前。其中一部分网站具有如下的特点:页面布局灵活、美观, 页面内容需要用户不断更新, 即需要对发布内容进行一定的管理。因此就需要找到一种区别于以往主题网站的制作方法。本文针对这个问题, 提出应用WEB开发与门户技术结合的方式制作主题网站, 从而展示主题网站搭建的新思路。
一、设计总体思路
主题网站在搭建过程中, 页面的总体版面、框架设计、图片热点链接、网站发布等依靠WEB开发技术实现;网站内各版块的内容则通过嵌入门户控件模块, 为用户授权进行更新。
二、WEB开发方面
2.1框架设计。首先, 对网站的整体版面进行划分, 上部为网站头, 左侧和右侧为图片展示列, 中间为主体, 即各版块内容, 通过使用框架对网站页面划分, 能够明确各模块展示内容, 提高开发效率, 便于设计和维护。
2.2样式设计。样式设计主要包括以下两个方面:一是网站整体风格设计。主要是网站主色调设计和顶部、两侧、底部版面的图片素材选择。二是细节调整。主要是网站底色, 各版面对齐, 图标制作, 边框粗细和色彩以及图片素材中的字体、行间距、段落间距等需要细化处理的部分。
2.3热点链接。热点链接, 即在一张图片上按区域划分, 实现不同区域具有不同URL的超级链接, 格式:
需要注意的是:img中的地图名称前注意要加#号;shape参数rect/circle/poly为热点区域形状, 分别是矩形、圆形、多边形;坐标1—坐标4分别为矩形左上角和右下角的坐标;圆形坐标为3个值, 前2个是圆心坐标, 后1个是半径;多边形为每个折点的坐标;href为目标URL地址。
2.4网站发布。在WEB服务器上存储主题网站源文件, 在IIS中设置虚拟目录、安全参数、应用程序池、指定首页等, 实现网站发布, 用户可以正常浏览。
三、门户技术方面
3.1创建频道。使用域用户登陆门户服务器, 打开网站管理工具Sitemanage, 在CMSRoot下新建子网站, 创建频道, 将频道名称改为和主题网站版块一一对应, 此时频道只能由域用户访问, 下一步进行权限扩展。打开Users工具, 在子网站下对刚才新建的频道授访问权限, 以便子网站门户管理员可以进行管理。登录门户管理网站, 进入编辑模式, 对刚才新建的频道审批通过后完成新频道发布。最后, 登录CMSRoot, 找到子网站, 对新建的频道进行刷新, 访问权限变为every body, 即实现普通用户访问浏览。
3.2嵌入网站。频道, 即版块创建完成, 需要嵌入到网站中才能正常使用。首先, 创建一个IFRAME控件, 将频道地址添加进去, 设置最大记录数、日期显示/隐藏等网络参数, 具体实现方法如下:
其次, 将该IFRAME控件复制到对应主题网站的版块位置。注意, 操作过程中会弹出提示输入用户名和密码的对话框, 一定要用域用户登陆, 否则版块内容无法编辑和更新, 原因就是, 版块内容和门户频道已经相关联, 本地无法修改其内容, 只有子门户管理员有权限修改。
结论
通过应用框架、样式、热点链接等WEB开发技术与门户频道创建、授权、嵌入等技术相结合, 既保留了传统主题网站界面美观大方的特点, 又能对网站内容进行及时更新管理, 很好地解决了此类主题网站建设的需求。WEB开发与门户技术相结合, 具有快速、灵活、模块化等特点, 是主题网站建设的一种创新方法, 为高效建设主题网站提供了一种新途径。
参考文献
[1]姚志新.基于网站群技术建设市级政府门户的研究探讨[J].信息技术与信息化, 2007, 02, 15.
[2]井光永.基于信息构建理论的教育主题网站优化设计研究[D].南京师范大学, 2013, 03, 15.
Web网站的安全建设 篇9
图书馆2.0的定义
2005年美国乔治亚州格温奈特郡公共图书馆技术服务部主任Michael Casey在其个人网站Library Crunch中提出了图书馆2.0 (Library2.0) 这一概念, 随后Michael Stephens于同年10月的Internet Librarian2005正式提出将Web2.0应用于图书馆网站建设的图书馆2.0。2006年美国图书馆协会 (ALA) 开设了Library2.0 Boot Camp课程, 图书馆2.0这一名词为大多数人所接受。而英国图书馆系统供应商Talis公司提出的图书馆2.0的四项原则, 即图书馆无处不在、图书馆没有障碍、图书馆鼓励参与、图书馆使用灵活的单项优势系统, 则已成为图书馆界普遍认可的图书馆2.0的基本内涵。图书馆2.0不是Web2.0技术的简单移植, 图书馆人希望通过Web 2.0的应用让图书馆的信息服务无处不在, 更加人性化, 以读者为中心。如今如何利用图书馆2.0的技术和理念为读者提供按需定制的信息服务, 已成为图书馆网站设计和运行的一个重要课题。它是先进的计算机和互联网技术在图书馆信息化建设中的应用, 是图书馆以用户为中心不断延伸、鼓励参与的服务手段, 更是“参与、合作、创新、共享”的图书馆精神的实际体现。
Web2.0在图书馆网站中的应用
在信息技术飞速发展的今天, 图书馆担负着为读者提供更全面周到的信息服务这一重任。作为信息时代与读者进行信息交流的最佳平台的图书馆的网站, 应用了web2.0技术后, 在网络环境下拓展了图书馆信息资源, 延伸了图书馆信息服务, 实现与提升了图书馆服务理念。其主要应用可大致归纳为以下几个方面:
开设博客提高服务水平
博客应用于图书馆网站, 一可作为信息资源工具;二可作为专业发展资源;三可作为图书馆社区的交流工具。传统图书馆发展到今天的数字图书馆, 其服务式由被动变为主动, 图书馆员们不仅能通过网络将信息资源传递给读者, 还可以就某一领域给读者提供专业的检索资讯以及热门图书书目、导读、书评等。图书馆所追求的资源共享与博客的共享精神实质上不谋而合, 博客良好的交互性和共享性必将为提高图书馆服务水平注入一种新鲜的血液。图书馆可以利用博客宣传、展示自己。读者可通过博客, 为图书馆建设出谋划策。甚至可以请教师在图书馆建立博客, 为学生提供学习参考书等方面的建议。在网络环境下, 博客已成为图书馆面向读者、服务读者的重要窗口和激发潜在的读者群、扩大图书馆影响的重要手段。
搭建论坛架设交流平台
BBS (Bulletin Board System) 即电子公告板系统。用户可以读取BBS的消息, 也可以通过BBS发布消息。由于其互动性、开放性和自由性, 用户咨询问题非常快捷、方便。高校图书馆是教学科研的重要基地, 利用BBS会延伸图书馆的服务功能, 提高图书馆读者服务的广度和深度。图书馆通过BBS可以发布公告、介绍馆藏资源;解决图书预约、续借问题以及新书推介, 采购推荐;进行读者培训, 数据库使用指导;收集读者投诉与监督、问卷调查等, 也可以召开“虚拟读者座谈会”, 听取读者意见, 避免了有时难以畅所欲言的缺陷。图书馆BBS是了解读者需求的窗口、吸收信息的源泉、改进工作的依据。
利用Rss扩展服务手段
在图书馆网站中应用RSS技术, 不仅可以用提要的形式将网站更新的内容通过RSS工具订阅提供给读者, 让读者及时获得更新信息, 提高该网站的读者关注度, 还可以向用户提供更及时的资源导航服务, 如新购图书、期刊、数据库、音频视频信息。这种服务较传统通过网页形式提供的服务更具时效性, 因为后者采取的是“推”的服务模式, 用户不需要时刻关注图书馆网站的内容更新, 只需登录RSS阅读器即可。前者则需用户更多主动参与。通过RSS技术, 用户借阅图书的催还通知、到期提醒信息、超期图书情况、预约图书到馆通知, 图书馆开放时间的变更、开办的新服务、读者活动等内容也可以及时推送给用户。对于图书馆来说及时将这些内容以新资源列表的形式提供给读者, 有利于提高馆藏的利用率。而读者的借阅情况和预约情况也可为进一步改善图书馆的采访工作提供依据。
参考文献
[1]陈志新.Web210概念、特征及其技术应用探析.河北北方学院学报 (自然科学版) 。2006.6:50-53.