网站安全性管理(共12篇)
网站安全性管理 篇1
0 引言
随着计算机信息技术的高速发展, 人们的生活、工作越来越依赖互联网上的信息发布和信息获取, 但是人们却时刻被信息网络的安全隐患所困扰, 越来越多的人也开始了关于网络、网站的安全性管理研究。
网站安全是指对网站进行管理和控制, 并采取一定的技术措施, 确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要确保经由网站传达的信息能够在到达目的地时没有任何增加、改变、丢失和被他人非法读取。要做到这一点, 必须保证网站系统软件、数据库系统有一定的安全保护功能, 并保证网站部件如终端、数据链路等的功能不变, 而且仅仅是那些被授权的人们可以访问。
目前影响网站安全的问题主要来自于网络的不安全性, 网站的安全漏洞其实也就是网络的安全漏洞。
1 自然因素
任何的系统软件和应用软件都不能是完全无缺陷和无漏洞的, 而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。IMAP和POP3协议一定要在Unix根目录下运行。攻击者利用这一漏洞攻击IMAP破坏系统的根目录, 从而获得超级用户的特权的协议漏洞。缓冲区溢出, 即系统在不检查程序与缓冲区之间变化的情况下, 就接受任何长度的数据输入, 把溢出部分放在堆栈内, 系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令, 来造成系统不稳定状态。口令攻击, 在Unix系统软件通常把加密的口令保存在一个文件中, 而该文件可通过拷贝或口令破译方法受到入侵。计算机病毒攻击一般分为四类:文件型病毒 (File Viruses) 、引导型病毒 (Systemor Boot Sector Virus) 、链式病毒 (SYSTEMor CLUSTERVirus) 、宏病毒 (Macro Virus) 。计算机病毒的主要危害有:对计算机数据信息的直接破坏, 给用户造成重大损失, 占用系统资源并影响运行速度, 产生其他不可预见的危害, 给用户造成严重的心理压力。
计算机病毒疫情呈现出多元化的发展趋势, 以网络为主要传播途径。呈现以下显著特点: (1) 网络病毒占据主要地位; (2) 病毒向多元化、混合化发展; (3) 利用漏洞的病毒越来越多。
2 人为因素
操作失误:操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎。用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
恶意攻击:这是计算机网络所面临的最大威胁, 敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击, 它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击, 它是在不影响网络正常工作的情况下, 进行截获、窃取、破译以获得重要机密信急。
3 用户输入验证不全面
在网站编程中, 对于用户和用户的输入, 都必须抱怀疑态度, 不能完全信任。对于用户的输入, 不能简单的直接采用, 而必须经过严格验证, 确定用户的输入是否符合输入规则才可以录入数据库。用户输入验证应该包括以下两个方面:
(1) 输入信息长度验证。程序员往往认为一般用户不会故意将输入过分拉长, 不进行输入验证可能没有危害。但如果用户输入的信息达到几个兆, 而程序又没有验证长度的话, 可以使程序验证出错或变量占用大量内存, 出现内存溢出, 致使服务器服务停止甚至关机。
(2) 输入信息敏感字符检查。在设计程序的时候, 程序员可能都会关注Java Script的一些敏感字符, 如在设计留言版的时候, 会将“<”等符号的信息过滤, 以免用户留下页面炸弹。
在网站中注册新用户的时候, 一般会首先要求用户输入自己需要注册的账号信息, 验证该账号是否已经存在, 确保用户的单一性。如果用户的注册信息通过了“存在该账号”的检测, 在编程的时候就认为这个账号一定不存在, 可以注册, 在注册页面中直接使用“nsert Into”语句将注册信息插入用户数据库。上述的问题是:将注册信息插入数据库之前, 并没有再一次检查这个用户是否存在, 而是信任前一个检测页面传来的账号信息。由于可以阅读和保存HTML文件的源代码, 如果用户将注册通过的页面保存并且将上面的账号信息修改为一个已经存在的账号, 由于程序认为该账号已经通过检测, 直接将该账号插入数据库, 原来拥有该账号的用户信息就会被修改, 造成用户信息流失、出错等情况的发生。
4 网络安全管理
当然, 网站安全还包括比如服务器攻击、病毒攻击等方面, 但这些方面基本都属于上文中介绍过的网络安全问题。
网络安全的管理, 主要是使用防火墙, 是效率最高的网络安全产品。防火墙在整个网络安全中的地位将是无可替代的。另外在与因特网接入处增设网络入侵检测系统。入侵检测系统 (IDS即Intrusion Detect System) 是实时网络违规自动识别和响应系统, 它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方, 通过实时截获网络数据流, 能够识别、记录入侵或破坏性代码流, 寻找网络违规模式和未授权的网络访问, 一经发现入侵检测系统根据系统安全策略做出反应, 包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
当然, 对于网络安全的防御目前比较成熟的技术相当多, 我们只有认准适合自己的技术, 并采用多种技术相互结合才能达到相应的目的, 由于篇幅有限对于其他诸如身份认证、数字签名等技术的介绍就不在此累赘了。
网站服务器的安全管理。一是安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击, 还可通过安装非法人侵监测系统, 提升防火墙的性能, 达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作。当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问, 规定具有特定IP地址的客户机对本地网络服务器的访问权限, 以防止从外界对网络服务器配置的非法修改。定期对网站服务器进行安全检查, 利用漏洞扫描工具和IDS工具, 加大对服务器的安全管理和检查, 随着新漏洞的出现, 要及时为服务器安装各类新漏洞的补丁程序, 避免服务器受到攻击和出现其他异常情况。定期进行必要的数据备份, 网站的核心是数据, 数据一旦遭到破坏, 后果不堪设想, 除了设置相应权限外, 应建立一个正式的备份方案, 而且随着网站的更新, 备份方案也需要不断地调整。
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性, 采用基于Client/Server模式访问后台数据库, 为不同的应用建立不同的服务进程和进程用户标识, 后台数据库系统以服务器进程的用户标识作为访问主体的标识, 以确定其访问权限。
后台数据库的访问控制主要采取:一是访问矩阵, 访问矩阵就是以矩阵的方式来规定不同主体 (用户或用户进程) 对于不同数据对象所允许执行的操作权限, 并且控制各主体只能存取自己有权存取的数据。它以主体标行, 访问对象标列, 访问类型为矩阵元素的矩阵。Informix提供了二级权限:数据库权限和表权限, 并且能为表中的特定字段授予Select和Update权限。因此, 我们在访问矩阵中定义了精细到字段级的数据访问控制。二是视图的使用, 通过视图可以指定用户使用数据的范围, 将用户限定在表中的特定字段或表中的特定记录, 并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图, 在授权给一用户的视图中不包括那些不允许访问的机密数据, 从而提高了系统的安全性。三是数据验证码DAC, 对后台数据库中的一些关键性数据表, 在表中设置数据验证码DAC字段, 它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据, 则DAC效验将出错, 从而提高了数据的安全性。
在编码中的安全管理, 主要是防止恶意代码注入, 即验证输入, 使攻击者无法注入脚本代码或使缓冲区溢出。对所有包含输入的输出进行编码。这可防止客户端浏将潜在的恶意脚本标记作为代码进行转换。使用接受参数的存储过程, 防止数据库将恶意SQL输为可执行语句进行处理。同时使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时, 可缓解风险并减少损害。
5 结束语
作为网络或者网站管理员, 有责任同时也有义务做好网站的维护与管理, 这就需要我们管理人员时刻保持虚心学习的心态, 时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决, 对于目前还未出现的安全问题要有预见性。
摘要:介绍了网络安全隐患, 其中包括常见的网络安全隐患和网站自身经常出现的安全隐患。简要介绍了网络安全的防御问题, 并详细介绍了网站自身的安全防御。
关键词:网站安全性管理,策略
参考文献
[1]沈昌样.网络安全与信息战[J].网络安全技术与应用, 2001 (3) .
[2]骆耀祖, 龚洵禹.动态网页设计教程[M].广州:中山大学出版社, 2002.
[3]骆耀祖, 刘永初.计算机网络技术及应用[M].北京:清华大学出版社、北方交通大学出版社, 2003.
网站安全性管理 篇2
为加强网站安全管理,确保该网站的整体安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,制定本制度。
第一条 网站的建设应坚持“统一规划,统一标准,资源共享,安全保密”的原则。信息资源遵循“谁发布,谁负责;谁主管,谁管理”。
第二条 拟对外公开的信息在上网发布前,应经网站负责人审核确认。对在线互动性栏目,要加强网上互动内容的监管,确保信息的健康和安全。以下有害信息不得在网上发布:
1、反对宪法所确定的基本原则的;
2、危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视、破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人的合法权益的;
9、含有法律、行政法规禁止的其他内容的。
第三条 网站在建设和运行中,要加强安全措施,增强安全技术手段。保证网站每天24小时正常开通运转,以方便公众访问。网站应当对重要文件、数据、操作系统及应用系统作定期备份,以便应急恢复。严禁将各个人登录帐号和密码泄露给他人使用。
第四条 网站负责人、技术开发人员和信息采编人员所用电脑必须加强病毒、黑客安全防范措施,必须有相应的安全软件实施保护,确保电脑内的资料和帐号、密码的安全、可靠。
第五条 网站应当充分估计各种突发事件的可能性,做好应急响应方案。制定详细的工作人员管理制度,明确工作人员的职责和权限。同时,规范人员调离制度,做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。
第六条 本制度即发布之日起实施。
通联禽业信息服务有限公司
浅谈地方政府门户网站的安全管理 篇3
关键词:政府门户网站安全管理
中图分类号:TN915.08文献标识码:A文章编号:1674-098X(2011)03(a)-0020-01
政府门户网站要求各级政府在信息化建设基础之上,建立起跨部门的、综合的业务应用系统,使公民、企业与政府都能快速便捷地接入所有相关政府部门的政务信息与业务应用,并获得个性化的服务,使合适的人能够在恰当的时间获得恰当的服务。政府门户网站安全管理是各级政府部门网站建设的一项重要内容,特别是一些偏远地方的政府门户网站,由于政府门户网站建设起步较晚,网络管理经验还不丰富,网络知识普及面不广,网络措施不完善等原因,需要引起地方政府对政府门户网站安全管理的足够重视。
1 依法管理
依靠法律法规管理政府门户网站。
为了加强国际互联网的安全保护,维护公共秩序和社会稳定,国家制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》和《计算机信息网络国际互联网安全保护管理办法》,《中华人民共和国刑法》中的第285条,286条和287条等专门就计算机网络犯罪进行了规定。地方政府先后出台了《河北省政府系统门户网站管理规定》和《张家口市政府系统门户网站管理规定》等文件。张家口市直和各县区政府的网络管理部门还以文件形式规定了信息保密、责任追究、信息澄清、发布协调、发布流程、信息审签等规章制度。为了高效发挥网站的过程管理作用,张家口外网管理处实行日常过程管理和年终考核结果相结合的考评机制,出台《关于加强“中国·张家口”政府门户网站内容保障工作的紧急通知》等一系列工作指导意见,让各县区和市直部门及时了解“中国·张家口”的最新工作部署和指导思想,以便各级政府做好网上服务。
这些从中央到地方的法律法规所做的约束,从制度上规范了上网行为,树立起依法保护网络安全的意识,为网站的建设、运行、维护和管理提供法律保障。
2 依人管理
以人为本,依靠规范上网行为管理政府门户网站。
2.1 建立组织机构
就张家口而言,建立领导保障机制,建立起市、县(区)主要领导负责制度,各单位的“一把手”是政府门户网站的第一负责人,明确专人负责政府网站的日常工作,建立起畅通的网站管理信息员队伍。“一把手”亲自抓政府网站工作,在市直部门定期召开本单位的网站的工作会议,深入各县区听取分管领导的工作汇报,主动协调网站工作遇到的一些问题,把网站的工作作为政府的一项常规工作,并将网站的工作经费纳入财政预算,通过“一事一议”的办法加以解决。
2.2 培训上网人员
组建张家口市政府门户网站群的信息员队伍,抓好上网人员的基础知识和业务技能培训。要求从事政府网站的工作人员,认真研究和执行国家和地方对政府门户网站的有关规定,熟悉既定的工作制度和各种工作流程,确保信息发布的权威性、完整性和准确性,并鼓励有条件的单位,采取“走出去,请进来”等方式,加强与先进地区的交流,通过多种途径不断提高上网人员的工作能力和工作水平,掌握较丰富的网络知识和实际操作经验,完善网站安全应急预案,及时处理网站可能发生的各种突发事件,努力打造一支政治素质高,职业道德好,既懂业务又懂技术的网站队伍。
2.3 按照程序发布
政府门户网站发布的信息,事关政府的权威性和政府形象。张家口市政府外网管理处要求市直和各县区所有网站节点按照“谁制定、谁把关,谁发布”的原则,整体推进网站信息发布工作。比如,在本单位就需要解决信息上网有无涉密、是否有不适宜对外发布的内容等问题,如果本单位不能确定的要逐级请示。再比如,在起草文件时,明确规定将政府信息是否在网上公开贯穿于文件生成的全过程,也就是信息公开把关工作与文件生成和签审过程要同步进行,做到在文件进入审签时就必须明确该信息是否公开,一经签发生效,就要在规定的时间内予以发布,这样大大提高了政府工作效率,最大范围满足了网民的需要。
3 依技管理
依靠计算机的新技术管理政府门户网站。
计算机技术的发展日新月异,更新速度非常快,往往是刚刚学会旧的,新的知识又诞生了,网络安全管理是一个动态的过程,所以加强网站技术的动态管理非常必要,必须常抓不懈。
3.1 搭建网络安全平台,提高网络自身免疫力
随着计算机软件技术的发展,计算机系统安装出现了较为简便的程序,一些单位的计算机甚至直接使用Ghost软件来安装系统,虽然Ghost软件安装时间较短,效率较高,但是这样的安装方法却不能够保证计算机系统的安全,也就无法保证政府网站的安全,安全性很差,同时,Ghost软件安装不需要的软件,所以整个Ghost安装就是“被安装”,系统软件和应用程序安装的比较纷乱。为此,张家口市政府外网管理处要求市直和各县区的网站的计算机全部使用正版软件,根据工作需要安装应用软件,实行按需安装,随时给计算机系统升级,安装杀毒软件,定期修改密码,不访问、不打开来历不明的网址等,通过一系列的规范动作,确保了张家口政府网站群的安全运行。
3.2 借助软件公司力量,网络安全找到好管家
鉴于从事张家口市各县区和市值部门的政府网站管理人员计算机网络水平参差不齐,网络技术发展又很快,甚至一些单位的工作人员身兼数职,没有太多的精力投入到计算机网络知识更新或者根本对计算机网络知识就陌生等这些现状,迫切需要解决张家口网站群的安全管理。张家口和北京山水相依,充分利用北京的科技优势和雄厚实力,依靠软件公司的科技力量加强网站群的安全管理是一种非常好的办法。为此,张家口市政府外网管理处委托北京一家软件公司开发网站群,并把网站群的整体维护依托给该软件公司,实现网络安全外包,这样防止网站群的网页发生被篡改或者被黑客攻击等现象发生,实现张家口市政府网站群的安全管理。这种安全外包模式既节约了不发达地区维护网站的资金,又提高了不发达地区网站的安全性能,实现网络资源优势互补。
综上所述,地方政府网站的安全管理是一项复杂的、综合的、系统的安全工程, 做好地方政府门户网站的安全管理需要大家的共同努力!
参考文献
[1]杨忻.数字信息资源安全管理策略[J].科技创新导报,2007,27:13.
探讨网站的维护与安全性管理 篇4
1 网站维护与安全性管理的重要性
访客对网站第一印象取决于网站的维护与管理的效果。网站是为吸引访客而建立的。假设网站内容的更新速度迟缓, 或者是因遭受黑客袭击等导致网站不能正常访问, 访客就会对网站进行质疑, 甚至拒绝访问该网站。这一点在新建的小型网站深有体现, 由于访客量长期不高, 网站站主便失去信心, 对网站的维护与管理有所懈怠, 导致流失已有访客, 陷入恶性循环之中, 最终所建立的网站成为废站。网站的安全性管理也是尤为重要的, 它可以大大提高网站运行的稳定性, 便捷访客获取所需信息。
2 网站维护与安全性管理的不足
2.1 网站更新速度慢
网站的更新, 即适时更新最新动态及相应的文字、图片说明。当下, 大多数新建的网站都没有后台管理系统, 加上缺乏擅长制作和设计网页的人才, 致使网站更新缓慢, 导致大量访客流失, 对访客的吸引力骤降。同时网站漏洞暴露愈加频繁, 容易感染病毒和遭到黑客攻击。
2.2 过分植入广告
网站的建立需要一定的成本, 为了使网站盈利, 不得不在网站中植入广告。但是, 目前大量的广告充斥着网站的页面, 不免有喧宾夺主的意味。大量的广告虽然能使网站获得收益, 但是却并非长久之计。过分植入广告, 会使访客会分散注意力, 而不是对网站内容和主题的关注, 甚至会使访客厌恶网站。有的植入广告本身就带有病毒, 对网站发展也是不利的。还有一些不良的广告, 不但会影响社会的道德风气, 也会降低网站的品次。
2.3 数据库管理系统过于简单
网站的建立依赖于数据库管理系统, 但目前的网站数据库出现事故的报道频发, 抓紧完善数据库管理系统迫在眉睫。问题发生的主要根源在于网站的数据库管理系统过于简单, 没有监控机制的约束, 有的网站甚至没有数据库管理系统。易致数据泄露。严重的再也无法恢复, 进而使整个网站都瘫痪, 导致人力、经费等付之东流。
2.4 防御系统层次较低
网站需要防御系统是毋庸置疑的, 但每个网站的防御系统层级不尽相同。总体, 层次较低, 基本属于简单的程序控制阶段, 无法做到实时监控、补救。防御系统层级远不及电脑的防御系统, 这与网站制作起步晚有一定的关联。
2.5 缺乏网站维护与安全管理专业人员
网站的维护和安全性管理需要大量的专业人才, 但中国互联网起步晚, 高素质的专业人才稀缺, 这也与缺乏培养专业人才的实践基地有关。网站主要有网络公司代为制作, 大量的企业发现了网络的商机, 但无法调动人才, 致使网络的控股权在于网络公司。网络公司的超负荷运转, 难免会使网站的维护与安全管理出现差错。假使企业单独引进网站维护人才, 这一局面将得到缓解, 也可以降低网络宣传的成本。
3 网站维护与安全性管理的方法
3.1 网站更新和网站推广
不同的网站有独特的更新和推广方式。目前, 网站按照制作者来分, 主要分为网络公司制作的网站和个人制作的网站。在更新方面, 网络公司代为制作的网站, 需要客户在合同中签订关于网页更新的条款, 否则由于诸多因素会使网站无法正常运行。在推广方面, 可以利用搜索引擎来推广、网络广告来推广、邮件推广、微博微信推广、亲友之间的推广等。不过这些推广活动需要长期的进行。这类工作对拥有专业知识的程度要求不高, 但对投入的精力却是有相当高的要求的。
3.2 网站外部的安全管理
对于网站的安全性管理方面, 使用防火墙是最常用、有效的方法之一。防火墙利用的是一种隔离的原理, 将黑客及一些不速之客拒之门外, 而对一般的访问者热情开放。其使用次数最多的、成本相对较低的优势, 造就了它的重要地位。其次, 对病毒的感染的治理, 需要站主安装强力的杀毒软件。当然, 安装亦需要注意成本的可支付性和网站建立后的收支平衡问题。除此之外, 还需要建立一套完整的防御机制, 实时监控、综合防御病毒、黑客等入侵, 并对出现的状况给予报告和分析, 并提出及时的补救措施。
3.3 加强网站服务器的安全管理和数据库安全管理
从加强网站服务器的角度来看, 首先需要一个防火墙来防御外界的攻击, 配之以非法入侵监测系统的辅佐, 从而提升防火墙的性能, 执行立即拦截等行动。其次, 需要设定访问权限, 防止外界非法修改网络服务器的配置, 并定期安全检查网站服务器。再者, 利用IDS工具和漏洞扫描工具, 加大检查和安全管理服务器。最后, 还需要定期备份必要的数据。数据是网站的核心, 建立一份正式的数据备用方案, 降低网站数据遭到破坏的损失。当然, 不断修正数据方案也是网站维护和安全性管理的有效举措。
从数据库安全性管理来看, 它的目的在于保护数据库, 防止数据泄露和破坏。数据是网站的核心, 保护数据库可以采用Client/Server模式来访问后台数据库——访问矩阵、使用视图、加入数据验证码DAC。其中, 使用视图是指针对不同用户给予不同的视图, 从而设置访问权限, 禁止恶意的网络攻击。而加入数据验证码DAC则指的是用数据验证码DAC字段对后台数据库中的关键性数据表进行设置。此外, 设置动态密码也可以提高数据库的安全性。
3.4 培养网站维护与安全性管理专业人员
面临网站维护与安全性管理专业人才稀缺的局面, 高校和企业需要加大对这方面人才的培养。高校要根据专长来培养学生, 而非单一的文化素质考核。而企业则可以让员工自学关于网络制作和设计的知识或安排专业老师教授员工这方面的知识。不仅可以降低宣传成本, 也可以提高企业的整体文化素质。企业在培养网站维护人员时, 要注意明确工作职责, 激励其不断学习新的相关知识, 为网站的制作与时俱进, 给访客带来更多的便利。
3.5 政府加强对网站的监管力度
政府在网站的维护方面也应起到监管的作用。近几年, 我国的信息技术产业得到迅猛地发展, 但监管力度并不够。政府需要加强对网络安全的监管, 协助网站抵御外界的攻击, 加大对网络安全的宣传, 与濒临废弃的网站进行沟通, 进行鼓励或清理, 创造安全舒心的网络环境。
4 结语
如今, 我国的网络安全立法取得新进展。2014年, 中央网信办召开专题会议讨论网络立法问题, 全国人大也将“网络安全法”列入立法工作计划。网站的维护与安全性管理越来越得到重视。笔者认为网站的维护与安全性管理需要网站管理员不断的学习先进的信息和管理技术和提高专业技术水平。同时, 更依赖于与访客的互动, 接受访客的意见和建议, 不断完善网站的安全系统, 提高网络服务的层次, 给访客稳定安全的网络享受, 也给自己创造一份满意的收益。
参考文献
[1]王慧.学校网站的维护与安全性管理探析[J].系统安全, 2013 (4) :80
[2]袁泉.网站维护和安全管理的重要性分析[J].信息安全, 2013 (11) :194-196.
党政机关网站安全管理 篇5
明确党政机关网站开班条件和审核要求。各级党政机关以及人大、政协、法院、检察院等机关和部门,开办的党政机关网站主要任务是宣传党和国家方针政策、发布政务信息、开展网上办事。党政机关开办审核如下:
1、不具有行政管理职能的事业单位、企业、个人及其他社会组织不得开办党政机关网站。
2、党政机关网站须使用以“.gov.cn”、“政务.cn”或者“.政务”为结尾的域名。
3、需要规范党政机关网站域名和网站名称。
4、及时将党政机关网站进行备案。
5、为党政机关提供网站和邮件服务的数据中心、云计算服务平台要设在境内。
2015年前,要完成党政机关网站开班资格复核,不受理未通过审核的域名注册申请,并及时清理没有通过资格复合的已注册党政机关网站域名。采购和使用社会力量提供的网站和电子邮件等服务时,应对设备进行安全审查(机房环境、软硬件缺陷、风险漏洞、弱口令、安全配置等),加强安全监管。
三、严格党政机关网站信息发布、转载和连接管理
党政机关网站发布的信息主要是本地区本部门本系统的有关政策规定、政务信息、办事指南、便民服务等信息。各部门需要建立健全网站信息发布审核和保密审查制度,明确审查要求和审查程序,信息发布审核内容如下:
1、确保信息内容的真实性、准确性和严肃性。
2、充分考虑信息之间的关联性,确保信息内容活数据汇聚不涉及国家秘密和内部敏感信息。
3、不得发布广告等经营性信息,严禁发布违反国家规定的信息以及低俗、庸俗、媚俗的信息。
4、需要连接非党政机关网站的,必须经本单位分管网站安全工作同志的批准,且连接的资源须与政务相关或者属于便民服务的范围,并在访问者离开党政机关网站时予以明确提示。
5、不承担与本地区本部门本系统无关的信息采集任务和发布义务。
四、强化党政机关网站应用安全管理
IT技术的发展是日新月异的,在技术发展的同时,信息安全的问题也显得尤为重要,党政机关要积极利用新技术提升网站服务能力和水平,充分考虑可能带来的安全风险和隐患,有针对性的采取防范措施。做到:
1、设备入网前,对设备进行入网安全测评、定级等。
2、网站开通前,对设备进行系统和web漏洞扫描,安全配置检查,口令检查等,消除安全隐患。
3、网站开通后,定期进行安全测评,新增栏目或功能时,需再次进行安全测评。
4、加强对软硬件安全配置管理,做好安全防护工作。
博客、微博申请注册人员应为本单位工作人员,发布信息要署实名,且发布内容应与工作相关。党政机关网站中留言品论等互动栏目里,对逆发布内容进行审核审查。党政机关网站不对社会开放论坛等服务,若确实需要,要严格报批并加强管理。
党政机关网站要严格遵守相关规定、标准和协议要求,加强对重要政务信息、商业机密和个人信息的保护,防止未经授权使用、修改和泄漏。
五、建立党政机关网站标识制度
建立和规范党政机关网站标识,以利于公众识别、区分党政机关网站和非党政机关网站,发现和打击仿冒党政机关网站,有助于保证党政机关网站的权威性、严肃性。我省党政机关网站须使用中央机构编制委员会办公室会同有关部门设计的党政机关网站统一标识和党政机关网站标识使用规范。党政机关网站标识应按要求放置,非党政机关网站不得使用。
加大对仿冒党政机关网站行为的监测力度。省科技厅、省工信委、省通信管理局要组织研制专门技术工具,自动监测发现盗用我省党政机关网站标识的行为和仿冒的党政机关网站。由省互联网信息办组织网络媒体等加强宣传教育,提高公众识别真假党政机关网站的能力。各单位发现仿冒党政机关网站以及攻击破坏我省党政机关网站的行为要及时报告;涉嫌违法犯罪的,由公安机关依法处理。
六、加强党政机关电子邮件安全管理
党政机关工作人员须使用专用邮件系统处理业务工作,如本单位网站邮箱等。各州市可通过统一建设、共享使用的模式,建设党政机关专用电子邮件系统,为本地区党政机关提供电子邮件服务。电子邮件系统使用管理方面,要做到:
1、对账户进行严格的注册审批与信息登记。
2、各单位网站邮箱仅限于本单位工作人员注册和使用。
3、人员离职后应及时注销其电子邮件帐号以避免被他人使用。
4、明确邮件帐号密码管理要求(规范用户名、密码复杂度要求、定期更改密码等)。
5、严禁通过互联网电子邮箱办理涉密业务,存储、处理、转发国家秘密信息和重要敏感信息。
6、有条件的单位,建议使用数字证书等手段提高邮件账户安全性,防止电子邮件帐号被攻击盗用。
7、加强邮件系统安全防护,定期对邮件系统进行安全测评。
七、加强党政机关网站技术防护体系建设
在规划建设党政机关网站时,应按照同步规划、同步建设、同步运行的要求,参照国家有关标准规范,从业务出发,加强网站安全防护体系。切实落实信息安全等级保护等制度要求,做好党政机关网站定级、备案、建设、整改和管理工作,加强党政机关网站移动应用安全管理,提高网页防篡改、防病毒、防攻击、防瘫痪、防泄密能力。防护体系建设应做到:
1、网站开通前,到相关部门提交材料,做好域名申请、网站备案等相关工作,网站开通后做好网站建设、整改和管理等工作。
2、建立系设备入网前,针对软硬件进行安全测评整改(系统和web进行漏洞扫描,安全基线检查,弱口令检查等),对网站进行定级,并请相关机构进行等保测评(定级、备案、安全建设和整改、信息安全等级测评、信息安全检查)。
3、建设安全防护体系。部署双机热备,负载均衡器等,以实现容灾备份。安装防病毒软件并定期更新病毒库,及时修补系统及应用程序漏洞。部署软件或者硬件防火墙,通过防火墙对系统做访问控制,仅允许必要的维护人员访问系统。
4、建立web应用安全防护体系,①为防止网页被篡改,在内网中部署“发布服务器”,Web服务器端安装防篡改模块及内容同步软件模块,使得所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行并同步到web服务器。②防攻击方面,部署攻击防护设备(如抗dos设备、IDS、IPS等),加强对域名服务器的保护以防范域名劫持等攻击。③安全审计方面,部署安全审计服务器,对web访问做日志记录。使用更强的密码机制、加密机制、并对用户做身份认证。④风险漏洞方面,通过漏洞扫描工具及时对网站进行漏洞扫描,并修补相关漏洞,杜绝SQL注入、跨站、目录列出、溢出、越权等可被渗透的漏洞的出现以避免造成数据被窃取,信息被泄漏。⑤访问控制方面,部署软件或者硬件防火墙,仅允许受信任的用户访问web服务。
5、6、定期对网站进行渗透测试,以发现潜在的威胁。
制定完善党政机关网站安全应急预案,明确应急处置流程、处置权限,落实应急技术支撑队伍,强化技能训练,开展网站应急演练,提高应急处置能力。
由省委网络安全和信息化领导小组办公室(省互联网信息办公室)结合我省实际,统筹组织专业技术力量,开展对我省重点党政机关网站的安全监测。省工业和信息化委员会指导电信运营企业为党政机关网络安全运行提供通信保障。公安机关要加大对攻击破坏党政机关网站等违法犯罪行为的依法打击力度。
八、加强对党政机关网站安全管理工作的组织领导
进一步明确和落实安全管理责任。各州市各部门按照谁主管谁负责、谁运行谁负责的原则,切实承担起本地区本部门党政机关网站安全管理责任。
1、指定一名负责人分管相关工作,加强对网站安全的领导,明确负责网站的信息审核、保密审查、运行维护、应用管理等业务的机构和人员。
2、加强对领导干部和工作人员的教育培训,提高安全利用网站和电子邮件的意识和技能。
3、省委网络安全和信息化领导小组办公室(省互联网信息办公室)做好党政机关网站安全工作的协调、指导和督促检查。各级财政部门,立足现有经费渠道,对党政机关网站安全管理相关工作给予保障。
加大党政机关网站,电子邮件系统的安全检查力度,省、州(市)两级党政机关门户网站、电子邮件系统等每半年进行一次全面的安全检查和风险评估。各级保密行政管理部门要加强对党政机关网站和电子邮件系统信息涉密情况的检查监管。对违反制度规定、有章不循、有禁不止,造成泄密和安全事件的要依法依纪追究当事人和有关领导的责任。
计算机网络及网站的安全性研究 篇6
关键词:网络安全;网站安全;漏洞修补;SQL注入;跨站脚本
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
Security Research of Computer Network and Website
Zhang Yi
(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)
Abstract:In this paper,government computer networks and Web sites encountered in the operation of the security issues,explains how to build the relative safety of the network control center,and publish information on the Internet for sites made by the description of the various attacks and how to Using a variety of technical methods and measures to plug the loopholes to prevent attacks,protect website security.
Keywords:Network security;Site security;Bug fixes;SQL injection;
Cross-site scripting
我们的网络和网站作为政府部门在因特网上发布的信息的窗口,网络和网站的安全更为重要,各级政府
已出台多项要求和措施,要确保政府部门网络和网站内容的安全,目前,主要安全问题有:网站内容被篡改、数据库被侵入、网络及网站受攻击瘫痪、内部数据被盗取等等。为了保障网络及网站的安全性,我们提出了以下的技术方法、方案和多项保护措施。
一、建立保障网络和网站安全性的运行环境
在给机房专门供电的市电基础上采用了智能在线式UPS,可以保证主要服务器和网络设备、工作站在市电断电后2小时的工作时间,以保障服务器的数据不至于市电突然断电而被破坏。还不定期对UPS的电池进行充放电试验,并检查电池组工作状态,防止电池老化和过度放电而影响UPS的正常工作。今后,还应该添加UPS设备组成UPS供电矩阵,进行UPS的冗余配备。和专业的防雷系统安装公司合作,合理布置安全防雷系统和措施,针对市电接入防雷和建筑物防雷展开调研,最终形成一套有效的防雷系统和措施,确保了网络机房的安全防雷。对网络机房采用了防尘处理,配合空调和带防尘罩的通风口,以确保机房的防尘和温度的调节。在网络设备机柜和服务器机柜均采用下口进风上口出风的空气循环系统,保障了设备工作温度的需求。在机房配备了监控摄像头和温度、烟雾传感器,以及灭火器,如果出现火宅等异常,可以自动报警,提醒值班人员注意,消除安全隐患。严格控制中心机房的人员进出,制定了具体的安全措施,除了管理人员以外,其他人进入机房,必须要有当日值班管理人员陪同,并填写活动记录表,以杜绝外人进入对设别和系统产生的不良影响。
二、保障网络及网站系统安全的技术方法
在服务器操作系统中选择正版的,并达到一定级别安全的操作系统,不至于因为使用盗版软件,而在系统中被人为添加如漏洞、木马和不良软件等不安定因素,导致系统运行不稳,数据被盗等。在服务器上设置计算机域,并在主域控制服务器上安装网络防病毒软件,关键的工作和管理用计算机作为域成员计算机加入计算机域中,保证域中成员计算机才有权直接访问服务器内容,并安装病毒软件的受控客户端,可以及时升级更新病毒库。在服务器中采用RAID5以上级别的磁盘阵列保障系统的安全工作,确保不至于一个硬盘损坏导致的系统崩溃。采用外置的磁盘阵列存储重要数据库数据,可以确保有2个硬盘损坏时系统仍然正常工作。组成双机热备份的方式,各核心数据建立完善的数据备份策略和恢复机制,定期对数据进行备份,当计算机的软硬件发生故障时,利用备份进行数据恢复。今后有条件还可以采用虚拟带库进行数据的备份和恢复。在网络出口处配备网络防火墙,使用过滤规则和访问控制,把网络及网站系统分为内网和外网,光纤接入防火墙外网口,局域网由千兆交换机接入内网口,使内外网隔离,并使用IP地址转换从而把内网数据隐藏在防火墙后,可以防御当今流行的多种网络攻击和非法访问。安装入侵检测系统,可以自动实时的响应入侵行为的发生,无妨碍地监控网络传输数据,自动自动检测和响应可疑行为。在网络系统受到危害之前截取和响应安全漏洞、内部误用,从而最大程度为网络及网站提供安全。在配备了网络防护硬件的同时针对网站的安全也采取了以下措施,保障网站的安全。
(一)及时对操作系统和应用系统中的软件漏洞进行修补,在第一时间下载安装最新发布的系统漏洞补丁,保证明漏洞的修补。(二)对网站采取访问权限设置,严禁有外部写入权限的发生,确保非法数据不被写入。(三)安装防篡改软件,防止敏感信息被修改,保证网站提供发布信息的准确性。(四)配置好IIS服务器,修改错误反馈文件,防止网站软件版本等信息泄露。在必要时也增加设置URLSCAN组建,配置访问数,允许访问文件类型,访问关键词等相关内容,以及抵御拒绝服务攻击等网络攻击和非法请求。(五)针对SSL连接协议的重要性,在服务器中禁止SSL3.0以下协议和PCT1.0协议,并对弱口令漏洞进行修改,限制128位以下加密协议的使用。(六)针对SQL注入攻击,进行网站代码的重新审定和编写,对访问用户输入数据合法性进行判断,消除程序安全隐患,防止非法用户获取数据库密码和进行数据库内容的修改。(七)对跨站脚本攻击进行防范,对访问用户的输入进行有效验证、过滤和限制某些输入,达到防范跨站脚本攻击的目的。(八)对网站上发布内容进行审核和关键词过滤,在有必要时要增加人工审核重点关键词,以最发范围内保障网站安全。
经过采取有效的安全措施,制定可行的安全方案,并进行实施,最后在经过WVS等软件进行模拟试验,证明可以保障网络及网站的安全。在有条件的情况下,应该做到网络及网站系统的异地容灾中心的建设,这样,才能更好地消除环境,如地震、水灾、火灾等带来的安全问题。
采用的安全手段越多,所带来的运行成本就越高,系统的运行效率就越低,要在运行成本、运行效率中间进行平衡。同时,也应该认识到安全防范手段是一个持久更新渐进的过程,所以需要不断改进、优化采用的技术方法和安全策略。因此,没有绝对安全而只有相对的安全,即在风险和运行成本、效率可以接受前提条件下的安全。
参考文献:
[1]蔡旭杰.浅谈医院计算机中心机房的安全建设[J].中国医疗设备,2009, 7(87)77-78
[2]徐晓,杜益虹.一种ASP网站的防攻击技术[J].微型电脑应用,2005,21(3):62-63
政府部门网站群的安全性管理 篇7
1.1 具体概念
政府网站具体来说指的就是国家行政机关通过在互联网上建立官方网站, 从而为社会公众提供各项公共服务, 切实履行自身行政职能;而政府网站群则指的是由若干个政府网站组合在一起形成的集合体总称。在政府网站群当中, 由政府门户网站作为中心主站, 在旗下包含若干个基础支撑平台, 比方说各部门网站、下级政府或下属机构的门户网站等等[1]。在特定权限下, 信息可以实现相互共享、传递, 并由此形成在统一标准下能够实现统一规划管理、互联互通的政府网站体系。当前根据实际业务需要, 已经在政府部门网站群下设置了超过二十个子网站。
1.2 实际功能
在政府网站群当中, 将广大居民以及各企业单位作为服务对象, 其中用户是政府门户网站的核心, 并将其生命周期作为政府网站群的重要基础, 通过对政府同广大居民之间的交互模式进行不断优化完善, 利用现代信息技术等构建起一个能够为其提供公共服务以及相关信息的平台。因此政府部门网站群的主要功能为公开政府信息、实现在线为公众办事以及增强政府与公众之间的交流和互动。
2 现阶段政府部门网站群存在的问题
2.1 信息资源方面
政府部门网站群通过利用互联网等现代电子信息技术, 不但扩大了政府信息的公开范围, 同时借助互联网的强大交互性使得政府与公众之间的交流互动变得更加方便高效, 而与此同时在线办公功能也大大提升了政府部门的办事效率, 提升公众的满意程度。但在此过程中, 政府部门网站群也存在一定缺陷与不足。首先在网站群当中中心主站和各子网站之间并未形成统一规范化, 二者之间在信息采集、格式类型等方面均存在较大差异, 这也意味这信息资源比较分散, 甚至在发布信息时需要分别登录两个不同的网站平台, 不仅消耗了大量的时间精力, 同时也容易出现重复发布信息, 严重影响行政效率与信息精确性。
2.2 网站运维方面
现阶段绝大多数政府部门网站群技术处于分散状态, 各子网站之间具有相对独立性, 并分别由不同的技术人员进行管理维护, 而伴随着互联网技术的持续更新, 政府部门网站群也需要定期进行更新升级, 因此使得各管理人员需要经常对各子网站进行升级维护, 而管理人员无法同时更新升级多个子网站, 因此也在无形之中加大了政府部门网站群管理和运行成本, 也进而延长了网站的修护时长。特别在部分省市的政府部门网站当中存在租用外地虚拟服务器, 以及委托外地单位管理维护服务器等情况, 而服务器一旦发生问题很难在第一时间进行管理维护。
2.3 网站发展方面
政府部门网站群当中各个子网站之间存在明显的发展失衡问题, 首先在网站建设的投入方面存在一定的失衡问题, 部分政府部门在网站建设当中投入了大量的资金、人力等, 为政府部门网站群顺利建设奠定了坚实良好的基础[2];但是有些政府部门并未真正落实网站建设工作, 不仅未能重视该项工作, 同时也未能投入其所需的资金、人力等。加之在建设网站之后政府部门之间存在管理水平不一的情况, 还有部分政府部门网站在建设完成之后几乎从不更新, 网站也只用于宣传。
2.4 安全隐患方面
在政府部门网站群当中存在诸多的安全隐患。这主要是由于我国政府部门网站在逐渐成熟发展的过程当中也成为各种网络犯罪分子的重点攻击对象, 网站经常面临感染病毒、网站内容及地址等被恶意篡改, 或是在网站当中植入后门、仿冒政府部门网站等等, 加上现阶段我国互联网环境纷繁复杂, 大部分网站当中存在各种安全漏洞, 使得网站的安全性大打折扣。
3 落实政府部门网站群的安全性管理
3.1 统一建设网站
政府部门网站群与其他普通网站之间有着根本的区别, 政府网站对安全有着极高的要求, 因此在建设之初相关设计人员需要严格按照相关网络安全标准以及国家规定的网站建设与管理规范条例等进行设计, 从源头上确保政府部门网站群的安全性。同时考虑到当前许多子网站为自建网站, 彼此之间存在着一定的独立性, 因此导致其存在较大的安全隐患。笔者建议政府部门需要利用统一集中管理建设的思想, 将网站群及其各子网站的管理建设工作统一交由网络信息中心处理, 并由对外宣传办事进行统一部署。
3.2 提升安全意识
提升管理人员的安全意识以及风险防范意识也是有效落实政府部门网站群安全性管理的重要举措。在此过程中相关管理人员需要定期接受安全教育, 并制定出科学合理的网站安全评估机制以及责任制, 从而加强对网站安全的监督与管理。比如说管理人员可以结合实际情况编排网站巡视检查表, 每天由专人对政府部门网站群进行安全监管, 并将检查结果进行仔细记录, 整理成电子表格录入计算机当中进行妥善保存[3]。而一旦发展网站中存在问题需要立刻采取行之有效的方法进行妥善解决, 同时对相关管理人员进行责任追究。与此同时, 管理人员还需要不定期抽查网站群当中各子网站的安全情况, 并对其进行合理评估, 以此提升管理的安全性。
3.3 成立管理团队
专业优秀的管理团队是政府部门网站群提升管理安全性的另一项重要举措, 特别是在当前政府部门网站管理较为分散的情况下, 成立专业化的管理团队完成统一监管, 对确保政府部门网站安全, 提升网站运行质量有着重要的现实意义。政府部门需要组建一支既懂得政府政务, 同时具备较高计算机能力并拥有多年网站维护管理经验的优秀团队, 在工作之余管理人员还需要不断加强自我学习, 熟悉当前各种最新的病毒、恶意程序等, 熟练使用最新的杀毒软件, 在不断提升自身管理能力与管理水平的同时保护网站的安全性。
3.4 加强技术防护
政府部门网站群需要利用当前最先进的安全技术进行有效防护, 比如说对登录网站的人员需要对其进行身份验证, 拒绝未授权人士的登录和访问请求。同时在网站群当中安装防火墙、病毒查杀软件等各种具有保护网络安全功能的设备, 完成对木马病毒、恶意程序、垃圾信息等不良内容的过滤与筛除。另外管理人员还可以结合政府部门网站群的实际情况积极开发拥有自主知识产权的信息安全技术与相关产品, 并对在网站当中可能出现的各种安全问题进行分析, 制定出相关应急机制, 当网站当中一旦出现安全事故能够立刻起动应急机制, 从而将安全事故造成的损失和影响压缩至最低[4]。
3.5 打击网络犯罪
针对当前我国网络犯罪猖獗的问题, 公安部门成立了专门的网络安全监督部门, 因此政府部门网站群可以与政府网监部门建立合作关系, 利用网监部门当中专业管理人员的技术水平, 精准、严厉打击各项网络犯罪;与此同时我国法律部门还需要进一步加强对网络信息安全规范管理的相关法律法规, 为政府部门网站群的安全性管理提供良好的法律保障, 利用法律的威慑力与约束性有效控制网络犯罪行为。
4 结束语
总而言之, 政府部门通过紧跟时代发展的潮流, 积极建立网站群发展电子政务, 不断创新政府部门的服务手段, 进一步提升其办事效率, 增加公众的满意程度。但由于受到内部原因与外部原因的影响, 现阶段在政府部门网站群当中还存在着种种问题, 譬如说安全隐患较多、管理运维成本较高、各子网站发展失衡等, 为此本文提出需要通过统一建设网站、加强安全技术防护、严厉打击网络犯罪、强化安全管理团队建设等一系列措施, 真正落实政府部门网站群的安全性管理, 从而更好地提升政府部门的服务效率与服务质量。
参考文献
[1]吕美敬, 叶新恩, 刘明刚.浅谈政府网站群安全管理与对策分析[J].山东工业技术, 2016.
[2]寿志勤, 姜悦霞, 周健, 郭亚光.试论我国政府网站群的架构设计与安全管理对策研究[A].第十一届中国软科学学术年会论文集 (下) [C].中国软科学研究会, 2015.
[3]朱明祥, 薛同琦.网站群在政府网站建设中的应用及管理研究[J].电脑知识与技术, 2015.
高校院系网站的安全管理 篇8
关键词:高校院系网站,网络安全,安全管理
0 引言
高校院系网站是学院师生了解学院信息资源的一个重要阵地, 也是传播知识的一个场所, 更是让外界了解学院、与国内外联系和交往的一个重要窗口。通过这个平台, 能极大地向外界展示学院的风采, 教师能充分展示自己的教学科研成果, 学生能及时得到各种教学科研的信息, 院系网站在院系的教学、科研、管理及宣传工作中已发挥越来越重要的作用。与此同时, 网络的安全性已愈来愈成为日益突出的严重问题, 安全机制也受到越来越多的关注, 同时也面临着各种各样的威胁与攻击。因此, 如何保证网站的安全运行已成当务之急。
1 影响高校院系网站安全的因素
1.1 Internet自身带来的漏洞
Internet是基于TCP/IP (传输控制协议/网际协议) 协议的, TCP/IP协议本身就存在安全缺陷, 它的设计并非是安全的, 其主要的特点是灵活、可扩展和功能完整。黑客之所以能成功地袭击与破坏网络的主要原因在于TCP/IP与UDP (用户数据报文协议) 的基本体系结构的薄弱性, 即开始制定这几种协议时都没有着重考虑通信路径的安全性。如当通过TCP/IP协议在Internet上传送数据时, 无法知道传输经过了哪些节点。如果黑客在一个或多个节点上安装了所谓的“嗅探”程序, 那么以原文传送的口令就会泄露, 黑客就可轻而易举地侵入到系统中。
1.2 操作系统在网络安全方面的漏洞
操作系统是一个复杂、庞大的软件, 有时因为程序员的疏忽或软件设计上的失误, 可能会留下一些漏洞, 从而成为入侵者进入网络的一个“后门”。此外, 操作系统的体系结构也造成操作系统本身是不安全的。操作系统的程序是可以动态连接的, 包括I/O的驱动程序与服务系统, 都可以用打补丁的方式进行动态连接, 这种动态连接为黑客和计算机病毒攻击提供了环境。
1.3 应用软件的故障
高校院系的局域网已从自我封闭的状态走向系统开放、资源共享, 与Internet网紧密地联系在一起, 这种开放的系统使网络用户无论何时何地都能方便、快速地检索到所需的信息资料, 大大提高了信息的处理效率, 然而这正是网络安全的致命问题, 是Internet网络自身所固有的安全漏洞。
应用软件故障是由于应用软件发生错误而导致磁盘、文件、内存、数据以及其他的应用程序和操作系统组件被破坏, 其结果常常是死机和数据或信息的不可恢复的破坏, 有时甚至破坏硬盘等硬件、因此它的安全性直接影响到整个系统的安全。
1.4 人的因素
人是破坏网络安全的最危险因素。高校院系局域网用户中, 学生占了90%, 由于学生的求知欲望强, 他们总是善于学习计算机的新技术、新知识, 极个别同学为了学习和实践网络安全技术, 将院系的局域网作为他们的学习和实验的基地, 如何成功地攻击网络服务器成为证明他们计算机技术水平高低的一个见证;此外, 如果管理不严, 网络管理员将帐号密码随意记在某张纸上, 或密码很容易就被猜出, 任何人只要知晓了系统管理员帐号, 就能打开系统的大门, 完全拥有了系统中所有资源的控制权, 这些都将对网络安全构成严重的威胁。
1.5 计算机病毒
网络技术的发展使得计算机病毒通过Internet广泛传播, 从而大大加快了病毒的传播速度, 扩大了传播范围。计算机病毒是一小段极具危害性的程序, 它可随各种媒体 (如:软盘、光盘) 传播而且也可以在网络上随各种网络的媒介 (如:光缆、光纤) 传播, 并且计算机病毒技术也正在朝着智能化、网络化发展, 病毒由许多不同功能的组件组成, 它不仅可分布在同一台计算机上, 而且也可分布在网络系统的其它计算机上, 这样对计算机病毒进行预防就更困难了。
1.6 自然灾害和环境造成的损失
自然灾害可以给计算机系统和网络系统造成很严重的损失, 轻则数据丢失或者数据损坏, 重则整个计算机系统 (包括硬件) 全部被毁。自然灾害包括:地震、水灾、雷击等。自然环境则是指图书馆网络系统的工作环境, 包括:机房的温度、湿度、灰尘度、抗磁场干扰和抗静电等, 它们都是系统管理中的不安全因素。
2 高校院系网站安全的防范措施
高校院系计算机信息系统网络安全体系通常包括两个层次的含义:一是系统的数据与信息的安全与保密;二是网站系统的自身安全。不能单独地考虑院系的网站安全问题, 而必须从体系结构上系统地、全面地考虑安全管理。针对影响网站安全运行的因素, 网络管理人员必需从管理和技术两个角度来采取如下的防范措施。
2.1 确保Web服务器的安全
服务器及代码安全是服务器及网站管理首要的和至关重要的任务。只有当服务器及网站自身安全有所保障的基础上才能谈得上其他工作的开展。服务器的安全包括:服务器自身的物理安全、服务器的文件/代码安全及服务器的管理用户及密码安全。
2.2 建立完整的数据备份体系
为避免因数据被破坏而导致整个院系的网站陷入瘫痪状态, 唯一的途径是为系统进行可靠的备份, 完备的备份策略可以最大限度地保护网络的安全。不论是硬件备份、软件备份还是手工备份, 都应该制定好系统的备份策略, 不论选择哪一种备份策略, 都一定要把所作的第一个备份磁带恢复出来, 测试备份的情况, 并应定期测试其它磁带。一定要做到在需要使用备份软件恢复重要文件时不出现问题。
2.3 管理用户及密码安全, 设置防火墙
防火墙是一种由计算机硬件和软件组合, 在内部网和外部网之间建立起一种网关以实施安全防范的系统, 保护内部网免受非法用户的侵入。它既能防止外部网络的攻击, 又能阻止内部网络的攻击。它是设置在可信任内部网络和不可信任的外界之间的一道屏障, 可以实施较广泛的安全政策来控制信息流, 防止不可预料的潜在的入侵破坏。
2.4 制定完善规章制度, 加强工作人员及网络用户安全管理
在建立院系网络的安全体系时, 必须建立网络用户使用网络资源的规章制度, 制定好计算机机房管理制度, 明确系统管理员、网络管理员及系统运行维护人员的分工和职责范围, 建立值班制度、密码管理及突发性事件的应急对策等。严格划分系统中不同工作人员的权限, 严格设定各种信息资源、设备资源的使用权限。
2.5 用户身份认证
防火墙是系统的第一道防线, 用于防止非法用户的进入。身份认证的作用是阻止非法用户进入系统。最主要基于身份的认证有:帐户和密码。为了确保系统的安全, 要防止帐户和帐户密码不能被窃取, 因此系统管理员必须管理好帐户的密码, 定期更改帐户密码, 删除多余的帐户, 以防止入侵者利用这些帐户登录破坏主机资源或窃取主机资料。
2.6 计算机病毒的防治
计算机病毒具有复制性、传播性和破坏性等特点, 对计算机网络病毒的防治应采用多种手段综合进行防治。首先, 应采用多层防护的防病毒软件。我们所需要的是构筑对病毒的全面防御系统, 这个系统是积极而又主动的, 防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来, 形成多层防护体系;其次, 大量的病毒针对网上资源的应用程序进行攻击, 它们存在与信息共享的网络介质上, 因而要在网关上设防, 在网络前端实时杀毒;第三, 网络管理员应定期通过网络管理主机进行扫描, 检查病毒, 设置在线报警系统, 一旦发现网络上的计算机有病毒侵入, 及时采取相应的措施, 全面杀毒。
3 结束语
院系网站的网络安全管理是网站建设中一项重要的内容, 只有对网络进行精心的安全规划设计和防护, 将网络安全意识和先进的网络安全技术有机地结合起来, 并不断相互调整、相互完善, 才能在最大程度上使网站安全运行, 从而保证院系教学科研工作的顺利进行。
参考文献
[1]纪莉莉.浅析互联网网站网络安全威胁及应对策略[J].福建电脑, 2005 (3) .
[2]史瑞琼.论校园网络安全教育[J].青海教育, 2005 (1-2) .
[3]赵慧勤.论网络安全技术[J].雁北师范学院学报, 2000 (1) .
网站安全性管理 篇9
1 系统功能漏洞
1.1 概述
系统功能漏洞是指系统由于受开发技术等条件的限制,存在的暂时无法实现的网站信息管理系统使用功能上的缺失。系统化的开发软件(如DREAMWEAVER)很难在设计系统过程中针对不同系统的功能需求进行详细设计,势必在建立系统后留下各方面的功能残缺,这就需要设计者根据实际需求进行对系统进行综合分析,找出漏洞点,提出解决方案。
1.2 出错提示
用户在填写个人信息时常常会出现不规范填写的情况,如用户名不填、密码长度不符和要求、邮件格式非法等。在已建立的系统中,如果输入上述类型的错误数据,系统将把那些不符合要求的信息保存在数据库或者进入死页面,给用户信息管理和用户的使用造成不必要的困难。由于具体的出错提示应该因系统而异,所以解决此功能漏洞的方法为编写适合自己系统的ASP控制语句。比如设计用户没有填写用户名就提交信息的出错提示时,可在注册页面代码中加入如下函数:
同样,在提示其他项目填写不规范时,可以在上述函数中加入类似的IF判断语句。
1.3 跳过注册系统直接登录
许多上网用户不进入网站的首页而是直接输入网址进入关心的网页,虽然这样做节约了上网者的时间,可对于需要身份验证的系统来说,如果用户使用同样的方法跳过注册界面而直接登录正文界面,则整个身份验证系统就形同虚设。而已建立的系统框架常常不具备这种防止直接登录的功能,这是系统设计中的一个重要功能漏洞。通过仔细分析,最好的解决方法就是利用ASP中的Session对象。
Session简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时,可能有若干个用户浏览正运行在这台服务器上的网站。当每个用户首次与这台WWW服务器建立连接时,就与这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的唯一身份。
具体解决方案是在防止用户直接登录的正文界面zhengwen.asp前面加入以下程序:
这时如浏览器中直接执行zhengwen.asp文件,就不能直接进入预约界面,原因是Session变量从未被赋值,所以网页会被转到登录界面login.asp。同时相应的login.asp程序代码中应加入代码Session(“homepage”)=True,这样用户只要通过login.asp页面,Session(“homepage”)就会被赋值True,接着顺利通过验证进入zhengwen.asp。
2 信息安全漏洞
2.1 概述
由于网站信息系统为共享型软件系统,一般放置在网络上使用。所以信息安全漏洞,主要是指因数据保护措施不完备,导致的一些容易被网络攻击者利用来破坏系统信息的缺陷。
为了加强Internet信息安全保护,有必要针对目前攻击者对Internet网站采取的攻击手段制定相应有效的防范措施。
2.2 用户查看源代码
攻击者可以利用代码保护的漏洞修改系统代码,使系统瘫痪。另外,如果缺少了代码保护,编辑者精心设计的JavaScript特效将很容易被访问者所抄袭,所以需要对文本代码进行加密保护。要禁止访问者查看网页源代码,首先要了解一下查看源代码的方式(以IE 5.0为例)。一般的源代码查看方式有两种:一是窗口菜单栏查看方式,即选择“查看”—“源文件”(如图1所示);二是右键菜单方式(如图2所示)。要彻底禁止访问者查看网页源代码,就必须屏蔽这两种查看源代码的方式。
2.2.1 屏蔽右键菜单查看方式
可以采用了如下的代码禁止点击鼠标右键:
('右键已被锁定,有什么需要帮忙的话,请与管理员联
系!谢谢您的合作!');
利用上面的方法,当点击鼠标右键时,系统会进行禁止提示,如图3所示。
2.2.2 屏蔽窗口菜单栏查看方式
使用从父页面中打开子页面的方法实现子页面窗口的菜单栏和地址栏隐藏。这种方法的原理就是首先将自己网站的首页制作成index.asp形式,把首页设计成一个过渡页,然后将自己的真正主页制作成login.asp形式。当打开index.asp时将自动转向隐藏了菜单栏和地址栏的主页面。这样访问者无论如何也无法查看网页源代码了。过渡页index.asp实现代码如下:
以上两种防护措施就保证了页面的源代码无法被轻易地查看,提高了系统的安全性。
2.3 密码破解问题
用户密码被盗会给用户的正常使用造成不必要的麻烦,而现实注册中用户往往忽视密码选择的技巧,所以对于较大型的系统,设计强大的密码保护功能十分必要,而对于一般网站系统来说,攻击者并没有使用高技术破解用户密码的必要,所以只需提示用户最好按照密码设置技巧选择密码就可以基本保障账号安全。即尽可能地避开黑客字典的破解,必须在密码的选择上复杂化,采用大小写与数字相结合的方式并且不使用容易被猜测的词组,这就是常说的密码复杂化原则。
2.4 数据库信息安全问题
注册信息对于用户和网站都是很重要的资源,不能随意透露,更加不能存在安全上的隐患。网站系统中至少应有用数据库建立的一个用于存放用户信息的表,这个表中包括用户帐号字段和用户密码字段等属性,一般将用户资料直接保存在数据库的表中,并没有进行任何的保密措施,对于一些文件型数据库比如Access等,如果有人得到这个文件,岂不是所有的资料都泄露无疑?所以,为了增加安全性,有必要对数据库中的资料进行加密,这样,即使有人得到了整个数据库,如果没有解密算法,也一样不能查看到数据库中的用户信息。
在现阶段,一般认为存在两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它可以直接理解的明文数据加密为不可直接理解的密文数据,在需要的时候,可以使用一定的算法将这些加密以后的密文解密为原来可以理解的明文。单向加密刚好相反,只能对数据进行加密,也就是说,没有办法对加密以后的数据进行解密。在实际中的一个应用就是数据库中的用户信息加密,当用户创建一个新的帐号或者密码,信息不是直接保存到数据库,而是经过一次加密以后再保存。这样,即使这些信息被泄露,也不能立即理解这些信息的真正含义。
2.5 用户无限制注册问题
所谓用户无限制注册问题,是指攻击者利用某些自动注册程序进行快速的、大量的无用帐号注册。解决这一问题的方法为验证码技术。
2.5.1 验证码作用分析
现在在登录网站时常常需要输入验证码由数字字母和图片组成的验证码。键入图片中的字符有助于确保是普通用户而不是自动化的程序在填写注册表单。这一点很重要,因为攻击者会使用有害程序注册大量的Web服务帐号为其他的用户制造麻烦,如发送垃圾邮件或通过同时反复登录多个帐号来延缓服务的速度。在大多数情况下,自动注册程序不能识别图片中的字符。简单地说,验证码就是防止攻击者编写程序、自动注册、重复登录和暴力破解密码。
2.5.2 验证码实现流程
服务器端随机生成验证码字符串,保存在内存中,并写入图片,发送给浏览器端显示,浏览器端输入验证码图片上字符,然后提交服务器端,提交的字符和服务器端保存的该字符比较是否一致。一致就继续,否则返回提示。
在文中,尝试地使用了一种较为简便的验证码技术,设计方法为用一副布满红点的图片作为数字的遮盖,用数学函数MATH.RANDOM()随机生成一串数字,用户登录时需要将图片中的数字输入文本框进行验证。通过这样的手段达到了防止攻击者利用程序无限制注册的目的。如图4所示,代码为:
3 结语
网站系统的主要注册、登录等功能的实现成功并非整个设计的大功告成,因为系统设计的目的是使用,并非草率地完成任务,而要使自己设计的系统从一份实验室中的作业转变为实用性较强软件系统,就必须针对现行系统的不足之处进行全面而且深入的探讨,就需要对系统功能和安全漏洞分析与改进。
参考文献
[1]王庆华.ASP 3.0.北京:北京邮电大学出版社,2001:160-172.
[2]谭浩强.Access应用系统开发教程.北京:清华大学出版社,2004:31-48.
网站的日常维护及安全管理分析 篇10
1 网站维护的必要性以及具体维护方式
1.1 网站维护的必要性
在多姿多彩的网络世界中一个网站要想引起他人的注目,这就需要网站及时更新系统内容,公布新鲜的内容,及时更替新闻,不断更新产品,公布有用的信息。每个网站的更新速度对企业都有一定的影响,只有不断更新的网站才能得到人们的青睐。人们在网站上都希望能得到有用的信息,网站只有不断为人们提供有用的信息,才能得到良好评价,才会有访客再次访问。信息更新速度影响网站知名度,网站信息更新质量是提高网站知名度的重要保障。
1.2 维护网站的具体方式
网站更新内容主要是企业产品信息的说明,产品的营销关乎企业的利益,所以,需要及时更新产品信息。在中小型企业运营的网站中,后台管理系统需要有专业的网页制作人员,网页更新需要会做网页的人员,但企业大都没有这种人才。针对企业出现的这类问题有两个解决措施,第一,与网络公司签订网络更新条款,这关乎企业在网络公司的立场;第二,在企业内部培养制作网页的专业人才,使他们学会使用Frontpage以及Dreamweaver等Html的编辑程序,培训人员学会操作Word,这样才能在网页编辑FTP上传送文件,这对于员工来说有利于提高自身能力。
2 网站维护的主要内容
网站的维护内容分为五个阶段,一是加强网站的日常管理。网站运营时会积累许多缓存垃圾,一些不必要的信息也会堆积,要及时清理堆积垃圾,以免影响网站的日常运行速度。网络前台需要及时更新信息内容,避免出现因信息更新速度慢而产生误导的现象。二是网站的运营难免会出现故障,企业的有关人员要及时解决问题,保障网站的正常运行,在网站中的重要文件应备份储存,避免因网站系统运营故障问题而无法进行及时修复。三是可信度一直是备受关注的话题,每个企业应重视网站的维护,完善网站的运营管理制度。网站内容对网站的信任度有直接影响,企业形象是否完整、业务流程是否透明、提供的服务等是否完整,都成为影响网站信任度的重要因素。四是每一个网站公布的信息内容应及时更新,网络信息的更新速度是衡量一个网站质量的重要标准。网站运营企业的广告也要及时更新,以便让更多人及时了解企业的发展状态以及规模大小。如果网站信息得不到及时更新,人们就会质疑这个企业的发展程度,导致企业的利益因此遭受损害。五是每一个网站运营企业应具备网站基础维护的专业人员,网站的基础维护是网站正常运行的基础。网站的基础维护有空间维护、网站流量维护以及网站域名维护等。
3 网站安全管理分析
网站的安全管理是每个企业应注重的问题,对网站信息进行合理控制,维护网站的环境安全,加强对数据的保密,以保障网站的运营情况。
3.1 针对网站外部安全问题的解决方案
(1)运用防火墙系统将网站内部与外部信息进行隔离,这样有利于控制内部与外部的访问量,同时还可以防止恶性访问者探访,避免文件遭受更改或损坏。防火墙是各大网站使用频率最高的安全系统,如今还未曾出现可与之比拟的安全产品。(2)在网站中设置入侵检测提醒系统,截获网络数据流,记录破坏性代码,及时阻止文件流失,保证网站安全。
3.2 针对网站内部安全问题的解决方案
(1)对网站的结构设计及时调整,确保网站免受侵害。在网站中安装防火墙系统以及入侵警报系统,及时阻止恶意入侵,避免网站信息遭受损害的事件发生,监控网络的安全管理,保证网站信息安全,避免网站外部对内部信息随意更改,确保网站安全运行。(2)网络世界较为混杂,由于网络的全面开放性,各种信息在此聚集,网站易受到各种不良信息的侵扰,所以,企业应对网站进行定期检查,保证网站正常运营。(3)网站在受到恶意攻击时文件可能会受到一定的损坏,为了确保网站正常运用,企业应定期备份数据库,保证信息内容的不断更新,以及网站信息的安全。(4)为了保证网站的安全,企业应制定一个动态服务器动态口令,以用户身份证来认证,避免他人盗取用户密码。在系统网站中密码是不变的,验证信息也不会发生改变,网站可以利用木马程序或监听系统截取用户密码。所以,为了保证网络服务器的绝对安全建立动态口令是必要的。
3.3 对网站数据库安全管理的分析
为了保证企业利益不受到侵害,完善网站的数据管理制度很有必要。网站数据安全管理是指在网站受到恶意侵害时,对发生信息毁坏或文件丢失的现象采取的保护措施。网站的正常运营需要网站数据库得到安全的管理,对此可以采用Clien/Server的后台访问模式。除此之外,还应针对不同的网站应用建立不同的服务标识,对于后台服务数据应设置访问限制,以此保证网站正常运营。
4 结语
为了保证网站安全,系统管理人员应不断提高自身网络安全管理能力,积极学习网络安全知识,多多关注各方信息技术的发展,尽自己最大的努力保障网站的安全。还要不断探究更有效的管理制度,为网络安全管理不断做出贡献。
参考文献
[1]魏慧.网站的日常维护与安全管理[J].信息与电脑,2016(7):192-193.
[2]朱梦怡.医院网站的日常维护与安全管理[J].计算机光盘软件与应用,2014(2):141-142.
为了隐私安全,远离社交网站吧 篇11
我一直都不喜欢社交网站。我几乎不用MySpace、Facebook或其他会把我的私人信息与“网上朋友”圈子分享的服务。我避免使用这些服务的主要原因是我无法确定,运行这些服务的公司会如何使用我的信息,或者说,他们根本无法保护我的个人信息。
上个月,关于Facebook广告和Beacon技术的争议激怒了用户,这正好证明了我对社交网络隐私的顾虑是完全有道理的,甚至是有预见性的。
事情是这样的,Facebook采用了新的自动化口碑广告服务。个人用户、安全专家和隐私监管人则抱怨Facebook暗中搜集用户数据或Facebook合作伙伴的服务数据。这些用户在网上的行为和活动都受到了跟踪,有时还在他们不知情或没有授权的情况下就被公开了。而据Facebook说,搜集信息的意图在于向网络用户和其社交网络中的人们提供有针对性的广告。
从上个月开始,人们就一直在表达着他们的愤怒和震惊。我也很愤怒,但我一点也不惊讶。搜集使用信息的技术很早之前就有了,只不过Facebook是第一家有胆量用它来获取经济利益的公司。
要怪就怪网络经济学吧。
互联网有大量的内容和无数服务,但基本上只有两种融资方式,用户直接为内容或服务付费,或服务提供商使用广告来抵消内容或服务的真正成本。
作为用户,我们非常不情愿自己付费。有一种观点甚至认为,互联网上的就是免费的。我们习惯了免费使用复杂的服务,如旅行计划、娱乐信息、研究能力、比较购物,还有社交网络等。
但是总得有人为这些内容或服务买单,所以网站只有转向广告来支持他们的业务。
对于这些社交网络来说,融资计划也是如此。开发应用程序和为我们的虚拟生活提供存储空间需要大量的资金。如果Facebook不从用户那里收钱,那就必须得从广告商身上取得资金。这会怎样?广告商希望他们的钱能有回报。Beacon的设计就是为了提供这种回报。
我敢说,在美国没有一个广告商不渴望获得像Facebook这样的个人信息,这是为了明确2000万人喜欢什么和不喜欢什么,为了使用这些信息向那些可能想购买某种产品的顾客投递合适的广告。这就是做广告的目标。
但有一个问题,尽管这些人付费使你能够提供服务,但并不意味着他们有权使用你搜集的数据。Facebook在估计顾客对隐私权的期望时超出了底线。公众的愤怒迫使Facebook改变其广告计划。但这个公司还将继续搜集大量的个人信息,而且无论现在或将来,我们还是不知道这些信息会被如何使用。
网站安全性管理 篇12
从上世纪九十年代开始, 我国的教育行业就可以进行校园网络的建设, 并且很多的企业都逐渐的进行了局域网的建设。校园网站的建设在校园内部可以进行信息交流、资源的共享, 对教育管理以及教学活动的开展也是有着较大的促进作用, 同时也能够实现校园与外界进行信息交流, 对校园形象的塑造是有着重要的意义的。由于这些优点的存在, 使得校园网络的需求越来越大, 因此需要保证校园网络能够进行更加科学、合理的建设。
2校园网站的建设
在进行校园网站建设的过程中是有着多种条件的, 需要对每个环节进行严格的控制。
2.1选择合适的服务平台
目前在进行网站建设的过程中是存在着多种的服务平台的, 这些平台都是具有其自身的优缺点, 所以在进行选择过程中, 需要对所建设的网站情况进行综合分析, 进而选择最为合适的服务平台。从操作系统上来看, 常用的有Linux和Windows Server系统这两种常见的系统, 这两种系统都是具有其特有的特点的, 首先Linux系统是具有多种版本的, 并且每种版本的主体结构都是存在着一定的差异的, 并且在选择Linux系统之后很多的软件都是可以免费获得的, 在进行资源代码的提供时, 用户就可以根据自身的需求对软件进行修改, 这也就是说该系统是具有较强的灵活性的;而对Windows Server系统来说, 其使用过程中的费用是较大的, 同时也无法进行相应的修改, 但是这种系统在使用的过程中是非常容易掌握的, 系统的安装也是非常简单方便。将这两种系统进行比较可以发现, Windows Server系统在进行安装、设置、学习以及使用的过程中是更加方便简单的, 对于新用户来说是非常容易上手的, 但是这种系统对硬件的要求是非常高的;而Linux系统在进行安装、设置、学习与使用的过程中是较为复杂的, 不过相应的对硬件的要求也是相对较低的。
2.2结合数据库实现页面的动态显示
随着计算机技术的发展, 进行静态Web站点的开发与管理是越来越困难的, 主要就是这种静态的Web站点的交互性是非常差的, 其中的信息以及内容需要由人为的进行修改才能够实现变化。这也就需要网站的管理员对网站中的信息进行及时的修改, 这对于管理员来说就是有着较为沉重的任务的, 所以在进行校园网站建设的过程中需要与都数据库进行综合使用, 主要就是由于数据库叫其他形式的数据来说是非常容易进行修改与管理的。
而数据库访问技术主要就是指当客户端进行了浏览器的安装之后, 就可以通过通过这个浏览器, 在进行关键词的输入之后实现与网站的交互, 接着浏览器就会将这个关键词送至网站的服务器, 服务器就会在数据库中进行相关内容的搜寻, 并且再次传递给用户。在进行校园网站建设过程中进行数据库选择时, 首先需要考虑的就是要保证该数据库能够使得更多的用户进行顺利的访问;其次就是进行建设的数据库需要为关系型的, 这要就是由于这种关系数据库的功能更加的完善, 在运行的过程中是非常可靠的, 目前几乎所有的网站在建设的过程中都是依赖这种数据库进行的。
3校园网站安全管理
随着校园网站的建设, 越来越多的用户在进行使用, 为用户带来了很多的方便, 但是在使用的用户中也不乏存在着一些动机不良的人, 使得网站的安全收到了严重的破坏。所以对网站进行严格的安全管理是非常必要的。
3.1网络平台
对于校园网站的安全管理, 网络平台是最为重要的一个内容, 同时也是基础。对网络平台进行安全管理的过程中, 需要与安全需求进行综合分析, 对所采用的操作系统的类型以及安全级别与使用要求方面的内容进行明确的规定, 并且对系统进行及时的修补, 对存在的安全漏洞进行及时有效的管理, 并且对一些不常用的服务进行及时的关闭, 对一些存在着敏感性内容的端口进行关闭。另外就是需要对网站在运行的过程中发生的错误的原因以及攻击者所留下的痕迹, 通过操作系统中的日志文件进行发现, 而日志文件的主要作用就是进行审查与检测, 其所进行的检测还是动态检测。最后就是对于服务器软件来说, 需要进行正确的安装以及配置, 在进行安装的过程中需要注意事项就是安装的目录最好是不要放在系统分区上, 在结束了安装之后需要将其中的文件以及目录进行删除, 并且进行一个新的目录的建设。
3.2服务器的安全
对校园网站的安全性造成了较大的影响主要原因就是服务系统中的各种用户, 发生这种威胁的主要原因就是用户的口令强度是较为弱的, 进而被破解;用户的权限是存在着不正当现象等。对服务器的用户的安全管理主要就是包括以下几点:首先就是通过Guest帐号进行, 第计算机管理中的用户将Guest进行禁用, 并且还需要对Guest用户进行复杂密码的设置;对不必要的用户进行删除, 对不再使用的用户进行删除, 对系统的用户进行经常性的检查;其次就是进行两个管理账户的设置, 用一个用户对日常事物进行处理, 另外一个就是在需要的时候进行使用;进行一个陷阱用户的创建, 进行一个本地用户的建设, 并且将权限设置为最低, 但是进行严格超级复杂的密码设置, 通过这种方式对入侵企图的人进行及时的发现。
微软在网站上会定期的发布系统安全漏洞补丁程序。要经常查看补丁程序, 不定时的上网下载升级操作系统补丁程序, 一定要按逻辑顺序使用这些补丁程序。如果以错误的顺序使用它们, 结果可能导致一些文件的版本错误, 系统也可能无法启动。
3.3从网络环境进行分析
所谓的网络环境就是指网站的服务器所在的校园网络, 主要就是包括校园网络基础设施以及网络中的用户主机, 而这种网络环境的安全是保证网站安全的基础。保障网络基础设施的正常运行并且对网络中的用户主机进行有效的管理, 同时进行防火墙以及入侵检测系统的建设, 进而保证校园网站的重要通道是安全的。
作为网络安全防护的中坚力量, 防火墙的作用能力为IT行业所熟悉。在安全策略中, 防火墙是核心部分。它是通过程序限定对我们所用网络的访问, 保护我们的计算机不受黑客的袭击, 计算机中的信息不会遭到黑客的篡改、删除。
3.4从网站的数据库进行考虑
想要保证校园网站的安全性, 需要保证数据库的安全, 这就需要管理人员将做好数据库的备份以及恢复, 另外就是对数据库进行访问的用户的身份需要进行严格的控制与检测, 对数据库的远程登录进行设置, 从而避免这个方面出现漏洞。
数据库安全的另一个重要方面就是防止SQL注入攻击。SQL注射能使攻击者绕过认证机制, 完全控制远程服务器上的数据库。SQL是结构化查询语言的简称, 它是访问数据库的事实标准。目前, 大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样, SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话, 用户数据就有可能被解释成命令, 这样的话, 远程用户就不仅能向Web应用输入数据, 而且还可以在数据库上执行任意命令了。
SQL的预防方法:前台输入验证是对接收的参数进行检查, 最大限度的保证符合定义的标准的过程。前台输入验证的理念是不相信用户输入, 检查每个用户输入是否满足预设定的类型、长度或大小、数值范围和格式等。前台输入验证时可以使用只接受已记录在案的良好的输入的操作的白名单验证方法, 也可以使用只拒绝已记录在案的不良输入的集合的黑名单验证方法。
3.5进行网站安全的规章制度的建设
对校园网站进行安全管理, 不仅仅需要从技术方面进行管理, 还需要进行相应的规章制度的建立与完善, 这对于保证校园网络的安全性是有着重要的意义的, 而规章制度主要就是包括安全管理级别以及安全管理的范围, 进行网络使用规章以及人员管理制度的建设, 并且对网络系统的维护制度以及应急措施进行制定。
4结束语
通过上文的论述, 将校园网站建设过程中的注意事项以及安全管理方面的问题进行总结, 希望能够通过本文的论述, 能够为相关的校园网络的建设提供一定的参考, 从而保证校园网站能够是安全可靠的, 满足用户更多的需求。
摘要:随着科学技术的进步, 几乎所有的行业都是应用信息化技术, 在教育方面, 校园网站的建设就是将信息化技术以及网络技术进行结合应用的最好实例。但是我国目前所进行的校园网站的建设还是处于初级阶段, 很多方面都是不完善的, 对信息的安全也是存在着一定的威胁的。在本文中将对校园网络建设以及安全管理方面存在的问题进行总结, 并且对其中重要的控制要素进行了论述。
关键词:校园网站,建设,安全管理,控制要素
参考文献
[1]林帝浣.高校门户网站建设探讨[J].中山大学学报, 2013 (03) .