论单位网站信息安全维护的重要性

翟松青

(泰州市高新技术创业服务中心，江苏泰州225300)

网站安全保障体系的建设是网站维护中的热点问题，如果是因为安全问题导致网站不能正常运行，那么大多数的网站功能也将无法提供正常的服务，会给网站和使用网站的企业或行政部门带来较大的负面影响。据不完全统计，2013年我国各级门户网站被篡改网页达6000余次，比2012年多出1000多次，整体呈上升趋势，而且这还未包括隐蔽的未经发现的篡改行为。因此，网站信息的安全性维护是一个被优先考虑的问题。

一、网站信息安全维护的分类及定义

（一）网络安全

重点是防范病毒和黑客的入侵，防止重要数据泄露。(1)重要的数据传输采用SSL协议，保证信息传输的安全性。(2)能够实现内外网的物理隔离，有效防止信息泄密，同时确保内外网具有强大的抵御攻击能力，防止非法侵入带来的损失。(3)数据链路层及网络层的信道加密和管理。(4)网络防火墙、访问代理、攻击检测。(5)系统监控、日志分析、系统管理。(6)WEB监控和在线保护。

（二）数据安全

数据安全主要包括存储、传输、交换等。(1)数据存储安全，在数据保存上确保完整、可靠和有效调用。(2)数据传输安全，保证数据在网络传输中不轻易被盗取、数据不丢失等方面的安全性(3)数据交换安全，保证通过和其他系统的接口进行数据交换的时候数据的完整性。

（三）应用系统安全

(1)系统设计中遵循统一的身份认证和有限授权原则、全面确认原则和安全跟踪原则，采用严格的安全体系，保证数据在处理和传输金过程的安全性。(2)应用系统提供完善的安全保密措施。(3)应用系统的功能要分级控制。(4)建立运行日志管理。(5)错误日志管理。(6)在线帮助。系统提供在线帮助文件，方便用户操作。(7)服务运行情况监控。对服务程序是否正常持续稳定地运行进行监控。(8)错误处理。系统需提供一个修正、解决错误的标准流程。

二、网站信息安全被入侵的两种主要形式

（一）SQL注入攻击

互联网中的许多Web应用都采用数据库来存储信息。使用SQL命令可以方便的将前台Web页面的应用数据和后台数据库中数据进行传递。这些Web站点的页面可以根据用户输入的相关参数拼接成合法的SQL查询语句，再将这些语句传递至服务器端对数据库进行查询。而别有用心者可以通过直接在URL地址栏或者表单域中直接输入SQL命令，以此绕过web页面的数据检查改变查询属性，可以获取对数据库更高权限的操作。

（二）DDOS攻击

DDoS攻击发源于传统的DoS(Denial of Service)拒绝服务攻击基础之上，DoS往往是指黑客通过单一的IP地址向某一目标主机发出“合法”的访问请求，而耗尽目标主机的网络带宽和硬件资源（CPU、内存等）的攻击方式。这种攻击方式在当今网络技术和硬件技术飞速发展的情况下，已基本无用武之地。于是，分布式拒绝服务DDoS攻击方式应运而生。所谓分布式拒绝服务攻击，就是黑客利用互联网的优势，利用操作系统或软件漏洞同时联合众多傀儡机对某一目标主机展开更大规模、更高强度的攻击，使目标主机的大量网络和硬件资源被占用，而无法对正常用户提供服务。

三、防范黑客攻击，维护网站信息安全的具体方法

SQL注入产生的原因的是程序员在应用开发过程中的编程不严谨,忽视了对用户数据的检查而造成的，SQL注入问题的解决根本途径就是编制完善的程序。具体需要注意以下几点：1.敏感字符直接过滤；2.参数化用户输入数据；3.使用Apache Web服务的安全检测模块。Apache的mod_security模块是一个集入侵检测和防御功能的开源的web应用安全检测程序。它基于Apache Web服务器运行,目标是增强web应用程序的安全性,防止web应用程序受到已知或未知的攻击。如果要使用此安全模块，需要在http://www.modsecurity.org/download/下载mod_security安全模块并安装，

DDoS攻击的最终目的是要耗尽服务器的网络和硬件资源，因此，从这个角度上来讲，哪怕有足够多的正常访问请求也同样可以造成服务器的“拒绝服务”的情况出现。所以，从根本上解决拒绝服务攻击，还需要做好以下几点工作：1.保证服务器有足够的网络带宽。2.适时升级服务器硬件。3.采用较新的服务器操作系统。4.及时打补丁修复系统漏洞。4.提前做好针对性预防工作。5.准确判断攻击方式。发生攻击时，应通过软件抓取数据包进行分析，根据不同的攻击方式采取不同的解决方法。6.保留详细系统日志，方便追查元凶。

采用的安全手段越多．所带来的运行成本就越高．系统的运行效率就越低．要在运行成本运行效率中间进行平衡。同时，也应该认识到安全防范手段是一个持久更新渐进的过程．所以需要不断改进．优化采用的技术方法和安全策略。因此没有绝对安全而只有相对的安全即在风险和运行成本、效率可以接受前提条件下的安全。通过采用上述安全体系架构，再结合相关的软件和硬件安全措施，基本上保证了系统的安全性要求在具体技术措施的选取上，也可根据实际情况，在保证安全性的前提下进行适当的调整和修改。此外，解决网站安全问题，除了要有好的安全防护技术措施外，还要增强内部工作人员防范意识，以确保网站安全稳定运行、健康发展。

[1]孟婷.MySQL注入攻击及防范方法[J].信息安全与技术,2013,11.

[2]赵亮.Sql语句防注入攻击研究[J].企业导报,2013,18.

[3]黄碧玲.网站注入式攻击的原理与防范[J].计算机时代,2013,8.

[4]张永铮.DDoS攻击检测和控制方法[J].软件学报,2012,8.

[5]熊俊.应用层DDOS攻击检测技术研究[J].信息安全与技术,2012,9.

[6]厉斌.网络监控与有效防御DDoS攻击的研究[J].信息网络安全,2013,10.