【《网站的安全防范策略探析（论文）》7100字】.docx

《【《网站的安全防范策略探析（论文）》7100字】.docx》由会员分享，可在线阅读，更多相关《【《网站的安全防范策略探析（论文）》7100字】.docx（9页珍藏版）》请在第一文库网上搜索。

1、网站的安全防范策略研究目录网站的安全防范策略研究1关检词：网站建设；安全风险；防范策喀1一、引言2二、网站安全风险分析21、服务器安全风险22、程序安全风险33、各种攻击风险3三、网站安全风险的防范策略51、Web影子服务技术52、追踪溯源与反制技术7四、结论9参考文献9摘要：互联网技术的广泛应用在带给生产生活极大便利和效率的同时，也存在着一定的弊端有待完善，网站建设中频繁暴露的安全问题，就对这一点进行了很好地证明。基于互联网平台的特点，如开放、共享性，使各种网络安全问题层出不穷，严重的影响到了网站建设，因而深入对网站建设中安全问题的探究具有很大价值。本文通过对网站建设中常见安全问题的分析，并

2、对安全有效的防范策略进行制定，促使网站安全稳定的运行得到保障，降低网络安全风险。关使词：网站建设；安全风险；防范策略ResearchonwebsitesecuritystrategyName：C1ass：profession：Abstract：Whi1ethewideapp1icationofInternettechno1ogybringsgreatconvenienceandefficiencytoproductionand1ife,therearea1socertaindrawbacksthatneedtobeimproved.Thefrequentexposureofsecurityis

3、suesinwebsiteconstructionprovesthiswe11.BasedonthecharacteristicsoftheInternetp1atform,suchasopennessandsharing,variousnetworksecurityprob1emsemergeoneafteranother,whichserious1yaffectsthewebsiteconstruction.Thispaperana1yzesthecommonsecurityprob1emsinwebsiteconstructionandformu1atessafeandeffective

4、preventionstrategiestoensurethesafeandstab1eoperationofthewebsiteandreducenetworksecurityrisks.Keywords:websiteconstruction;securityrisk;preventionstrategy一、引言互联网的出现,极大地丰富了人们的日常生活,同时将良好的发展机遇提供给各类企业,面对市场经济体制的进一步改革，为了谋求长远发展，占据竞争优势，企业纷纷开始了网站建设。然而，无论是来自黑客的攻击还是网络技术的欠缺、人为因素的影响，都表明了网路环境安全的不确定性，网站建设的质量好坏、运营

5、稳定与否直接关系到企业的经济效益了。但互联网环境较为复杂，网站建设面临的安全风险较多，如果不对这些安全风险进行防范，会进一步增加网站的不稳定性，导致网站崩溃的问题发生，这会进一步影响使用者的感受,还会给相关人员带来重大经济损失。所以，本文主要分析了网站的安全风险，并针对这些风险提出几点针对性的防范对策。二、网站安全风险分析1、服务器安全风险网站服务器可谓网站建设中最为重要的环节，对于维持网站运行环境的稳定、保证信息数据传输的安全具有重要的作用，所以该项安全风险不容忽视，由此产生的主要有两个方面的安全风险：病毒的入侵和网站服务器系统软件漏洞以及WEB服务器组件的漏洞。第一种是对计算机系统进行入侵

6、,对正常运行的服务器系统进行破坏,从而使内部信息数据被窃取,促使寻求非法利益2。不断出现的各种类型的病毒，特别是在日益成熟的网络环境情况下，也逐渐使其的传播形式和攻击范围扩大了，致使更加复杂和灵活的破坏技术与方法的出现,防御是很难的，对网站服务器的运行会造成严重的影响。后者的安全问题则更为复杂，主要表现为以下两方面：1）虚拟主机的WEB服务器在建设网站的过程中，很多企业会对经济因素进行考虑，会采用虚拟主机来建立网站WEB服务器，这便让企业对于网站服务器的管理与控制上失去主动权，由于服务商通常掌握着该种服务器的设置、管理权力，使得其安全风险防范具有很大的不可确定性。服务器是否安全将取决于企业与怎

7、样的服务商合作。2)自主构建及主机托管的服务器方式很多企业为了保证网站服务器的安全稳定，开始自行构建及主机托管形式的服务器，最大限度地实现了管理上的掌控,虽然具有安全控制的主观作用,但依靠的是真正的技术措施,如果技术水平不过关，便难以保证安全性，而且人为因素的作用占了很大的部分，必须严格保持管理人员的操作准确性，发生失误也极易埋下安全隐患。2、程序安全风险网站的建设是由程序的编置而成的,所以编程人员在很多代码编写中的失误或不完善便引发了网站代码安全漏洞的发生，一旦出现此种情况，网站数据库以及后台管理中的所有信息便会暴漏出来，给不法分子以可乘之机，重要的信息源很有可能被泄露，特别是安全漏洞问题，

8、存在于网站后台的管理程序文件，十分容易受到SQ1注入的攻击，进而让用户的信息数据泄露。例如：在电子商务网站后台的管理建设中，许多技术人员忽视了安全入口的保护，很多网站在网页的链接处会留有管理入口，使得违法分子很容易进入网站的后台管理程序当中，控制网站的数据信息。此外，网站后台的数据库安全也不容忽视，网站中数据库的结构类型、名称和位置的不同均影响着其安全程度的大小，所以需要做好一定的安全防御。3、各种攻击风险(1) XSS攻击英文全称为CroSSSiteSCriPto的跨站脚本攻击(XSS),指的是一种攻击方法，在这种方法中，黑客插入恶意脚本来控制用户的浏览器，并在用户浏览互联网时获取信息。反射

9、性XSS当需要处理网站Ur1中的参数时，比如hops:WWW?id=1,这时候可以获取到这个id,当然这种正常的参数对没有任何恶意行为，但是当ur1变成hops：/7id=a1ert(xss),其中的id参数换成一个、cript标签，如果没有做特殊处理，它则会执行其中的脚本语言，对浏览器实施攻击。存储性XSS,Web界面有很多输入框，这些输入框大部分用于向后台传输数据。当需要保存一部分数据时，比如在一个输入框中输入“mynameisxxx，用户就可以在界面看到输入的数据，当在输入框中输入a1ert(xss)/script”，不做任何处理的话，用户在界面看到的则不是VscripAa1ert(xs

10、s)/script”，而是其中脚本执行后的内容，这种XSS攻击具有持久性。(2) SQ1注入攻击作为数据库攻击手段，SQ1注入很普遍。实际上的SQ1注入，是指在Web表单或页面请求的查询字符串中插入SQ1命令，使服务器被欺骗，从而对恶意SQ1命令进行执行。通过对特殊字符串进行构建并作为参数将SQ1注入传递给服务器，这些字符串组合了SQ1语句，如果网站程序未过滤检查用户输入的参数，那么实现SQ1注入将非常简单。在所有对网站安全造成威胁的攻击中，对数据库的攻击是最严重的问题之一，网站所有的信息都存储在数据库中，数据库攻击一旦发生，就会泄露数据，更有甚者会丢失数据库，后果不堪设想5o事实上，对SQ1

11、注入进行解决的方法相对简单，这意味着前台用户的输入内容永远不要信任,并验证所有信息,过滤和检查所有需要传递到服务器数据库进行查询和操作的参数。除了加强数据在开发过程中的检查外，网址的检查还可以使用一些检测工具（如SQ1MaP）来完成，找出并修复SQ1注入存在的页面。（3） CSRF攻击跨站请求攻击（CSRF）,英文全称CrOSSSiteReqUeStForgery。是指攻击者盗用你的身份，以合法的名义执行某些操作，比如购买商品、添加管理员、删除一些用户资料、甚至用于转账等操作，危害极深。CSRF攻击原理：（1）用户USer打开浏览器，访问一个受信任的网站A,输入用户名以及密码登录。（2）用户通

12、过网站A验证后，网站A将Cookie等信息返回给用户的浏览器，显不登录成功。（3）在同一个浏览器中，诱导用户点击一些图片等界面，打开不信任的网站。（4）网站B这时候接收到用户的请求，会攻击性代码访问网站。（5）浏览器并不知道这是网站B发起的请求，它会按照用户的权限去执行这段代码，导致用户被攻击。（4） DDOS攻击DDoS攻击（也称为分布式拒绝服务攻击）是一种攻击方法，它通过对网络上的主机进行控制，促使大量数据的生成，并产生大量流量，并且流消耗主机网络的带宽并使主机无法正常运行。DDoS的攻击方式有两种，系统资源攻击和网络带宽资源攻击。因为在带宽和数据包分析方面，互联网中交换机、路由器和服务机

13、设备的能力是有限的，如果同时发送大量网络数据，网络将被阻塞，正常的服务无法得到提供。利用网络带宽消耗原理，DDoS攻击产生的不必要数据包是大量的，将巨大的数据流量带给被攻击的网络设备，因此被攻击的主机想要正常响应是不能的。由直流洪水攻击和反射放大攻击组成了消耗网络资源的DDoS攻击。其中，主要通过对多台僵尸主机进行控制，直流洪水攻击制造的网络数据包是大量的，同时将其发送给被攻击的网络主机,造成被攻击主机因网络带宽已满而无法正常工作。通常,直流洪水攻击有两种类型：ICM1洪水攻击和UDP洪水攻击。相比起直流洪水攻击，原理更加复杂的是反射放大攻击,攻击效果并不理想的直流洪水攻击,致使攻击源很容易被

14、找到,直流洪水攻击存在的缺点可以被反射放大攻击完美地进行解决。主要由路由器和服务器等网络设备的响应触发反射攻击的攻击，除了可以使僵尸主机的运行负载得到有效降低，还不易发现反射攻击的攻击源。包括ACK反射攻击和DNS反射攻击在内的反射攻击都是常见的。基于目前的数据统计，有很多种DDoS攻击工具，Hyenae.SynK4、TFN2K、1etDown都是最常用的攻击工具。比率检测主要是通过检测网络环境中TCP数据包的位标志比率，比例发生的变化一旦很明显，将会对相应的DDoS攻击模式进行检测。主要基于网络流量变化检测子网的流量变化，在攻击原理的基础上对DDoS攻击模式进行检测。三、网站安全风险的防范策

15、略1、Web影子服务技术影子服务是在传统蜜罐思想的基础上，形成的业务环境与目标服务器完全相同，具有高保真性。它基于真实网站的克隆，可以对攻击进行有效地转移，并对攻击者进行吸进从而开展下一步活动，促使对攻击进行取证和可追溯性。为了阻止攻击者对数据成功进行窃取，必须根据网站类型对数据库进行脱敏处理。（1）网站镜像技术网站镜像技术经常被用来分流大型网站的数据。主服务器在网站流量过高的时候无法传输，通过对网站镜像技术的使用，分流的压力可以使用镜像服务进行减少，从而促使访问速度的提高。镜像服务和主站位于不同的服务器，具有的功能、布局和结构是相同的。网站的结构和框架因为存在各种形式的网站因此较为复杂。一方面，手动克隆对于单个网站或服务来说相对容易，但如果网站上有大量数据，那么手动镜像带来的工作量将会是巨大的，并且人为错误很容易发生6。另一方面，一些网站涉及的敏感数据、知识产权等因素，是人类不能宜接参与的。所以，有必要对一种在多个异构框架基础上的自动化和半自动化镜像技术进行研究，促使镜像Web目标服务快速创建的效果能够达到。可催禽与内网岁I:图3.1网站镜像层次化模型如图3.1所示，本文提出网站镜像层次化模型，网站镜像主要涉及到环境、源码、数据、业务等层次的镜像。虽然存在不同的网站，但网站环境是可枚举的，通常情况下，网站操作系统常用的有Windows系歹I1WindOWSSerVe:为代表、