【《网站的安全防范策略探究》6800字（论文）】.docx

《【《网站的安全防范策略探究》6800字（论文）】.docx》由会员分享，可在线阅读，更多相关《【《网站的安全防范策略探究》6800字（论文）】.docx（8页珍藏版）》请在第一文库网上搜索。

1、网站的安全防范策略研究目录关键词：网站建设；安全风险；防范策略一、引言二、网站安全风险分析1、服务器安全风险22、程序安全风险23、各种攻击风险2三、网站安全风险的防范策略41、Web影子服务技术42、追踪溯源与反制技术6四、结论8参考文献8摘要：互联网技术的广泛应用在带给生产生活极大便利和效率的同时,也存在着一定的弊端有待完善，网站建设中频繁暴露的安全问题，便很好地证明了这一点。由于互联网平台的开放、共享性特点，使各种网络安全问题层出不穷，给网站建设造成了严重的影响，因而深入对网站建设中安全问题的探究具有很大价值。本文通过对网站建设中常见安全问题的分析,并提出了有效的安全防范策略，进而保障了

2、网站的安全、稳定运行，降低网络安全风险。关键词：网站建设；安全风险；防范策略一、引言互联网的出现,极大地丰富了人们的日常生活,也给各类企业的发展提供了良好的机遇,面对市场经济体制的进一步改革，为了谋求长远发展，占据竞争优势，企业纷纷开始了网站建设。然而，无论是来自黑客的攻击还是网络技术的欠缺、人为因素的影响，都表明了网路环境安全的不确定性，网站建设的质量好坏、运营稳定与否直接关系到企业的经济效益了。但互联网环境较为复杂，网站建设面临的安全风险较多，如果不对这些安全风险进行防范,会进一步赠加网站的不稳定性，导致网站崩溃的问题发生，这会进一步影响使用者的感受,还会给相关人员带来重大经济损失。因此，

3、本文主要对网站的安全风险进行分析,并针对这些风险提出几点针对性的防范对策。二、网站安全风险分析1、服务器安全风险网站服务器可谓网站建设中最为重要的环节，对于维持网站运行环境的稳定、保证信息数据传输的安全具有重要的作用，所以该项安全风险不容忽视，来源于此的安全风险主要表现在两个方面：病毒的入侵和网站服务器系统软件漏洞以及WEB服务器组件的漏洞。前者一般通过侵入计算机系统，破坏服务器系统的正常运行，窃取内部信息数据，进而谋取非法利益2。尤其在网络环境日益成熟的条件下，各种不同种类的病毒不断涌现，其传播形式和袭击范围逐渐扩大，破坏技术和途径也变得更加复杂和灵活，难以防御，严重影响到网站服务器的运行。

4、后者的安全问题则更为复杂，主要表现为以下两方面：D虚拟主机的WEB服务器很多企业在网站建设过程中，在考虑了经济因素后，会采用虚拟主机来建立网站WEB服务器，这便让企业对于网站服务器的管理与控制上失去主动权，由于服务商通常掌握着该种服务器的设置、管理权力，使得其安全风险防范具有很大的不可确定性。服务器是否安全将取决于企业与怎样的服务商合作。2）自主构建及主机托管的服务器方式很多企业为了保证网站服务器的安全稳定，开始自行构建及主机托管形式的服务器，最大限度地实现了管理上的掌控,虽然具有安全控制的主观作用,但依靠的是真正的技术措施,如果技术水平不过关，便难以保证安全性，而且人为因素的作用占了很大的部

5、分，必须严格保持管理人员的操作准确性，发生失误也极易埋下安全隐患。2、程序安全风险网站的建设是由程序的编置而成的,所以编程人员在很多代码编写中的失误或不完善便引发了网站代码安全漏洞的发生，一旦出现此种情况，网站数据库以及后台管理中的所有信息便会暴漏出来，给不法分子以可乘之机，有可能让重要的信息资源被泄露，尤其针对网站后台管理程序文件的安全漏洞问题，十分容易受到SQ1注入的攻击，进而让用户的信息数据泄露。例如：在电子商务网站后台的管理建设中，许多技术人员忽视了安全入口的保护,很多网站在网页的链接处会留有管理入口,使得违法分子很容易进入网站的后台管理程序当中，控制网站的数据信息。此外，网站后台的数

6、据库安全也不容忽视，网站中数据库的结构类型、名称和位置的不同均影响着其安全程度的大小，所以需要做好一定的安全防御。3、各种攻击风险（1） XSS攻击跨站脚本攻击（XSS）,英文全称CrOSSSiteSCriPto是指黑客通过插入恶意的脚本，在用户浏览网页的时候，控制用户浏览器,获取信息的一种攻击方式。反射性XSS,当需要处理网站UH中的参数时，比如hops:WWW?id=1,这时候可以获取到这个id,当然这种正常的参数对没有任何恶意行为，但是当Ur1变成hops:/7id=a1ert(*xss,),其中的id参数换成一个、CriPt标签，如果没有做特殊处理,它则会执行其中的脚本语言，对浏览器实

7、施攻击。存储性XSS,Web界面有很多输入框，这些输入框大部分用于向后台传输数据。当需要保存一部分数据时，比如在一个输入框中输入“mynameisxxx”，用户就可以在界面看到输入的数据，当在输入框中输入“VscripAa1ert(4xss,)wt不做任何处理的话，用户在界面看到的则不是“VscripAa1ert(*xss,),而是其中脚本执行后的内容，这种XSS攻击具有持久性。(2) SQ1注入攻击SQ1注入是数据库攻击常见的手段，所谓SQ1注入，指的是通过把SQ1命令插入到Web表单中提交或者页面请求的查询字符串，欺骗服务器执行恶意SQ1命令。SQ1注入是通过构建特殊的字符串作为参数传递到

8、服务器，这些字符串是SQ1语句的组合，如果网站程序没有对用户输入的参数进行过滤检查，SQ1注入的实施就非常简单了。数据库的攻击应该是所有威胁网站安全最严重的问题之一，数据库存储了网站所有的信息，一旦发生数据库攻击，会造成数据泄露，严重的会造成数据库丢失，后果无法想象5。其实，解决SQ1注入的方式也比较简单,即永远不要相信前台用户的输入内容,对所有的信息都要进行校验,对所有需要传递到服务器数据库进行查询、操作的参数迸行过滤检查即可。除了开发过程中注意加强数据的检查，还可以使用一些检测工具，比如SQ1Map,对网址进行检查，找出存在SQ1注入的页面进行修复。(3) CSRF攻击跨站清求攻击(CSR

9、F),英文全称CroSSSiteReqUeStForgery。是指攻击者盗用你的身份，以合法的名义执行某些操作，比如购买商品、添加管理员、删除一些用户资料、甚至用于转账等操作，危害极深。CSRF攻击原理：(1)用户USer打开浏览器，访问一个受信任的网站A,输入用户名以及密码登录。(2)用户通过网站A验证后，网站A将Cookie等信息返回给用户的浏览器，显不登录成功。(3)在同一个浏览器中，诱导用户点击一些图片等界面，打开不信任的网站。(4)网站B这时候接收到用户的请求，会攻击性代码访问网站。(5)浏览器并不知道这是网站B发起的请求，它会按照用户的权限去执行这段代码,导致用户被攻击。(4) D

10、DoS攻击DDoS攻击通常也被称为分布式拒绝服务攻击，这是一种通过控制网络上的主机产生大量的流量来制造巨大规模数据,流损耗主机网络带宽使主机无法正常工作的攻击方式。DDoS的攻击方式主要有攻击网络带宽资源和攻击系统资源两种。由于互联网中路由器、服务机、交换机设备在带宽和数据包解析方面能力有限，因此如果大量的网络数据同时发过来，会导致网络出现堵塞，无法提供正常的服务。DDOS攻击利用消耗网络带宽的原理,产生大量不必要的数据包，给被攻击的网络设备带来巨大的数据流量.使被攻击的主机无法正常响应。消耗网络资源的DDoS攻击主要分为直流洪水攻击和反射放大攻击。其中直流洪水攻击主要是通过控制一定数量的僵尸

11、主机，制造大量的网络数据包，同时发送给被攻击的主机网络，使被攻击的主机因为网络带宽被占满而无法正常运行。通常情况下，直流洪水攻击有ICM1洪水攻击和UDP洪水攻击两种。反射放大攻击跟直流洪水攻击相比，原理较为复杂，由于直流洪水攻击的攻击效果并不理想，非常容易被查到攻击源头,而反射放大攻击则完美地解决了直流洪水攻击存在的缺点。反射攻击主要通过路由器、服务器等网络设备产生响应来发动攻击，反射式攻击不仅能够有效地减轻僵尸主机的运行负担,并且攻击源头也不容易被查找。常见的反射式攻击包括ACK反射攻击和DNS反射攻击等。根据目前数据统计,DDoS的攻击工具种类很多,最常见的攻击工具有TFN2K,SynK

12、4,1etDown,Hyenae等。其比例检测主要是通过对网络环境中TCP数据包的标志位比例进行检测，一旦比例发生明显的变化，就会检测出相应的DDOS攻击方式。子网流量变化检测主要是通过网络中流量的变化情况，根据攻击原理，检测出DDoS攻击方式。三、网站安全风险的防范策略1、Web影子服务技术影子服务是一种高保真性的业务环境，其基于传统蜜耀的思想，形成一种与目标服务器完全相同的业务环境。基于真实网站克隆而来,有效转移攻击并吸进攻击者进行下一步活动,以便进行攻击取证和溯源追踪。为防止攻击者成功后窃取数据，数据库需根据网站类型进行必要的数据脱敏。(1)网站镜像技术网站镜像技术常用于大型网站的数据分

13、流。当网站流量过大，主服务器无法承载时，利用网站镜像技术进行镜像服务，可以减轻分流压力，提高访问速度。镜像服务和主站具有相同的布局、结构和功能，但在不同的服务器上。现有的网站形式多种多样，网站结构和框架也相对繁杂。一方面，对于单个网站或者服务而言,手动进行克隆相对容易,但是如果网站数据较多，手动镜像则需要巨大的工作量,且容易产生人为错误6。另一方面，有些网站涉及到知识产权、敏感数据等不便人为直接参与的因素。因此需要研究一种基于多种异构框架的自动化和半自动化镜像技术，达到快速创建目标Web镜像服务的效果。可催海殳内网骐I:图3.1网站镜像层次化模型如图3.1所示，本文提出网站镜像层次化模型，网站

14、镜像主要涉及到环境、源码、数据、业务等层次的镜像。网站虽然多种多样，但是网站环境是可枚举的.常用的网站操作系统一般有windowsserve:为代表的WindOWS系列、Cento:为代表的IinUX系列等，比较流行的网站搭建容器主要有apache.NginxfIIS,TOmCat等，随着虚拟化技术的飞速发展和广泛应用，网站环境完全可以使用虚拟化技术快速自动化搭建和配置。网站源码主要指HTM1等静态页面以及基于Web2.0的动态脚本源码。为提高开发效率，很多网站基于流行的网站框架开发而来，如WordPress,StrUtS2等，这些框架的脚本源码与操作系统、业务系统等祸合性非常低，且都是“即插

15、即用”的效果，只要将其迁移至Web容器的指定目录中，即可安装运行。现有的数据库主要有结构化的数据库（如Mysq1,SQ1SerVer等）和非结构化的数据库（如MOngODB等）,这些主流的数据库都支持进行快速备份和还原,可以进行灵活的复制和迁移。业务层,主要考虑到有些网站，可能与内网有密切的联系，可以考虑保留网站现有的业务逻辑，揩其与部门内网分离。为了业务服务的保真性，使得影子服务和目标服务“并无区别”，影子服务与目标服务需要保持定期同步。影子服务使用虚拟化技术，以便受到攻击后可以快速恢复服务。(2)数据脱敏技术在网站建设中，信息的公开与发布成为必然，因为其本质上便是一个信息交互的网络平台,所

16、以数据的传输成为了安全防范中的重点内容，为了保证企业用户的信息隐蔽安全性,可以采用信息数据加密技术，对敏感字段实施加密,设置用户访问级别和权限，以浏览器客户端数字安全证书认证的形式确保安全性，让网站的信息安全得到彻底的保证，避免信息资源被窃取利用。数据脱敏是指数据脱敏和匿名处理。在保证数据可用性的同时，能有效防止未经授权的访问，在一定程度上保证恶意攻击者不能将数据与特定用户关联,从而保证用户数据的隐私性，降低数据泄露风险，实现敏感隐私数据的可靠保护。当前的网站主要可分为两种，一种是不承载业务型网站，典型的如门户型网站，只是用于发布信息,不需要与用户进行交互,这种网站数据均为公开数据,不需要进行数据脱U7。