影响网站安全的五个主要因素

所属栏目:计算机信息安全论文 论文作者:/
摘要

 1 网站系统软件自身的安全问题
 
  网站系统软件是否安全直接关系网站的安全,网站系统软件的安全功能不全,以及系统设计时的疏忽而留下的漏洞,都为网站安全留了后门。
 
  1.1 一般操作系统的体系结构造成其本身是不安全的,这也是计算机系统不安全的根本原因之一。操作系统的程序是可以动态链接的,包括 I/O 的驱动程序与系统服务,都可以用打“补丁”的方式进行动态链接。许多 UNIX 操作系统版本的升级、开发都是采用打“补丁”的方式进行的。这种方法既然厂商可以使用,那么“黑客”也可以使用,同时这种动态链接也是计算机病毒产生的好环境。
 
  1.2 一般操作系统的一些功能必然带来一些不安全因素,例如支持在网站上传输文件的功能,包括可以执行的文件映像,即在网站上加载程序。
 
  1.3 一般操作系统不安全的另一原因在于它可以创建进程,甚至支持在网站的节点上进行远程进程的创建与激活,更重要的是被创建的进程可以继承创建进程的权利。这一点与上一点(可在网站上加载程序)结合起来就构成了可以在远端服务器上安装“间谍”软件的条件。若再加上把这种间谍软件以打“补丁”的方式与一个合法的用户结合,尤其是与一个特权用户结合,黑客或间谍软件就可以做到系统进程与作业的监视程序都监测不到它的存在。
 
  1.4 操作系统运行时,一些系统程序进程总在等待一些条件的出现,一旦有满足要求的条件出现,程序便继续运行下去,这都是“黑客”可以利用的。
 
  1.5 操作系统安排的无口令入口,这原本是为系统开发人员提供的便捷入门,但它也是“黑客”的通道。另外,操作系统还有隐蔽信道。
 
  1.6 Internet 和 Internet 使用的 TCP/IP(传输控制协议 / 网际协议)以及 FTP(文件传输协议)、E-mai(l电子邮件)、RPC(远程程序通信规则)、NFS(网站文件系统)等都包含许多不安全的因素,存在着许多漏洞。
 
  2 网站系统中数据的安全问题
 
  网站中的信息数据是存放在计算机数据库中的,通常也指存放在服务器中的信息集,供不同的用户来共享。数据库存在着不安全性和危险性,因为在数据库系统中存放着大量重要的信息资源,在用户共享资源时可能会出现以下现象:授权用户超出了他们的访问权限进行更改活动:非法用户绕过安全内核,窃取信息资源等。因此提出了数据库安全问题,也就是要保证数据的安全可靠和正确有效。
 
  对数据的保护主要是指针对数据的安全性、完整性和并发控制三方面。数据的安全性就是保证数据库不被故意地破坏和非法地存取。
 
  数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果。并发控制的数据库是一个共享资源,在多个用户程序并行地存取数据库时就可能会产生多个用户程序通过网站并发地存取同一数据的情况,若不进行并发控制就会使取出和存入的数据不正确,破坏了数据库的一致性。
 
  3 传输线路的安全与质量问题
 
  同轴电缆、双绞线、光纤或无线方式引入了新的物理安全暴露点,被动方式如搭线窃听;主动方式如模拟对方进行窃听。利用计算机通信设备天然存在的电磁泄露进行窃取活动,也是一个重要的安全隐患。部分对整体的安全威胁,任意单一组件的失密都可能造成整个网站的安全失败。从安全的角度来说,没有绝对安全的通信线路。同时,无论采用何种传输线路,当线路的通信质量不好时,将直接影响联网效果,严重的时候甚至导致网站中断。例如,当通信线路中断,计算机网站也就中断,这还比较明显。而当线路时通时断、线路衰耗大或串音杂音严重时,问题虽然不那么明显,但是对通信网站的影响却是相当大,可能会严重地危害通信数据的完整性。为保证好的通信质量和网站效果,就必须有合格的传输线路,如在于线电缆中,应尽量挑选最好的线路作为计算机联网专线,以得到最佳的效果。
 
  4 网站安全管理问题
 
  网站安全管理最重要的是从体系结构上要实行最小权限原则。世界上现有的信息系统绝大多数缺少安全管理员,缺少信息系统安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。
 
  我国许多企业的信息系统已经使用了许多年,但计算机的系统管理员与用户的注册还是大多处于默认状态。另一方面,由于网站是由各种服务器、工作站、终端等集群组成,各种服务器各自运行着不同的操作系统,各自继承着自身系统的不同安全特性。所以整个网站天然地继承了他们各自的安全隐患。随着计算机及通信设备组件数目的增大,积累起来的安全问题将十分可观。
 
  5 其他威胁网站安全的典型因素
 
  其他威胁网站安全的典型因素如下:
 
  5.1 计算机黑客
 
  依据 Financial Times 的统计,全球平均每 20 秒钟就有一个网络遭到入侵。通过偷窃码、非法进入电话系统和 IP 欺骗等手段,黑客正在不断地偷窃企业内部宝贵的数据资料。到目前为止,还没有理由坚信任何一个网络能够免受黑客的入侵。
 
  5.2 内部人员作案
 
  防止内部人员的攻击也很重要。据估计,有 80%的攻击来自于内部人员。任何安全系统都需要安装、维护和更新,为了降低开支,理想的安全系统应具备灵活性、可扩充性和透明性。
 
  5.3 窃听
 
  主要手段是搭线窃听。
 
  5.4 程序共享造成的冲突
 
  共享同一程序可能会造成死锁、信息失效或文件不正确的开关状态。
 
  5.5 联网后互相侵害
 
  对互联网而言可能有更多的威胁,即使各网均能独立安全运行,联网之后,也会发生互相侵害的后果。
 
  5.6 计算机病毒
 
  出于网站的设计目标是资源共享,所以网站是计算机病毒滋生和发育的理想家园。
 
  综上所述,对于网站建设与管理者应从这五个方面切入根据实际情况,针对不同的网络结构和不同的网络应用,采用不同的网络安全管理方法,构建综合立体网站网络环境,在采取安全防范措施的同时,还必须有完善的安全管理规章制度和切实可行的安全管理机构,才能有效地实现网站安全、可靠、稳定的运行。
 
  参考文献
 
  [1]孙文广。网站建设与管理[M].北京:北京大学出版社,2010.
 
  [2]尚晓航。网站建设与管理[M].北京:中国铁道出版社,2012.
'); })();