校園網(wǎng)中Web站點(diǎn)的安全防范論文

　　校園Web網(wǎng)站是校園網(wǎng)建設(shè)的一個(gè)重要組成部分，學(xué)校內(nèi)外信息交流的平臺(tái)，教師教學(xué)研究和學(xué)生學(xué)習(xí)的重要場(chǎng)所，保證校園網(wǎng)Web站點(diǎn)的正常運(yùn)行及其數(shù)據(jù)的安全具有重要的意義。本文重點(diǎn)分析了校園網(wǎng)絡(luò)中Web站點(diǎn)出現(xiàn)的安全威脅，并提出校園網(wǎng)Web站點(diǎn)網(wǎng)絡(luò)安全的防范措施。

　　【關(guān)鍵詞】Web站點(diǎn);安全;防范;防火墻;入侵檢測(cè)

　　1 引言

　　目前，校園網(wǎng)內(nèi)的服務(wù)器星羅棋布，它們支撐著各種各樣的信息服務(wù)，如校園新聞的發(fā)布、校務(wù)信息的公開(kāi)、學(xué)生成績(jī)的登錄和查詢、工資查詢、科研經(jīng)費(fèi)查詢、各門(mén)課程教學(xué)資源的共享等。在多種特定角色服務(wù)器(如FTP服務(wù)器、DNS服務(wù)器、Web服務(wù)器)中，又?jǐn)?shù)Web服務(wù)器最易受到來(lái)自網(wǎng)絡(luò)的攻擊，這些攻擊可能來(lái)自校園網(wǎng)內(nèi)部，也可能來(lái)自外部互聯(lián)網(wǎng)。黑客一旦成功入侵Web服務(wù)器，就會(huì)竊取一些機(jī)密或敏感的信息，停掉或啟用Web服務(wù)器上一些服務(wù)或應(yīng)用程序，停掉Web服務(wù)器上的日記或其他安全控制，執(zhí)行緩沖區(qū)溢出攻擊，加載其他類型的Dos(拒絕服務(wù))攻擊，上傳證明自己入侵成功的文件或?qū)�Web服務(wù)器作為攻擊其他計(jì)算機(jī)系統(tǒng)的跳板等。

　　1.1 Web服務(wù)器面臨的主要威脅

　　Web應(yīng)用程序面臨的安全威脅，一方面源于編程語(yǔ)言自身的弱點(diǎn)，如目標(biāo)程序的不穩(wěn)定性、不安全性;另一方面是人為主觀因素(程序員/管理員的疏忽與黑客利用程序的弱點(diǎn)發(fā)動(dòng)的惡意攻擊等)造成的威脅，如:隱藏操作、參數(shù)篡改、站點(diǎn)腳本、緩沖區(qū)溢出和不安全的Cookie，等等。這些安全威脅，只能在程序代碼級(jí)進(jìn)行解決。這些威脅包括:源代碼掃描、Cookie毒藥、隱藏字段、強(qiáng)行瀏覽，已知漏洞和錯(cuò)誤配置、緩沖區(qū)溢出，調(diào)試選項(xiàng)與后門(mén)程序、參數(shù)篡改、隱蔽指令執(zhí)行、跨站點(diǎn)腳本、應(yīng)用層拒絕服務(wù)分析、拒絕服務(wù)、非授權(quán)訪問(wèn)、任意代碼執(zhí)行、特權(quán)提升、病毒、蠕蟲(chóng)和特洛伊木馬等是Web服務(wù)器的主要威脅。其中：(1)分析(也稱為主機(jī)枚舉)是用來(lái)收集Web站點(diǎn)信息的探索性過(guò)程。攻擊者使用這些信息攻擊已知的弱點(diǎn);(2)拒絕服務(wù)是指服務(wù)器被服務(wù)請(qǐng)求所淹沒(méi)，無(wú)法對(duì)合法客戶端的請(qǐng)求做出響應(yīng);(3)未授權(quán)訪問(wèn)是指沒(méi)有正確權(quán)限的用戶獲取了訪問(wèn)受限信息或者執(zhí)行受限操作所需權(quán)限;(4)代碼執(zhí)行攻擊是攻擊者在服務(wù)器上運(yùn)行惡意代碼，以威脅服務(wù)器資源的安全或者對(duì)下游系統(tǒng)實(shí)施其他攻擊;(5)特權(quán)提升攻擊指攻擊者通過(guò)使用特權(quán)進(jìn)程賬號(hào)運(yùn)行代碼;(6)惡意的代碼有幾種變種，包括:病毒、蠕蟲(chóng)、特洛伊木馬。在許多情況下，惡意的代碼直至開(kāi)始消耗系統(tǒng)資源并減慢或者阻礙了其他程序的執(zhí)行時(shí)，才會(huì)被注意到。如何有效地保護(hù)Web服務(wù)器上信息的安全性和服務(wù)的可用性是目前迫切需要重視的問(wèn)題。市場(chǎng)營(yíng)銷畢業(yè)論文范文

　　2 高校Web站點(diǎn)網(wǎng)絡(luò)安全面臨的主要的威脅

　　校園網(wǎng)Web站點(diǎn)的主要安全威脅來(lái)源于計(jì)算機(jī)病毒、內(nèi)部用戶惡意攻擊和破壞、內(nèi)部用戶非惡意的錯(cuò)誤操作和網(wǎng)絡(luò)黑客入侵等。

　　2.1計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒由于具有寄生性、破壞性、隱蔽性、潛伏性、傳染性和可觸發(fā)性幾個(gè)特點(diǎn)，使得計(jì)算機(jī)病毒難于防范。計(jì)算機(jī)病毒是影響高校網(wǎng)絡(luò)Web站點(diǎn)安全最主要的安全威脅之一，一旦計(jì)算機(jī)病毒發(fā)作，不僅破環(huán)Web站點(diǎn)服務(wù)器系統(tǒng)的軟件和各種文件系統(tǒng)，使服務(wù)器無(wú)法正常工作，而且會(huì)使整個(gè)校園網(wǎng)絡(luò)速度急劇下降、甚至?xí)��?dǎo)致整個(gè)校園網(wǎng)絡(luò)癱瘓。

　　2.2內(nèi)部用戶的惡意攻擊和破壞

　　內(nèi)部用戶的惡意攻擊，主要指校園網(wǎng)絡(luò)內(nèi)部用戶為達(dá)到某種目的，而采用不正當(dāng)?shù)氖侄稳テ茐男�園網(wǎng)Web站點(diǎn)軟硬件設(shè)施，非法瀏覽、竊取或者篡改Web站點(diǎn)賬戶、密碼和數(shù)據(jù)。內(nèi)部用戶的惡意攻擊和破壞通常是通過(guò)字典工具暴力破解系統(tǒng)密碼，通過(guò)破解口令文檔或者植入木馬盜取非法獲取Web服務(wù)器管理員賬號(hào)和密碼，惡意傳播病毒、通過(guò)工具軟件掃描主機(jī)漏洞進(jìn)行漏洞攻擊和進(jìn)行非法控制或者存取數(shù)據(jù)，發(fā)送大量的數(shù)據(jù)包或者報(bào)文堵塞Web網(wǎng)站服務(wù)器。

　　2.3內(nèi)部用戶的非惡意的錯(cuò)誤操作

　　內(nèi)部用戶的非惡意操作，是指校園網(wǎng)內(nèi)部用戶因在不知道或者不了解的情況下進(jìn)行的錯(cuò)誤操作而引起的對(duì)網(wǎng)絡(luò)的不良安全威脅。包括內(nèi)部用戶正常訪問(wèn)存取時(shí)將病毒帶入Web站點(diǎn)，管理員誤將帶有病毒移動(dòng)磁盤(pán)連接到Web服務(wù)器上，服務(wù)器操作系統(tǒng)不設(shè)口令或者設(shè)置弱口令，設(shè)置了非安全共享文件夾等。

　　2.4網(wǎng)絡(luò)黑客入侵

　　網(wǎng)絡(luò)黑客入侵是指黑客利用操作系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，盜取他人信息、或破壞他人計(jì)算機(jī)系統(tǒng)的攻擊行為。黑客的攻擊對(duì)Web站點(diǎn)構(gòu)成極大威脅，它分為主動(dòng)攻擊和被動(dòng)攻擊兩種。主動(dòng)攻擊是指攻擊者通過(guò)有選擇的中斷、偽造數(shù)據(jù)流或數(shù)據(jù)流的一部分以達(dá)到其非法目的。被動(dòng)攻擊是指攻擊者通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上傳遞的信息流，對(duì)信息流進(jìn)行分析，從而獲取有用信息。

　　3 校園網(wǎng)Web站點(diǎn)安全防范措施

　　3.1確保網(wǎng)絡(luò)的安全

　　3.1.1 防火墻技術(shù)

　　防火墻是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道防御系統(tǒng)。通常用于內(nèi)部局域網(wǎng)與外部廣域網(wǎng)之間，通過(guò)限制外部網(wǎng)絡(luò)用戶以非法手段來(lái)訪問(wèn)內(nèi)部資源，來(lái)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。根據(jù)安全規(guī)則，防火墻對(duì)任何外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行認(rèn)證，對(duì)外部網(wǎng)絡(luò)盡可能地屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)。對(duì)合法用戶，則允許進(jìn)入內(nèi)部網(wǎng)絡(luò)并僅限于合法的操作;對(duì)未經(jīng)授權(quán)的用戶應(yīng)限制在防火墻外。其從實(shí)現(xiàn)層次上大體可分為3類：包過(guò)濾防火墻，代理防火墻和復(fù)合型防火墻。包過(guò)濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來(lái)實(shí)現(xiàn)。包過(guò)濾防火墻根據(jù)報(bào)文的源IP地址，目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許有報(bào)文通過(guò)。代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，是運(yùn)行代理服務(wù)軟件的堡壘主機(jī)。堡壘主機(jī)由兩張網(wǎng)卡分別連接兩個(gè)網(wǎng)絡(luò)，通過(guò)代理服務(wù)進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)。代理服務(wù)是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、文件傳輸?shù)取Ｍ瑫r(shí)，還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告等功能。復(fù)合型防火墻是將數(shù)據(jù)包過(guò)濾和代理服務(wù)結(jié)合在一起使用，主要包括主機(jī)屏蔽防火墻和子網(wǎng)屏蔽防火墻。主機(jī)屏蔽防火墻由單個(gè)網(wǎng)絡(luò)端口的應(yīng)用型防火墻和一個(gè)包過(guò)濾路由器組成，子網(wǎng)屏蔽防火墻在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間加有兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)不能直接通信，但能夠通過(guò)各自的路由器和堡壘主機(jī)交換數(shù)據(jù)。

　　3.1.2 訪問(wèn)控制技術(shù)

　　訪問(wèn)控制技術(shù)是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它可以對(duì)基于網(wǎng)址、端口、訪問(wèn)時(shí)間、訪問(wèn)的用戶、網(wǎng)絡(luò)流量、IP地址和MAC地址等進(jìn)行配置參數(shù)來(lái)控制網(wǎng)絡(luò)數(shù)據(jù)交換。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)安全控制以及屬性控制等多種手段。

　　3.1.3入侵檢測(cè)技術(shù)

　　入侵檢測(cè)技術(shù)是指在計(jì)算機(jī)網(wǎng)絡(luò)或者計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，通過(guò)對(duì)這些信息的分析來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略和被攻擊跡象的技術(shù)。入侵檢測(cè)系統(tǒng)主要通過(guò)監(jiān)控網(wǎng)絡(luò)，系統(tǒng)的狀態(tài)、行為和系統(tǒng)的使用情況來(lái)檢測(cè)系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全漏洞對(duì)系統(tǒng)進(jìn)行入侵的企圖。它可以及時(shí)發(fā)現(xiàn)并監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識(shí)別異常行為和攻擊行為、對(duì)攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤;并能對(duì)攻擊或異常行為進(jìn)行阻斷、記錄、報(bào)警，將攻擊行為產(chǎn)生的破壞和影響降至最低。入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)來(lái)源不同，可分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)�；�于主機(jī)的入侵檢測(cè)系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過(guò)比較這些審計(jì)記錄文件的記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配，檢測(cè)系統(tǒng)就向系統(tǒng)發(fā)出警報(bào)并反饋入侵信息�；�于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，它是利用網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)地監(jiān)視并分析通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃�有通信業(yè)務(wù)的。

　　3.1.4數(shù)據(jù)加密技術(shù)

　　數(shù)據(jù)加密技術(shù)是指將一個(gè)信息(或稱明文)經(jīng)過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文，而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙還原成明文。網(wǎng)絡(luò)安全論文按加密算法分為專用密鑰和公開(kāi)密鑰兩種。專用密鑰是加密密鑰和解密密鑰相同或者一個(gè)可由另一個(gè)導(dǎo)出，特點(diǎn)是安全性好、開(kāi)放性差。公開(kāi)密鑰是加密密鑰公開(kāi)，解密密鑰不公開(kāi)，不能用一個(gè)推導(dǎo)出另外一個(gè)，特點(diǎn)是適用于開(kāi)放的環(huán)境，密鑰管理簡(jiǎn)單，工作較專用密鑰低。

　　3.2 操作系統(tǒng)安全

　　使用最新的ServicePack，及時(shí)防范系統(tǒng)潛在的問(wèn)題;采用NTFS文件系統(tǒng);更改系統(tǒng)管理員帳號(hào);取消TCP/IP與NetBIOS的綁定。

　　3.3合理配置Web服務(wù)器

　　3.3.1在Unix OS中，以非特權(quán)用戶而不是Root身份運(yùn)行Web服務(wù)器。

　　(1)設(shè)置Web服務(wù)器訪問(wèn)控制。通過(guò)IP地址控制、子網(wǎng)域名來(lái)控制,未被允許的IP地址、IP子網(wǎng)域發(fā)來(lái)的請(qǐng)求將被拒絕;(2)通過(guò)用戶名和口令限制。只有當(dāng)遠(yuǎn)程用戶輸入正確的用戶名和口令的時(shí)候,訪問(wèn)才能被正確響應(yīng);(3)用公用密鑰加密方法。對(duì)文件的訪問(wèn)請(qǐng)求和文件本身都將加密,以便只有預(yù)計(jì)的用戶才能讀取文件內(nèi)容。

　　3.3.2　設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限

　　為了安全起見(jiàn)，管理員應(yīng)對(duì)“文檔根目錄” 和“服務(wù)器根目錄”做嚴(yán)格的訪問(wèn)權(quán)限控制。

　　服務(wù)器根目錄下存放日志文件、配置文件等敏感信息，它們對(duì)系統(tǒng)的安全至關(guān)重要，不能讓用戶隨意讀取或刪改。

　　服務(wù)器根目錄下存放CGI腳本程序，用戶對(duì)這些程序有執(zhí)行權(quán)限，惡意用戶有可能利用其中的漏洞進(jìn)行越權(quán)操作。

　　服務(wù)器根目錄下的某些文件需要由Root來(lái)寫(xiě)或者執(zhí)行，如Web服務(wù)器需要Root來(lái)啟動(dòng)，如果其他用戶對(duì)Web服務(wù)器的執(zhí)行程序有寫(xiě)權(quán)限，則該用戶可以用其他代碼替換掉Web服務(wù)器的執(zhí)行程序，當(dāng)Root再次執(zhí)行這個(gè)程序時(shí)，用戶設(shè)定的代碼將以Root身份運(yùn)行。

　　3.3.3　安全管理Web服務(wù)器

　　Web服務(wù)器的日常管理、維護(hù)工作包括Web服務(wù)器的內(nèi)容更新，日志文件的審計(jì)，安裝一些新的工具、軟件,更改服務(wù)器配置，對(duì)Web進(jìn)行安全檢查等。

　　3.4 Web服務(wù)器數(shù)據(jù)備份和應(yīng)急恢復(fù)系統(tǒng)

　　保障Web網(wǎng)站服務(wù)器數(shù)據(jù)安全，除采用加密手段外，還可對(duì)服務(wù)器系統(tǒng)進(jìn)行備份，或者采用磁盤(pán)陣列技術(shù)制作鏡像磁盤(pán)，采用手工備份和系統(tǒng)自動(dòng)備份相結(jié)合的方法，以便當(dāng)Web服務(wù)器出現(xiàn)系統(tǒng)崩潰或者硬件損壞時(shí)，能夠保證數(shù)據(jù)完整，并能及時(shí)恢復(fù)系統(tǒng)。

　　3.5加強(qiáng)人員管理和培訓(xùn)

　　在技術(shù)保障的前提下，對(duì)于網(wǎng)絡(luò)的安全管理和相關(guān)人員的培訓(xùn)教育也是重要的一步。出現(xiàn)網(wǎng)絡(luò)安全事故的原因大多是由于網(wǎng)絡(luò)安全管理不到位，因此，必須制定相關(guān)網(wǎng)絡(luò)安全的規(guī)章制度，如網(wǎng)絡(luò)操作使用規(guī)范、進(jìn)出機(jī)房管理制度，網(wǎng)絡(luò)系統(tǒng)維護(hù)制度和安全技術(shù)培訓(xùn)制度等。加強(qiáng)內(nèi)部用戶的安全教育，實(shí)現(xiàn)上網(wǎng)實(shí)名制度，能有效地防止內(nèi)部網(wǎng)絡(luò)用戶的攻擊行為;定期對(duì)管理員進(jìn)行安全技術(shù)培訓(xùn)將大大提高其網(wǎng)絡(luò)安全意識(shí)，減少網(wǎng)絡(luò)事故的出現(xiàn)。

　　4 結(jié)束語(yǔ)

　　校園網(wǎng)Web站點(diǎn)的安全，除了采用Web服務(wù)器配置技術(shù)手段和管理手段外，還可以在Web站點(diǎn)設(shè)計(jì)上下功夫，在編制程序Web應(yīng)用程序時(shí)，加入各種安全技術(shù)及管理措施，這樣Web站點(diǎn)才會(huì)更安全、更可靠。

　　[參考文獻(xiàn)]

　　[1]廖興.網(wǎng)絡(luò)安全技術(shù)[M].西安電子科技大學(xué)出版社,2007.

　　[2]吳辰文.網(wǎng)站的安全性問(wèn)題研究[J].甘肅工業(yè)大學(xué)學(xué)報(bào),2002.

　　[3]寧博,張保杰.網(wǎng)絡(luò)安全技術(shù)及防火墻在校園網(wǎng)的應(yīng)用[J].西安郵電大學(xué)學(xué)報(bào),2007.9.

　　[4]周增國(guó).WEB網(wǎng)站安全問(wèn)題的研究與應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò),2005.

　　[5]張書(shū)梅,符蘊(yùn)芳,劉智國(guó).網(wǎng)站安全管理的方法與具體實(shí)現(xiàn)[J].石家莊學(xué)院學(xué)報(bào),2005.

【校園網(wǎng)中Web站點(diǎn)的安全防范論文】相關(guān)文章：

校園網(wǎng)信息安全防范論文（精選6篇）09-20

校園網(wǎng)信息安全及防范策略10-08

校園網(wǎng)的信息安全論文10-08

淺析高校校園網(wǎng)信息安全的現(xiàn)狀與防范10-08

網(wǎng)絡(luò)信息安全與防范論文10-09

Web數(shù)據(jù)挖掘技術(shù)在電子商務(wù)中的應(yīng)用論文10-09

防范護(hù)理隱患,保證安全論文10-09

管控校園網(wǎng)信息安全論文10-09

探析Web3D技術(shù)在現(xiàn)代教學(xué)中的應(yīng)用論文10-09

高職院校智慧校園網(wǎng)絡(luò)的信息安全論文10-09