网站安全策略分析

网站安全策略分析

ID:44437412

大小:29.00 KB

页数:6页

时间:2019-10-22

网站安全策略分析_第1页
网站安全策略分析_第2页
网站安全策略分析_第3页
网站安全策略分析_第4页
网站安全策略分析_第5页
资源描述:

《网站安全策略分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网站安全策略分析【摘要】目前,互联网站受到病毒、木马、黑客攻击等安全威胁的危害越来越多,设计合理的网站安全策略能够帮助网站最人程度降低安全威胁带来的负面影响和损失。本文将从网络、操作系统、Web应用、数据库等多个层面提出切实有效的安全策略,供互联网网站借鉴。【关键词】网站;威胁;安全策略一、引言随着互联网技术的发展和普及,互联网深刻地影响和改变着人们生活的方方面面,电子政务网站、电子商务网站等等众多网络应用为人们创造了便利高效的生活方式。然而事物的发展往往带有两面性,网络是一柄双刃剑,它在对社会及经济的发展起到越来越重要的作用的同时,网络应用自身的安全

2、问题像挥之不去的阴影,时时刻刻伴随和影响着网络应用的发展。病毒、木马、黑客攻击等网络攻击是互联网网站面临的最大安全威胁,近年來,网络攻击给全球造成的经济损失超过千亿美元。因此,制定合理、有效的网站安全策略対于互联网的发展具有重要意义。二、网站安全策略分析网站面临的安全威胁主要有通信安全威胁、操作系统安全威胁、Web应用安全威胁、数据库安全威胁等几个方面,应该从不同层面针对不同的安全威胁制定相对应的安全策略,才能形成一个统一的、有效的网站安全防护体系。下面主要从网络、操作系统、Web应用、数据库等多个层面来分析网站安全策略。(一)网络安全策略互联网络的开

3、放性决定了网站所遭受的攻击绝大部分是来自于网络,因此,网络层安全策略对于网站安全防护来说是重中之重。网络安全策略主要包括•:1、访问控制策略访问控制策略是指对于网络不同区域域采取双向控制或有限访问控制策略,使受控的子网或主机访问权限和信息流能得到冇效控制。对于网站而言,有效的访问控制策略可以控制哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。访问控制策略通常通过防火墙设备来实现,它一般部署在不同网络区域边界处,对进出网络的IP信息包进行过滤并按网络安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用

4、户的细粒度的访问控制。防火墙的基木策略有两种,一是未被允许的就是禁止的。基于该策略,防火墙默认封锁所有信息流,然后对提供的服务逐项开放。该策略可以形成一种相对更安全的网络环境,只有经过筛选的服务才被允许使用。其弊端是安全性高于用户使用的方便性,用户所能使用的范須大大受到限制。二是未被禁止的就是允许的。基于该策略,防火墙默认允许所冇信息流,然后逐项屏蔽可能有害的服务。该策略构成了一种相对更灵活的网络环境,可为用户提供更多的服务。其弊病是,在H益增多的网络服务面前,网管人员将疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。2、网络检测策略网

5、络检测策略指的是采取信息侦听的方式监控未授权的网络访问尝试和违规行为,从而能够在系统遭受攻击前或攻击时及时发现攻击行为,消除或降低攻击所带来的损失。网络检测策略通常通过网络入侵检测设备和主机入侵检测系统来实现,对于网站应用来说,可以将网络入侵检测设备部署在网站应用所在的网络区域中,实现对网站访问事件的实时监控,也可以在网站服务器上安装主机入侵检测系统,对网站服务器操作系统事件及安全日志进行监控。3、通信传输加密策略通信传输加密策略指的是在通信双方进行通信的过程中,对重要传输信息进行加密处理以防止数据在传输过程中被窃听或篡改的策略。在网站中普遍采用SSL

6、安全协议来实现通信传输加密策略。SSL安全协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性保障等安全措施。SSL安全协议主要提供三方面的服务:(1)客户端和服务器双向认证,能够确保数据被发送到正确的客户端和服务器上。(2)对传送数据进行加密。(3)保障数据的完整性,确保数据在传输过程中不被篡改。(二)操作系统安全策略操作系统安全策略主要有以下几点:1、应面向应用选择可靠、稳定的操作系统,在安装操作系统时,应遵循最小安装原则,对操作系统的身份认证、访问控制等进

7、行严格的安全配置。以Windows系列操作系统为例,应该关闭不必要的端口(如135端口、445端口等),关闭不必要的服务(如RemoteRegistryService^RunAsService等),开启审核、密码、账号策略,禁止空连接等。2、利用专用的漏洞扫描工具,定期对操作系统漏洞进行扫描,及时修复存在的漏洞,降低病毒、木马利用漏洞入侵操作系统的可能性。3、在网站服务器上安装防病毒软件,提高病毒防护能力。(三)Web应用安全策略利用Web应用编码缺陷进行攻击的SQL注入攻击和跨站脚木攻击的防范策略如下:1、SQL注入攻击是针对应用脚本开发不足进行的攻

8、击方式,目前典型的安全防护措施如防火墙等无法进行有效的防护,在脚本开发时,应对提交数据库的内容

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。