WEB安全之网站防黑策略部署防范篇

关于网站安全性问题的研究及其解决方案摘要：本文涉及网站安全中的策略与思路，分别指出在网站安全中存在的问题。就问题分析如何做好网站防黑部署，仅供学习参考！ 1、FTP用户密码设置 通常网站都会有一个FTP账号连接服务器提供文件管理，往往用户不注意FTP账号和密码的安全。现在大多数网站FTP都是采用.1、FTP用户密码设置通常网站都会有一个FTP账号连接服务器提供文件管理，往往用户不注意FTP账号和密码的安全。现在大多数网站FTP都是采用域名字段来确定用户名。如黑白前线域名是，FTP用户即hackline。这就要注意了，FTP密码不能随便设置。尽量避免弱口令、空口令设置，如空密码、账户密码相同或者123456等。尽量避免直接使用电话号码、QQ号码、生日等敏感性信息。这样以来可以杜绝大部弱口令攻击与个人信息攻击。2、网站后台地址与密码设置动态交互式网站都是采用前台+后台的模式，开发人员为了方便实用通常把管理后台设置在网站首页或者使用/admin、/admin_login、/manage等地址，如果不确定网站是否存在漏洞和漏密问题那么就修改后台登录地址为不常见的文件名。使黑客无法获取后台管理，安全自然可以得到一定的保障。注意：前台和后台设计是分离的，修改后台地址不会影响到前台显示。黑白安全建议：一、修改后台路径为复杂地址。二、密码问题同FTP密码设置。3、网站数据库连接配置（access数据库）网站开发人员为了方便通常在客户案例中的网站都采用一种连接方式，这样很泄漏网站数据库的地址。mdb数据库很容易被下载破解登录用户密码。黑白安全建议：修改默认的数据库名称,在conn.asp中修改路径。4、网站文件权限设置设置网站文件权限可以有效的杜绝黑客入侵修改网站内容，通常网站黑客被入侵后会被挂马或者修改页面。现在很多有条件的服务器都部署了防篡改系统，以防止外来入侵。安全建议：虚拟主机用户可以通过FTP工具来设置网站文件权限。一、静态网站：对于静态网站很简单设置所有文件目录为只读权限。二、动态网站：取消全站修改权限，设置数据库文件夹和文件生成目录为可读取、写入权限。三、论坛网站：取消全站修改权限，设置文件上传、data等为可读取、写入权限。5、robots.txt禁止蜘蛛爬行指定目录，很多管理员认为不让搜索引擎收录到网站后台和敏感目录通过robots.txt来限制。其它这一点是错误的。即使黑客无法通过搜索引擎来查到网站敏感信息，通过访问robots.txt可以很清楚的看到敏感信息。用户认证安全的测试要考虑问题：1. 明确区分系统中不同用户权限2. 系统中会不会出现用户冲突3. 系统会不会因用户的权限的改变造成混乱4. 用户登陆密码是否是可见、可复制5. 是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）6. 用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统系统网络安全的测试要考虑问题1. 测试采取的防护措施是否正确装配好，有关系统的补丁是否打上2. 模拟非授权攻击，看防护系统是否坚固3. 采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI 系列和 IPhacker IP ）4. 采用各种木马检查工具检查系统木马情况5. 采用各种防外挂工具检查系统各组程序的客外挂漏洞数据库安全考虑问题：1. 系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）2. 系统数据的完整性（我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整，对于这个系统的功能实现有了障碍）3. 系统数据可管理性4. 系统数据的独立性5. 系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）因此如何保证校园资源网络以及网站本身的性能的高效与稳定已经成为校园网站管理的核心问题二、校园信息门户网站简介(一)基本概念校园信息门户网站是一个以网站的形式为学校教师、学生等提供其所需的全部信息和服务，是校园数字化。教育信息化的重要组成部分党校校园信息门户网站正成为学校进行形象展示、政策法规发布、远程教育、信息查询、办公信息化、内外沟通的重要阵地。(二)校园信息门户网站一般结构从用户角度上看校园信息门户网站其实是多张网页组成的一个网站体系它一般的结构如下图2一所示：图2?1校园信息门户整体框架从图2?1中可以看到校园信息门户与一般的网站不一样从层次上包括数据层、数据访问层、通用组件层、业务逻辑层、门户层及接人层。不同的用户通过接入层来访问门户其在门户能有什么业务系统的权限。都是通过统一身份认证来实现的。研究门户网站的结松为安全策略的规划提供参考。使管理员清楚门户网站需要改进和防护的地方。三、校园信息门4网站建设的现状(一)校园信。急门户网站的使用特点校园信息门户网站的服务在某一种的程度上说是数字校园的高级表现形式。它是数字校园的总入，各类用户通过门户进入数字校园可以获得与其身份相对应的信息与服务：(1)通过门户服务平台，可以快速配置要求极苛刻所有成员管理、知识管理、个性化、累积、安全和集成服务。(2)通过门户平台。各个专业可以建立不同的子门户站点。并且可以互相交流信息。同时该平台还允许后台应用在一个非常高的可升级性和安全的门户环境中与各类校内外用户的应用进行连接并相互作用。降低门户实现和管理的成本。(3)门户服务位于各类应用之上。使得学校用户可以自由定制个性化的信息内容(4)校园信息门户系统采用三层体系结构技术，即客户层、应用服务层、数据库服务层。(二)校园信息门户网站存在的问题与原因1、校园信息门户网站存在的问题应用的发展使各类网站产生越来越重要的作用。而愈来愈多的网站在此过程中也因为存在安全隐患而遭受到各种攻击。主要有：(1)网站更新慢：超过50的校园网站不能做到及时问题处理更新，甚至一些网站新闻还是数月乃至数年以前的旧闻过时的信息可能给网站积累很多垃圾。(2)运营对技术依赖性强，系统维护升级成本高：由于大多数的校园门户网站是请人开发的造成网站的运行维护依赖性很强，有些学校的连简单的信息发布都需要由技术人员来完成。一般人没法胜任，这样一旦相关技术人员不在了。系统维护就十分困难，而且网站以后需要升级时。成本也非常高。(3)信息缺乏有效的共享和管理：缺少统一规划。网站和应用系统之间难以进行数据交换，形成彼此独立的信息孤岛难以实现更高层次的信息处理，最大化的挖掘资源的价值。(4)网络操作系统造成的系统安全问题。2、校园信息门户网站存在问题的原因由于网站的开放网络访问环境、各种各样的黑客工具使黑客们获取利益效率快速提升致使越来越多的网站正在遭受着这些攻击或面临着这些威胁：(1)网站安全防护不足。目前的网站防护针对注人、网页挂马防护措施相对薄弱，甚至可以说基本没有防护。(2)缺乏网站安全检测目前的检测往往是发现造成伤害之后才有所察觉(3)网站安全响应滞后由于缺乏网站安全检测。用户的响应往往在造成损失之后。发现事故才能去响应。这种响应并无法有效阻止黑客获取利益。降低损失。(4)没有完善的安全管理制度。或者虽有有效的制度。但管理不到位这些问题对于无论多么精妙的安全防护体系都不能解决。四、校园信息门户网站安全策略规划(一)物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提因此在网站规划设计时应该充分考虑网络设备的安全问题大家看，将一些重要的设备，如各种服务器、交换机、路由器等尽量实行集中管理，各种的通信线路尽量实行深埋并有明显的标志，防止无意损坏。对于终端设备如工作站、小型交换集线器和其他转换设备要落实到人，进行严格管理，防止无意损坏验证用户的身份和使用权限、防止用户越权操作等。(二)网站体系的软硬件访护策略针对校园信息门户网站风险的特点和范围除了在物理上保证安全之外。还需要在网站体系的软硬件加强防护。80福建电脑2009年第10期1、系统漏洞处理方案从目前来看。各种系统或多或少都存在着各种各样的漏洞，系统漏洞的存在就成为网络安全的首要问题。前些时候流行于网络上的”熊猫烧香”、”灰鸽子变种”等病毒正是利用系统的漏洞进行广泛传播因此及时为系统打补丁显得尤为重要。需要建立一套对系统的监控系统并建立和实施有效的用户令和访问控制等制度。2、杀毒软件处理方案从病毒发展趋势来看。现在的病毒已经由单一传播、单种行为变成依赖互联网传播。集电子玩家表达邮件、文件传染等多种传播方式于一体，融黑客、木马等多种攻击手段为一身的广义的”新病毒”。对于病毒的防范我们主要依赖于防病毒软件。选择合适的网络杀毒软件可以有效地防止病毒攻击信息门户网站。3、防火墙技术和入侵检测系统的运用当校园网接上之后系统的安全除了考虑计算机病毒、系统的健壮性之外。更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙技术和入侵检测系统完成。(三)网站访问控制安全策略校园信息门户网站访问者分为学生、教职员工、公众三种访问群。为了实现门户网站安全，避免对大量用户逐一进行管理，在进行网站安全策略设计时应该采用访问权限控制技术手段来保护门户网站的安全即当浏览者进入门户网站界面后在向信息平台请求使用某个服务的时候信息服务平台根据该服务要求。决定是否允许用户访问该信息模块或享受服务，此时管理系统必须确认该用户是否具有权限使用。这种方法在一定程度上可以防止黑客非法入侵篡改网站内容从而影响网站的整体功能。工作过程如下图4一所示：图4-1校园信息门户网站权限管理策略图和1中可以看到用户想使用门户网站需要经过统一校园用户身份这种方式解决用户在校园信息门户不同的应用之间需要多次登录的问题。经过统一校园用户身份验证。则需要经过二次鉴权即首次单点登录只解决用户登录和用户能否有进入某个应用的权限问题而在每个业务系统的权限则由各自的业务系统进行控制(四)人的主动性安全策略俗话说。网络安全是”三分设备、七分管理”。安全管理贯穿于安全防范体系的始终。学校必须注重对网络管理人员网络安全理论、安全技术以及专业业务的培训。注重对教工、学生等使用人员网络安全知识的宣传。在大家的共同努力下。尽一切可能把不安全因素降到最低。同时。学校还必须颁布网络行为规范和具体处罚条例。这样才能有效的控制和减少内部网络的隐患。五、校园信息门户网站安全部署研究(一)安全部署的简介1、安全部署指导原则面对多种攻击和病毒的侵扰利用单一技术去防范复杂构架的门户网站安全威胁或者利用通用、昂贵的整体的防护产品(最新版本的杀毒软件)架构校园网门户的安全平台都是不太现实的。为此必须从制定高效、灵活、节约成本投入的安全策略出发。因此笔者认为需要规划一个整体的部署策略，即通过以集群堡垒系统和防火墙技术为主的安全部署策略来应对各种攻击。2、安全部署总体思路设计一个好的安全部署策略需要一个总体思路来引导。集群堡垒系统与防火墙结合技术的工作原理是：无论是来自内网还是外网，都必须通过防火墙和数据包过滤器进行信息内容判断当数据包的信息符合规则要求才能进入堡垒系统从而再进行检测符合条件的进入内部节点经过多个堡垒的严密检测最后取得访问控制的权利到达各个子系统运用门户网站提供的各项服务(教务管理系统，数字化教学平台等)。当数据包的信息不符合规则要求时，入侵检测系统就会主动发挥作用。拦截有害信息。整个门户系统进入应急处理状态，处理威胁。3、系统模型设计笔者在本文中提出通过以集群堡垒系统和防火墙技术为主的安全部署策略的系统模型如下图5?1所示：图5-1集群堡垒与防火墙技术结合系统模型从图5一中可以了解该系统模型的工作原理：当数据包符合传输控制规则进入内网节点时这时可以把内网节点作为内部网：当数据包从内网节点访问区或者访问其它堡垒主机时，这时又可以把内网节点作为外部网。各个节点的堡垒主机采取节点负责制进行管理，责任到人，学校网络中心负责牵头。网络管理员做好自己所管辖节点的安全维护工作。假如某节点出现内部安全威胁这个节点的负责人可以通过地址采集系统中的地址数据库查到这个问题主机的地理位置。校园网的规模很大。通过节点负责制来管理，在网络节点汇聚区布置堡垒主机，安排专人进行管理，也可以使各个节点通过远程进行协调管理。(-)集群堡垒与防火墙技术结合的安全部署的优势该部署策略主要的优势在于对网站结构的改善。原有的网站结构是在局域网中的,、都有两块网卡一块对内网，一块对外网。内网的用户通过代理服务器上网。所有的网络设备通过路由器直接连接到上和上，服务器直接暴露在外，非常容易受到外来的威胁和攻击。改进后的网站结构划分为内部网、开放区、用户控制区和外部网四个部分，各部分分工明确，界限分明，防止其中一部分瘫痪而影响全部。加入2000后在内部网络和外部网络间增加了一道屏障，将服务器和、隔开过滤掉一些出人于三个区内的非必要包，提高了系统的安全性。在网络环境中添加一台防火墙用于隔离内网和外网在防火墙中设立适当的策略。保护系统不受侵犯，同时将代理服务器替换掉。三)安全部署策略还需继续完善集群堡垒网络设置比较简单。易于管理，网络管理员只要根据各个节点反馈回来的安全问题对防火墙加以严格的规则设置，或做适当的修改，就能解决整个网络出现的安全问题。但是。这种网络的缺点也很明显。当网络发生大规模(下转第103页)2009年第10期福建电脑103入或者修改参数数据。图32二维图形的生成。本程序的二维图形(如图2)在蓝光公司开发的矿山数字化平台中显示。炮眼布置图分为平、断、剖面图。巷道断面形状有切圆形、梯形、半圆形、矩形。炮眼的种类有掏糟眼、辅助眼、周边眼和崩落眼。用户仅需输入原始设计数据(断面形状、炮眼间距等)。便能自动生成绘图数据蓝光数字化平台可以直接打开该图形。并有相应的