网站安全的威胁与防护

　　对目前日益严峻的网站安全问题进行分析，提出了网站安全防护措施，通过基于UNIX和Windows等常用平台，介绍WEB网站的防护经验。

网站;安全;防护

1 网站技术简介安全威胁的?

1.1 WWW技术简介

World Wide Web称为万维网，简称Web。分成服务器端、客户接收机及通协议三个部分。?

1.1.1 服务器

服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档，按用户的要求返回信息。?

1.1.2 客户接收机

客户机系统称为Web浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示。Web浏览器是客户端软件，它从Web服务器上下载和获取文件，翻译下载文件中的HTML代码，进行格式化，根据HTML中的内容在屏幕上显示信息。?

1.1.3 通协议

Web浏览器与服务器之间遵循HTTP协议进行通传输。HTTP是分布式的Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式，以及Web页面在Internet上的传输方式。?

1.2 服务器安全威胁

对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑：

Web服务器操作系统本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要文件，甚至造成系统瘫痪。

Web数据库中安全配置不完整，存在弱口令或被数据库注入等安全漏洞，导致数据丢失或服务中断。

Web服务器上的数据存储结构不合理，没有划分安全区域或重要数据没有存放在安全区域，导致被侵入。

Web服务器上运行的程序存在安全漏洞，或应用程序所需要的权限过高没有优化，容易被黑客侵入。?

1.3 客户端安全威胁

现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。?

1.4 数据传输中的安全威胁

Internet是连接Web客户机和服务器通信的信道，是不安全的。未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。此外，还有像利用拒绝服务攻击，向网站服务器发送大量请求造成主机无法及时响应而瘫痪，或者发送大量的IP数据包来阻塞通信信道，使的速度便缓慢。?

2 WEB安全保护的原则?

2.1 实用的原则

针对网站架构，网站安全问题主要分为以下四个方面：服务器安全、边界安全、Internet和Extranet上的安全，在攻击行为发生前，做到防患于未然是预防措施的关键。?

2.2 积极预防的原则

对WEB系统进行安全评估，权衡考虑各类安全资源的价值和对它们实施保护所需要的费用，通过评估，确定不安全情况发生的几率，采用必要的软硬件产品，加强网站日常安全监控。?

2.3 及时补救的原则

在攻击事件发生后尽快恢复系统的正常运行，并找出发生攻击事件问题的原因，将损失降至最低，并研究攻击发生后应对措施。?