淺析網(wǎng)站的維護(hù)與安全性管理

摘要：該文首先介紹了網(wǎng)站的維護(hù)內(nèi)容及方法，接著介紹了網(wǎng)站安全管理的方法，并詳細(xì)介紹了網(wǎng)站自身的安全防御。

關(guān)鍵詞：網(wǎng)站；維護(hù)；安全性；管理

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2009)05-1237-02

Analysis of Website Maintenance and Security Management

ZHAO Jing1， FU Yang2， ZHAO Pei3

(1.The sixth community management center of Zhongyuan Petroleum Exploration Bureau，Kaifeng 475300，China; 2.The Third drilling Company of Zhongyuan Petroleum Exploration Bureau，Kaifeng 475300，China; 3.PLA Information Engineering University，Zhengzhou 450002，China )

Abstract: This article first introduces the maintenance of the website content and methods，followed by introduction of website safety management approach and detailed the website's own security and defense.

Key words:Website; maintenance; security; management

1 前言

企業(yè)網(wǎng)站的維護(hù)與管理的效果決定了訪客對(duì)網(wǎng)站的感受和印象。如果訪客在一段時(shí)期里，看到的網(wǎng)站內(nèi)容基本上沒多少改變，或者是網(wǎng)站因遭受病毒襲擊等而不能正常訪問，那么他們就會(huì)對(duì)企業(yè)的形象產(chǎn)生一種不好的想法，甚至?xí)?duì)企業(yè)產(chǎn)生一種不大信任的感覺，這樣勢必會(huì)給企業(yè)帶來不可估量的負(fù)面影響。因此，網(wǎng)站的維護(hù)是必不可少的，只有這樣才能達(dá)到企業(yè)預(yù)計(jì)的效果。同時(shí)，要想網(wǎng)站的維護(hù)得以延續(xù)，網(wǎng)站的安全性管理則是必不可少的一項(xiàng)重要工作。

2 網(wǎng)站維護(hù)的內(nèi)容、方法

2.1 網(wǎng)站維護(hù)的內(nèi)容

網(wǎng)站維護(hù)的內(nèi)容一般包含有：1) 內(nèi)容的更新(如：重大事項(xiàng)的公示更新、產(chǎn)品信息的更新等)；2) 網(wǎng)站風(fēng)格的更新 (如：網(wǎng)站改版等)；3) 網(wǎng)站重要頁面設(shè)計(jì)制作 (如：重大事件頁面，突發(fā)事件等頁面設(shè)計(jì)制作)；4) 網(wǎng)站系統(tǒng)維護(hù)服務(wù)(如：E-mail帳號(hào)維護(hù)服務(wù)，域名維護(hù)續(xù)費(fèi)服務(wù)等)。

2.2 網(wǎng)站維護(hù)的方法

1) 網(wǎng)站更新。企業(yè)網(wǎng)站的更新主要是指更新產(chǎn)品及相應(yīng)的文字說明。一般來說，中小型企業(yè)的網(wǎng)站都沒有后臺(tái)管理系統(tǒng)，而網(wǎng)頁更新則需要懂得設(shè)計(jì)與制作網(wǎng)頁的人員來完成，但企業(yè)大都沒有這樣的人員。這樣一來，就需要企業(yè)在與設(shè)計(jì)、制作網(wǎng)站的網(wǎng)絡(luò)公司簽訂合同時(shí)，在合同中明確規(guī)定有關(guān)企業(yè)網(wǎng)站中網(wǎng)頁更新服務(wù)的條款；另外，也可采取這樣的方法：企業(yè)資助、培養(yǎng)幾個(gè)會(huì)編輯網(wǎng)頁的公司人員，讓他們學(xué)會(huì)使用Front page、Dream weaver等網(wǎng)頁編輯程序。可以選擇在做網(wǎng)站的網(wǎng)絡(luò)公司培訓(xùn)一下，也可選擇其他較好的網(wǎng)絡(luò)培訓(xùn)學(xué)校，同時(shí)，也可讓他們購買相應(yīng)的書籍進(jìn)行自學(xué)。筆者認(rèn)為，這種方法是比較可行的，也是較為合理的。

2) 網(wǎng)站推廣。對(duì)于中小型企業(yè)的網(wǎng)站推廣，筆者認(rèn)為，可實(shí)行：重點(diǎn)項(xiàng)目外包，其它推廣工作則內(nèi)部承擔(dān)。重點(diǎn)項(xiàng)目主要指：搜索引擎推廣、網(wǎng)絡(luò)廣告等。而國內(nèi)搜索引擎和網(wǎng)絡(luò)廣告的業(yè)務(wù)開展都力推代理制，我們可以在網(wǎng)站上找到它們相應(yīng)的授權(quán)代理商，通過代理的價(jià)格有時(shí)可能比媒體網(wǎng)站自己的對(duì)外報(bào)價(jià)還低；其它推廣維護(hù)工作主要指：尋找互換鏈接的對(duì)象、發(fā)布信息、E-mail營銷推廣、回復(fù)客戶E-mail以及網(wǎng)站與用戶的互動(dòng)應(yīng)答等，這些事項(xiàng)大都需要長期經(jīng)營。盡管這些工作大多不需要太復(fù)雜的專業(yè)知識(shí)，但需要投入較多的精力。因此，對(duì)于企業(yè)網(wǎng)站維護(hù)人員來說，需要明確各自的工作職責(zé)、內(nèi)容，并長期學(xué)習(xí)新的知識(shí)，為企業(yè)網(wǎng)站的正常運(yùn)營、豎立良好的企業(yè)形象打下堅(jiān)實(shí)的基礎(chǔ)。

3 網(wǎng)站的安全性管理

網(wǎng)站安全是指對(duì)網(wǎng)站進(jìn)行管理和控制，并采取一定的技術(shù)措施，從而確保在一個(gè)網(wǎng)站環(huán)境里信息數(shù)據(jù)的機(jī)密化、完整性及可使用性受到有效的保護(hù)。

3.1 網(wǎng)站外部的安全管理

1) 使用防火墻。防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(Internet)分開的方法，實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。其作為使用最多、效率最高的網(wǎng)絡(luò)安全產(chǎn)品，自然有它自身的優(yōu)勢。因此，防火墻在整個(gè)網(wǎng)絡(luò)安全中的地位將是無可替代的。

2) 增設(shè)網(wǎng)絡(luò)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)(IDS即Intrusion Detect System)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)，它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識(shí)別、記錄入侵或破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問，一經(jīng)發(fā)現(xiàn)入侵檢測系統(tǒng)根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括：實(shí)時(shí)報(bào)警、自動(dòng)阻斷通信連接或執(zhí)行用戶自定義安全策略等。

3) 病毒防御。為了防御病毒，企業(yè)網(wǎng)站必須安裝有效的殺毒軟件，而企業(yè)在選購殺毒軟件時(shí)，必須考慮產(chǎn)品的采購成本、應(yīng)用(管理、維護(hù))成本，以及將來企業(yè)或網(wǎng)絡(luò)規(guī)模變化后，軟件能否實(shí)現(xiàn)平滑過渡等問題。只有明確企業(yè)自身的需求，重視產(chǎn)品的應(yīng)用和管理，把網(wǎng)絡(luò)防病毒納入到信息安全防范體系之中進(jìn)行綜合防范，才能有效提升企業(yè)網(wǎng)站的信息安全水平。

3.2 網(wǎng)站自身的安全管理

1) 網(wǎng)站服務(wù)器的安全管理

網(wǎng)站服務(wù)器的日常管理、維護(hù)工作包括：網(wǎng)站服務(wù)器的內(nèi)容更新、日志文件的審計(jì)、安裝一些新的工具和軟件、更改服務(wù)器配置、對(duì)服務(wù)器進(jìn)行安全檢查等。另外，還得注意以下事項(xiàng)：

①從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上解決安全問題。安裝一個(gè)功能強(qiáng)大的防火墻，這樣可以有效防御外界對(duì)Web服務(wù)器的攻擊，還可通過安裝非法入侵監(jiān)測系統(tǒng)，提升防火墻的性能，達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作。當(dāng)有入侵者攻擊時(shí)，可以立刻有效終止服務(wù)。同時(shí)，應(yīng)限制非法用戶對(duì)網(wǎng)絡(luò)的訪問，規(guī)定具有特定IP地址的客戶機(jī)對(duì)本地網(wǎng)絡(luò)服務(wù)器的訪問權(quán)限，以防止外界訪問者對(duì)網(wǎng)絡(luò)服務(wù)器配置的非法修改。

②定期對(duì)網(wǎng)站服務(wù)器進(jìn)行安全檢查。由于網(wǎng)站服務(wù)器是對(duì)外開放的，容易受到病毒的攻擊，所以應(yīng)為服務(wù)器建立例行安全審核機(jī)制，利用漏洞掃描工具和IDS工具，加大對(duì)服務(wù)器的安全管理和檢查。另外，隨著新漏洞的出現(xiàn)，我們要及時(shí)為服務(wù)器安裝各類新漏洞的補(bǔ)丁程序，從而避免服務(wù)器受到攻擊和發(fā)生其他異常情況。

③定期進(jìn)行必要的數(shù)據(jù)備份。對(duì)服務(wù)器上的數(shù)據(jù)定期進(jìn)行備份是很重要的。網(wǎng)站的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞，后果不堪設(shè)想。除了設(shè)置相應(yīng)權(quán)限外，還應(yīng)建立一個(gè)正式的備份方案，而且隨著網(wǎng)站的更新，備份方案也需要不斷地調(diào)整。

④設(shè)立服務(wù)器動(dòng)態(tài)口令。用戶名/密碼是最簡單也是最常用的身份認(rèn)證方法，實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常會(huì)采用容易被他人猜到的有意義的字符串作為密碼，這就可能會(huì)存在著許多安全隱患，極易造成密碼泄露。且由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗(yàn)證過程中，需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證過程使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。特別是對(duì)服務(wù)器來說，要想更好地規(guī)避這種風(fēng)險(xiǎn)，那就有必要設(shè)立動(dòng)態(tài)口令。動(dòng)態(tài)口令技術(shù)是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次的技術(shù)。它采用一種稱之為動(dòng)態(tài)令牌的專用硬件，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份的確認(rèn)。由于每次使用的密碼必須由動(dòng)態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要密碼驗(yàn)證通過就可以認(rèn)為該用戶的身份是可靠的。而動(dòng)態(tài)口令技術(shù)采用一次一密的方法，也有效地保證了用戶身份的安全性，同時(shí)，也可最大限度地保障服務(wù)器的安全。

2) 數(shù)據(jù)庫安全管理

數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄密和破壞。為了保證業(yè)務(wù)應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫的安全性，采用基于Client/Server模式訪問后臺(tái)數(shù)據(jù)庫，為不同的應(yīng)用建立不同的服務(wù)進(jìn)程和進(jìn)程用戶標(biāo)識(shí)，后臺(tái)數(shù)據(jù)庫系統(tǒng)以服務(wù)器進(jìn)程的用戶標(biāo)識(shí)作為訪問主體的標(biāo)識(shí)，以確定其訪問權(quán)限。我們可以通過如下方法和技術(shù)來實(shí)現(xiàn)后臺(tái)數(shù)據(jù)庫的訪問控制：

①訪問矩陣。訪問矩陣就是以矩陣的方式來規(guī)定不同主體(用戶或用戶進(jìn)程)對(duì)于不同數(shù)據(jù)對(duì)象所允許執(zhí)行的操作權(quán)限，并且控制各主體只能存取自己有權(quán)存取的數(shù)據(jù)。它以主體標(biāo)行，訪問對(duì)象標(biāo)列，訪問類型為矩陣元素的矩陣。Informix提供了二級(jí)權(quán)限：數(shù)據(jù)庫權(quán)限和表權(quán)限，并且能為表中的特定字段授予Select和Update權(quán)限。因此，我們?cè)谠L問矩陣中定義了精細(xì)到字段級(jí)的數(shù)據(jù)訪問控制。

②視圖的使用。通過視圖可以指定用戶使用數(shù)據(jù)的范圍，將用戶限定在表中的特定字段或表中的特定記錄，并且視圖和基礎(chǔ)表一樣也可以作為授權(quán)的單位。針對(duì)不同用戶的視圖，在授權(quán)給一用戶的視圖中不包括那些不允許訪問的機(jī)密數(shù)據(jù)，從而提高了系統(tǒng)的安全性。

③數(shù)據(jù)驗(yàn)證碼DAC。對(duì)后臺(tái)數(shù)據(jù)庫中的一些關(guān)鍵性數(shù)據(jù)表，在表中設(shè)置數(shù)據(jù)驗(yàn)證碼DAC字段，它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數(shù)據(jù)庫中的數(shù)據(jù)，則DAC校驗(yàn)將出錯(cuò)，從而提高了數(shù)據(jù)的安全性。

3) 編碼中的安全管理

①防止惡意代碼注入：a.驗(yàn)證輸入，使攻擊者無法注入腳本代碼或使緩沖區(qū)溢出；b.對(duì)所有包含輸入的輸出進(jìn)行編碼，這可防止客戶端將潛在的惡意腳本標(biāo)記作為代碼進(jìn)行轉(zhuǎn)換；c.使用接受參數(shù)的存儲(chǔ)過程，防止數(shù)據(jù)庫將惡意SQL輸為可執(zhí)行語句進(jìn)行處理。同時(shí)，使用特權(quán)最低的進(jìn)程帳戶和模擬帳戶。在攻擊者企圖應(yīng)用程序的安全上下文執(zhí)行代碼時(shí)，可緩解風(fēng)險(xiǎn)并減少損害。

②防止會(huì)話劫持： a.分隔個(gè)性化cookie和身份驗(yàn)證cookie；b.僅通過Https連接傳遞身份驗(yàn)證cookie；c.不傳遞在查詢字符串中代表已通過身份驗(yàn)證的用戶標(biāo)識(shí)符；d.執(zhí)行重要操作（如下訂單、現(xiàn)金轉(zhuǎn)移等）前重新驗(yàn)證用戶。

4 結(jié)束語

最后，筆者認(rèn)為：網(wǎng)站的維護(hù)與管理，需要我們管理人員時(shí)刻保持積極學(xué)習(xí)的心態(tài)，多方關(guān)注新的管理與安全防御技術(shù)，且盡其所能，將網(wǎng)站的維護(hù)與安全性管理做到最好。

參考文獻(xiàn)：

[1] 駱耀祖，劉永初，等.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].北京:清華大學(xué)、北方交大出版社，2003．

[2] 楊曄.談網(wǎng)站的安全性管理[J].電腦與電信，2006，11.

[3] 朱傳玲.中小企業(yè)網(wǎng)站的管理與維護(hù)[J].安徽科技，2006，8.