- 相关推荐
校园网中Web站点的安全防范论文
校园Web网站是校园网建设的一个重要组成部分,学校内外信息交流的平台,教师教学研究和学生学习的重要场所,保证校园网Web站点的正常运行及其数据的安全具有重要的意义。本文重点分析了校园网络中Web站点出现的安全威胁,并提出校园网Web站点网络安全的防范措施。
【关键词】Web站点;安全;防范;防火墙;入侵检测
1 引言
目前,校园网内的服务器星罗棋布,它们支撑着各种各样的信息服务,如校园新闻的发布、校务信息的公开、学生成绩的登录和查询、工资查询、科研经费查询、各门课程教学资源的共享等。在多种特定角色服务器(如FTP服务器、DNS服务器、Web服务器)中,又数Web服务器最易受到来自网络的攻击,这些攻击可能来自校园网内部,也可能来自外部互联网。黑客一旦成功入侵Web服务器,就会窃取一些机密或敏感的信息,停掉或启用Web服务器上一些服务或应用程序,停掉Web服务器上的日记或其他安全控制,执行缓冲区溢出攻击,加载其他类型的Dos(拒绝服务)攻击,上传证明自己入侵成功的文件或将Web服务器作为攻击其他计算机系统的跳板等。
1.1 Web服务器面临的主要威胁
Web应用程序面临的安全威胁,一方面源于编程语言自身的弱点,如目标程序的不稳定性、不安全性;另一方面是人为主观因素(程序员/管理员的疏忽与黑客利用程序的弱点发动的恶意攻击等)造成的威胁,如:隐藏操作、参数篡改、站点脚本、缓冲区溢出和不安全的Cookie,等等。这些安全威胁,只能在程序代码级进行解决。这些威胁包括:源代码扫描、Cookie毒药、隐藏字段、强行浏览,已知漏洞和错误配置、缓冲区溢出,调试选项与后门程序、参数篡改、隐蔽指令执行、跨站点脚本、应用层拒绝服务分析、拒绝服务、非授权访问、任意代码执行、特权提升、病毒、蠕虫和特洛伊木马等是Web服务器的主要威胁。其中:(1)分析(也称为主机枚举)是用来收集Web站点信息的探索性过程。攻击者使用这些信息攻击已知的弱点;(2)拒绝服务是指服务器被服务请求所淹没,无法对合法客户端的请求做出响应;(3)未授权访问是指没有正确权限的用户获取了访问受限信息或者执行受限操作所需权限;(4)代码执行攻击是攻击者在服务器上运行恶意代码,以威胁服务器资源的安全或者对下游系统实施其他攻击;(5)特权提升攻击指攻击者通过使用特权进程账号运行代码;(6)恶意的代码有几种变种,包括:病毒、蠕虫、特洛伊木马。在许多情况下,恶意的代码直至开始消耗系统资源并减慢或者阻碍了其他程序的执行时,才会被注意到。如何有效地保护Web服务器上信息的安全性和服务的可用性是目前迫切需要重视的问题。市场营销毕业论文范文
2 高校Web站点网络安全面临的主要的威胁
校园网Web站点的主要安全威胁来源于计算机病毒、内部用户恶意攻击和破坏、内部用户非恶意的错误操作和网络黑客入侵等。
2.1计算机病毒
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒由于具有寄生性、破坏性、隐蔽性、潜伏性、传染性和可触发性几个特点,使得计算机病毒难于防范。计算机病毒是影响高校网络Web站点安全最主要的安全威胁之一,一旦计算机病毒发作,不仅破环Web站点服务器系统的软件和各种文件系统,使服务器无法正常工作,而且会使整个校园网络速度急剧下降、甚至会导致整个校园网络瘫痪。
2.2内部用户的恶意攻击和破坏
内部用户的恶意攻击,主要指校园网络内部用户为达到某种目的,而采用不正当的手段去破坏校园网Web站点软硬件设施,非法浏览、窃取或者篡改Web站点账户、密码和数据。内部用户的恶意攻击和破坏通常是通过字典工具暴力破解系统密码,通过破解口令文档或者植入木马盗取非法获取Web服务器管理员账号和密码,恶意传播病毒、通过工具软件扫描主机漏洞进行漏洞攻击和进行非法控制或者存取数据,发送大量的数据包或者报文堵塞Web网站服务器。
2.3内部用户的非恶意的错误操作
内部用户的非恶意操作,是指校园网内部用户因在不知道或者不了解的情况下进行的错误操作而引起的对网络的不良安全威胁。包括内部用户正常访问存取时将病毒带入Web站点,管理员误将带有病毒移动磁盘连接到Web服务器上,服务器操作系统不设口令或者设置弱口令,设置了非安全共享文件夹等。
2.4网络黑客入侵
网络黑客入侵是指黑客利用操作系统中的安全漏洞非法进入他人计算机系统,盗取他人信息、或破坏他人计算机系统的攻击行为。黑客的攻击对Web站点构成极大威胁,它分为主动攻击和被动攻击两种。主动攻击是指攻击者通过有选择的中断、伪造数据流或数据流的一部分以达到其非法目的。被动攻击是指攻击者通过监听网络上传递的信息流,对信息流进行分析,从而获取有用信息。
3 校园网Web站点安全防范措施
3.1确保网络的安全
3.1.1 防火墙技术
防火墙是隔离本地网络与外界网络的一道防御系统。通常用于内部局域网与外部广域网之间,通过限制外部网络用户以非法手段来访问内部资源,来达到保护内部网络的安全。根据安全规则,防火墙对任何外部网络访问内部网络的行为进行认证,对外部网络尽可能地屏蔽内部网络的信息、结构和运行状态。对合法用户,则允许进入内部网络并仅限于合法的操作;对未经授权的用户应限制在防火墙外。其从实现层次上大体可分为3类:包过滤防火墙,代理防火墙和复合型防火墙。包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。代理防火墙也叫应用层网关防火墙,是运行代理服务软件的堡垒主机。堡垒主机由两张网卡分别连接两个网络,通过代理服务进行转发数据。代理服务是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、文件传输等。同时,还可应用于实施较强的数据流监控、过滤、记录和报告等功能。复合型防火墙是将数据包过滤和代理服务结合在一起使用,主要包括主机屏蔽防火墙和子网屏蔽防火墙。主机屏蔽防火墙由单个网络端口的应用型防火墙和一个包过滤路由器组成,子网屏蔽防火墙在内部网络与外部网络之间加有两个包过滤路由器和一个堡垒主机,内部网络和外部网络不能直接通信,但能够通过各自的路由器和堡垒主机交换数据。
3.1.2 访问控制技术
访问控制技术是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。它可以对基于网址、端口、访问时间、访问的用户、网络流量、IP地址和MAC地址等进行配置参数来控制网络数据交换。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级安全控制以及属性控制等多种手段。
3.1.3入侵检测技术
入侵检测技术是指在计算机网络或者计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或者系统中是否有违反安全策略和被攻击迹象的技术。入侵检测系统主要通过监控网络,系统的状态、行为和系统的使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全漏洞对系统进行入侵的企图。它可以及时发现并监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为、对攻击行为或异常行为进行响应、审计和跟踪;并能对攻击或异常行为进行阻断、记录、报警,将攻击行为产生的破坏和影响降至最低。入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件的记录与攻击签名以发现它们是否匹配。如果匹配,检测系统就向系统发出警报并反馈入侵信息。基于网络的入侵检测系统以原始的网络数据包作为数据源,它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。
3.1.4数据加密技术
数据加密技术是指将一个信息(或称明文)经过加密钥匙及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙还原成明文。网络安全论文按加密算法分为专用密钥和公开密钥两种。专用密钥是加密密钥和解密密钥相同或者一个可由另一个导出,特点是安全性好、开放性差。公开密钥是加密密钥公开,解密密钥不公开,不能用一个推导出另外一个,特点是适用于开放的环境,密钥管理简单,工作较专用密钥低。
3.2 操作系统安全
使用最新的ServicePack,及时防范系统潜在的问题;采用NTFS文件系统;更改系统管理员帐号;取消TCP/IP与NetBIOS的绑定。
3.3合理配置Web服务器
3.3.1在Unix OS中,以非特权用户而不是Root身份运行Web服务器。
(1)设置Web服务器访问控制。通过IP地址控制、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;(2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应;(3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3.3.2 设置Web服务器有关目录的权限
为了安全起见,管理员应对“文档根目录” 和“服务器根目录”做严格的访问权限控制。
服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。
服务器根目录下存放CGI脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由Root来写或者执行,如Web服务器需要Root来启动,如果其他用户对Web服务器的执行程序有写权限,则该用户可以用其他代码替换掉Web服务器的执行程序,当Root再次执行这个程序时,用户设定的代码将以Root身份运行。
3.3.3 安全管理Web服务器
Web服务器的日常管理、维护工作包括Web服务器的内容更新,日志文件的审计,安装一些新的工具、软件,更改服务器配置,对Web进行安全检查等。
3.4 Web服务器数据备份和应急恢复系统
保障Web网站服务器数据安全,除采用加密手段外,还可对服务器系统进行备份,或者采用磁盘阵列技术制作镜像磁盘,采用手工备份和系统自动备份相结合的方法,以便当Web服务器出现系统崩溃或者硬件损坏时,能够保证数据完整,并能及时恢复系统。
3.5加强人员管理和培训
在技术保障的前提下,对于网络的安全管理和相关人员的培训教育也是重要的一步。出现网络安全事故的原因大多是由于网络安全管理不到位,因此,必须制定相关网络安全的规章制度,如网络操作使用规范、进出机房管理制度,网络系统维护制度和安全技术培训制度等。加强内部用户的安全教育,实现上网实名制度,能有效地防止内部网络用户的攻击行为;定期对管理员进行安全技术培训将大大提高其网络安全意识,减少网络事故的出现。
4 结束语
校园网Web站点的安全,除了采用Web服务器配置技术手段和管理手段外,还可以在Web站点设计上下功夫,在编制程序Web应用程序时,加入各种安全技术及管理措施,这样Web站点才会更安全、更可靠。
[参考文献]
[1]廖兴.网络安全技术[M].西安电子科技大学出版社,2007.
[2]吴辰文.网站的安全性问题研究[J].甘肃工业大学学报,2002.
[3]宁博,张保杰.网络安全技术及防火墙在校园网的应用[J].西安邮电大学学报,2007.9.
[4]周增国.WEB网站安全问题的研究与应用[J].计算机与网络,2005.
[5]张书梅,符蕴芳,刘智国.网站安全管理的方法与具体实现[J].石家庄学院学报,2005.
【校园网中Web站点的安全防范论文】相关文章:
校园网信息安全防范论文(精选6篇)09-20
校园网信息安全及防范策略10-08
校园网的信息安全论文10-08
浅析高校校园网信息安全的现状与防范10-08
网络信息安全与防范论文10-09
Web数据挖掘技术在电子商务中的应用论文10-09
防范护理隐患,保证安全论文10-09
管控校园网信息安全论文10-09
探析Web3D技术在现代教学中的应用论文10-09
高职院校智慧校园网络的信息安全论文10-09