政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 本文檔格式為 WORD,感謝你的閱讀。 【摘要】：政務(wù)網(wǎng)站是各層政府在互聯(lián)網(wǎng)上實(shí)施信息公布和辦理業(yè)務(wù)的主要窗口，是政府單位和群眾用來交流的中樞，所以政務(wù)網(wǎng)站的質(zhì)量，直接影響各部門的辦公效率和公眾形象。近幾年，以 Web 與數(shù)據(jù)庫框架基礎(chǔ)的政務(wù)系統(tǒng)逐漸作為主流。然而在現(xiàn)實(shí)的安排中，因?yàn)楸Ｗo(hù)措施不夠，政務(wù)網(wǎng)站時常會受到黑客的攻擊和破壞。文章結(jié)合最新的技術(shù)手段，提出了較全面的政務(wù)網(wǎng)站安全保護(hù)方法，這些方法通過實(shí)踐檢驗(yàn)， 是行之有效的，防護(hù)效果較為顯著。 【關(guān)鍵詞】：政務(wù)網(wǎng)站、網(wǎng)絡(luò)安全、 Web 服務(wù)器、保護(hù)措施 TU714 A 1、前言 作為政務(wù)公布和為民服務(wù)的重要窗口，政務(wù)網(wǎng)站在電子政務(wù)的設(shè)計中具有重要位置。然而伴隨我國電子政務(wù)網(wǎng)站建設(shè)的規(guī)模逐漸擴(kuò)大和互聯(lián)網(wǎng)應(yīng)用的逐漸普及，其安全問題也越發(fā)突出嚴(yán)峻。一方面，電子政務(wù)網(wǎng)站的規(guī)模快速擴(kuò)大，另一方面，我國電子政務(wù)網(wǎng)站系統(tǒng)仍然無一套科學(xué)、完整、高效的保護(hù)機(jī)制。相關(guān)研究結(jié)果表明，電子政務(wù)網(wǎng)站在 2011年受到威脅和攻擊次數(shù)最多，造成影響和結(jié)果最為 嚴(yán)重。許多黑客通過網(wǎng)站漏洞，惡意篡改網(wǎng)站的內(nèi)容，或者將病毒種入電子政務(wù)網(wǎng)站。所以，當(dāng)前的電子政務(wù)網(wǎng)站安全遭遇的情況相當(dāng)嚴(yán)峻。 2、電子政務(wù)網(wǎng)站遭受的主要威脅 2.1 DDoS 攻擊 分布式拒絕服務(wù)攻擊 (DDoS)是當(dāng)前黑客經(jīng)常采取卻很難防范的攻擊手段。 DoS 的攻擊形式有許多種。最基礎(chǔ)的 DoS攻擊則是利用通過合理的服務(wù)請求來占據(jù)大量的服務(wù)資源，導(dǎo)致服務(wù)超載，不能響應(yīng)另外的請求。被 DDos 攻擊時的主要表現(xiàn)有：（ 1）網(wǎng)絡(luò)中存在著許多的沒用的數(shù)據(jù)包。（ 2）形成高流量沒用數(shù)據(jù)，形成網(wǎng)絡(luò)擁擠 ，令被攻擊主機(jī)不能正常與外界聯(lián)系。（ 3）用被攻擊主機(jī)提供的服務(wù)或傳送協(xié)議上的不足，重復(fù)高速地發(fā)出指定的服務(wù)請求，令被攻擊主機(jī)不能及時處理全部正常請求。（ 4）嚴(yán)重時可以引起系統(tǒng)死機(jī)。 2.2 SQL 注入攻擊 所謂 SQL 注入式攻擊，就是黑客將 SQL 命令插進(jìn)到 Web列表的輸入?yún)^(qū)或頁面請求的查詢字符串，蒙騙服務(wù)器運(yùn)行惡意的 SQL 命令。源自官方的解釋是 :“ 在應(yīng)用程序運(yùn)行輸入內(nèi)容來形成動態(tài) SQL 語句來訪問數(shù)據(jù)庫時，會引起 SQL 注入攻擊。如若代碼運(yùn)行存儲過程，同時這些存儲過程當(dāng)作包括沒有篩選的用戶輸入 的字符串來傳輸，也會引起 SQL 注入攻擊。 SQL 注入可能造成攻擊者可以運(yùn)用應(yīng)用程序訪問在數(shù)據(jù)庫中運(yùn)行命令。如若應(yīng)用程序運(yùn)用特權(quán)較高的帳戶連接進(jìn)數(shù)據(jù)庫，這類問題會轉(zhuǎn)變更嚴(yán)重。 ” 在一些列表中，用戶輸入的內(nèi)容直接用作構(gòu)建 (動態(tài) SQL 命令，或用作存儲過程的輸入?yún)?shù)，這種列表尤其容易遭受 SQL 注入式攻擊。然而大量網(wǎng)站程序在編程時，未對用戶輸入內(nèi)容的合法性進(jìn)行判定或者程序中自身的變量處置不當(dāng)，令應(yīng)用程序有安全問題。如此用戶就能夠上交一串?dāng)?shù)據(jù)庫查詢編碼，依據(jù)程序返回的數(shù)據(jù)，得到一些敏感的信息或者掌控全部服務(wù)器，因此 SQL 注 入誕生了。換而言之， SQL 注入的機(jī)理就是從客戶端上交特定的編碼，得到程序及服務(wù)器的信息，因此取得想要獲到的資料。 2.3 跨站點(diǎn)腳本攻擊 跨站腳本攻擊（也叫 CSS 或者 XSS）指通過網(wǎng)站漏洞從用戶處惡意竊取訊息。用戶在訪問網(wǎng)站、運(yùn)用即時通訊軟件、甚至當(dāng)瀏覽電子郵件時，正常會點(diǎn)擊當(dāng)中的鏈接。攻擊者利用在鏈接中插進(jìn)惡意編碼，就可以竊取用戶訊息。攻擊者正常會運(yùn)用十六進(jìn)制對鏈接編程，避免用戶對它的合法性產(chǎn)生懷疑。網(wǎng)站在收到包括惡意編碼的請求后會生成一個蘊(yùn)含惡意編碼的界面，然而這個界面看著好像是原網(wǎng)站 應(yīng)該形成的合法界面一樣。很風(fēng)靡的留言板和論壇程序同意用戶發(fā)表包括 HTML 和 javascript 的帖子。如果用戶甲發(fā)表了一篇包括惡意腳本的帖子，那么用戶乙在查閱這篇帖子時，惡意腳本就會運(yùn)行行，竊取用戶乙的 session 訊息。 3、電子政務(wù)網(wǎng)站的安全防護(hù)措施 3.1 網(wǎng)站安全架構(gòu) 為處理政務(wù)網(wǎng)站的安全隱患，第一必須建設(shè)一套全面的安全系統(tǒng)結(jié)構(gòu)來確保電子政務(wù)網(wǎng)站的安全性，建設(shè)一套事前、事中和事后的縱深保護(hù)系統(tǒng)，這是處理以上的攻擊方式的前提，在此結(jié)構(gòu)上采用別的的一些安全技術(shù)，多層次共同保護(hù) 政務(wù)網(wǎng)站的安全性。對于第 1 部分三種威脅，建設(shè)如圖 1所示的安全系統(tǒng)結(jié)構(gòu)。在基礎(chǔ)的安全和服務(wù)平臺上添加安全管理體制和緊急恢復(fù)體制。 圖 1 中間的基礎(chǔ)安全與服務(wù)平臺是網(wǎng)站安全的前提，當(dāng)中特別是物理安全極其重要，它是網(wǎng)站安全的基礎(chǔ)，因此要求政府機(jī)構(gòu)在建設(shè)網(wǎng)站初期擬定全面的安全管理體制和有效的緊急恢復(fù)體制，預(yù)防物理損壞對網(wǎng)站引起的重大損害。在網(wǎng)絡(luò)層面，要注重安全區(qū)劃分、入侵防護(hù)和防拒絕服務(wù)攻擊。文章后部分提出的技術(shù)能夠融入本平臺中，和網(wǎng)絡(luò)層與應(yīng)用層結(jié)合在一起，處理相關(guān)的安全危險。構(gòu)建安全檢查監(jiān)督和激勵等體制， 增強(qiáng)管理人員的操作能力與應(yīng)變能力，構(gòu)建完善的安全管理系統(tǒng)制度。緊急恢復(fù)機(jī)制堅持防御為主、及時分離、全面根除的原則，保證網(wǎng)站信息系統(tǒng)平穩(wěn)運(yùn)行、網(wǎng)站信息內(nèi)容安全完整。 3.2 網(wǎng)站加固技術(shù) (1)采取高性能的網(wǎng)絡(luò)配置。首先要確保網(wǎng)絡(luò)配置不會成為瓶頸，所以選取路由器、交換機(jī)、硬件防火墻等配置時應(yīng)盡可能選取名譽(yù)度高、口碑好的設(shè)備。還能夠和網(wǎng)絡(luò)供應(yīng)商作為合作伙伴，當(dāng)大量攻擊存在的時請他們在網(wǎng)絡(luò)接點(diǎn)處進(jìn)行流量截止，這一手段對于一些種類的 DDoS 攻擊是十分有效的。 (2)盡可能減少采用易引起系 統(tǒng)性能降低的技術(shù)。某些技術(shù)的運(yùn)用，有可能使網(wǎng)絡(luò)的能力相當(dāng)大的幅度降低。比如NAT 地址轉(zhuǎn)化技術(shù)，需要對網(wǎng)絡(luò)地址不停地實(shí)施轉(zhuǎn)變，這當(dāng)中需要對網(wǎng)絡(luò)包的地址進(jìn)行海量計算和校正，大幅占據(jù) CPU 時間，所以不管是路由器還是硬件防火墻配置都需盡量地減少這類技術(shù)的運(yùn)用。 (3)增強(qiáng)操作系統(tǒng)的防護(hù)性能。 WindowsServer2008 和WindowsServer2008 作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗 DDoS 攻擊的能力，只是默認(rèn)狀態(tài)下并沒有開啟，如果開啟的話可抵擋約 10000 個 SYN 攻擊包，若沒有開啟則僅能 抵御數(shù)百個。因此，增強(qiáng)操作系統(tǒng)的防護(hù)性能對于 DDoS 的防范可謂事半功倍。 (4)其它加固方式。政府單位能夠選購專業(yè)的防護(hù) DDos和腳本攻擊的防火墻設(shè)施，選用 DNS 輪詢或者負(fù)載均衡技術(shù)，對進(jìn)行攻擊的惡意編碼進(jìn)行驅(qū)動級攔截，用詞來翻倍增強(qiáng)防護(hù)攻擊能力。 3.3 網(wǎng)站安全監(jiān)測技術(shù) (1)網(wǎng)站遠(yuǎn)程檢測。相比傳統(tǒng)的監(jiān)測方法，網(wǎng)站遠(yuǎn)程安全檢測具有鮮明的點(diǎn)。其一，遠(yuǎn)程檢測的標(biāo)準(zhǔn)化程度比較高；其二，與跟簡單的 Web 漏洞掃描產(chǎn)品相比較，遠(yuǎn)程檢測對 Web 漏洞的檢測更快速而全面，該種檢測采用了多種安全工具進(jìn)行檢測，還經(jīng)過了人工審核與數(shù)據(jù)分析，從而產(chǎn)生更加準(zhǔn)確和全面的結(jié)果，避免了單一工具檢查的片面性和部分誤報率。 (2)操作系統(tǒng)與應(yīng)用環(huán)境預(yù)警。服務(wù)器運(yùn)行的軟件基礎(chǔ)是操作系統(tǒng)，操作系統(tǒng)環(huán)境和應(yīng)用環(huán)境的安全直接影響著 Web應(yīng)用安全穩(wěn)定的運(yùn)行，因此需要不斷地核查系統(tǒng)，監(jiān)測應(yīng)用環(huán)境安全性，譬如是否有入侵痕跡、是否含有隱藏的克隆系統(tǒng)管理員賬號、中間件環(huán)境是否存在潛在的危險。系統(tǒng)的安全檢測主要有系統(tǒng)補(bǔ)丁更新狀況、系統(tǒng)賬戶策略安全性、系統(tǒng)密碼策略安全性、系統(tǒng)服務(wù)策略安全性等直接與系統(tǒng)安全的各種配置和漏洞修復(fù) 狀況等檢測有關(guān)。應(yīng)用環(huán)境的安全檢測包含提供 Web 服務(wù)的程序安全性檢測、提供代碼解釋和執(zhí)行的基礎(chǔ)環(huán)境的安全性檢測等。 (3)網(wǎng)站掛馬檢測。網(wǎng)站掛馬檢測服務(wù)，主要是指事先定期對網(wǎng)站進(jìn)行檢測和監(jiān)控，網(wǎng)站是否有被掛馬的跡象要及時發(fā)現(xiàn)。網(wǎng)站掛馬檢測服務(wù)在發(fā)現(xiàn)頁面代碼中是否被嵌入了木馬的同時，還可以發(fā)現(xiàn)惡意代碼及其相關(guān)目的鏈接等被嵌入到和存儲到數(shù)據(jù)庫中。事實(shí)表明，此種檢測方法防范 CSS跨站腳本攻擊和 SQL 注入攻擊的效果明顯。 4、結(jié)語 文章主要針對開始部分中降到的主要的安全危險提出對應(yīng)的處 理措施，布置以上技術(shù)措施后的電子政務(wù)網(wǎng)站，基本能夠保證電子政務(wù)網(wǎng)站的安全性，然而電子政務(wù)網(wǎng)站的安全管理，是一個系統(tǒng)工程，除了要有較好的保護(hù)措施之外，還需要建立科學(xué)、先進(jìn)的網(wǎng)站建設(shè)、運(yùn)行和維護(hù)的管理方式。另外還有其他某些存在的以及未發(fā)現(xiàn)的安全危險，將別的安全危險和文章中說到的危險進(jìn)行相關(guān)性分析，提取重要特征，設(shè)計相應(yīng)的解決方案。 參考文獻(xiàn)： 1 張岸 張毅東：政府網(wǎng)站安全防護(hù)解決方案研究 ,情報探索， 2010 年 11 期 2 王鍵：電子政務(wù)與信息安全，中國教育信息 化， 2007 年 13 期 3 劉奇峰：我國電子政務(wù)發(fā)展現(xiàn)狀及對策，湖南行政學(xué)院學(xué)報， 2007 年 02 期 4 李德平 鄒慧玲：電子政務(wù)建設(shè)中的信息安全保障機(jī)制研究，商業(yè)時代， 2007 年 21 期 文檔資料：政務(wù)網(wǎng)站的安全性研究政務(wù)網(wǎng)站的安全性研究 完整下載 完整閱讀 全文下載 全文閱讀 免費(fèi)閱讀及下載 閱讀相關(guān)文檔 :高層建筑施工技術(shù)探析 真空輔助壓漿技術(shù)在高速公路橋梁中的應(yīng)用 土建工程預(yù)算控制管理的有效措施 園林景觀施工管理心得 怎樣做好工程回訪 我國稀土發(fā)光材料產(chǎn)業(yè)的發(fā)展與現(xiàn)狀 園林景觀設(shè)計中的色彩運(yùn)用 園林綠化施工管理控制 在園林工程施工過程中應(yīng)注意的問題 園城集團(tuán)有限公司人才流失的原因及對策研究 園林景觀工程施工及其管理技術(shù)探討 預(yù)應(yīng)力混凝土橋梁結(jié)構(gòu)加固與裂縫處理 預(yù)應(yīng)力混凝土橋梁懸臂澆筑的施工控制