刘雷 陈以

桂林电子科技大学计算机与控制学院 广西 541004

0 引言

随着计算机网络在政治、经济、生活中的广泛应用，人们对计算机的依赖性越来越强。网络在带给人们信息交流方便的同时，网络中的信息安全已成为人们日益关注的问题。因为互联网通信的协议基础TCP/IP协议本身在安全上存在着先天性的不足，病毒、黑客程序、邮件炸弹、远程侦听日益猖獗，由此引起网络安全问题日益严重，如何保护计算机信息安全，也即信息内容的保密问题显得越来越重要。

1 网站不安全的原因

1.1 Internet自身安全性

Internet本来就不安全，因为最初的Internet建设者们不认为安全是问题。Internet在其早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以，几乎所有的Internet协议都没有考虑安全机制。这点从Internet上最通用的应用FTP，Telnet和电子邮件中的用户口令的明文传输以及IP报文在子网段上的广播传递就充分地体现出来。只是近些年来，Internet的性质和使用人员的情况发生了很大的变化，使得Internet的安全问题显得越来越突出。随着Internet的全球普及和商业化，用户很多非常私人化，如信用卡号等和其自身利益相关的信息也通过Internet传输。现在越来越多的信息放在网上是为了赢利，而不是完全免费的信息共享，所以其安全性也成为人们日趋关注的问题。

1.2 一般网站普遍出现不安全的原因

一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少；在正常使用过程中，即便存在安全漏洞，正常的使用者并不会察觉。

大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不惟一的网站攻击，基于特征匹配技术防御攻击，不能精确阻断攻击。

有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了网站控制权限。这不是最可怕的，因为黑客在获取权限后没有想要隐蔽自己，反而是通过篡改网页暴露自己，这虽然对网站造成很多负面影响，但黑客本身未获得直接利益。可怕的是，黑客在获取网站的控制权限之后，并不暴露自己，而是利用所控制网站产生直接利益；网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。

计算机病毒也是很大的问题，而且时常出现，主要是由于它的传播途径，①不可移动的计算机硬件设备；②移动存储设备（包括软盘、磁带、U盘、MP3等）；③网络；④通过点对点通信系统和无线通信系统传播；⑤电子邮件等等。而且计算机病毒变异种类繁多，更多还趋向与智能化方向，所以也成为了安全问题中的一大隐患。

网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站开发与设计公司，对网站安全代码设计方面了解甚少，即使发现网站安全存在问题和漏洞，其修补方式也只能停留在页面修复，很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页防篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中，曾经戏剧化的发现，网站的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。

2 安全策略

怎样才能有效的保护网站的安全？通过什么有效的手段来解决网站中普遍出现的安全问题呢？为此，我们提出一些安全应对策略来解决这些问题。

2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。

抑制和防止电磁泄露（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2.2 技术层面策略

对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策：

（1）建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。

（2）网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

（3）数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

（4）应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一，密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理等。

（5）切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U 盘和程序，不随意下载网络可疑信息。

（6）提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。

（7）研发并完善高安全的操作系统。研发具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

2.3 管理层面策略

计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

我国对网络犯罪已经有了相关的法律条文，虽然在网站管理和服务方面还没有相关法律条文，但是涉及安全问题的很多行为，实则已经列入网络犯罪内。第九届全国人民代表大会常务委员会第十九次会议通过了《维护互联网安全的决定》，其中对网络安全很多问题已经做了很明确的定义。

3 结论

综上所述，由于网站网络存在着严重的安全隐患，所以必须提高网络管理员的网络安全意识和技术水平，准备解决所有已知和未知的安全问题。目前我国在网站的管理和服务方面还没有法律条文，所以应该制定自己的规章制度，应用制度配合技术手段，在防御上要具有超前意识。并要对用户惊醒教育和培养，使得合法用户都能文明运用网站网络，只有这样才能把网站的网络安全变被动为主动，以能够更好的开展网站的各项服务工作，并为所有合法用户提供一个稳定而可靠的安全环境。

[1]岳飞.网站安全堪忧完善检测机制是出路[J].信息系统工程.2008.

[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社.2006.

[3]徐祗祥.计算机安全防护[M].北京:科学技术文献出版社.2007.

[4]张敏波.网络安全实战详解[M].北京:电子工业出版社.2008.