基于互联网Web信息系统的安全问题研讨

来源 :中国信息化·学术版 | 被引量 : 0次 | 上传用户:yin_guohan163
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】信息安全是网络应用中的一个重要课题。Web 信息系统是信息的发布中心,其数据库中存有大量的供用户共享的重要信息,因此Web 信息系统的安全是其建设和运行过程中应该充分考虑的重要问题。针对微软的因特网信息服务器(IIS)系统,本文从网络体系、操作系统、Web服务器、应用程序、数据库和管理制度安全意识等几个方面探讨了基于IIS的Web信息系统的安全问题,并结合目前的技术手段,阐述了构建 Web 信息系统应该采取的一些安全策略。
  【关键词】信息系统,浏览器,Web 服务器,网络安全,IIS,ASP
  【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158(2013)02-0138-01
  引言:
  随着计算机技术的普及与发展,Internet/Intranet 已越来越为人们所熟知。信息系统的结构也逐渐由传统的C/S(client/server)模式向B/S(browser/server)模式转变。B/S模式相对于C/S 模式具有系统易于维护和扩展,真正实现跨平台的系统集成服务,大大降低对网络带宽要求等优势。但是,随着基于 Web 的信息系统的广泛应用,有关部门单位的信息系统遭到攻击而蒙受巨大损失的事件时有发生,因此基于 Web的信息系统的安全性问题也越来越为人们所关注。
  1 基于Web的信息系统的体系结构
  基于Web的信息系统一般由浏览器、Web服务器、数据库服务器组成,基于Web信息系统的安全将涉及服务器所采用的操作系统、数据库管理系统、Web 服务器、应用程序等领域。
  2 web信息系统的安全性分析
  信息系统的安全性包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。在开放的网络环境下,系统安全的保障则更加困难。基于web的信息系统安全性体系大致分为网络系统、操作系统、web服务器及应用程序和数据库等多个层次,web信息安全隐患主要有以下 5 个方面:
  2.1 信息网络系统安全隐患:来自网络系统的安全威胁主要有DD oS(分布式拒绝服务)攻击、非授权的远程侵入、非法的扫描和探测及网络病毒对网络设备资源的消耗。对付DDoS攻击还没有行之有效的办法,只能靠加强网络的安全策略,实时对网络设备检测来防止。对于远程侵入和扫描则可以通过防火墙配合IDS(入侵检测系统)来保障。
  2.2 操作系统安全隐患:任何操作系统都存在不同程度的漏洞,特别是默认安装和设置的系统,安全威胁更大。此外,在一台服务器上安装多种服务系统时安全性也会降低。操作系统的安全性要靠我们正确的口令策略和设置、卸载不必要的服务和软件、及时升级不安全的软件版本来保障。
  2.3 web服务器安全隐患:web服务器通常会有以下两个方面的安全要求:①维持web内容的完整性;②防止该主机成为入侵你的网络或其它网络的跳板。大多数web服务器安全事件的发生是由于没有及时升级不安全的版本和软件配置不当造成的,配置不当的软件可能包括w eb服务器本身或者是web服务器运行的应用程序(如CGI、SSI和服务器API等)。
  2.4 数据库及应用程序安全隐患:web站点的数据库和应用程序存在两个方面的安全问题,首先是数据库系统本身的漏洞,包括使用有漏洞的数据库版本或是没有对数据库进行安全配置;其次是应用程序的解释脚本漏洞,比如程序脚本源程序的泄漏,用户认证口令的明码传输,用户使用习惯的考虑不周等。
  2.5 安全意识和管理制度:许多网站安全事故表明,安全意识的缺乏、管理制度和法规的不健全往往是威胁Web信息系统安全的重要因素。比如服务器供电没有UPS保护、机房无防盗措施、空闲机器的安全隐患、工作垃圾中安全信息的泄漏、合法用户的误操作、没有做数据备份和系统恢复措施等。
  3 基于 IIS 的web信息系统的安全管理策略
  3.1 网络系统的安全策略:一般Web网站都要对Interne t开放,网站所在的网络系统的安全性能对Web网站影响很大。网络系统的安全设计要在网络整体规划中就应该明确,所涉及的内容很多,这里针对保护Web网站提出几点措施。
  3.1.1 设置防火墙:在内网和外网之间设置防火墙,以隔离和过滤不安全的访问,是防止来自Internet的各种攻击的有效手段。
  3.1.2 划分VLAN:合理划分VLAN,减少“冲突域”的范围,减少网络监听的可能性,提高网络的安全性,为网站安全提供基础。
  3.1.3 安装入侵检测和实时监控软件:在网络系统中安装入侵检测和实时监控软件,及时发现网络系统中的安全漏洞,及时监视系统的安全攻击行为的发生并及时报告,为管理员采取进一步的措施提供依据。这类软件一般有基于网络和基于服务器两类。
  3.2 操作系统的安全策略:操作系统的安全是Web网站最基本的也是最重要的安全保证。IIS5.0+Windows2000Server是目前Web网站比较流行的平台,下面主要从安装、配置和管理三个方面探讨Windows2000Server的安全设计,其中的大部分原则和措施同样适合微软的其它操作系统平台。
  3.3 WEB服务器的安全策略
  IIS是当前使用最广泛的因特网服务器软件之一,IIS的安全性是建立在操作系统安全机制之上的,因此,配置IIS构建的Web站点的安全性除充分利用操作系统的安全性外,还应使用IIS本身提供的安全机制。
  3.4 数据库及应用程序的安全策略
  数据库安全的主要任务是防止非法用户访问或合法用户越权访问数据库中的数据。在网络中用户访问Web数据库是通过浏览器和Web服务器采用HTTP协议,用户执行基于Web的数据库应用程序,在浏览器端发出对某一数据库文件的请求,Web服务器接收到请求后,利用组件(如ActiveXDateObject)访问后台数据库。因此,根据W eb数据库的特点,可以采用用户身份认证、授权控制、数据加密、使用日志监视数据库、数据存储安全、审计和备份与数据恢复等安全管理技术。
  3.5 完善管理制度、加强安全意识并建立安全事件的应急措施
  安全不仅仅是个技术问题,更多的时候是意识和制度的问题。首先是要重视网络和网站安全的设计,建立机房制度和重要设备的操作规章;其次要制定用户操作守则,对用户进行安全知识培训和操作方法培训;第三,电源和物理安全,服务器要配置不间断电源系统,服务器机房要安装防盗和报警系统;第四,要做好重要数据和配置信息的备份和安全事故发生后的应急措施。对于安全性要求较高的网站,建议采用国际化标准(ISO)的安全管理模式,即PDCA模式来进行网站的安全管理。
  4 结束语
  信息系统的安全性在系统的建设中具有非常重要的作用,WEB 信息系统的安全是一个系统性、综合性的问题,其涉及的范围很广,要求系统管理员在做安全规划和实施时,遵从“木桶理论”原则,从网络系统、操作系统、web服务器及应用程序和数据库等方面系统考虑,结合实际层层设防,才能保证系统安全运行。
  参考文献
  [1] 张陇瑛.IIS安全设置与性能调整[J].河南气象,2007
  [2] 邱劲飚.浅谈 Win2000 WWW Server的网络安全[J].广东气象,2007
其他文献
“有色金属工业结构调整和产业转型升级取得明显进展,工业增加值年均增长10%以上,产业发展质量和效益明显改善。”这是《有色金属工业“十二五”发展规划》中提出的发展目标。  其中,产量目标为10种有色金属产量控制在4 600万吨左右,年均增长率为8%,其中精炼铜、电解铝、铅、锌产量分别控制在650万吨、2 400万吨、550万吨和720万吨,年均增长率分别为7.3%、8.8%、5.2%和6.9%。  
期刊
【摘 要】随着油田稠油开发的不断深入,沿用注湿蒸汽的常规吞吐方法已不能满足稠油采收率的提高和开采新技术发展的紧迫需要。稠油的高轮次开采主要是依靠蒸汽汽化潜热加温原油,蒸汽中的水分对产出无益,反而增加占据地层的孔隙体积,使采出液含水率上升,原油产量降低。为了大幅度提高稠油的采收率,要求注井的蒸汽品质越高越好,当以蒸汽过热态为最佳。稠油开采采用过热蒸汽吞吐技术后,采收率显著提高,产量可增加3~8倍。因
期刊
随着大庆油田的不断开采,油田已进入高含水期开采阶段,储采失衡的矛盾和后备储量不足问题日益突出,生产成本逐年上升,开采难度加大。为弥补油田原油产量递减,三次采油技术在油田得到广泛应用。使用高分子量聚丙烯酰胺驱油,可提高黏度和溶解性,降低高渗透油层的渗透率,增加吸水厚度,提高中、低渗透层的吸水能力,以利于大幅度提高原油采收率。  大庆炼化公司采用共聚工艺生产高分子量聚丙烯酰胺,产品质量一直不稳定,特别
期刊
【摘 要】光缆通信在我国已有20多年的使用历史,这段历史也就是光通信技术的发展史和光纤光缆的发展史。光纤通信因其具有的损耗低、传输频带宽、容量大、体积小、重量轻、抗电磁干扰、不易串音等优点,备受业内人士青睐,发展非常迅速。目前,光纤光缆已经进入了有线通信的各个领域,包括邮电通信、广播通信、电力通信、石油通信和军用通信等领域。本文主要综述我国光纤通信研究现状及其发展。  【关键词】光纤通信核心网接入
期刊
【摘 要】当前,计算机与互联网已经成为我们学习、工作乃至生活中必不可少的组成部分,其重要性已经上升到了一个前所未有的高度。但在计算机与互联网覆盖面积越来越广、应用越来越深以及人们对其的依耐性越来越强的同时,其各种安全问题也逐渐暴露了出来,在很大程度上对我们的信息安全造成了隐患。为进一步提高互联的安全性,本文根据笔者实际工作经验,提出了几点针对计算机网络安全的防范措施。  【关键词】网络安全;特点;
期刊
【摘 要】随着时代的发展,计算机已经走进我们生活的各个角落,它是我们工作和生活中不可缺少的重要工具,从某种意义上说,我们已经离不开计算机。计算机网络目前已应用到包括电信、广电、互联网等各个领域,无论我们是否正视它,计算机都在不同领域、以不同方式影响着我们的生活。因此,无论是个人还是单位,都应了解、熟悉计算机,进一步掌握计算机使用的常识,并了解、熟悉构建计算机网络,而内、外网管理及计算机安全、使用、
期刊
【摘 要】与传统的计算方式不同,云计算提供了动态的弹性规模扩展的计算,对信息产业体系架构的改进和创新起到了积极的促进作用,在云计算的应用中,其能耗问题得到了普遍的关注。本文笔者从云计算的能耗分析着手,分析了动态数据聚集算法,并探讨了控制计算能耗的有效方法,目的是为云计算数据中心的动态数据聚集算法的应用提供指导和借鉴,为云计算向着绿色方向发展指明提供有力支持。  【关键词】云计算;数据中心;动态数据
期刊
【摘 要】在现在社会,计算机在人们生活中的应用越来越广泛,人们的生活和工作越来越依赖于计算机。计算机中的软件是计算机工作的重要组成部分,软件也是计算机发展的主要方向,由于插件技术的出现和发展,为计算机软件带来新的生命力。文章就计算机软件中的插件技术及应用进行了分析。  【关键词】计算机软件;插件技术;应用  【中图分类号】TP311.52【文献标识码】A【文章编号】1672-5158(2013)0
期刊
六、无线电调制解调器的一般技术规格  1、工作频率:2.4GHz-2.483GHz(无需申请专用频点资源)。  2、发送器  输出功率:500mW(最大),分十档,可内部设置;第三档为100mW,可对最终用户锁定;调制方式:扩频,GFSK(预调制高斯滤波频移键控 ),射频数据速率144Kbps;扩展码:频率跳变(跳频);跳频图案:15种(使用者可选择其中之一);占据带宽:230KHz/每跳。  3
期刊
【中图分类号】TB65【文献标识码】A【文章编号】1672-5158(2013)02-0135-01  制冷站系统是一个复杂系统,由于负荷及外环境的频繁波动,必然造成系统运行参数偏离空调主机的最佳工作状态,导致主机制冷效率降低。如果系统长期在低效率状态下运行,就会增加系统的能源消耗,这一直是传统制冷站运行方式无法解决的一大难题。  要实现制冷站系统的最佳运行和节能,从局部去解决问题是不可能办到的,
期刊