论文部分内容阅读
【摘要】:政务网站是各层政府在互联网上实施信息公布和办理业务的主要窗口,是政府单位和群众用来交流的中枢,所以政务网站的质量,直接影响各部门的办公效率和公众形象。近几年,以Web与数据库框架基础的政务系统逐渐作为主流。然而在现实的安排中,因为保护措施不够,政务网站时常会受到黑客的攻击和破坏。文章结合最新的技术手段,提出了较全面的政务网站安全保护方法,这些方法通过实践检验,是行之有效的,防护效果较为显著。
【关键词】:政务网站、网络安全、Web服务器、保护措施
中图分类号:TU714文献标识码: A
1、前言
作为政务公布和为民服务的重要窗口,政务网站在电子政务的设计中具有重要位置。然而伴随我国电子政务网站建设的规模逐渐扩大和互联网应用的逐渐普及,其安全问题也越发突出严峻。一方面,电子政务网站的规模快速扩大,另一方面,我国电子政务网站系统仍然无一套科学、完整、高效的保护机制。相关研究结果表明,电子政务网站在2011年受到威胁和攻击次数最多,造成影响和结果最为严重。许多黑客通过网站漏洞,恶意篡改网站的内容,或者将病毒种入电子政务网站。所以,当前的电子政务网站安全遭遇的情况相当严峻。
2、电子政务网站遭受的主要威胁
2.1 DDoS攻击
分布式拒绝服务攻击(DDoS)是当前黑客经常采取却很难防范的攻击手段。DoS的攻击形式有许多种。最基础的DoS攻击则是利用通过合理的服务请求来占据大量的服务资源,导致服务超载,不能响应另外的请求。被DDos攻击时的主要表现有:(1)网络中存在着许多的没用的数据包。(2)形成高流量没用数据,形成网络拥挤,令被攻击主机不能正常与外界联系。(3)用被攻击主机提供的服务或传送协议上的不足,重复高速地发出指定的服务请求,令被攻击主机不能及时处理全部正常请求。(4)严重时可以引起系统死机。
2.2 SQL注入攻击
所谓SQL注入式攻击,就是黑客将SQL命令插进到Web列表的输入区或页面请求的查询字符串,蒙骗服务器运行恶意的SQL命令。源自官方的解释是:“在应用程序运行输入内容来形成动态SQL语句来访问数据库时,会引起SQL注入攻击。如若代码运行存储过程,同时这些存储过程当作包括没有筛选的用户输入的字符串来传输,也会引起SQL注入攻击。SQL注入可能造成攻击者可以运用应用程序访问在数据库中运行命令。如若应用程序运用特权较高的帐户连接进数据库,这类问题会转变更严重。”在一些列表中,用户输入的内容直接用作构建(动态SQL命令,或用作存储过程的输入参数,这种列表尤其容易遭受SQL注入式攻击。然而大量网站程序在编程时,未对用户输入内容的合法性进行判定或者程序中自身的变量处置不当,令应用程序有安全问题。如此用户就能够上交一串数据库查询编码,依据程序返回的数据,得到一些敏感的信息或者掌控全部服务器,因此SQL注入诞生了。换而言之,SQL注入的机理就是从客户端上交特定的编码,得到程序及服务器的信息,因此取得想要获到的资料。
2.3跨站点脚本攻击
跨站脚本攻击(也叫CSS或者XSS)指通过网站漏洞从用户处恶意窃取讯息。用户在访问网站、运用即时通讯软件、甚至当浏览电子邮件时,正常会点击当中的链接。攻击者利用在链接中插进恶意编码,就可以窃取用户讯息。攻击者正常会运用十六进制对链接编程,避免用户对它的合法性产生怀疑。网站在收到包括恶意编码的请求后会生成一个蕴含恶意编码的界面,然而这个界面看着好像是原网站应该形成的合法界面一样。很风靡的留言板和论坛程序同意用户发表包括HTML和javascript的帖子。如果用户甲发表了一篇包括恶意脚本的帖子,那么用户乙在查阅这篇帖子时,恶意脚本就会运行行,窃取用户乙的session讯息。
3、电子政务网站的安全防护措施
3.1网站安全架构
为处理政务网站的安全隐患,第一必须建设一套全面的安全系统结构来确保电子政务网站的安全性,建设一套事前、事中和事后的纵深保护系统,这是处理以上的攻击方式的前提,在此结构上采用别的的一些安全技术,多层次共同保护政务网站的安全性。对于第1部分三种威胁,建设如图1所示的安全系统结构。在基础的安全和服务平台上添加安全管理体制和紧急恢复体制。
图1中间的基础安全与服务平台是网站安全的前提,当中特别是物理安全极其重要,它是网站安全的基础,因此要求政府机构在建设网站初期拟定全面的安全管理体制和有效的紧急恢复体制,预防物理损坏对网站引起的重大损害。在网络层面,要注重安全区划分、入侵防护和防拒绝服务攻击。文章后部分提出的技术能够融入本平台中,和网络层与应用层结合在一起,处理相关的安全危险。构建安全检查监督和激励等体制,增强管理人员的操作能力与应变能力,构建完善的安全管理系统制度。紧急恢复机制坚持防御为主、及时分离、全面根除的原則,保证网站信息系统平稳运行、网站信息内容安全完整。
3.2网站加固技术
(1)采取高性能的网络配置。首先要确保网络配置不会成为瓶颈,所以选取路由器、交换机、硬件防火墙等配置时应尽可能选取名誉度高、口碑好的设备。还能够和网络供应商作为合作伙伴,当大量攻击存在的时请他们在网络接点处进行流量截止,这一手段对于一些种类的DDoS攻击是十分有效的。
(2)尽可能减少采用易引起系统性能降低的技术。某些技术的运用,有可能使网络的能力相当大的幅度降低。比如NAT地址转化技术,需要对网络地址不停地实施转变,这当中需要对网络包的地址进行海量计算和校正,大幅占据CPU时间,所以不管是路由器还是硬件防火墙配置都需尽量地减少这类技术的运用。
(3)增强操作系统的防护性能。WindowsServer2008和WindowsServer2008作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,只是默认状态下并没有开启,如果开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。因此,增强操作系统的防护性能对于DDoS的防范可谓事半功倍。
(4)其它加固方式。政府单位能够选购专业的防护DDos和脚本攻击的防火墙设施,选用DNS轮询或者负载均衡技术,对进行攻击的恶意编码进行驱动级拦截,用词来翻倍增强防护攻击能力。
3.3网站安全监测技术
(1)网站远程检测。相比传统的监测方法,网站远程安全检测具有鲜明的点。其一,远程检测的标准化程度比较高;其二,与跟简单的Web漏洞扫描产品相比较,远程检测对Web漏洞的检测更快速而全面,,该种检测采用了多种安全工具进行检测,还经过了人工审核与数据分析,从而产生更加准确和全面的结果,避免了单一工具检查的片面性和部分误报率。
(2)操作系统与应用环境预警。服务器运行的软件基础是操作系统,操作系统环境和应用环境的安全直接影响着Web应用安全稳定的运行,因此需要不断地核查系统,监测应用环境安全性,譬如是否有入侵痕迹、是否含有隐藏的克隆系统管理员账号、中间件环境是否存在潜在的危险。系统的安全检测主要有系统补丁更新状况、系统账户策略安全性、系统密码策略安全性、系统服务策略安全性等直接与系统安全的各种配置和漏洞修复状况等检测有关。应用环境的安全检测包含提供Web服务的程序安全性检测、提供代码解释和执行的基础环境的安全性检测等。
(3)网站挂马检测。网站挂马检测服务,主要是指事先定期对网站进行检测和监控,网站是否有被挂马的迹象要及时发现。网站挂马检测服务在发现页面代码中是否被嵌入了木马的同时,还可以发现恶意代码及其相关目的链接等被嵌入到和存储到数据库中。事实表明,此种检测方法防范CSS跨站脚本攻击和SQL注入攻击的效果明显。
4、结语
文章主要针对开始部分中降到的主要的安全危险提出对应的处理措施,布置以上技术措施后的电子政务网站,基本能够保证电子政务网站的安全性,然而电子政务网站的安全管理,是一个系统工程,除了要有较好的保护措施之外,还需要建立科学、先进的网站建设、运行和维护的管理方式。另外还有其他某些存在的以及未发现的安全危险,将别的安全危险和文章中说到的危险进行相关性分析,提取重要特征,设计相应的解决方案。
参考文献:
[1] 张岸 张毅东:《政府网站安全防护解决方案研究》,《情报探索》,2010年11期
[2] 王键:《电子政务与信息安全》,《中国教育信息化》,2007年13期
[3] 刘奇峰:《我国电子政务发展现状及对策》,《湖南行政学院学报》,2007年02期
[4] 李德平 邹慧玲:《电子政务建设中的信息安全保障机制研究》,《商业时代》,2007年21期
【关键词】:政务网站、网络安全、Web服务器、保护措施
中图分类号:TU714文献标识码: A
1、前言
作为政务公布和为民服务的重要窗口,政务网站在电子政务的设计中具有重要位置。然而伴随我国电子政务网站建设的规模逐渐扩大和互联网应用的逐渐普及,其安全问题也越发突出严峻。一方面,电子政务网站的规模快速扩大,另一方面,我国电子政务网站系统仍然无一套科学、完整、高效的保护机制。相关研究结果表明,电子政务网站在2011年受到威胁和攻击次数最多,造成影响和结果最为严重。许多黑客通过网站漏洞,恶意篡改网站的内容,或者将病毒种入电子政务网站。所以,当前的电子政务网站安全遭遇的情况相当严峻。
2、电子政务网站遭受的主要威胁
2.1 DDoS攻击
分布式拒绝服务攻击(DDoS)是当前黑客经常采取却很难防范的攻击手段。DoS的攻击形式有许多种。最基础的DoS攻击则是利用通过合理的服务请求来占据大量的服务资源,导致服务超载,不能响应另外的请求。被DDos攻击时的主要表现有:(1)网络中存在着许多的没用的数据包。(2)形成高流量没用数据,形成网络拥挤,令被攻击主机不能正常与外界联系。(3)用被攻击主机提供的服务或传送协议上的不足,重复高速地发出指定的服务请求,令被攻击主机不能及时处理全部正常请求。(4)严重时可以引起系统死机。
2.2 SQL注入攻击
所谓SQL注入式攻击,就是黑客将SQL命令插进到Web列表的输入区或页面请求的查询字符串,蒙骗服务器运行恶意的SQL命令。源自官方的解释是:“在应用程序运行输入内容来形成动态SQL语句来访问数据库时,会引起SQL注入攻击。如若代码运行存储过程,同时这些存储过程当作包括没有筛选的用户输入的字符串来传输,也会引起SQL注入攻击。SQL注入可能造成攻击者可以运用应用程序访问在数据库中运行命令。如若应用程序运用特权较高的帐户连接进数据库,这类问题会转变更严重。”在一些列表中,用户输入的内容直接用作构建(动态SQL命令,或用作存储过程的输入参数,这种列表尤其容易遭受SQL注入式攻击。然而大量网站程序在编程时,未对用户输入内容的合法性进行判定或者程序中自身的变量处置不当,令应用程序有安全问题。如此用户就能够上交一串数据库查询编码,依据程序返回的数据,得到一些敏感的信息或者掌控全部服务器,因此SQL注入诞生了。换而言之,SQL注入的机理就是从客户端上交特定的编码,得到程序及服务器的信息,因此取得想要获到的资料。
2.3跨站点脚本攻击
跨站脚本攻击(也叫CSS或者XSS)指通过网站漏洞从用户处恶意窃取讯息。用户在访问网站、运用即时通讯软件、甚至当浏览电子邮件时,正常会点击当中的链接。攻击者利用在链接中插进恶意编码,就可以窃取用户讯息。攻击者正常会运用十六进制对链接编程,避免用户对它的合法性产生怀疑。网站在收到包括恶意编码的请求后会生成一个蕴含恶意编码的界面,然而这个界面看着好像是原网站应该形成的合法界面一样。很风靡的留言板和论坛程序同意用户发表包括HTML和javascript的帖子。如果用户甲发表了一篇包括恶意脚本的帖子,那么用户乙在查阅这篇帖子时,恶意脚本就会运行行,窃取用户乙的session讯息。
3、电子政务网站的安全防护措施
3.1网站安全架构
为处理政务网站的安全隐患,第一必须建设一套全面的安全系统结构来确保电子政务网站的安全性,建设一套事前、事中和事后的纵深保护系统,这是处理以上的攻击方式的前提,在此结构上采用别的的一些安全技术,多层次共同保护政务网站的安全性。对于第1部分三种威胁,建设如图1所示的安全系统结构。在基础的安全和服务平台上添加安全管理体制和紧急恢复体制。
图1中间的基础安全与服务平台是网站安全的前提,当中特别是物理安全极其重要,它是网站安全的基础,因此要求政府机构在建设网站初期拟定全面的安全管理体制和有效的紧急恢复体制,预防物理损坏对网站引起的重大损害。在网络层面,要注重安全区划分、入侵防护和防拒绝服务攻击。文章后部分提出的技术能够融入本平台中,和网络层与应用层结合在一起,处理相关的安全危险。构建安全检查监督和激励等体制,增强管理人员的操作能力与应变能力,构建完善的安全管理系统制度。紧急恢复机制坚持防御为主、及时分离、全面根除的原則,保证网站信息系统平稳运行、网站信息内容安全完整。
3.2网站加固技术
(1)采取高性能的网络配置。首先要确保网络配置不会成为瓶颈,所以选取路由器、交换机、硬件防火墙等配置时应尽可能选取名誉度高、口碑好的设备。还能够和网络供应商作为合作伙伴,当大量攻击存在的时请他们在网络接点处进行流量截止,这一手段对于一些种类的DDoS攻击是十分有效的。
(2)尽可能减少采用易引起系统性能降低的技术。某些技术的运用,有可能使网络的能力相当大的幅度降低。比如NAT地址转化技术,需要对网络地址不停地实施转变,这当中需要对网络包的地址进行海量计算和校正,大幅占据CPU时间,所以不管是路由器还是硬件防火墙配置都需尽量地减少这类技术的运用。
(3)增强操作系统的防护性能。WindowsServer2008和WindowsServer2008作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,只是默认状态下并没有开启,如果开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。因此,增强操作系统的防护性能对于DDoS的防范可谓事半功倍。
(4)其它加固方式。政府单位能够选购专业的防护DDos和脚本攻击的防火墙设施,选用DNS轮询或者负载均衡技术,对进行攻击的恶意编码进行驱动级拦截,用词来翻倍增强防护攻击能力。
3.3网站安全监测技术
(1)网站远程检测。相比传统的监测方法,网站远程安全检测具有鲜明的点。其一,远程检测的标准化程度比较高;其二,与跟简单的Web漏洞扫描产品相比较,远程检测对Web漏洞的检测更快速而全面,,该种检测采用了多种安全工具进行检测,还经过了人工审核与数据分析,从而产生更加准确和全面的结果,避免了单一工具检查的片面性和部分误报率。
(2)操作系统与应用环境预警。服务器运行的软件基础是操作系统,操作系统环境和应用环境的安全直接影响着Web应用安全稳定的运行,因此需要不断地核查系统,监测应用环境安全性,譬如是否有入侵痕迹、是否含有隐藏的克隆系统管理员账号、中间件环境是否存在潜在的危险。系统的安全检测主要有系统补丁更新状况、系统账户策略安全性、系统密码策略安全性、系统服务策略安全性等直接与系统安全的各种配置和漏洞修复状况等检测有关。应用环境的安全检测包含提供Web服务的程序安全性检测、提供代码解释和执行的基础环境的安全性检测等。
(3)网站挂马检测。网站挂马检测服务,主要是指事先定期对网站进行检测和监控,网站是否有被挂马的迹象要及时发现。网站挂马检测服务在发现页面代码中是否被嵌入了木马的同时,还可以发现恶意代码及其相关目的链接等被嵌入到和存储到数据库中。事实表明,此种检测方法防范CSS跨站脚本攻击和SQL注入攻击的效果明显。
4、结语
文章主要针对开始部分中降到的主要的安全危险提出对应的处理措施,布置以上技术措施后的电子政务网站,基本能够保证电子政务网站的安全性,然而电子政务网站的安全管理,是一个系统工程,除了要有较好的保护措施之外,还需要建立科学、先进的网站建设、运行和维护的管理方式。另外还有其他某些存在的以及未发现的安全危险,将别的安全危险和文章中说到的危险进行相关性分析,提取重要特征,设计相应的解决方案。
参考文献:
[1] 张岸 张毅东:《政府网站安全防护解决方案研究》,《情报探索》,2010年11期
[2] 王键:《电子政务与信息安全》,《中国教育信息化》,2007年13期
[3] 刘奇峰:《我国电子政务发展现状及对策》,《湖南行政学院学报》,2007年02期
[4] 李德平 邹慧玲:《电子政务建设中的信息安全保障机制研究》,《商业时代》,2007年21期