刘书昆
摘 要文章首先简要分析了Web网站的安全问题,在此基础上对Web网站安全的关键技术进行论述。期望通过本文的研究能够对Web网站安全性的提升有所帮助。
【关键词】Web网站 安全 技术
1 Web网站的安全问题分析
Web是全球广域网的缩写,其也被称之为万维网,是基于互联网的一种网络服务,可为互联网用户浏览网站提供直观的界面,图形化、分布式、动态化、交互性是Web的突出特点。目前,Web网站的数量呈现出大幅度增长的态势,随着网站的增多,访问人数也随之增加,一些用户除了会对境内的网站进行访问之外,还可能与境外的网站连接,由此使得Web网站的安全问题愈发严峻,主要的影响因素有几个方面:
1.1 网络系统
开放性是互联网最为突出的特点,其在给用户带来便利的同时,也存在一定的安全隐患。由于网络系统的开放性,使得一些不法分子可以借助网络平台,对用户计算机中的重要信息进行窃取,由此会给用户带来巨大的经济损失。
1.2 黑客攻击
黑客是威胁Web网站安全的重要因素之一,其通常会借助各种非法的手段对计算机网络信息进行窃取、修改和破坏,从而造成重要数据外泄或丢失。黑客可以通过网络攻击,在用户使用网络时,对数据进行破坏,同时,可在不影响用户正常使用的前提下,有针对性和目的性的窃取用户计算机中的重要信息。
1.3 自然因素
计算机是是由硬件设备和软件程序组成的智能系统,正因如此,其会受到各种自然因素的影响,由此会使Web网站面临安全威胁。如,温湿度、火灾、腐蚀性气体、雷电等等。虽然计算机系统的功能比较强大,但所有的组成设备却都不具备防水、防潮、防火和防震功能,从而导致计算机网络无法抵御自然灾害的破坏。
1.4 人为因素
对于Web网站的开发人员而言,他们对网站的搭建、网页的设计都有着非常丰富的经验,但是,在网络安全方面的技能却相对比较薄弱,由此导致网站建成投用会存在诸多的安全隐患问题。同时,部分网站上线之后,并未配备专人进行安全维护,各种漏洞补丁的更新不及时,给恶意攻击提供了渠道。
2 Web网站安全的关键技术
Web网站的安全性尤为重要,为在现有的基础上进一步提升Web网站的安全,可采取如下技术措施:
2.1 建立安全模型
通过对VPN(虚拟专用网络)进行分析可知,将VPN引入到Web网站安全体系当中,能够形成一个较为完整的安全模型,如图1所示。
从图1中可以清楚的看出,在防火墙由于网络交换机之间增设了一条VPN通道,由此使得从防火墙到内部网络的通道增加至两条,随着VPN通道的加入,在内网和外网之间架起了一道屏障,两者被有效隔离。为提高网站的安全性,在设计的过程中,可将另一条通道的安全规则制定的更加苛刻,如禁止从外网直接登录等。通过VPN登录内网服务器后,在登录到交換机上,便可进行远程管理,这相当用户在对内网资源进行访问,Web网站基本不会受到任何来自于外网的威胁,安全性大幅度提升。
2.2 多种加密方式联用
在Web网站中应有数据加密技术能够使Web数据库的安全得到保障,但在实际使用中发现,由于密码技术不够完善,致使无法有效抵御黑客的攻击手段,从而对Web数据库的安全造成了威胁。为解决这一问题,可将多种加密方式联合到一起使用,如控制访问权限,让不具备权限的用户无法登录网站,并对用户密码进行混合加密,选用先进的加密算法等等。通过一系列的加密,使非法入侵者需要耗费大量的时间进行解密,由此可使Web网站的安全性得到保障。
2.3 Web应用防火墙
这种防火墙技术与普通的计算机网络防火墙有所区别,它集多种功能于一身,如Web防护、网页保护、应用交付以及负载平衡等等,其能够对用户的核心应用起到良好的保护效果,可使相关业务稳定、持续运行。为此,可对Web应用防火墙进行正确部署,在这一前提下,除了能够对Web网站进行IPS漏洞防护之外,还能进行一些常见的病毒防护,如蠕虫、后门、间谍软件以及木马程序等等。同时还可以提供服务器防护功能,如暴力破解防护、Web服务和FTP隐藏、文件上传过滤等等。
2.4 安全检测技术
为提高Web网站的安全性,可采用有效的安全检测技术,借助相应的技术受手段,对网站进行全面的漏洞扫描,检测网页当中是否存在不安全隐患,如非法篡改、挂马、欺诈网站等。当检测到网站中存在安全隐患时,系统会自动进行修复和加固,从而提高网站的安全性。为使检测更加全面、具体,可以采用多种检测技术,并通过当前流行的攻击手段测试检测技术的有效性和安全性。此外,可请专业的网络安全机构,对网站的安全性进行检测,若是存在安全问题,可根据提示加以解决处理,由此可使Web网站安全得到保障。
3 结论
综上所述,互联网在带给人们诸多便利的同时,网络安全问题随之产生,为此,必须对Web网站的安全予以足够的重视,在构建Web网站时,应当采取合理可行的技术措施,提高网站的安全性能,防范各种恶意攻击,从而保证Web网站的运行安全性,最大限度地发挥出其为社会服务的作用。
参考文献
[1] 孙熠,梁栋云,王文杰.Web应用程序安全性测试平台关键技术研究[J].信息安全与技术,2014,5(01):29-32
[2]师惠忠.Web应用安全开发关键技术研究[J].南京师范大学,2011.
[3]李沛杰.Web服务安全访问的关键技术研究[J].解放军信息工程大学,2014
[4]喻波.Web服务组合的关键安全技术研究[J].国防科学技术大学,2013.
作者单位
同济大学 上海市 201800