本站原创【摘 要】当前计算机网络广泛应用为人们所关注,计算机网络安全显得非常重要,必须采取有力的措施来保证计算机网络的安全.本文以政府部门计算机网络和网站在运行中碰到的安全问题,阐述了如何建设相对安全的网控中心,并对因特网上发布信息的网站所受到的各种攻击作出了说明,以及如何采用各种技术方法和措施填补漏洞、防范攻击,保障网站安全.
【关 键 词】网络安全;网站安全;漏洞修补;SQL注入;跨站脚本
【中图分类号】G623.58
【文献标识码】A
【文章编号】1672-5158(2012)12-0052-01
计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intra/Internec在世界范围内普及.信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化已经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注.
面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全.但是现有的计算机网络大多数在建立之初都忽略了安全问题,既是考虑了安全,也仅把安全机制建立在物理安全机制上.本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍.
一、建立保障网络和网站安全性的运行环境
在给机房专门供电的市电基础上采用了智能在线式UPS,可以保证主要服务器和网络设备、工作站在市电断电后2小时的工作时间,以保障服务器的数据不至于市电突然断电而被破坏.还不定期对UPS的电池进行充放电试验,并检查电池组工作状态,防止电池老化和过度放电而影响UPS的正常工作.今后,还应该添加UPS设备组成UPS供电矩阵,进行UPS的冗余配备.
和专业的防雷系统安装公司合作,合理布置安全防雷系统和措施,针对市电接人防雷和建筑物防雷展开调研,最终形成—套有效的防雷系统和措施,确保了网络机房的安全防雷.
选择专业的具有一定资质的网络机房施工单位,对机房设备进行妥善的接地处理(按标准在离机房建筑物一定距离内、一定深度放置接地金属网栅,并对连接线材严格按标准进行施工),采用带钢板的机房专用防静电地板,在消除静电干扰的同时,也带来了机房地面的整洁.
对网络机房采用了防尘处理,配合空调和带防尘罩的通风口,以确保机房的防尘和温度的调节.在网络设备机柜和服务器机柜均采用下口进风上口出风的空气循环系统,保障了设备工作温度的需求.
在机房配备了监控摄像头和温度、烟雾传感器,以及灭火器,如果出现火宅等异常,可以自动报警,提醒值班人员注意,消除安全隐患.
严格控制中心机房的人员进出,制定了具体的安全措施,除了管理人员以外,其他人进入机房,必须要有当日值班管理人员陪同,并填写活动记录表,以杜绝外人进入对设别和系统产生的不良影响.
二、保障网络及网站系统安全的技术方法
在服务器操作系统中选择正版的,并达到一定级别安全的操作系统,不至于因为使用盗版软件,而在系统中被人为添加如漏洞、木马和不良软件等不安定因素,导致系统运行不稳,数据被盗等.
在服务器上设置计算机域,并在主域控制服务器上安装网络防病毒软件,关键的工作和管理用计算机作为域成员计算机加入计算机域中,保证域中成员计算机才有权直接访问服务器内容,并安装病毒软件的受控客户端,可以及时升级更新病毒库.同时对接人系统的移动存储设备如u盘、移动硬盘等加以监控,杜绝病毒或木马、后门程序载入系统中.可能的话,还应该在外网口处配置硬件防病毒网关,把病毒侵入防范在人口出.在计算机域中设置多级访问服务器权限,除超级管理者外其他用户无法直接对服务器进行写入操作,防止一般用户篡改数据.
在服务器中采用RAID5以上级别的磁盘阵列保障系统的安全工作,确保不至于一个硬盘损坏导致的系统崩溃.采用外置的磁盘阵列存储重要数据库数据,可以确保有2个硬盘损坏时系统仍然正常工作.组成双机热备份的方式,各核心数据建立完善的数据备份策略和恢复机制,定期对数据进行备份,当计算机的软硬件发生故障时,利用备份进行数据恢复.今后有条件还可以采用虚拟带库进行数据的备份和恢复.
在网络出口处配备网络防火墙,使用过滤规则和访问控制,把网络及网站系统分为内网和外网,光纤接人防火墙外网口,局域网由千兆交换机接入内网口,使内外网隔离,并使用IP地址转换从而把内网数据隐藏在防火墙后,可以防御当今流行的多种网络攻击和非法访问.
安装入侵检测系统,可以自动实时的响应入侵行为的发生,无妨碍地监控网络传输数据,自动自动检测和响应可疑行为.在网络系统受到危害之前截取和响应安全漏洞、内部误用,从而最大程度为网络及网站提供安全.
在配备了网络防护硬件的同时针对网站的安全也采取了以下措施,保障网站的安全.
1、及时对操作系统和应用系统中的软件漏洞进行修补,在第一时间下载安装最新发布的系统漏洞补丁,保证明漏洞的修补.
2、对网站采取访问权限设置,严禁有外部写入权限的发生,确保非法数据不被写入.
3、安装防篡改软件,防止敏感信息被修改,保证网站提供发布信息的准确性.
4、配置好IIS服务器,修改错误反馈文件,防止网站软件版本等信息泄露.在必要时也增加设置URLSCAN组建,配置访问数,允许访问文件类型,访问关 键 词等相关内容,以及抵御拒绝服务攻击等网络攻击和非法请求.
5、针对SSL连接协议的重要性,在服务器中禁止SSL3.0以下协议和PCT1.0协议,并对弱口令漏洞进行修改,限制128位以下加密协议的使用.
6、针对SQL注入攻击,进行网站代码的重新审定和编写,对访问用户输入数据合法性进行判断,消除程序安全隐患,防止非法用户获取数据库和进行数据库内容的修改.
7、对跨站脚本攻击进行防范,对访问用户的输入进行有效验证、过滤和限制某些输入,达到防范跨站脚本攻击的目的.
8、对网站上发布内容进行审核和关 键 词过滤,在有必要时要增加人工审核重点关 键 词,以最发范围内保障网站安全.
经过采取有效的安全措施,制定可行的安全方案,并进行实施,最后在经过WVS等软件进行模拟试验,证明可以保障网络及网站的安全.在有条件的情况下,应该做到网络及网站系统的异地容灾中心的建设,这样,才能更好地消除环境,如地震、水灾、火灾等带来的安全问题.
采用的安全手段越多,所带来的运行成本就越高,系统的运行效率就越低,要在运行成本、运行效率中间进行平衡.同时,也应该认识到安全防范手段是一个持久更新渐进的过程,所以需要不断改进、优化采用的技术方法和安全策略.因此,没有绝对安全而只有相对的安全,即在风险和运行成本、效率可以接受前提条件下的安全.
三、结束语
网络安全的重要性已经有目共睹,特别是随着全球信启、基础设施和各个国家的信息基础逐渐形成,信息电子化已经成为现代社会的一个重要特征.信息本身就是时间、就是财富、就是生命、就是生产力.因此,各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的.随着计算机技术的高速发展,攻击网络的技术的不断更新,单一的安全防护策略则是不安全的,网络安全将是一个系统的概念.未来的计算机网络安全防护策略方向应该是安全措施高度综合集成的.