Web网站安全技术探究

张艳丽

摘要：网络安全一直是人们关注的一个重要问题，网站是信息的主要传播渠道，其数据库中拥有大量可进行共享的信息，因此，在网站的建设及运行中需要重点考虑到网站的安全问题，确保网站信息能够安全的传播，结合Web服务器、数据库以及技术手段等内容，对Web网站的建设中涉及到的一些安全措施进行了阐述，并且这些安全措施的实施对于Web网站顺利构建有很大的帮助。

关键词：Web网站；安全技术；数据库

现代社会已经进入信息时代，计算机以及网络信息技术的应用愈加广泛，Web网站更是在企业、高校等领域得到了普遍的应用，其中大部分的应用系统都在朝着因特网平台进行转移，网络信息技术为人们的工作生活都带来了很大的便利，但是其中存在的安全隐患也逐渐引起了人们的关注，网络安全问题也是网站建设中的重点问题，Web网站运营过程中需要重视对安全技术的应用与升级。

一、Web网站的安全现状分析

现代社会中计算机网络技术得到了快速的发展，尤其是因特网的推广以及Web站点的增加，使得信息交互和共享已经涉及到了全球范围。网络所具备的互联性与开放性在为社会发展带来便利的同时，网站运营中的安全问题也变的更加突出。相关的计算机犯罪方式正在不断变化，犯罪水平也在提高，网站具备的这种交互性特点是造成安全隐患的主要方面。比如在Web网站中比较受到人们喜爱的聊天室、E-mall等功能，就是出现安全问题的主要部分。当前，自动化的安全攻击工具广泛的存在与网络平台上，各种攻击技术也逐渐得到了普及。另外，还有病毒泛滥产生的很多潜在危害。这些方面的安全问题，表明网站的运行面对着非常大的挑战。可以将其中包含的安全问题进行分类，一种是服务器信息被破译造成的服务器被入侵；一种是浏览器具有强大的功能，在为用户提供便利的同时也为黑客的攻击带来了方便；另一种网站上发布的文件会遭到非法访问，严重的威胁着文件信息的机密性与完整性；最后一种就是Web服务器自身存在的程序漏洞会成为黑客主要的攻击对象。

二、操作系统平台的安全规则

在Web服务器的发展中安全漏洞是普遍存在的，作为开发商的微软并没有针对存在的安全问题提出具体的解决方案，只是陆续推出了一些补丁程序，所以，有必要对网站系统建立一套安全规则[1]。在安全规则的规范之下网站才可以在复杂的运行环境之中提供更加安全、可靠的信息服务，一方面，在Web网站的操作系统运行中，应该随时的关注微软新推出的安全公告以及最新发布的补丁程序，这样可以获得所需的信息对安全漏洞进行有效的填补。

另外，还可以利用NTFS系统，它具备FAT所没有的安全控制的作用，能够根据文件夹的区别去设置独立的访问权限，使得文件的安全性得到了很大的提升。还可以通过系统管理员的账号更名去加强安全管理，域用户管理器能够限制登陆过程中猜测口令的输入次数，但是不能限制系统管理员的登陆，因此其账号的更名可以防止管理员账号被一些非法用户攻击。

此外，在网站运行中安装有两个或多个操作系统的会增加被黑客攻击的机会，因此最好的办法就是只安装一个操作系统。对系统中不使用的协议或者服务进行关闭，减少其中存在的漏洞及被攻击的机会。对网络中产生的共享资源进行及时的删除，强化日志的审核环节，也可以通过防毒软件的使用实现系统安全性的升级。

三、Web服务器IIS的安全机制分析

IIS是目前使用最广泛的因特网服务器软件之一，其安全性是建立在操作系统安全机制之上的，配置IIS构建的Web站点的安全性除利用操作系统的安全性外还要使用IIS提供的安全机制[2]。IIS的应用过程中产生的匿名用户不会与其自身产生交互，也就是任何的用户都可以直接进行匿名访问，这种情况就为Web服务器的安全运作带来了较大的威胁，因此，需要对其具备的权限进行有效的控制，如果网站中不需要匿名访问这一功能，则可以直接取消其中的匿名服务功能。用户在输入自己的用户名以及口令的时候缺乏加密，都是以明文的形式进行信息传播的，所以很容易引起非法用户的监听或者对数据进行拦截，安全性能不高。而通过集成Windows验证的非法，使得浏览器具备的加密方式能够和IIS服务器直接交流，可以很好的防止信息被窃听，提高了系统的安全性认证水平。

四、Web数据库的安全性分析

1、Web网站的防火墙技术与用户身份认证技术

防火墙技术是一种访问控制技术，它是在内部网络与外部网络（公用网络）之间设立的一道防护栏，即在它们的界面上构造一个保护层[3]。可以有效的避免信息资源被非法访问，规定与之相关的任何连接都要经过这一保护层，通过检查之后进行连接。访问只有在被授权的情况下才可以突破这一保护层，可以为网络操作提供一个相对封闭的逻辑环境，使得内部网络获得了很好的保护，减少了非法入侵情况的出现。

通过身份认证技术的应用可以对用户是否合法进行确认，在Web网站中，如果有人想要访问被限制的内容，就可以通过这一技术对其身份进行识别，判断这一用户是否具有真正的Windows NT帐号的用户名与密码。然后利用后台运行的数据库，通过身份验证机制对用户的合法性进行再次确认。也可以将用户名、口令等信息进行整合后形成User用户表，对用户身份进行更有效的识别。

2、数据加密技术及监视跟踪、审计技术

加密技术是指将一个信息经过加密算法进行转换，利用附加密码、加密模块等方法使之变成无意义的密文，接受方可以将此密文通过解密算法等还原[4]。另外，在Web网站运行中要提升其安全性能，还可以通过监视跟踪的方法实现。大部分的应用程序具备的日志记录只是在事后起到监督作用，但在日志的分析过程中，还能将其应用在预防入侵方面，以此来提高网络应用的安全。在Web网站的应用系统之中，日志会将用户从登录到退出系统的这段时间中所进行的所有操作进行完整的记录，比如登录失败操作、对数据库的操作等等内容。所以，在这一过程中完善的日志记录功能是非常必要的。审计技术则主要是对网络信息的可查性提供保障。它属于安全技术类型，可以利用审计机制的设置提供和系统运行中出现的可疑现象有关的一些信息，为管理人员的分析提供依据，使其可以及时的找到隐患所在。

结束语：

网站运行的安全在整体的网站系统建设中占据着重要的位置，Web网站的安全化发展属于一个系统化的问题，其包含的内容比较广泛，安全技术的应用也需要根据网站的发展去进行更新，在Web网站建设中层层设防，有针对性的选择适合的安全技术，增强网站管理人员的安全防范意识，实现网络系统的安全性能，使得Web网站可以正常的运行，为人们输送安全性高的信息数据。

参考文献：

[1]汪颖，胡顺.Windows Server2003下Web服务器的安全技术探究[J]. 电脑知识与技术（学术交流），2007，13：80-81.

[2]符凤平.Web网站安全技术分析[J].计算机系统应用，2008，12：162-165+131.

[3]霍汉强.Web应用系统安全问题的探究[J].大众科技，2008，03：47-49.

[4]卜胜贤，李鹰.Web网站安全技术研究[J].微机发展，2004，05：87-89.