计算机安全方向精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的计算机安全方向主题范文，仅供参考，欢迎阅读并收藏。

第1篇：计算机安全方向范文

[关键词]网络安全；安全威胁；安全措施

中图分类号：TN915.08 文献标识码：A 文章编号：1009-914X（2014）40-0112-01

现在的网络安全技术仅可以对付已知的、被分析过的攻击，没有预防攻击的能力。面对未来越来越多的新病毒，不能在大规模攻击爆发的初期就有效地阻止攻击的进行，为网络安全提供保障。

2 影响计算机网络安全的因素

2.1 操作系统的漏洞及网络设计的问题

目前流行的许多操作系统均存在网络安全漏洞，黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑，使其受到影响。网络安全管理缺少认证，容易被其他人员滥用，人为因素造成的网络安全的隐患。

2.2 缺乏有效的手段评估网络系统的安全性

缺少使用硬件设备对整个网络的安全防护性能作出科学、准确的分析评估，并保障实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。

2.3 黑客的攻击手段在不断地更新

目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。攻击源相对集中，攻击手段更加灵活。黑客手段和计算机病毒技术结合日渐紧密，病毒可以进入黑客无法到达的企业私有网络空间，盗取机密信息或为黑客安装后门，在攻击方法上，混合攻击出现次数越来越多，攻击效果更为显著。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

2.4 计算机病毒

计算机病毒将导致计算机系统瘫痪，程序和数据严重破坏甚至被盗取，使网络的效率降低，使许多功能无法使用或不敢使用。层出不穷的各种各样的计算机病毒活跃在计算机网络的每个角落，给我们的正常工作已经造成过严重威胁。

2 网络安全现状及面临的威胁

2.1 网络安全现状

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。我国网络安全现状不容乐观，主要有：信息和网络的安全防护能力差；网络安全人才短缺；全社会的信息安全意识淡薄。

2.2 计算机网络安全面临的威胁

网络安全威胁既有信息威胁又有设备威胁，包括以下：一是人不经意的失误。二是恶意的人为攻击。三是网络软件的漏洞和“后门”。基本上每款软件多少都会存在漏洞，大多网络入侵事件都是由于没有完善的安全防范措施，系统漏洞修补不及时等给黑客以攻击目标。

黑客入侵通常扮演者以下角色： 一是政治工具；二是战争的应用；三是入侵金融、商业系统，盗取商业信息；四是侵入他人的系统，获取他人个人隐私，便于进行敲诈、勒索或损害他人的名誉. 通过上述事件可以看出，网络安全影响着国家的政治、军事、经济及文化的发展，同时也影响国际局势的变化和发展。

3 计算机网络受攻击的主要形式

计算机网络被攻击，主要有六种形式： 一是企业内部员工有意无意的窃密和网络系统的破坏； 二是截收重要信息；三是非法访问； 四是利用TCP/IP协议上的某些不安全因素； 五是病毒破坏； 六是其它类型的网络攻击方式。

4 加强计算机网络安全的防范对策

4.1 加强内部监管力度

加强内部针对计算机网络的监管力度，主要分为两个方面： 一是硬件设备监管加强硬件设施的监管力度，做好硬件设备的备案、治理，包括主机、光缆、交换机、路由器，甚至光盘、软盘等硬件设施，可以有效预防因硬件设施的破坏对计算机和网络造成的损害； 二是局域网的监控网络监视的执行者通称为“网管”，主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全题目，如定位网络故障点，捉住IP盗用者，控制网络访问范围等。

4.2 配置防火墙

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受人们重视的网络安全技术。防火墙产品最难评估的是防火墙的安全性能，即防火墙是否能够有效地阻挡外部进侵。这一点同防火墙自身的安全性一样，普通用户通常无法判定，即使安装好了防火墙，假如没有实际的外部进侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

4.3 网络病毒的防范

在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，因此，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，定期或不定期地自动升级，最大程度上使网络免受病毒的侵袭。对于已感染病毒的计算机采取更换病毒防护软件，断网等技术措施，及时安装针对性的杀毒软件清理病毒，以保证系统的正常运行。

4.4 系统漏洞修补

Windows操纵系统自以后，基本每月微软都会安全更新和重要更新的补丁，已经的补丁修补了很多高风险的漏洞，一台未及时更新补丁的计算机在一定程度上可以说是基本不设防的，因此建立补丁治理系统并分发补丁是非常重要的安全措施，可以对系统软件进行修补从而最大限度减少漏洞，降低了病毒利用漏洞的可能，减少安全隐患。

4.5 使用进侵检测系统

进侵检测技术是网络安全研究的一个热门，是一种积极主动的安全防护技术，提供了对内部进侵、外部进侵和误操纵的实时保护。进侵检测系统（Instusion Detection System，简称IDS）是进行进侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的进侵；检测进侵的前兆，从而加以处理，如阻止、封闭等；进侵事件的回档，从而提供法律依据；网络遭受威胁程度的评估和进侵事件的恢复等功能。采用进侵检测系统，能够在网络系统受到危害之前拦截相应进侵，对主机和网络进行监测和预警，进一步进步网络防御外来攻击的能力。

4.6 加强网络安全教育和管理

结合机房对员工进行、硬件、软件和网络数据等安全问题教育，加强对员工进行业务和技能方面的培训，提高他的安全意识；避免发生人为事故，传输线路的过程中，要保证传输线路安全，要设置露天保护措施或埋于地下，和辐射源保持一定的距离，尽量减少各种辐射导致的数据错误；应当尽可能使用光纤铺设线缆，减少辐射引起的干扰，定期检查连接情况，检查是否非法外连或破坏行为。 总之，网络安全是一个系统化的工程，不能单独的依靠防火墙等单个系统，而需要仔细且全面的考虑系统的安全需求，并将各种安全技术结合在一起，才能天生一个高效、通用、安全的网络系统。

结语

计算机技术和网络技术的飞速发展和广泛应用，开创了计算机应用的新局面，对社会发展起到了重要的作用。与此同时，其互通性和广泛性的特点也导致了网络环境下的计算机系统存在诸多安全问题，并且愈演愈烈。为了解决这些安全问题，我们必须加强计算机的安全防护，提高网络安全，以保障网络安全有效运行，更好的为社会和人民服务。

参考文献

[1] 楚狂等.网络安全与防火墙技术[M].北京：人民邮电出版社，2000.

[2] 张千里，陈光英.网络安全新技术[M].北京：人民邮电出版社，2003.

[3] 香方桂.软件加密解密技术及应用[M].长沙：中南工业大学出版社，2004.

[4] 殷伟.计算机安全与病毒防治[M].合肥：安徽科学技术出版社，2004.

第2篇：计算机安全方向范文

【关键词】计算机网络；信息管理；安全；策略研究

前言

计算机网络信息管理及其安全需要从信息管理和两方面进行研究，其中计算机网络信息管理和传统意义上所讲的网络管理与信息管理有所不同，网络信息管理所涉及的主要内容是网络信息和服务，而这些管理内容的实现在以前常用的OSI管理框架和其他有关的专业管理文档中并没有明确的要求。而网络信息安全也涉及到访问控制安全、传输控制安全、安全监测等许多方面的内容，要想保证整个计算机网络系统的安全性，必须要有许多的技术的支持才能够做到。所以计算机网络信息管理和安全问题对于计算机网络来说都是比较重要的内容，需要引起人们的高度的重视和注意。

1.网络信息管理的内容

计算机的网络信息管理主要可以分为以下四大类：第一类是包括了各种IP地址、域名和自治系统号的基础运行信息。第二类是是指提供各种各样的网络信息服务的服务器相关信息的服务器信息，服务器信息包括了服务器的配置情况、信息服务和访问情况、负载均衡、信息服务的完整性和可用性等。

第三类则是包括了计算机网络用户的姓名、身份标识、部门、职位、职责权限和电子邮件等信息的用户信息，它在安全访问控制中起着重要的作用，是不可缺少的一部分。现如今，许多服务器通过引入Push这一技术，采用直接将用户关心的信息传达给用户，使得用户管理同信息资源管理也有关。

第四类是指为网络信息服务提供的信息资源的网络信息资源。信息、信息过滤、索引和导航的形成等都包含在网络信息资源的管理之中。在实际的运行和操作的环境中，信息在服务器上的分布是非线性和分散的，信息是分布式的和异步进行的，所以当务之急就是有序地进行信息以的安全，防止信息的不合理泄露和不良信息的引入，避免造成各种不良的后果。

2.网络信息管理的有关安全问题

2.1网络信息管理中的安全指标

保密性，计算机网络系统的安全指标首要是体现在保密性上，它能够允许经过授权的终端操作用户在加密技术的支持之下筛选掉未经过授权用户的访问请求，这是通过终端操作用户对计算机网络信息数据进行访问以及利用做到的。

完整性，各种非法的信息一旦试图进入计算机的网络系统，该系统会立即做出反映和保护措施，它能够有效防治各种各样的信息的进入，将其阻挡在外，并且还能够确保计算机网络系统中所储存数据的完整无缺。

可用性，计算机网络信息系统的设计环节是非常关键的一个环节，计算机网络信息安全管理中信息资源的可用性主要就是通过它来具体体现的，通过信息系统的设计环节，能够确保计算机网络系统当中的各类信息资源一旦遭受到攻击，可以在最短的时间内及时恢复正常的运行状态。

授权性，用户在计算机网络系统当中的权限是和网络信息管理中的授权性有着直接的关系的，判断用户是否能够进入计算机网络信息系统，并且还能够有资格对相关的信息进行访问与操作，这就需要授权性来进行这项活动。一般的情况下，计算机网络系统授权的合理性与正确性主要就是通过访问控制列表或是策略标签的形式来确保和实现的。

认证性，实体性认证与数据源认证这两种计算机网络信息的认证方式能够较好的确保权限提供与权限所有者为同一用户，而且，在当前技术条件支持下，这两种方式是现今使用较为普遍的计算机网络信息系统的认证方式，。

抗抵赖性，通常来说，计算机网络信息系统中的抗抵赖包括了保护接受方利益，证明发送方身份，发送时间和发送内容的起源抗抵赖以及保护发送方利益，证明接受方身份，接受时间和接受内容的传递抗抵赖。指在整个网络信息通信过程结束之后，任何计算机网络信息通信方都没有办法否认自身参与到该通信过程的这一真实的情况，同时这一真实性还可以很好的通过在通信过程完成后通信者完全不能否认对通信过程的参与得到体现。

2.2网络信息管理中的两类安全问题

针对保密性、授权、认证和不可否认的信息访问控制以及针对网络信息系统管理的完整性和可用性的信息安全监测，它们是网络信息管理中的两大类安全问题。必须明确地认识到，进行网络信息的访问控制是网络信息安全管理的必不可少的内容之一，使用者和资源拥有者这两个方面对与访问控制都有着很大的需求。对于安全控制而言，它主要涉及到了计算机网络信息系统的用户的个人信息以及相关的信息。网络的易攻击性和脆弱性使得我们有必要对信息安全进行监测，如若一旦发现被攻击的现象，要及时的报警，同时对于一些被破坏的关键数据要及时进行修复，保证数据的安全可靠性。

3.针对安全问题的策略研究

3.1基于角色的访问控制安全防护策略分析

计算机网络信息安全管理工作在当前技术条件支持之下，可以分为基于规则与基于角色这两种，这两大类型主要是针对访问控制进行的安全防护策略来进行分类的。 根据不同的电脑数据接口以及光驱的接口，这两种类型各有所取之处，基于角色的访问控制对于封闭式的电脑USB及光驱接口来说，显得更为实用可取。终端操作用户在这一防护策略支持之下，在接受角色的同时也有了对相应的权限的控制和操作的权利。将权限与角色两者很好的结合起来，使其能够共同发挥作用是基于角色的访问控制的一个核心思想，简化安全管理的复杂度可以通过被赋予某种角色的计算机网络信息系统的用户拥有了相应的权限，可以进行一些相应的权限操作和使用。在基于角色这一安全防护策略中，用户是因为他们所承担的责任以及具备的能力的不同从而会被赋予相应的不同角色，用户角色的权限并不是一成不变的，它会随着职责改变而变化，甚至如果用户的并没有尽到应尽的责任，他们的权限也可以被取消或者是替代。

3.2基于证书的访问控制安全防护策略

就A部门现有的计算机网络系统结构来说，各个楼层如果想要获得独立的应用的交换机会，主线在其中起到了关键的作用，因为它必须通过计算机的主线连接到核心的交换机当中，而这一核心交换机是在计算机信息中心机房当中的。选用合格可靠地证书来更好的保证整个计算机网络信息管理的访问控制安全防护是非常之必要的，而现今的环境下，PKI机制环境下所颁布的X.509证书是当前的较佳的一个选择。一旦用户提交了证书，计算机网络系统当中的访问控制系统会对相关信息进行读取、提交和查询，从而定义访问权限。也就是说，访问控制系统在这一访问的过程当中，能够基于用户所提交的证书判定具备访问该资源的权限的条件，那么访问控制系统资源的权限定义范围之内能够及时下达指令，允许那些合格的证书提供用户对该资源进行相关的访问。

4.结语

现代科学技术在蓬勃的发展，日新月异的变化让我们不得不感叹世界的前进步伐之快，随着现代经济社会建设日益加快的发展脚步，人们对新时代的计算机网络及其系统技术的应用提出了更为全面与系统的发展要求，这是社会群众持续增长的物质文化与精神文化需求的必然发展结果。当今的计算机技术在不断的创新不断地突破，正在朝着多元化以及系统化方向不断发展的计算机网络信息管理工作已经取得了很大的成绩，网络对经济的发展的推动和促进作用是大家有目共睹的。但是与此同时，这其中需要引起大家的广泛关注的是在这一发展的过程中所产生的较为突出的信息管理的安全问题，总是有一些不安全的因素存在网络系统之中。正常的网络运行和信息服务对于已经网络化的社会和企业是极为重要的，因为其失效将会带来沉重的后果，因此解决好网络信息管理的安全性、易操作性、易管理性等一系列问题，必将深入地推动网络应用的发展。

参考文献

[1]杜君.网络信息管理及其安全[J].太原科技.2009(10)

第3篇：计算机安全方向范文

关键词：科技革命；电子商务；安全管理方式

1 相关概念的简述

1.1 计算机信息安全设计方面

计算机是第三次科技革命中最伟大的产物，可为企业发展提供了无线的可能，促使了许多新兴行业的出现和发展，直到今天，人们可以利用银行卡进行消费，减少现金带来的麻烦，可以方便人们的交流，开阔人们的视野，更为迅速的传递信息，促进政府工作的透明度。但是计算机的出现和任何一个新产物一样，是一把双刃剑，为人们带来上述便利的同时，也带来了人们无法预见的难题。个人隐私泄漏，垃圾短信骚扰以及各种人肉搜索，因此计算机信息安全成为近年来人们普遍关注的话题。计算机信息安全策略是指这样一种模式，它把人们输入的信息按照人们要求的不同进行不同程度的分解，利用一些编程对其进行加密处理，当这样处理过后，输入的信息就穿上了一层保护衣，当他输送到制定的另一端后，接收人员利用读他的密钥对其进行解密，一旦中途遇到拦截也很少会发生信息泄露，保证了信息的安全性。

1.2 计算机安全策略的关联体

为了保证计算机输入和输出信息的安全性，我们通常会采用很多保密措施，例如，信息加密、身份安全认证、访问控制、安全通道等一系列方式。但是任何一种保密措施都不可能成为万无一失的措施，其原因在于，计算机安全信息的管联体也起到了不可忽视的作用。计算机硬件本身的脆弱性和软件在加密过程中出现的问题都是信息安全受到挑战的原因。因此，为了信息的安全性，硬件的品质也很重要。因为一旦有人在当事人完全不知道的情况下，通过木马或其他手段操控了windows操作系统，那么无论是加密还是安全通道都变得毫无意义。因为这时入侵者已经被认为是一个合法的操作者，他可以以原主人的身分自行完成诸如加密、安全通道通信的操作，从而进行破坏。究其原因是加密、安全通道技术都分别与操作系统发生了强关联，而加密与安全通道技术通过操作系统，它们俩之问也发生了强关联，这就使安全强度大打折扣。为了减少各维度间的关联尽量实现各维度的正交，我们必须尽量做到各维度之间相互隔离减少软、硬件的复用、共用。共用硬件往往随之而来的就是软件的共用（通用），因此实现硬件的独立使用是关键。举例来说，要是我们能把操作系统与加密、安全通道实现隔离，则我们就可以得到真正的二维安全策略。为了实现这种隔离，我们可以作这样的设计：我们设计出用各自分离的加密、通讯硬件设备及软件操作系统这些设施能独立的（且功能单一的）完成加密、通讯任务，这样操作系统、加密、安全通道三者互不依赖，它们之间只通过一个预先设计好的接口传输数据（如：rs232接口和pkcs#11加密设备接口标准）。这样一来，对于我们所需要保护的信息就有了一个完全意义上的二维安全策略。在电子交易的过程中，即便在操作系统被人完全操控的情况下，攻击者也只能得到一个经过加密的文件无法将其打开。即便攻击者用巨型计算机破解了加密文件，但由于安全通道的独立存在，它仍能发挥其安全保障作用，使攻击者无法与管理电子交易的服务器正常进行网络联接，不能完成不法交易。综上所述，我们在制定安全策略时，要尽量实现各个维度安全技术的正交，从硬件、软件的使用上尽量使各个安全技术不复用操作系统不复用硬件设施，从而减少不同维度安全技术的关联程度。

2 相关的安全措施

2.1 安全策略维度的节点安全问题

系统自身的保护构造依靠的是节点后移，它讲的是系统自身如何通过没汁的合理来保证系统内操作的安全性。但是如果仅靠系统自身的构造是不足以保证系统安全的，因为如果系统的源代码被攻击者购得，又或者高级节点的维护人员恶意修改系统内容等等安全系统外情况的出现，再完

的系统也会无效。这就如同金库的门再厚，管钥匙的人出了问题金库自身是无能为力的。计算机安全能做的事就如同建一个结实的金库，而如何加强对金库的管理、维护（或者说保护）则是另外一件事。事实上金库本身也需要维护与保护，所以我们按照维度思维构建了计算机信息安全体系本身的同时也需要按维度思维对安全体系自身进行保护。具体来讲比如，越是重要的数据服务器越要加强管理，对重要数据服务器的管理人员审查越要严格，工资待遇相对要高，越重要的工作场所越要加强值班、监控等等。

2.2 相关的安全技术措施

在上文介绍的三种安全加密方式中，都有采用了三维的方法措施。三位方式的优点有：第一，加密步骤直接与计算机各个端点相连接，输出人员和接受人员必须经过三层检验，如果只是验证了两层没有使得全部端点准确连接，便会造成接受的信息失效，造成信息安全性降低。第二，上述的安全措施风味不同的等级，计算机会按照信息的重要性进行不同的加密等级和不同的加工程序，使得盗窃者的工作难度增加，但是，它们也不是完全脱离计算机端点，两者的连接并没有完全隔离。一旦计算机硬件受损，在计算机维修过程中，极易发生信息泄露。第三，密码成为保证信息安全的一种主要方式。密码必须成为一种保证，银行、政府和个人都需要努力，为自己的利益来加固。一般来说，密码包括：明文、密文、加解密算法、加解密密钥。在普通的计算机使用中，一般会使用明钥，输出方使用正常渠道传送加密的信息，接收方在接受之后，会使用固定的密钥来解压信息，进一步整理后得到自己需要的信息。为了减少计算机编制程序的复杂性，提高计算机的处理能力，增加计算机使用寿命，专业人员研制和制定了二进制方法，相比较十进制或者八进制等其它进制方法，二进制只有0和1两个数字，计算机编制简单，程序使用方便，人们在使用和学习时简单易学，这给计算机技术的普及提供了条件。

3 结束语

计算机信息安全并不是一个企业或者部门单独的工作和任务，这个问题的解决需要全民参与。计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强算计机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

参考文献

第4篇：计算机安全方向范文

关键词：云计算；多方位；防御系统

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）28-0059-02

在《教育信息化十年发展规划 （ 2011- 2020）》第九章对要“建立国家教育云服务模式”：“充分整合现有资源，采用云计算技术，形成资源配置与服务的集约化发展途径，构建稳定可靠、低成本的国家教育云服务模式。”，本文章主要研究基于云计算模式下高校教学资源共享平台建设过程中需要注意哪些安全。

1 常见的WEB网站攻击及原理

1.1 WEB网站攻击现状

2013年OWASP[1]前十大攻击，依次为注入、时效的省份认证和会话管理、跨站脚本、不安全的直接对象应用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造、使用还有已知漏洞的组件和未验证的重定向和转发，其中网站注入居高位。

2014年发生全球十一大攻击事件，如Regin恶意软件、索尼攻击事件、iCloud攻击事件、摩根大通（JPMorgan）信用卡入侵、家得宝（Home Depot）、韩国信用卡黑客事件、易趣网（eBay）泄密事件、尼曼（Neiman Marcus）攻击事件、破壳漏洞（Shellshock）、心脏滴血漏洞和12306用户数据泄露含身份证及密码信息，其中12306用户数据泄露含身份证及密码信息为撞库攻击，这种攻击方式将成为未来趋势。

1.2 WEB网站常见攻击――SQL注入攻击

SQL注入一直是WEB中最广泛最危险的攻击，它的攻击原理是黑客借助用户交互时，故意插入一些特殊的SQL语句，该语句一旦插人到实际SQL语句中并执行它，就可以窃取系统机密信息，甚至控制主机或其权限 [2]。下面是php程序的一个简单SQL注入实例：

假设的登录查询SELECT * FROM users WHERE username =’admin’ and password=’password‘

假设的php 代码$myquery="Select * from users where username='". $username ."' and password='".$pwd."'"；

输人字符username =’or 1=1

实际的查询代码SELECT * FROM users WHERE username=’’or 1=1 and password='anything‘。在条件语句中，无论用户名称是否正确，由于1=1永远是为真，导致users表中的所有数据都被窃取。

2 研究平台的特点

基于云计算模式下高校教学资源共享平台服务器由第三方云服务器商提供，网站系统是WAMP（Windows+Apache+MySQL+PHP）框架式。平台分为四个部分：用户层、网络层、云层和网站系统层。如下图1平台安全层次图。

用户层：即应用层，用户与服务器交互，该层主要被黑客恶意攻击的地方。网络层：信息篡改常常来自网络层，常用预防措施有：SSL协议和S-HTTP。云层：该层是核心层，一旦被控制后果非常严重。网站系统层：网站系统的安全系数与网站被攻击成正比。

3 平台多方位防御系统设计

一个好的防御系统需要有自我防御、检测、监督、修复等性能，同时配对一套合理的安全管理，且能严格定期执行，具体设计如下。

3.1 平台设计

一个拥有自我防御、检测、监督、修复等性能平台，可网站编码、功能和借助外部软件等方法实现。

1） 编码规范。编码不规范容易给黑客留下后门，如明确指定输出的编码方式：不要允许攻击者为你的用户选择编码方式（如ISO 8859-1或 UTF 8）。网站开发规范可以参照《OWASP安全编码规范快速参考指南》。

2） 全面防御功能设计。用户层常用预防措施有：①对用户身份进行验证，对用户访问权限控制，分级管理用户；②对用户的输入特殊字符屏蔽和过滤；③对重要和敏感的数据进行加密。云端常用措施是建立监督机制，预防被利用的可能。网络层采用防护措施有：①用 SSL 实现安全通信，防止攻击，②过滤所有外部数据、使用现有函数、自己定义函数进行校验、使用白名单。网站系统层常用预防措施提①编写通用的安全模块。如判断是否验证、授权等安全模块代码。②对重要的数据加密，以确保信息的安全性，如用户登录密码，银行帐号。③提供安全存储，对HTML 或 PHP 文件、与脚本相关的数据和 MySQL数据采取不同存储方式，如脚本只能读但不能写。④增强Web服务器安全，利用WebShell检测技术。

3） 借助外部软件。①应用网站安全评估产品。目前防御系统有：360、腾讯和SCANV等，其中SCANV（http：///）是一家专注网站安全监测。②Web应用防火墙。

3.2 安全管理设计

定期对网站应用状况的安全检测，并给出Web应用安全性评估等。常用方法是定期对WEB日志判断来检测Web网站是否受到攻击[3]：

1）检查web日志：查看是否有特殊记录，如SQL语句select，drop，insert等关键字参数；或则如“‘；--”等特殊的表达式的请求记录；2）检查web防御系统日志：查看被攻击的IP或源页面等；3）查看防火墙等网络设备日志：如Web端口连接IP分布、服务器对外发起的连接状况；4）查看数据库日志：检查数据库建立新表的记录、新库、存储过程执行记录或者数据导入导出记录等；5）检查Web目录：如上传文件或文件夹及他们修改与最后访问时间等。

4 结束语

综上所述，本文主要介绍WEB常见的网站攻击类型及基原理，另外根据云平台网站的安全特点提出防御系统的设计建议，望能给平台开发者提供参考。

参考文献：

[1] OWASP.Top10-2013.The Ten Most Critical Web Application Security Risks.[EB/OL ].http：//.