《中小型企业电子商务网站的安全实现方案.docx》由会员分享,可在线阅读,更多相关《中小型企业电子商务网站的安全实现方案.docx(20页珍藏版)》请在三一办公上搜索。
1、中小型企业电子商务网站的安全实现方案摘要:在电子商务蓬勃发展的今天,如何维护网络稳定正常的使用,如何保证网站安全稳定持续的运行等一系列网络安全问题已经被升级到新的战略角度上来。本文的目的就是从尽可能多的角度出发来阐述如何建立一个安全的电子商务网站服务器。关键词:电子商务 ISA2004 服务器 网络 安全 IIS 1.什么是网络安全。“网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。” 什么是网络安全? 作者:pcjob编译相对于中小型企业的电子商务网站来说,网络安全就是指网站上的数据能够安全的不
2、间断地提供稳定的服务。我将从硬件安全、网络安全、系统安全、代码安全四个方面来阐述对中小型企业的电子商务网站的安全实现方案。2.硬件安全。2.1 给服务器加把锁物质是基础,硬件就是电子商务的基础。但是硬件的安全往往是最容易被网络管理人员所忽视的。其中比较棘手的一个问题就是,在你的电脑上没有任何的防护措施来防止进入你办公室的同事使用你的电脑。如果作为工作站,还没有太大的问题,但是如果作为服务器任何非专业的操作都有可能导致系统不稳定。所以,服务器必须加上物理锁,以防止其他人的使用。使用密码当然也可以,但是远远不如物理锁来的直接和实在。而且您还可以有绝佳的借口可以绝对的禁止其他人员对您电脑的使用。(钥
3、匙在经理那里,要不,您管他要去?)2.2 UPS以及发电机电子商务优胜于传统商务模式的一个显著特点就是它可以24小时不间断地提供服务。但是,前提是您的服务器同样能够24小时来服务。经过了2004年拉闸限电的夏天,没有人认为一台UPS的投入会是多余的。对于服务器来说,UPS的好处还在于它能够将电流过滤稳定地输出,以保证服务器在一个良好的环境里运行。如果公司的服务器不止一台,而且公司处于像大连这样的能源消耗大城市,一台发电机还是必要的。好好的维护它,每周运行一次来检查他是否能够正常工作。不要觉得麻烦,麻痹是安全最大的敌人2.3 对付灾难的方法备份!就如这个世界上没有不会被攻破的城市一样同样不存在绝
4、对安全的服务器,操作系统的漏洞,代码的不安全,管理人员的疏忽都有可能造成具有宝贵数据服务器的崩溃。崩溃不是DOOM,但是前提是您必需有服务器中数据的备份。一提到备份,对于某些人来讲,不过是将网站的所有数据刻录到光盘上的过程而已。但是,对于电子商务网站,如果处理的数据过多,是不可能通过这样的手段来实现的。经过培训的人员或许会想到磁带机以及实时备份的技术,这的确是一个解决方案。但是,简单的通过设备来备份并不能够在最危机的时刻显示它的作用。在911事件发生后,原来世贸大厦中60%以上的企业都倒闭了,原因就是缺乏足够的资料以及数据能够让他们恢复被袭击之前的业务。所以,如果您想让您的数据真正的备份那么最
5、好的办法就是在远离公司的异地办事处设定一个备份中心。威力再大的核弹也不可能摧毁整个中国,这是最安全的备份方案。对于数据比较少的情况下,可以选择在万维网上建立vpn连接异地双机热备份的方法。当然,对于实施电子商务这种数据比较多地中小型企业来说,这样也比较奢侈,而且不太可能实现。我个人认为最优的方案仍然是通过设备磁带机,或者其他设备,但是,请将保存资料的东西放进保险柜。保险柜是每个企业都有的设备,而且现在的保险柜都是防水,防火,防砸的。这样,即使发生了自然灾害也能够很好的保证数据的完整性。3.网络安全3.1 拓扑安全一般来说,我国的中小型企业所采用的网络拓扑大多为简单的树型结构。只有一级路由设备来
6、实现工作组的支持和宽带网络的共享。(见图1)ADSL modem交换机万维网路由器图1:普通企业单层路由树形网络拓扑这样的拓扑结构优点非常明显,可以将投资降到最小。但是,同时它的危险性也非常明显。因为所有的客户端都同电子商务服务器在同一个网段,(for example: 192.168.1.1192.168.1.254)当电子商务服务器被入侵后,企业内部网络的所有客户端都将暴露在黑客的视线内,内部的网络通讯以及计算机上面的文档都将有可能被黑客所得到。为了避免这样的“惨剧”发生。我建议对网络进行多重路由的部署,即将电子商务服务器部署成“非军事化区”(DMZ),占用独立的网段。将企业内部网络同电子
7、商务服务器的网段分开。因为不同的网段如果没有中继是无法进行通讯的,即便黑客入侵了电子商务服务器,也无法获取企业内部的信息。下面的图2就是一个典型的多网段的拓扑结构。每个路由器控制一个网段,不同的网段之间可以进行相应的设置。多网段的一个好处就是可以随意的设置每个网段的相关属性,比如路由A所控制的网段A,由于电子商务服务器在他的网段中运行,存在着一定的危险性,可以设置成不允许他访问其他的内网网段。而路由B所控制的网段,假设为保密部门,可以设定他只能访问内部网络却无法访问互联网。多层拓扑的另外一个好处就是可以部署多层次防火墙。打个比方,多层次防火墙的功能就好比战场上的多重防线,如果只被攻破了一层防火
8、墙,后面还有另外的防火墙来阻止“敌人”的进一步进攻。图2:合理的网络拓扑3.2防火墙3.2.1 软件防火墙,或者硬件防火墙的选择。图1所涉及到的拓扑还有一个非常明显的问题就是,没有防火墙。我个人认为不安装防火墙就连接到互联网的行为无异于赤身裸体的出现在硝烟弥漫的战场,结果当然只有一个。同个人使用的终端电脑所不同的是电子商务服务器必须开放相应的服务端口,来允许对方的访问。正如您所知道的,多开放一个端口,您的服务器危险性就相应的增加一些。还有,很让人无奈的DDOS攻击,很无聊的做法,但是往往有很多无聊的人愿意这么无聊的做。如果没有防火墙,安全稳定的运行往往就是一句空话。对于网络资金预算比较充裕的企
9、业往往在防火墙的选择上会偏好于硬件防火墙。但是对于网络安全这样一个并不能够直接产生利润的部门,资金预算充裕的恐怕是寥寥无几。还有一点值得注意的就是我对有些硬件防火墙的性能表示怀疑。有些厂商所生产的硬件防火墙,几乎就是台式机+linux+防火墙的组合体。而使用软件防火墙,我们有可能比它做得更好。所以我建议您选择软件防火墙。3.2.2 软件防火墙ISA server 2004涉及到防火墙我们就必须提一下防火墙的原理。大家都知道,网络通信的概念性标准框架是国际标准化组织(ISO)提出的OSI 开放式系统互联模型。(见图3)图3:OSI网络结构的七层模型 OSI网络结构的七层模型作者:ISO国际标准化
10、组织网络防火墙从本质上来讲,就是一个过滤器,它让合乎规则的通讯协议及数据包通过,让不合乎规则的通讯协议及数据包丢掉。而传统的防火墙一般来说在第三层(网络层)以及第四层(传输层)上进行过滤。通过以下因素决定是否允许数据包通过:连接状态;源地址和目标地址;源端口和目标端口。这样的过滤好处是能够将不允许通讯的端口完全堵死,比如不使用的ftp端口21,或者不使用的vpn端口1723。但是他的缺点就是他无法阻止合法端口的不合法请求。例如,一般公司中都禁止使用QQ软件以免员工工作的时候不安心工作,禁止QQ的通讯方法一般是禁止他相应的服务端口来实现的。但是,上有政策,下有对策。员工会偷偷的安装代理服务器,将
11、原来端口发送的数据包通过普通的互联网端口80端口来发送。一般的防护墙对于这样的数据包及协议,完全无能为力。微软的ISAserver却能够提供基于应用层上的过滤。应用层过滤的好处在于,它可以对数据包进行更深层次的检查。例如,原来的一些上传漏洞被发现后很容易遭到攻击,但是如果是这样的漏洞出现在安装了ISA防火墙的服务器上,却没有什么问题。因为ISA能够过滤类似于“”这样的非法字符。非法字符无法通过ISA防火墙,也就无法利用这样的漏洞。企业的电子邮件系统不断被垃圾邮件骚扰也是一个很让人头疼的问题,但是在部署了ISA之后也会获得很好的效果。原始的邮件过滤系统都是过滤主题,或者发件人。而ISA是基于应用
12、层的,他能够对电子邮件的一部分内容进行检查。这样就杜绝了主题和发件人不一样,但是内容一样的垃圾邮件的发送。ISA还可以实现的一个功能就是VPN的安全架设。对于现在的企业来说,出差在外的人员如何能够方便的获得企业内部的信息是一个比较麻烦的问题。并不是说无法实现消息的传达,这个在现今通信普及的时代并不是问题,而是如何能够安全的获得企业内部的文件而不被其他企业之外的人获得。VPN的出现就很好的解决了这个问题。ISA的出现却使得这个问题更加的容易和安全。ISA Server 2004 的多网络核心可以让你很轻松的设置网络间的访问规则。和ISAServer 2000 不一样,如果在ISA Server
13、2004 中你不明确允许VPN 客户访问内部网络和本地主机(ISA Server 2004防火墙),那么VPN 客户是不能访问的。所以,我们必须为VPN 客户的访问建立访问规则。现在,我们建立一条访问规则,命名为“允许内部网络和VPN 客户之间的互访”,如下图所示:VPN访问已经建立。3.3无线网络有句广告词是这么写的,“无线网络,无限可能。”哪家公司出的忘记了,不过无线网络的出现的确让我们的网络拓扑变得“无限可能”。好处我们这里不讲,我们这里讨论一下无线网络的安全问题。无线网络的供应商总是把诸如无须布线,容易扩展客户端等好处给您讲解的天花乱坠。却不会提及这样做的危险。好处很多,同样,危险一样
14、也是很多。比如说:如果您没有设备阻止网络信息的外泄,就千万不要部署这样的无线网络。否则任何一个拥有无线网络设备的笔记本在您公司的周围转一圈,您公司的资料就会丢失。要避免“邪恶双子星”这样的事情发生。所谓“邪恶双子星”就是通过从靠近无线客户端的一个基站上发射更强的信号,干扰连接到合法网络的连接,使黑客创造的虚假的访问节点变成为所谓的“邪恶双子星”。一旦没有意识到安全威胁的用户连接到了一个“邪恶双子星”热点上,黑客就能够截获传输的数据。用户能够被伪造的登录提示诱惑,登录到“邪恶双子星”热点上,并被诱骗透露用户名、密码等机密资料。 研究:“邪恶双子星”热点成互联网用户最新威胁作者: CNET科技资讯
15、网在这里需要提醒各位的就是,对于新兴的技术必须经过周全的考虑才能够投入到使用。4系统安全4.1密码安全这个问题的确有点老生常谈,但却不能不提。从windows诞生的那天起,这个问题几乎在每次的安全论坛上都会被提出。但是往往被普通用户所忽视。如果您的密码泄露,黑客所需要的时间只是10分钟,就可以掌握您电脑中的一切资料。(由于先天缺陷,windows98系统不再这个讨论之列。)无论是windows2000还是windowsXP,它的默认管理员账号都是administrator,空密码。而且在windowsXP系统里面一个比较“弱智”的设置就是当您建立了另外一个管理员帐户后,您正常登陆的时候无法看见
16、administrator这个账号。这样,一些用户就以为他的机器里面并没有这个帐户。但是这个帐户的的确确是存在的。例如:192.168.1.144这台机器里有这个默认的帐户,空密码。您想看他D盘根目录下都有什么文件,您可以在您的开始,运行中输入。192.168.1.144D$,然后在弹出的窗口中填入账号和密码就可以访问他的D盘了。类似于D$,C$这样的共享是计算机的默认共享,而且每次重新启动计算机之后他都会出现,除非您的电脑上安装防火墙,阻止任何人对默认共享的连接,否则,如此简单的一个漏斗就会让您的电脑毫无秘密可言。而如果是另外的一些人,就比如说我,如果我掌握了您的密码,我可以在5分钟之内在您
17、的电脑上建立一个隐藏了的系统管理员账号,除非您察看注册表,否则您无法发现它的存在。又或者,我可以将一个加壳了的,无法被杀毒软件查出来的木马方在您的电脑中,监视您键盘,甚至屏幕的一举一动。请保存好您的密码。还有一个值得争议的问题就是密码的脆弱性,微软金牌讲师孔文达先生说过“越对你熟悉的人越能够猜中你的密码,因为你的密码往往和你自己有着这样或者那样的联系。”的确是这样,有的时候您自己认为非常棒的一个密码往往会被熟悉您的人在几分钟内就攻破。所以,选择一个好的密码也是十分重要的。如果对自己的密码不是特别放心,那就下载一个暴力破解的软件,来测试自己的密码是否可靠。4.2IIS环境安全4.2.1单独设置I
18、IS服务器。如果可能,IIS应该安装在一个单独的服务器上。就是说,这个服务器不是任何域中的成员,不必与域控制器建立Netlogon信道,从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。由于系统之间不传递认证通讯信息,也就降低了登录口令被截获的可能。还有,可以利用上问所提到的不同网段加多重防火墙策略来防止黑客以服务器为跳板进行攻击。4.2.2禁止不需要的服务禁止掉不需要的服务,原因:第一,每个服务都会占用一定的资源,关闭了对于系统性能有所提升。第二,多一项服务就会多一些开放的漏洞。而且如果您没有开放该服务,就算该服务存在漏洞也不会对您的服务器产生影响。4.2.3合理设置Web根
19、文件夹建议将Web根文件夹wwwroot定位在操作系统分区以外的位置。当设置Web站点的虚拟目录或重定向文件夹时,也要保证这些目录不会被重定向到操作系统的启动分区,因为有些攻击能够危及访问文件夹所在分区上的其它文件夹。 还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上,使IIS服务器成为一个只缓冲请求、应答请求的系统。而且,经过这样处理后,其上没有存储任何内容,即使站点遭到攻击而瘫痪,也可以从磁带或其它备份中快速进行恢复。 4.2.4重命名重要系统文件操作系统中有许多非常重要的文件,它们就象“双刃剑”,既可以让管理员方便地执行维护工作,又可能被攻击者利用进行破坏活动。为此,建议对这
20、些文件进行删除、重命名或者为其设置NTFS权限,目的就是使攻击者再也找不到熟悉的面孔。这些文件包括: XCOPY.EXE at.exe regedit.exe cacls.exe regedt32.exe edlin.exe rsh.exe finger.exe runas.exe ftp.exe net.exe tracert.exe netsh.exe tskill.exe poledit.exe cmd.exe regini.exe cscript.exe regsrv32.exe tftp.exe netstat.exe issync.exe runonce.exe telnet.ex
21、e debug.exe rexec.exe wscript.exe4.2.5删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,所谓“多一事,不如少一事”。以下是一些“黑名单”参考,请酌情考虑Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它;样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,这不是好事情,建议删除;Win2K资源工具箱 或IIS资源工具箱:这些由专家编写的软件大概是现在最好的黑客工具了,其中有许
22、多项目可以被攻击者利用从服务器上提取信息、进行破坏;SMTP和NNTP:如果不打算使用服务器转发邮件和提供新闻组服务,就删除这些项目吧。否则,别因为它们的漏洞带来新的不安全;Internet打印:Internet打印是Win2K中的一个新特性,它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的,所以也就使系统增加了许多受到利用的可能。 4.2.6简化IIS5中的验证方法Win2K和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法,这包括:匿名访问、基本验证(密码用明文送出)、Windows域服务器的简要验证、集成Wind
23、ows验证等等。 对于大多数Web站点来说,有匿名访问或基本认证就足够了,或者干脆只保留匿名访问形式。最简单的往往是最有效的!4.2.7为IIS5中的文件分类设置权限除了在操作系统级别为IIS5的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。4.2.8全力保护IIS metabase IIS Metabas
24、e保存着包括口令在内的几乎IIS配置各个方面的内容,而且这些信息都以明文形式存储,因此保护它至关重要。建议采取如下措施:把HTTP和FTP根文件夹从%systemroot%下移走;慎重考虑重新命名Metabase和移动Metabase位置 ;安全设置确定Metabase位置的注册表关键字;审核所有试图访问并编辑Metabase的失败日志;删除文件%systemroot%system32inetservIissync.exe;为Metabase文件设置以下权限:Administrators/完全控制,System/完全控制。 经过如上的努力,一个安全的IIS环境就已经建立了。以上设置只适用于wi
25、ndows2000server系列操作系统。5代码安全代码安全是现在所有的程序员都应该注意的。因为基于漏洞的,木马的攻击方式在网络管理人员的安全意识日益加强的今天,已经很难实现。于是黑客目前越来越倾向于进行应用层面的代码漏洞的进攻,下面我以著名的“动网上传漏洞”为例阐述安全代码的重要性。我们先看一下动网论坛上传文件的相关代码:“=无组件上传(upload_0)=sub upload_0()set upload=new UpFile_Class 建立上传对象upload.GetDate (int(Forum_Setting(56)*1024) 取得上传数据,不限大小iCount=0if uplo
26、ad.err 0 then select case upload.err case 1 Response.Write 请先选择你要上传的文件 重新上传 case 2 Response.Write 图片大小超过了限制 &Forum_Setting(56)&K 重新上传 end select exit sub elseformPath=upload.form(filepath)在目录后加(/)if right(formPath,1)/ then formPath=formPath&/ for each formName in upload.file 列出所有上传了的文件set file=uploa
27、d.file(formName) 生成一个文件对象if file.filesize100 then response.write 请先选择你要上传的图片 重新上传 response.endend iffileExt=lcase(file.FileExt)if CheckFileExt(fileEXT)=false then response.write 文件格式不正确 重新上传 response.endend ifrandomizeranNum=int(90000*rnd)+10000filename=formPath&year(now)&month(now)&day(now)&hour(no
28、w)&minute(now)&second(now)&ranNum&.&fileExtif file.FileSize0 then 如果 FileSize 0 说明有文件数据 file.SaveToFile Server.mappath(filename) 保存文件 response.write file.FilePath&file.FileName& (&file.FileSize&) = &formPath&File.FileName& 成功!response.write parent.document.forms0.myface.value=&FileName& iCount=iCoun
29、t+1end ifset file=nothingnextset upload=nothingsession(upface)=doneHtmend iCount& 个文件上传结束!end ifend sub”其中有这么一句代码: “filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&.&fileExt”其中变量filename是要保存上传头像的文件名, fileExt是要保存文件的后缀。下面我们来看看判断后缀的依据从何而来。 reg_upload.asp中部分代码如下:
30、 “ ” 动网论坛头像上传ASP文件漏洞详解 作者:不详我们可以看到upfile.asp程序是提取file1表单和fname表单中的值来做文件后缀判断的,而file1和fname的值来源于客户端,这给我们欺骗服务端的程序提供了可能。这里直接从页面上递交我们的ASP文件是行不通的。但是,如果我们自己构造数据包就可以绕过服务端文件类型的检测了。而在这句 “filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&.&fileExt” 代码中我们发现,只要让frompath变量做为
31、一个已经结束的字符串,那么后面的那些改变上传文件名的函数就都不起作用了。在计算机中检测字符串是否结束是通过检测0来实现的,只要发现了0就认为结束;也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似uploadfacemm.asp这样的路径参数已经结束了,从而达到直接将文件保存为我们定义的文件名的目的。其实upfile.asp判断你上传的头像是否为asp后缀并不重要的,这个漏洞的关键就是一个formPath变量没有过滤及截断的问题。只要我们设定formPath的变量为“uploadfacexx.asp”这样的值,再在这个值后加个00截断字符就可以了。上传的asp后缀没有变化,只是
32、因为我们把formPath的变量指定为了 “uploadfacexx.asp” 这种格式。file1、fname表单值只是简单的判断我们上传的文件是否合法的jpg或gif后缀而已。简而言之,利用这个漏洞我们可以任意上传任何格式的文件。可以利用这个漏洞上传类似于“海阳顶端木马”之类的ASP木马,用以获得对服务器的控制权。解决方法却相当简单,只需要将非法字符进行过滤即可。上文提到的防火墙ISA2004就能够实现这样的功能。6.安全核心。从上面的论述我们不难看出,几乎所有的漏洞都是直接或者间接由于管理人员或者编程人员或者用户,总之所有的问题都是由于人的疏忽所导致的。技术可以学习,意识同样需要提高。只有从根本上提高相关人员的危机意识,安全意识,才是所有的网络安全人员的最大责任。只有具备了相关意识才能够让电子商务网站实现。注释:
