中小企业网站安全环境分析
陈 炜
摘 要:中小企业在建设企业网站时,因互联网的开放特性,以及服务商的不规范运作,导致安全问题时有发生,这不仅使企业在经济上受到了一定的损失,同时也严重影响了其电子商务应用的进程和效果。应对的措施是树立良好的安全意识,根据不同的电子商务应用阶段,采取相应的安全策略,并加强管理,从而有效地推进电子商务的应用。
关键词:中小企业;网站建设;安全风险;安全策略
中图分类号:F270 文献标识码:A
文章编号:CN43-1027/F(2008)9-058-02
作 者:长沙民政职业技术学院讲师;湖南,长沙,410004引 言
企业网站作为电子商务运用的基石,越来越受到中小企业的重视。尤其是在当前电子商务迅猛发展的情况下,中小企业应用电子商务,已从简单的网上信息发布、网络广告,逐渐过渡到构建以网站为中心的电子商务体系化运作。中小企业对网站的功能也不再是简单的公司介绍、产品展示、留言等基本需求,网上交
易,在线支付,客户关系管理,以及将企业内部的生产管理业务进行整合等深层次运用摆在了网站建设者面前。据中国网络信息中心调查显示,近七成中小企业已建立或正在着手建立符合企业需求的个性化网站,网站建设服务市场空间巨大,前景良好。但这一市场中,由于中小企业自身网站建设专业技术人员缺乏,对网站的建设工作认识不够,加上一些网站建设服务商,甚至是一些知名度较高的服务商的不规范运作,中小企业的利益得不到保障,直接或间接的损失时有发生。其中安全问题就一直是一个被忽视的环节,由此给中小企业造成的损失不可估量。
一、中小企业网站的安全环境
大型企业在构建电子商务体系时,因其有着自有的技术力量及足够的资金,对网站运作的安全一般有足够的认识,也能做出比较好的处理。但中小企业则条件有限,在网站建设中一般的做法,是采取完全外包的形式,由专业的网站建设服务商来负责网站的建设以及采用虚拟主机的形式来运作网站,网站的安全基本不由中小企业控制。而随着技术的不断进步和市场的推广,虚拟主机服务商进入的门槛很低,大部分的网站建设服务商从收益的角度考虑,一般也同时提供虚拟主机服务。但这些虚拟主机服务商条件极不完善,有的仅仅只是有一台托管在网络接入商机房中的服务器,其在安全方面的措施也仅仅只是安装了几个安全相关的软件产品,更严重的是,其在管理方面的技术力量薄弱,在面对一些安全问题时,根本无力处理。这里谈到的安全问题,就中小企业网站而言,面临的问题主要有两个方面,一是运行环境方面,二是网站信息方面。
在运行环境安全方面,良好的虚拟主机服务商,通过在硬件和软件方面采取一系列措施来实施系统一级的安全保障,可以在相当程度上防范对网站的恶意攻击和病毒泛滥的危害。这些措施中,典型的有:采用防攻击网络接入设备和防火墙系统,这些系统和设备不仅能有效地抵御常见的网络拒绝服务攻击,同时还能具备一定的入侵检测功能,进行主动的防御,从而避免非法用户的侵入,确保网络安全;另一方面可有效地提升服务器访问性能,采用严格的安全管理策略,并由专业人员负责管理,杜绝一切利用已知系统漏洞进行攻击的可能事件,以及绝对防止人为因素可能造成的损害。除了这些典型措施之外,如国内的一家知名的虚拟主机服务商,在客户服务方面还提供7x24小时,切实做到了为客户提供专业一级的安全优质服务。但目前市场上提供虚拟主机服务的大多是一些根本不具备相关设施设备和技术的公司,加之中小企业在建网站时重点考虑的是功能和价格,在安全方面的意识和需求不够,网站建设服务商也就提供所谓的一条龙的服务,当然价格是较低的。在这样的环境下,中小企业网站经常出现无法访问的现象也就不足为怪。
在网站信息安全方面,主要涉及的有网站代码方面的安全和网站数据方面的安全。这些安全方面的措施不到位,将直接导致企业核心机密数据的泄露,尤其是将企业网站与内网进行业务整合的中小企业。有的服务商提供自助建站式服务,用户只需要提供相应的信息,即可生成相应的企业网站。这些作法在提高效率方面,无疑发挥了巨大的作用,使更多的中小企业通过较少的投入融入到了互联网的应用中来。但这样情况下,安全隐患更大。网站代码方面的不完善可以说是无法避免的,对这种标准化模块代码中
的不完善,往往是网络攻击者最感兴趣的,一旦被其到漏洞,影响的就不只是一家网站了。而更为遗憾的是众多的网站建设服务商重视的只是客户功能的实现,而在安全方面的重视和投入很少,有的服务商甚至没有专门的部门和人员处理网站代码方面的安全检测工作。在这种情况下,网站被黑、文件被非法下载、数据库中数据被非法访问等等问题时有发生,甚至很多是在不知情的情况下发生了。
二、中小企业网站的安全风险
中小企业网站从其建立模式来说,在运行环境和信息安全方面不可避免地存在较大的安全风险,从恶意者入侵的途径来说,这些安全风险集中在两个方面:
11服务器安全风险。
网站服务器的安全风险主要来自两个方面,一是服务器系统软件漏洞和W E B服务器组件漏洞,二是病毒。中小企业在建立网站时,因其可选用的架构服务器的方式有虚拟主机、VPS (虚拟服务器)、主机租用、主机托管以及自建服务器等,相关的服务器的风险的控制问题也就变得有些复杂。
从经济的角度考虑,大量中小企业选用的是虚拟主机这种构建W B服务器的方式,在这种情况下,服务器的设置和管理完全控制在服务商的手中,漏洞和病毒的防范效果完全取决于服务商的管理水平。作为建站的中小企业来说,需谨慎选择有
85企业家天地下旬刊/2008/9
E
一定资质的服务商,此外还可以借助一些漏洞扫描工具对这些服务器进行扫描,将扫描结果作为评测服务器安全的一个参考。
以自建服务器及主机托管这种方式构建服务器,中小企业有完全的服务器控制权限,其技术水平的高低,决定了其安全风险的控制能力。在这种情况下,配置专职的管理员是很有必要的,且其相关工作必须按严格的规定流程。如定期对服务器软件进行升级、安装补丁;限制服务器的管理账户、并定期更改登录口令;尽量去掉无用的WEB组件。防止被他人非法利用;尽量关闭服务器中send m ail、N IS、NFS、finger、netstat等一些无关的应用和SHE LL之类的解释器;定期查看服务器中的日志l ogs文件,分析一切可疑事件;设置好WE B服务器上系统文件的权限和属性;定期更新杀毒软件和防火墙软件,并定期扫描以保证服务器安全等等。
自建服务器及主机托管这种方式构建服务器,有完全的安全控制自主性,但费用相对较高,包括软硬件的投入和人员的开支。相应的,VPS为中小企业的网站架构,从性能、价格等方面提供了较好的选择方案,其安全风险控制自主性也介于虚拟主机和自建主机之间。
2、网站程序风险。
电子商务网站程序的安全风险也是许多企业容易忽视的问题,是严重导致企业信息泄漏的最主要的途径之一。这些风险主要表现在代码漏洞安全和后台管理程序文件的安全问题两个方面。
代码漏洞安全问题:产生这种漏洞的主要原因是网站程序代码编写的不完善造成的。而这种不完善的代码极有可能会暴露网站的数据库或后台管理等重要的安全信息;企业后台管理程序中只有主程序要求管理员的身份信息,而其它管理页面却忽视了身份验证信息;对页面参数不作任何判定导致所谓的S QL Injecti on,即S QL注入从而泄漏用户信息等。
后台管理程序文件的安全问题:现在大多数企业采用后台管理的方式对电子商务网站进行管理,电子商务网站后台的入口安全是很多企业忽视的问题。比如许多电子商务网站后台入口通常会采用Adm in.Asp、Iogi n.as p、I og out.asp等常见形式.也有的网站竟然在一般网页上链接有管理入口,这样,非法用户很容易就能到网站的后台管理入口,成为电子商务网站安全的重大隐患。
这方面的安全风险还包括数据库方面的问题,根据网站后台程序使用的数据库的不同,其相关的风险问题也就不同,诸如数据库位置和名称安全、数据库结构安全问题、数据库连接字符串安全问题等。解决这类问题的根本在于行业的自律与规范,因为中小企业主在具体的网站建设的业务方面不可能明了得那么深入,绝大部分网站建设工作均采用外包形式,唯一可做的是做一些简单的测试工作。
三、中小企业网站的安全策略原则
中小企业在建设企业网站,开展电子商务的同时,要有足够的安全意识,并根据企业电子商务应用的不同阶段采取不同的安全策略。重点应把握以下两个原则:
11网站建设与网站管理分离。
中小企业在建设企业网站,选择网站建设服务商时,应从多方面考察其技术力量和管理机制,并在网站建设开发合同上明确安全需求和责任。尤其是利用企业网站进行在线交易、客户管理等应用时,应要求开发商提供完整的后台管理程序,进行必要的代码和数据加密处理,并选用高安全强度的数据库产品。对不具备良好虚拟主机服务条件的开发商,应果断拒绝相关服务,选择资质良好的主机服务商,实现网站开发与网站运行管理分离机制。
21专人负责,强化安全管理。
中小企业应用电子商务应有一个长远的规划,从简单的信息发布到网上业务处理到企业信息化运作,相关部门和人员的配置到位是必要的。其中指定专责的人员负责网站的安全管理,是规避安全风险的有力措施。具体管理工作包括网站的相关密码的管理和定期更换,网站访问权限的控制和管理,重要数据的定期备份,网站访问记录的实时监控等。一些复杂的安全管理业务,在企业技术力量较薄弱、人力资源不充裕的情况下,选择外包是可行和有效的。
具体安全策略的实施,企业可根据不同的情况作出不同的处理,但应强调的是,因互联网的开放性,完全杜绝安全问题是不可能的,策略之中最为重要的是管理。中小企业只有树立良好的安全意识,加强管理,有效地避免安全风险损失,这样才能尽大限度地发挥企业网站的作用,切实从电子商务应用中受益。
结 束 语
近年,网络安全方面的一些核心技术,包括入侵检测技术、病毒防杀技术、数据加密技术、身份验证技术等等研究和应用进展很快,但基于互联网本身的开放特性,以及我国在相应的法律法规方面的缺位和不完善,网络安全问题还无法彻底根治。在这一现实环境下,作为提供相关服务的行业,应该提高自律意识,加强行业约束机制,切实为客户利益着想,维护市场的健康发展。政府相关部门也有必要加强引导,适当提高准入门槛,严格审查机制,并加大对恶意行为的打击力度,切实推进中小企业电子商务应用进程。中小企业自身也有必要多了解网络安全方面的事实,加强防患,尽可能规避风险。
参考文献:
[1]欧阳 .互联网与企业安全调查[J].程序员,2007,(7)
[2]刘建兰.论企业电子商务网站的安全控制[J].企业经济, 2006,(10)
[3]王隽.企业Intranet网站的安全策略与实践[J].信息技术与标准化,2002,(10)
[4]闫宏生.计算机网络安全与防护[M].电子工业出版社,2000
[5]麦肯兰勃(美).网络安全评估[M].中国电力出版社,2006
(责任编辑:谢 嵩)
95
企业管理/耐用的小企业网站建设
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论