【IT168 专稿】企业网站既是技术性很强的实用性工具，又是政治性很强的文化产品，有些企业对外网站，还兼作广告性盈利业务，还是一种商品。当今，企业网站已不仅仅是企业对外信息交流的窗口，同时也是进行正常商务活动的重要途径。因此，网站安全是非常重要的。网站的安全主要依靠网络环境安全、服务器（主机）系统安全、数据库系统安全、应用程序安全。但不管您的网站属于哪种性质，不管您的网站是否盈利，如果服务器瘫痪、网站打不开、首页被篡改、数据丢失等情况发生在您的网站上，都会使您受到名誉上或经济上的损失。因此，做好企业网站安全防范是为企业谋求利益的重要途径之一。

    一、谁是企业网站的不安全因素？

    什么样的网站是安全的，安全的概念是什么？网站的安全包括物理安全和运行安全。物理安全是指系统机器及其外设不遭受各种物理破坏，如被盗、遭火灾、水灾等等；运行安全是指系统及数据的完整性、保密性和可用性。完整性是指网站的系统正常运行，数据正确，不受外来攻击，修改，删除等。保密性是指系统和数据不被泄露，不被用户非法利用。可用性是指信息的唯一性和准确性，不被滥用或发布虚假信息。其中造成企业网站不安全因素主要有两个：

    其一是内部人员。多数安全威胁都来自于管理上的松懈和对安全认识的不足，必须花大力气加强网络的安全管理。网站安全管理上实行“谁主管，谁负责”的原则，希望网站的主管者在注重网络运行、系统功能外，高度重视网络的安全问题，保护企业利益。

    其二是黑客攻击。黑客在网上的攻击活动每年正在以10倍的速度增长，形形色色的黑客把网站上的任何漏洞和缺陷作为靶子，无孔不入。如：修改网页进行恶作剧，非法进入主机破坏程序，侵入网站转移金额，窃取网上信息，进行电子邮件骚扰，阻塞用户和窃取密码等等。黑客一旦入侵将给企业带来不可估计的损失。

    二、企业网站拓扑设计安全考虑

网站安全架构（点击看大图）

    知道了谁是企业网站的不安全因素后，接下来我们首先说说在网站设计上如何做到安全防护。我们都知道网站拓扑结构分为总线型、星型、环型、网状等，每种结构都有其优缺点。在网络拓扑的设计中，应充分考虑网络的稳定和安全运行。在DNS的设置上，使用内外双DNS，外部DNS用来解析外网用户对企业网站的访问，还可为小区接入用户提供DNS域名解析。内外DNS可作为相互之间的备份。在企业内部网络优先使用内部DNS，因为内部DNS可以用作解析内部OA系统、内部FTP、内部Intranet网站，方便内部的网站的访问，并可使内部的所有用户（包括不能连接Internet的用户）访问企业网站及其邮件系统。在网站整体安全上，采用三个网络区设计：即内部网络区、外网络区、安全隔离（DMZ）区。将FTP、Email、WWW服务器置于安全隔离区，既保证用户访问的方便性，又使其有一定的安全保护；将后台数据库、身份认证和入侵检测等服务器置于防火墙内网，充分保证网络传输和数据的安全性。在防火墙内侧，设置一个具有带宽管理功能的网络交换机，使其能按对不同用户进行网络带宽管理，实现按需给用户供给带宽。在防火墙外侧，部署一台具有带宽管理功能的交换机，以实现小区和其它非办公用户的带宽管理。

    三、企业网站四大安全防护

    企业网站安全防护除了要考虑到网站拓扑设计上的安全性，还要在考虑以下几方面的安全问题：操作系统平台的安全性，Web服务器的安全性，Web应用程序的安全性，信息传输过程的安全性，管理上的安全性。

    1、Web服务器的安全性

    目前流行的三大Web Server都有自身的安全加密的产品或插件，支持SSL。Web应用程序安全性主要是指CGI程序的安全性和开发脚本语言自身的安全性。CGI使Web服务器能够将信息传至Web客户端，几乎所有程序都可以达成完整的过程。一个CGI程序的安全性依赖于系统配置。PERL本身是安全的。但在程序设计中，一些调用涉及服务器服务的命令，就该特别注意。

    2、操作系统的安全性

    虽然没有一种网络操作系统是绝对安全的，但UNIX经过几十年来的发展已相当成熟，以其稳定性和安全性成为关键性应用的首选。而Windows NT以其易用性、应用程序多种多样和性能的不断改进，在企业中得到广泛的应用。

    3、信息传输过程的安全性

    企业在更新站点时，会用到传输工具和远端服务器打交道。在Internet传输文件是很有可能被监听的。所以对于一些企业的敏感数据，一定要在传输过程中加密，以防被取被盗。

    4、管理上的安全性

    企业对重要数据要定期的备份，对敏感数据要重点保护加密处理。建立安全管理机制，制定安全措施。明尼苏达州DataSecuritySystems公司总裁SandySherizen建议，企业网站内容的守门员应该学习揣摩小偷的想法，揣测他们可能会想窃取什么资料，或搜集什么样的商业竞争情报。企业网站上贴出的零星数据乍看下可能无关紧要，但一旦拼凑起来，揭露出的公司内部信息、策略联盟关系和客户数据，可能远超过你的想象。企业网站不该只交给网站维护员和公关部门负责。在贴出任何信息前，IT安全人员应先从安全性的观点把内容检视一番，毕竟他们的职责是随时留意技术弱点，设法防止黑客入侵。

    四、企业网站日常安全防护技巧

    互联网络是高科技的产物，它必然要有高科技的技术来支持，其安全问题更要有可靠的安全技术来维护。如果你的企业不大，而且又想节省资金，那以下这些工作就不一定专业人事来做，可以指派公司懂网络知识员工来做日常管理。担当这个重任的人员必须懂得以下网站安全防范技巧。

    1、购买必需的安全产品，如防火墙、保密网关、安全代理、防病毒系统等，保护网站安全。防火墙是内部网络与外部公共网络之间的第一道屏障，能够通过定制或限制对特定资源的访问来帮助企业获得安全保证。为确保企业内部网的安全，一般采用两道防火墙进行串接。两个防火墙最好采用不同厂家的产品，且至少应有一个是国产。同时，根据网络应用需求，合理布局网络结构，进行必要的分段处理，还可采取内外两种网络架构，对某些重要数据放置于内部网络，防止外来攻击，造成泄密。公开数据则置于外网，以完成功能需求，促进企业经济发展。另外，作为防火墙系统的补充，还可以在在防火墙的内侧部署基于网络的入侵检测系统，以有效防止经过防火墙系统过滤后的数据包中的非法代码对内部网络系统发动攻击；在企业内部网络的重要网段安装网络基于网络的入侵检测系统、关键主机系统安装基于主机上的入侵检测系统，以保护整个网络和系统安全。

    2、及时扫描漏洞以及追踪国际最新安全技术。掌握新的安全措施，及时堵塞安全漏洞，不给非法入侵者有机可乘。随着信息应用技术的发展，新的漏洞不断冒出来，如果管理员不及时掌握新的安全技术，原来安全的网站也会出现新的不安全因素，新的漏洞也就无法堵塞，后果不堪设想。还有，可以通过设置内容过滤服务器，采用相应的策略，对共公信息资源进行过滤，堵截危害信息的传播，保证信息安全和防止恶性程序入侵。

    3、定期对网站进行安全评估，排除不安全因素。世上没有绝对安全的网站，必须对网络的性能进行定期的安全评估。评估的方法有多种，既可采用扫描器进行安全扫描，查找系统漏洞，也可采用人工分析，如对各用户的密码进行定期更改；分析用户属性的正确性及有无非法用户；分析网站的系统审计、日志等等。

    4、全力打造安全的主机，保护企业网站的安全性。安全的主机对于一个企业网站安全防护起到至关重要的作用。必须做的工作首先是调整网络属性，做到必要时关闭TCP 445端口的访问，关闭TCP 139端口的访问；其次是停止不必要的服务。停止不必要的服务，不但是安全加固的需要，同时也是服务器性能优化的一部分。最后是增强日志防护能力。日志对于系统安全的作用是显而易见的，无论是黑客还是管理员都非常重视日志，一个有经验的网络人员往往能够迅速通过日志了解到系统的安全性能，当你的网站被入侵后，也许只有日志能够帮助你迅速定位的惟一方法。

    5、正确配置网络的各种参数，尽量减少各种漏洞。目前，大多数网络都被设置成系统的缺省配置，但缺省配置的网站漏洞太多，容易给黑客有机可乘，造成网站被攻击，企业经济上蒙受损失。网站管理员对企业网站的应用需求应该熟悉，对无需求的应用服务及时关闭，所开的服务越少，网站的安全性能就越好。

    6、通过配置邮件防病毒软件，使企业职员能在接收电子邮件时，对带有附件的邮件进行病毒扫描。使员工在打开附件前，能看到病毒检测结果。

    五、其它注意事项

    要做到真正的企业网站安全防护工作，除了上述所讲到的要点外，还需做以下两个方面的功夫，以保万无一失。

    1、制定一套完善的反病毒解决方案

    企业的内部网与互联网的连通不仅意味着各类黑客攻击的增加，病毒的攻击次数也会激增。仅仅在每台计算机上安装反病毒程序是不够的，还需要一个标准解决方案，它不仅适合于计算机网络，还适用于单机。

    2、组建一个高效率的维护小组

    一般而言，企业的网站（尤其是一些知名企业）受到黑客和病毒的攻击是经常的事情。这需要企业拥有一个高水平的网络安全维护小组，这个团队应该具备很强的应急能力，在企业网站遭受攻击时能迅速做出反应，化解危机。

    六、结论：机遇与风险并存

    机遇和风险总是对应的，网络为企业提供了更为广阔的发展空间和丰富资源的同时，也带来了可能存在的损失。因此，企业在利用内外部网络的同时还要构筑牢固的企业内部防线，以避免企业资源的外露而造成损失。