2003年初爆发的SQL Slammer病毒的泛滥再次引起了人们对网站建设安全的重视,这个专门攻击SQL Server数据库漏洞的蠕虫引发了一次全球范围的网络大塞车,全球数以千计的WEB服务器被攻击,正常的访问阻断,给企业和用户带来巨大的损失。
电子商务网站制作的安全问题也越来越受大众的关注,网站的安全问题是系统工程,需要综合进行分析,以制定完整安全策略。网络安全是相对的,目前网络上已经没有一块净土了。“所幸的是,在中国,网络还远没有达到控制一切的地步,任何攻击都有挽救的可能。”网络上没有绝对的安全可言,随着技术的发展,总会有更多的安全漏洞被发现,因此网站的安全管理也是一项长期的工作。
目前最容易受到攻击的网站设计就是形形色色的商务网站,由于从主观上对商业机密重视不够,因此防范意识较差;从客观上来讲,我们的技术较落后,大多应用软件是从国外进口的,这就从一开始给网站安全蒙上了一层阴影。
下面从操作系统、WWW等方面谈谈电子商务网站建设的安全问题。
一、 操作系统的安全
所有的操作系统都不是十全十美的,总存在很多的安全漏洞。比如在Windows NT中,安全账户管理(SAM)数据库可以被以下用户复制:Administrator账户,Administrator组的所有成员,备份操作员,服务器操作员,以及所有具有备份特权的人员。由于SAM数据库的一个备份拷贝能够被某些工具所利用来破解口令,NT在对用户进行身份验证时,只能达到加密RSA的水平。在这种情况下,甚至没有必须使用工具来猜测那些明文口令,网站设计中能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。实际上,另一个软件包,PWAudit,它可以跟踪由PWDump获取到的任何东西的内容。只有严格限制Administrator组和备份组账户的成员资格,加强对这些账户的跟踪,尤其是Administrator账户的登录(Logon)失败和注销(Logoll)失败,对SAM进行任何权限改变和对其本身的修改进行审计,并且设置发送一个警告给Administrator,告知有事件发生。要改变缺省权限设置来预防这个漏洞。
二、 WWW的安全性
www网站服务器的漏洞来自两个方面:一个是WEB服务器本身,另一个是它所带的其他服务程序(如FTPTELNET等)。一般WEB服务器可提供如下三种类型的访问限制方法:
(1) 通过IP地址,子网或域名来控制。
(2) 通过用户名/口令限制。
(3) 用公用网站建设的密钥加密方法。