网站安全分析论文

1引言随着Internet的发展，Web技术日新月异，人们已经不再满足于静态HTML技术，更多的是要求动态、交互的网络技术。继通用网关接口（CGI）之后，微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。下面小编整理了一些《网站安全分析论文(精选3篇)》，仅供参考，大家一起来看看吧。

网站安全分析论文 篇1：

电子商务网站安全分析与防范对策探讨

摘要：现代信息技术的发展既为人们的工作生活提供了很大的便利，同时也存在比较多的安全方面的问题，在电子商务的发展中，其交易网站的安全性也得到了人们越来越多的关注，商务网站的安全与人们的信息以及财产的安全有着密切的关系，在电子商务发展中存在黑客攻击、网络漏洞等安全问题，需要人们在网站应用中及时的做出相应的防范对策，提升电子商务网站的安全性。

关键词：电子商务；网站安全分析；防范对策

电子商务主要是通过因特网具备的数字化电子功能开展商品交易的商业活动。电子商务网站是完成电子商务活动的基础部分，它主要是在因特网这一完全开放性的网络中进行操作，通过开放的网络形成的电子商务网站很容易受到其中木马、病毒或者黑客的攻击。所以，在电子商务网站运行中既需要加强对黑客及计算机犯罪的控制，还应通过安全技术的应用加强对网站的防护。

一、电子商务网站安全隐患分析

1、电子商务网站的软件缺陷

电子商务网站的安全防范主要有物理安全、网络安全及数据安全等几个方面，网络中承载有很多不同的应用系统，成为了网络入侵者攻击信息系统的主要通路，网络安全与电子商务网站安全关系密切[1]。软件缺陷就是电子商务网站中的主要安全威胁之一，主要是计算机软件自身所存在的能够破坏程序正常运行的错误或者隐藏的某种功能上的缺陷，这些方面的不足会使得相关的软件不能满足用户的实际需求，比如在程序算法上的错误，通常情况下并不会出现使用上的异常，但是如果发生相关问题就容易给用户造成很大的损失。

2、电子商务网站的系统漏洞

系统漏洞主要是操作系统软件或应用软件在逻辑设计上的缺陷或在编写程序时的错误，也有的漏洞是软件开发者为了某种目的而故意留下的调试结构[2]。网站中存在这些漏洞容易被那些不法分子、电脑黑客等利用，经过某一个漏洞就能越过网站设置的防护系统，然后在其中植入木马、病毒等。实现对对方电脑的控制或者攻击，然后将其电脑中存在的一些重要资料或信息等进行窃取，严重的还会破坏他人的网络系统，不能正常使用。

系统漏洞是普遍存在的，比如不同类型的软、硬件设备或者同种类型设备的不同版本之间都会存在一些明显或者不易察觉的漏洞，相同系统如果存在设置上的差异也会存在不同的安全漏洞。电子商务网站在运作中如果有安全漏洞问题是比较危险的情况，容易使那些不法分子趁机进入网站的服务器之中，对其中的用户信息等进行窃取或者随意的篡改。有的还会在网站运作系统中植入木马等病毒，将这一商务平台变成一个带毒网站，网络用户在进行这一网站的浏览时自身的电脑就会自动的被安装上木马程序，这样用户在进行网上交易的过程中，其网络交易账户的相关信息就很容易被不法者窃取，对用户的账户信息安全造成很大的威胁，严重的会造成很大的经济损失。

3、电子商务网站病毒入侵威胁

当前存在的计算机病毒种类非常多，每天都在出现新类型的病毒或病毒变体，现代社会互联网的用户越来越多，联网的主机节点也在不断增加，这为计算机病毒的滋生与传播提供了有利的网络条件[3]。因此，网络病毒的危害日渐增强，病毒入侵带来的损害也已经成为了电子商务活动开展的重大隐患。在电子商务网站中，对其造成损害的病毒主要有几种，其一就是蠕虫病毒，这种类型的病毒具有利用网络漏洞进行攻击以及传播速度快的特点，网站中如果存在相似的漏洞，蠕虫病毒就会进行多次的攻击，只有通过相应的补丁程序的安装才能对网站进行保护。另一种是木马病毒，这一病毒的危害就是对用户的密码等信息进行窃取，对用户电脑进行远程的操控，属于网络安全问题中的最受关注的病毒之一，比如灰鸽子、冰河等都属于这一病毒类型。

二、电子商务网站安全问题防范对策

1、构建网络安全防火墙

防火墙属于一种网络隔离控制技术，它是在内部局域网与外部互联网之间起着隔离和信息过滤作用的一种网络安全设备，防火墙或是一台硬件设备也可以是一套软件[4]。防火墙可以根据管理者规定的过滤条件，对内外网之间以及计算机与网络之间的数据传递进行管理控制，只有符合授权条件的的通信才可以通过防火墙的阻拦。防火墙主要有双宿网关防火墙、屏蔽子网防火墙、包过滤型防火墙等种类，比如屏蔽子网防火墙网络系统就是通过两个包过滤路由器与一个堡垒主机实现的安全防护，它属于一种DMZ（非军事区）的防火墙类型，网络层及应用层需要的安全功能都具备。网络安全管理人员可以把堡垒主机以及信息服务器等应用放在“非军事区”的网络之中，这样能够起到同时防范来自外部互联网与内部局域网的安全问题。

2、进行漏洞扫描并及时安装系统安全补丁

网络扫描技术是在TCP/IP协议的基础上对远端或本地主机安全进行自动检测的一种技术。在查询TCP/IP的不同服务端口之后，对目标主机的反馈进行记录，对相关项目出现的信息进行收集。进行安全扫描之后就能够很快的找出网络系统中的一些安全隐患项目，扫描获取的信息会以统计的方式进行传输，提供给网络管理人员可靠的参考信息。使用比较广泛的扫描器主要有Web应用扫描器、漏洞扫描器等。第一种扫描器主要在对网站的安全性评估中进行应用，注重的是对网站的Web应用的安全性能，检测Web应用在数据提交、信息泄露等方面容易发生的一些问题。在进行网站的维护时，既能利用各种扫描器对网站中的安全漏洞进行及时的发觉，进而对那些不安全的服务或端口进行关闭；还应该及时的安装上不同系统需要的安全补丁程序，增强系统的安全性。

3、电子商务网站入侵检测防范对策

入侵检测技术可以保护电子商务网站不受到恶意攻击，如果将防火墙看作是大楼的门卫的话，那么入侵检测技术就是大楼内部的监控系统，它对全部进入网站系统的用户的操作过程都进行监督与控制。入侵检测主要是检测那些计算机网络系统存在的违反安全规定的行为，它对网站中出现的非法用户入侵以及合法用户的滥用等情况都会进行限制，给予网站系统足够的安全防护。入侵检测技术的科学应用可以在出现入侵时及时的发觉，然后报警，使用防护系统对入侵攻击进行驱逐。在被入侵之后，可以收集入侵的有用信息，添加到檢测软件的数据库中，实现检测系统防范能力的提升。

结束语：

电子商务网站的运营需要安全技术的支持，它能够对商家与用户的信息机密进行保护，也能够对商务系统的信誉进行维护，相关的电子商务企业也需要对网站的安全运行加强重视，不断完善自身的安全管理制度，保护交易双方的利益不受损害，对商务网站存在的技术缺陷进行及时的修复，使企业在商务发展中可以拥有一个更加稳定、安全的网络环境。

参考文献：

[1]廖革元，邬芝权. 电子商务网站安全分析与防范对策[J]. 中国商贸，2012，06：135-136.

[2]韩国新. 论电子商务网站系统的安全威胁与防范技术策略[J]. 网络安全技术与应用，2015，12：45-46.

[3]王德山，王科超. 电子商务网站开发中的数据库安全问题与防范对策浅析[J]. 网络安全技术与应用，2016，01：49.

[4]陈显亭，贾晓飞. 电子商务中的计算机网络安全分析及对策选择[J]. 中国商贸，2011，06：98+185.

作者：张艳丽　马恒

网站安全分析论文 篇2：

ＩＩＳ＋ＡＳＰ网站安全性分析

1 引言

随着Internet的发展，Web技术日新月异，人们已经不再满足于静态HTML技术，更多的是要求动态、交互的网络技术。继通用网关接口（CGI）之后，微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。与此同时，以Microsoft的桌面数据库Access和网络数据库SQL Server为代表的数据库系统，由于具有操作简单、界面友好等特点，具有较大的用户群体。就国内现状来看，大多数网站使用的脚本语言，用ASP+Access或SQLServer的占70%以上，PHP+MySQL占20%，其他的不足10%，由于开发者代码编写的过程考虑不够周全，往往忽略程序代码的安全性，而使程序脚本被注入也成为必然。

2 安全隐患分析

2.1源代码安全性隐患

由于ASP程序采用非编译性语言，大大降低了程序源代码的安全性。如果黑客侵入站点，就可以获得ASP源代码；同时对于租用服务器的用户，因个别服务器出租商的职业道德问题，也会造成ASP应用程序源代码泄露。

2.2被忽视的注册验证问题

ASP代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。例如在浏览器中敲入“...page.asp?x=1”，即可不经过表单页面直接进入满足“x=1”条件的页面。因此，在验证或注册页面中，必须采取特殊措施来避免此类问题的产生。

2.3 SQL注入攻击

所谓SQL注入（SQL Injection），就是利用某些WEB应用程序对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交一段特殊的数据库查询代码，根据程序返回的结果，达到收集程序、数据库及服务器的信息，获取想得到而通过正常途径无法得到的资料，使整个网站服务器失控甚至对网站进行破坏性攻击的目的。

程序存在SQL注入，追其原因，是因为代码或者编码的不完善。但说到底，是程序员的惰性。代码的不完善，往往是因为在程序编写的过程中，没有考虑到代码的健壮性及安全性的结果。

当然，程序运行环境的先天缺陷也是人为的，这种现象无法完全杜绝避免。从攻击者的角度来看，使用SQL注入能够避免绝大多数防火墙的防御，不留攻击痕迹，攻击手法多种多样，因此才会导致SQL注入攻击手段的兴起。

3 提高网站安全性的方法

3.1对ASP页面进行加密

为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密：一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的Script Encoder对ASP页面进行加密。使用组件技术存在的主要问题是每段代码均需组件化，操作比较繁琐，工作量较大。而使用Encoder对ASP页面进行加密，操作简单、收效良好。Script Encoder的运行程序是SCRENC.EXE，使用方法是：

SCRENC [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

其中：/s 是屏蔽屏幕输出；/f 指定输出文件是否覆盖同名输入文件；/xl 指是否在.asp文件的顶部添加@Language指令；/l defLanguag指定缺省的脚本语言; /e defExtension 指定待加密文件的扩展名。

3.2 注册验证和加密

为防止未经注册的用户绕过注册界面直接进入应用系统，我们采用Session对象进行注册验证。例如：我们制作了下面的注册页面。

设计要求：注册成功后系统启动hrmis.asp?page=1页面。假设不采用Session对象进行注册验证，则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面，直接进入系统。

在此，利用Session对象进行注册验证：

“hrmis" Or Password "password" Then

Response.Write “账号错误！”

Response.End

End If

’将Session 对象设置为通过验证状态

Session("Passed") = True

%>

进入应用程序后，首先进行验证。

程序员要做的另一件事是给用户密码加密，一般用MD5加密较好。MD5没有反向算法,不能解密，人家即使知道经加密后存在数据库里的像乱码一样的密码，他也没办法知道原始密码。

3.3检验敏感字符/字符串

有些程序员采取针对一些敏感的字符串，主要是对SQL命令或关键字进行处理，把它们从客户端提交的信息中找到、删除，并把剩余的信息默认为安全信息写入数据库。虽然在一定程度上有效，但有“治标不治本”的嫌疑，举例来说明其弱点，当客户端的输入为“…ccmdmcmdd…”时,在对敏感字符串“cmd”替换删除以后，剩下的字符正好是“…cmd…”。新的攻击方式正在被不断发现，只要允许服务端程序使用这些提交信息，就总有受到攻击的可能。可见这个方法是不健全的，稍加变化即可躲过检查。

其实，最好的方法就是一旦检测到敏感字符/字符串，只要把它们屏蔽，并针对数据库的操作即行中止。

3.4屏蔽出错信息

精心配置IIS，打造一个安全Web服务器是一项科学严谨的工作，事关网络安全之首要，也是服务器管理员的神圣职责，具体做法请参见有关资料。针对防范SQL注入要做的主要是把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，再小心设置数据库用户权限。这样人家就无法入侵了。首先把500:100这个错误的默认提示页面

C: WINDOWS Help iisHelp common

500-100.asp

改成

C: WINDOW Help iisHelp Common

500.htm。

4 结束语

网络攻击是安全领域的新事物，但发展快危害大，而且经常被一些网站开发或网页设计人员所忽视。近年来，给网站的稳定运行带来了很大的影响，我们提高安全意识，在设计开发和网站运行的过程中随时注意查堵网站安全漏洞，在很大程度上提高网站运行的安全性。

参考文献

[1]周天思，孙明丽，庞娅娟.ASP开发技术大全[M].人民邮电出版社,2007.

[2]薛小龙.ASP典型系统实战与解析[M].北京:电子工业出版社,2007.

[3]张友生，米安然.计算机病毒与木马程序剖析[M].北京科海电子出版社,2003.

作者：孙丘宁　张皓宇　刘晓伟　栾永明

网站安全分析论文 篇3：

基于AHP及模糊综合评价的福建省学校网站安全评价分析

摘要：作为我国教育信息化建设的重要组成部分，学校的门户网站已然成为学校对外宣传与自我展示的窗口，也逐渐成为各校实行教学、管理和服务的平台。论文针对福建省学校网站的安全，利用层次分析法 （AHP） 确定各个评价指标的权重，采用模糊综合评价法对福建省学校网站进行实证分析，并提出适用于福建省学校网站的安全建议。

摘要：学校网站;网站安全;层次分析法;模糊综合评价法

研究背景

学校的门户网站作为学校对外宣传与自我展示的窗口，也逐渐成为各学校实行教学、管理和服务的平台。一旦学校的门户网站出现安全问题，将对学校的整个教学服务系统产生严重后果。对于学校网站的安全评价方面，极少学者做过深入的研究[1-4]。

研究方法

本次福建省学校网站安全评价分析采用的主要方法是层次分析法、模糊综合评价法。

（1）层次分析法。层次分析法（The analytic hierarchy process， AHP），即层级分析法，是将一个复杂的多目标决策问题作为一个系统，深入分析其本质、元素和内在关联等，然后将目标分解为多个准则，并分解为多指标的若干层次，彼此之间相互影响、相互制约，再通过定性与定量有机结合，逐层比较各指标因素计算出排序，最终优化决策，适用于为那些难以完全定量分析的较为复杂的问题做出决策。此方法的一般步骤为：建立递阶层次结构、构造判断矩阵、进行权重计算、作一致性检验。

（2）模糊综合评价法。模糊综合评价法（fuzzy comprehensive evaluation method），是对受到多因素制约的事物或对象借助模糊数学的隶属度理论，将定性评价进行定量化，从而做出整体的评价。该方法的基本步骤为：先确定评价因素集和评语集，再确定评价因素的权重向量，然后进行单因素模糊评价、并确立模糊评价关系矩阵、将多指标做综合评价、最后分析模糊综合评价结果。

学校网站安全评价指标体系的构建

3.1 学校网站安全评价指标的确定

根据学校网站本身的特点，再结合福建省各学校网站的具体情况，本文设置了一系列关于学校网站安全評价的指标，具体如下。

（1）系统安全：系统安全是学校网站构建的基础，在系统运行周期内提供系统安全管理方法，帮助辨识系统中存在的隐患，及时采取有效措施控制危险性。

（2）网络安全：网络安全是学校网站得以运行的重要条件，为存在网络系统中的各种数据提供保护，确保网络服务的正常运行。

（3）数据应用安全：数据应用安全是学校网站安全的重要组成部分，为数据处理系统提供技术和管理的安全保护，保护数据不遭到他人的随意更改、破坏和泄露，在系统正常运行中确保系统数据的完整性、可用性与保密性。

3.2 构建福建省学校网站安全评价指标体系

根据以上对各个指标的分析，本文构建的福建省学校网站安全评价指标体系，具体如图3-1所示。

3.3 采用层次分析法确定各指标权重

3.3.1构造判断矩阵

将同层次指标相对于上一层进行两两比较，判断其重要性，根据经验，将指标定量化，构造判断矩阵。对于任何n阶判断矩阵（Aij）都需要满足以下对任意两个因素之间的相对重要性进行判断及量化，设置的1～9标度的含义如表3-1所示。

通过邀请 10 位行业专家，参照指数标度原则对整体指标体系进行打分，构造目标层A对于准则层B的判断矩阵， 即判断矩阵A，如表3-2所示。

3.3.2权重计算

所谓权重计算，要求求出判断矩阵A的最大特征根和它相应的特征向量，权重向量由特征向量经过标准化所得。以下为权重计算的步骤：

（1）将判断矩阵中的各列进行归一化，参照公式（3-1）所得结果如表3-3所示：

（2）将各列归一化后的矩阵按行相加，参照公式（3-2）所得结果如表3-4所示：

（3）将向量归一化，参照公式（3-3）所得结果如下：

把列向量归一化后得到特征向量W=（0.137，0.239，0.623）T，将其标准化后得到权重向量W=（0.137，0.239，0.624）T。

（4）计算判断矩阵的最大特征根λmax，在公式（3-4）中，（AW）i是AW的第i个元素，表示向量，为矩阵A与特征向量W相乘的结果。

通过计算得：最大特征值λmax=3.024 ，AW= （0.413，0.722，1.891）T。

3.3.3一致性检验

经过构造判断矩阵并确定权重向量后，还需要进行一致性检验[5]。虽然在构造判断矩阵A时没有要求判断具有完全一致性，但也不允许偏离一致性过多，应在容许的范围内。在此将通过计算一致性指标和检验系数进行检验。

CI，用来度量判断矩阵偏离一致性的指标，公式（3-5）如下：

说明：

① CI越大，判断矩阵的一致性越差;当CI=0时表示判断矩阵具有完全一致性。

② RI，平均随机一致性指标，是指计算过多个随机发生的判断矩阵其一致性指标的平均值。

1～9阶矩阵的RI值如下表3-5。

③ CR，为检验系数，CR越小，判断矩阵一致性越好;一般当CR<0.10时，即认为判断矩阵的一致性在可接受的范围内。其公式（3-6）如下：

计算过程如下：

根据公式（3-5）得：

查表3-5得：

根据公式（3-6）得：

结果表明判断矩阵A层次排序具有相对满意的一致性。

同样地，构造准则层Bi对于方案层C的判断矩阵，即判断矩阵Bi（i=1，2，3），如表3-6至表3-8所示。

按照同上公式计算分别求出其最大特征值λmax和特征向量Wi（i=1，2，3），并依次進行一致性检验。计算结果如表3-9所示。

结果表明判断矩阵B1、B2、B3 层次排序也具有满意的一致性。

计算和得出各指标的相对权重，并在表中呈现各因素的权重排序，具体如下表3-10。

模糊综合评价法建立评价模型

由层次分析法确定的权重向量所得到的因素权重集Wi，与模糊评价得到的评价矩阵Ri合成运算，得到结果如下：

将 共同构成一层指标对于总体目标的评价矩阵R，即

将一层指标的权重向量W与评价矩阵R进行模糊运算，结果如下：

将以上结果根据最大隶属度原则，结合评语集的定义，得出总体评价为良好，即评定福建省学校网站的安全程度为良好。该评价结果与问卷调查统计中各学校网站使用者即评价者的评价结果基本相符，证明该评价方法具有一定的有效性，能够作为参考依据之一。

福建省学校网站安全建议

通过以上评价与分析，为福建省各学校网站提出以下安全建议。

（1）从规划设计到建设，全流程关注安全。学校的门户网站，从规划、设计到建设，每一个环节都做到有所规范、有所限制，不可任由网站的设计制作者带有太强的自主随意性。

（2）不仅要注重硬件防火，应用层安全也要保障。对存在诸多网络漏洞的互联网信息服务IIS进行安全加固，从其日志入手，开启安全日志保护;在系统安装的服务期间，只安装必需的网络服务和开放必要的TCP/IP协议端口;注意管理员用户名的修改以及设置密码时的复杂性;设置账户管理的权限时，尽可能限制每个账户的管理权限，并设置不同安全等级的访问账户;设置禁用Guest用户，关闭文件共享和远程功能;对出现的漏洞安装补丁，安装安全软件，谨记经常杀毒、清理木马。

（3）对设备、系统及时更新、升级，与时俱进。各学校应加大投入网络建设，对陈旧的设备进行更新，避免长时间运行后存在安全隐患。对网络设备的更新包括硬件和软件，使其适应当今网络技术的发展;应及时安装安全补丁，使系统的安全性得到增强;升级反病毒软件，及时更新安全软件，更快地识别并清除。

（4）网站文件分类管理，有序管理。不同的资料，给予不同访问权限和读写权限，删除互联网信息服务IIS中的默认站点和目录，再创建新的自己的网站;选择开启日志记录，方便日后分析网站的安全;根据不同网页、文件存在的目录分别设置相应的读、写权限，确保安全，使其能够得到有序的管理。

（5）建立严格的备份和恢复机制。为预防突发性灾难事件的发生带来的威胁，必须建立严格的备份和恢复机制，包括定期的备份，根据各种数据不同的实际情况设置不同的备份计划，同时定期对数据进行恢复检测，以确保各类数据的准确性、可用性。

（6）完善网络安全防护体系。安装硬件防火墙、入侵检测系统、Web应用防火墙等安全软件以构建网络安全防护体系。发挥入侵检测系统的实时监控功能，结合防火墙进行阻挡黑客的行动;使用Web应用防火墙有效拦截诸如网站挂马、SQL注入等非法请求，帮助网站管理员分析网站安全的具体情况并得以采取针对性的措施;同时定期扫描信息系统的漏洞。

（7）安排专业的管理人员，加强管理。安排专业的管理人员，负责网络设备、服务器等方面的安全管理;注重加强日常的管理和维护，定期地做巡检和记录;制定并完善相应的网站安全制度。

结论

论文先剖析福建省学校网站运行状况以及目前存在的安全问题，通过使用层次分析法和模糊综合评价法，构建福建省学校网站安全评价体系，建立评价模型，对福建省高校网站安全进行评价和分析，并提出有针对性的建议。

参考文献

[1]孙雨，胡苏望，李国斌.运用层次分析法构建高校网站评价指标体系[J].中国远程教育，2011，31（12）：45-48+95-96.

[2]邢文超.我国高校网站评价体系研究[D].山东师范大学，2010.

[3]付德宇，刘敏，代成琴等.高校网站客观评价指标及评价方法的探讨[J].华中师范大学学报（自然科学版），2017，63（S1）：1-3.

[4]邱建国，刘光.大学校园网站评价指标体系构建：现状、依据及内容[J].山西高等学校社会科学学报，2009，21（10）：122-125.

[5]李玲娟，豆坤.层次分析法中判断矩阵的一致性研究[J].计算机技术与发展，2009，19（10）：131-133.                               责编/庞贝

作者：谢燕祥