|
|
“网站黑客”、“奥运黑客”,好像比来成为了互联网安全方面的一个热论题,从Google上查找“奥运黑客”一词,竟达646,000多项,可见所受的注重度之高,而一般网站也在比来一再传出被黑客进犯的音讯,据有关数据显现:本年1到5月,全国有3万多个网站遭到“黑客”侵略!由于缺少专业的防护才能,中小型政府网站、公司网站已成为“黑客”侵略的最大受害者。
教授支招一:构建安全效劳器环境,谨防榜首道锁 据介绍:构建安全效劳器环境,构筑黑客进犯榜首链条。但构建安全的效劳器环境来抵挡“黑客”进犯,其涉及面适当广,但就中小型网站而言,大致可从三个方面来进行:(一):技能层面:选用软硬件防火墙、杀毒软件、页面防篡改体系来树立一个布局上较完善的Web效劳器环境;(二):效劳方面,进行网络拓扑剖析、树立中间机房管理制度、树立操作体系以及防病毒软件定时晋级机制、对重要效劳器的拜访日志进行备份,经过这些效劳,增强网络的抗干扰性;(三):撑持方面,需求效劳商供给毛病扫除效劳,以进步网络的可靠性。
但当前大多数中小型网站都是以虚拟主机的方法保管的,要进步网站安全性,下降黑客进犯危险,网站管理员就应及时给本人的网站顺序打上最新的补丁,在开发的时分应加强安全意识,注重避免写入缝隙、上传缝隙等问题,一起把网站保管在技能实力强、安全系数高、能自动帮客户处置安全的效劳商处,以保证网站安全运转环境的安全。
教授支招二:注重网站体系安全,布控第二把锁
构建安全效劳器的环境,仅仅从外围进行阻击“黑客”的进犯,但更重要的仍是要保证网站体系安全,避免黑客运用体系缝隙进行进犯,然后要挟网站安全。
(一)关于SQL写入进犯:动易体系选用对SQL查询语句中的查询参数进行过滤;运用类型安全的SQL参数化查询方法,从根本上处置SQL写入的问题;URL参数类型、数量、规模约束功用,处置歹意用户经过地址栏歹意进犯的问题等,这些手法是操控SQL写入的,还包罗其它的一些过滤处置,和其它的对用户输入数据的验证来避免SQL写入进犯。
(二):关于跨站脚本进犯:在关于不撑持HTML的内容直接实施编码处置的方法,来从根本上处置跨站问题。而关于撑持Html的内容,咱们有专门的过滤函数,会对数据进行安全处置(根据XSS进犯库的进犯实例),尽管这种方法当前是安全的,但不代表今后也必定是安全的,由于进犯手法会不断创新,咱们的过滤函数库也会不断更新。
别的关于外站拜访和直接拜访咱们也做了判别,从必定程度上也可以避免跨站进犯。即便呈现了了跨站进犯,咱们也会将进犯的影响减到最小:一、关于后台一些会显现HTML内容的当地,经过frame的安全特点security="restricted"来阻碍脚本的运转(IE有用);二、运用Cookie的HttpOnly特点来避免Cookie经过脚本泄密(IE6SP1以上、Firefox3);三、身份验证收据都是加密过的;四、引荐运用更高版别的IE或许FF。
网友支招三:呼吁站长和政府注重网站安全,发动第三把锁
2008年4月29日,国务院办公厅发布了“国务院办公厅关于实施《中华人民共和国政府信息揭露法令》若干问题的定见”(国办发(2008〕36号),),文中充分体现了政务揭露的决计,而政务揭露的组要信息途径是传统的纸媒和政府网站,但据CNCERT/CC监测到中国大陆被篡改网站总数累积达61***28个,比上一年增加了1.5倍。中国大陆政府网站被篡改数量达3407个。而2007年中国大陆政府网站被篡改各月累计达4234个。
一系列的数字和事实证明,咱们在网站安全方面存在着严重的危险,而其中网站站长和政府在安全方面扮演着重要的人物,一方面咱们呼吁网站站长注重网站安全,构筑网站安全的根本防护才能,下降被“黑客”进犯的危险,另一方面咱们呼吁政府注重,活跃冲击网络黑客违法,加强互联网违法立法,从制度上保证网站的安全。 |
|
发表于 2012-10-26 13:39:09