国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　安全：阻擊技術(shù)攻防戰(zhàn)(1)

　　黑客永遠(yuǎn)是安全界的天敵，相反只有黑客技術(shù)才能推進網(wǎng)絡(luò)安全的發(fā)展，兩者是相輔相成的。然而面對現(xiàn)在眾多的網(wǎng)絡(luò)黑客，企業(yè)到底該做哪些東西才能將安全進行到底呢?這是很現(xiàn)實的問題。

　　專家支招一：重視網(wǎng)站系統(tǒng)安全，布控第二把鎖

　　構(gòu)建器的環(huán)境，只是從外圍進行阻擊“黑客”的攻擊，但更重要的還是要保障網(wǎng)站系統(tǒng)安全，防止黑客利用系統(tǒng)漏洞進行攻擊，從而威脅網(wǎng)站安全。

　　據(jù)動易公司網(wǎng)絡(luò)安全專家介紹：根據(jù)2007年 OWASP 組織發(fā)布的 Web 應(yīng)用程序脆弱性10大排名的統(tǒng)計結(jié)果表明，跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，導(dǎo)致者可以通過插入并執(zhí)行惡意，獲得數(shù)據(jù)讀取和修改的權(quán)限;而跨站腳本攻擊則是通過在網(wǎng)頁中加入，當(dāng)訪問者瀏覽網(wǎng)頁時，惡意代碼會被執(zhí)行或者通過給管理員發(fā)信息的方式誘使管理員瀏覽，從而獲得管理員權(quán)限，控制整個網(wǎng)站。

　　那么，對這種黑客攻擊方式有沒有有效的安全手段進行阻擊呢?據(jù)悉，在SiteFactoryTM 內(nèi)容管理系統(tǒng)開發(fā)中，針對各種攻擊方式都制定了相應(yīng)完整的防御，并且借助 ASP.NET 的特性和功能，可以有效的抵制惡意用戶對網(wǎng)站進行的攻擊，提高網(wǎng)站的安全性，但就針對目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什么呢?為此，我們向動易網(wǎng)絡(luò)安全專家了解，他向我們介紹了一些安全手段：

　　(一)對于SQL注入攻擊：動易系統(tǒng)采用對SQL查詢語句中的查詢參數(shù)進行過濾;使用類型安全的SQL參數(shù)化查詢方式，從根本上解決SQL注入的問題;URL參數(shù)類型、數(shù)量、范圍限制功能，解決惡意用戶通過地址欄惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對用戶輸入數(shù)據(jù)的驗證來防止SQL注入攻擊。

　　(二)：對于跨站腳本攻擊：在對于不支持HTML的內(nèi)容直接實行編碼處理的辦法，來從根本上解決跨站問題。而對于支持Html的內(nèi)容，我們有專門的過濾函數(shù)，會對數(shù)據(jù)進行安全處理(依據(jù)XSS攻擊庫的攻擊實例)，雖然這種方式目前是安全的，但不代表以后也一定是安全的，因為攻擊手段會不斷翻新，我們的過濾函數(shù)庫也會不斷更新。

　　另外對于外站訪問和直接訪問我們也做了判斷，從一定程度上也可以避免跨站攻擊。即使出現(xiàn)了了跨站攻擊，我們也會將攻擊的影響減到最?。阂?、對于后臺一些會顯示HTML內(nèi)容的地方，通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗證票據(jù)都是加密過的;四、推薦使用更高版本的IE或者FF。

　　專家支招二：構(gòu)建安全環(huán)境，嚴(yán)防第一道鎖

　　據(jù)陜西地震局一位負(fù)責(zé)網(wǎng)站維護的技術(shù)人員告訴記者，陜西地震網(wǎng)遭受到了黑客攻擊，首頁顯示的“網(wǎng)站出現(xiàn)重大安全漏洞”的信息屬黑客發(fā)布的虛假信息，而目前網(wǎng)站運行安全，并未出現(xiàn)技術(shù)漏洞。我們在譴責(zé)“地震黑客”的同時，也在思考另一個問題，怎么樣來保障我們的網(wǎng)站安全運行?對此問題，記者走訪了國內(nèi)中小型網(wǎng)站安全防范問題專家。

　　據(jù)介紹：構(gòu)建安全服務(wù)器環(huán)境，構(gòu)筑黑客攻擊第一鏈條。但構(gòu)建安全的服務(wù)器環(huán)境來抵御“黑客”攻擊，其涉及面相當(dāng)廣，但就中小型網(wǎng)站而言，大致可從三個方面來進行：

　　(一)：技術(shù)層面：采用軟硬件、、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的環(huán)境;

　　(二)：服務(wù)方面，進行網(wǎng)絡(luò)拓?fù)浞治?、建立中心管理制度、建立以及防軟件定期升級機制、對重要服務(wù)器的訪問日志進行備份，通過這些服務(wù)，增強網(wǎng)絡(luò)的抗干擾性;

　　(三)：支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性。

　　但目前大多數(shù)中小型網(wǎng)站都是以虛擬主機的形式托管的，要提高網(wǎng)站安全性，降低黑客攻擊風(fēng)險，網(wǎng)站管理員就應(yīng)及時給自己的網(wǎng)站程序打上最新的補丁，在開發(fā)的時候應(yīng)加強安全意識，注意防止注入漏洞、上傳漏洞等問題，同時把網(wǎng)站托管在技術(shù)實力強、安全系數(shù)高、能主動幫客戶解決安全的服務(wù)商處，以確保網(wǎng)站安全運行環(huán)境的安全。

　　網(wǎng)友支招三：呼吁站長和政府關(guān)注網(wǎng)站安全，動員第三把鎖

　　2008年4月29日，國務(wù)院辦公廳發(fā)布了“國務(wù)院辦公廳關(guān)于施行《中華人民共和國政府信息公開條例》若干問題的意見”(國辦發(fā)(2008〕36號)，)，文中充分體現(xiàn)了政務(wù)公開的決心，而政務(wù)公開的組要信息渠道是傳統(tǒng)的紙媒和政府網(wǎng)站，但據(jù)CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達61228個，比去年增加了1.5倍。中國大陸政府網(wǎng)站被篡改數(shù)量達3407個。而2007年中國大陸政府網(wǎng)站被篡改各月累計達4234個。

　　一系列的數(shù)字和事實證明，我們在網(wǎng)站安全方面存在著重大的隱患，而其中網(wǎng)站站長和政府在安全方面扮演著重要的角色，一方面我們呼吁網(wǎng)站站長關(guān)注網(wǎng)站安全，構(gòu)筑網(wǎng)站安全的基本防護能力，降低被“黑客”攻擊的風(fēng)險，另一方面我們呼吁政府關(guān)注，積極打擊網(wǎng)絡(luò)黑客犯罪，加強犯罪立法，從制度上保障網(wǎng)站的安全。

　　編者按：

　　關(guān)于黑客進攻的案例多不勝舉，面對猖狂的黑客份子，企業(yè)你是否做好的安全之盾?有人說通過企業(yè)網(wǎng)站入侵整個，這將是黑客最大的獲利途徑，事實上的確如此，很多肉雞和僵尸網(wǎng)絡(luò)都是由此而生，因此抗拒黑客攻擊與入侵是企業(yè)首重目標(biāo)。