各方支招構建安全服務器環境 阻止黑客攻擊
來源:
作者:
發布時間: 2008-07-29
“網絡黑客”、“奧運黑客”,似乎成了最近互聯網安全方面的一個熱門話題,Google搜索“奧運黑客”一詞,竟達449,000多項,可見所受的關注度之高,而普通網站也在最近頻頻傳出被黑客攻擊的消息,據有關數據顯示:今年1到5月,全國有3萬多個網站遭到“黑客”入侵!
中小型網站安全防范問題
專家支招一:構建安全服務器環境,嚴防第一道鎖
構建安全服務器環境,構筑黑客攻擊第一鏈條。但構建安全的服務器環境來抵御“黑客”攻擊,其涉及面相當廣,但就中小型網站而言,大致可從三個方面來進行:
(一):技術層面:采用軟硬件防火墻、殺毒軟件、頁面防篡改系統來建立一個結構上較完善的Web服務器環境;
(二):服務方面,進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份,通過這些服務,增強網絡的抗干擾性;(三):支持方面,要求服務商提供故障排除服務,以提高網絡的可靠性。
但目前大多數中小型網站都是以虛擬主機的形式托管的,要提高網站安全性,降低黑客攻擊風險,網站管理員就應及時給自己的網站程序打上最新的補丁,在開發的時候應加強安全意識,注意防止注入漏洞、上傳漏洞等問題,同時把網站托管在技術實力強、安全系數高、能主動幫客戶解決安全的服務商處,以確保網站安全運行環境的安全。
專家支招二:重視網站系統安全,布控第二把鎖
構建安全服務器的環境,只是從外圍進行阻擊“黑客”的攻擊,但更重要的還是要保障網站系統安全,防止黑客利用系統漏洞進行攻擊,從而威脅網站安全。
據動易公司網絡安全專家介紹:根據2007年 OWASP 組織發布的 Web 應用程序脆弱性10大排名的統計結果表明,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式,而其中尤以SQL注入攻擊和跨站腳本攻擊為重,所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷,導致入侵者可以通過插入并執行惡意SQL命令,獲得數據讀取和修改的權限;而跨站腳本攻擊則是通過在網頁中加入惡意代碼,當訪問者瀏覽網頁時,惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽,從而獲得管理員權限,控制整個網站。
那么,對這種黑客攻擊方式有沒有有效的安全手段進行阻擊呢?據悉,在SiteFactory? 內容管理系統開發中,針對各種攻擊方式都制定了相應完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制惡意用戶對網站進行的攻擊,提高網站的安全性,但就針對目前SQL注入攻擊和跨站腳本攻擊,其更加有效的阻擊手段是什么呢?為此,我們向動易網絡安全專家了解,他向我們介紹了一些安全手段:
(一)對于SQL注入攻擊:動易系統采用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題;URL參數類型、數量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題等,這些手段是控制SQL注入的,還包括其它的一些過濾處理,和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。
(二):對于跨站腳本攻擊:在對于不支持HTML的內容直接實行編碼處理的辦法,來從根本上解決跨站問題。而對于支持Html的內容,我們有專門的過濾函數,會對數據進行安全處理(依據XSS攻擊庫的攻擊實例),雖然這種方式目前是安全的,但不代表以后也一定是安全的,因為攻擊手段會不斷翻新,我們的過濾函數庫也會不斷更新。
另外對于外站訪問和直接訪問我們也做了判斷,從一定程度上也可以避免跨站攻擊。即使出現了了跨站攻擊,我們也會將攻擊的影響減到最小:一、對于后臺一些會顯示HTML內容的地方,通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗證票據都是加密過的;四、推薦使用更高版本的IE或者FF。
網友支招三:呼吁站長和政府關注網站安全,動員第三把鎖
2008年4月29日,國務院辦公廳發布了“國務院辦公廳關于施行《中華人民共和國政府信息公開條例》若干問題的意見”(國辦發(2008〕36號),),文中充分體現了政務公開的決心,而政務公開的組要信息渠道是傳統的紙媒和政府網站,但據CNCERT/CC監測到中國大陸被篡改網站總數累積達61228個,比去年增加了1.5倍。中國大陸政府網站被篡改數量達3407個。而2007年中國大陸政府網站被篡改各月累計達4234個。
一系列的數字和事實證明,我們在網站安全方面存在著重大的隱患,而其中網站站長和政府在安全方面扮演著重要的角色,一方面我們呼吁網站站長關注網站安全,構筑網站安全的基本防護能力,降低被“黑客”攻擊的風險,另一方面我們呼吁政府關注,積極打擊網絡黑客犯罪,加強互聯網犯罪立法,從制度上保障網站的安全。
中小型網站安全防范問題
專家支招一:構建安全服務器環境,嚴防第一道鎖
構建安全服務器環境,構筑黑客攻擊第一鏈條。但構建安全的服務器環境來抵御“黑客”攻擊,其涉及面相當廣,但就中小型網站而言,大致可從三個方面來進行:
(一):技術層面:采用軟硬件防火墻、殺毒軟件、頁面防篡改系統來建立一個結構上較完善的Web服務器環境;
(二):服務方面,進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份,通過這些服務,增強網絡的抗干擾性;(三):支持方面,要求服務商提供故障排除服務,以提高網絡的可靠性。
但目前大多數中小型網站都是以虛擬主機的形式托管的,要提高網站安全性,降低黑客攻擊風險,網站管理員就應及時給自己的網站程序打上最新的補丁,在開發的時候應加強安全意識,注意防止注入漏洞、上傳漏洞等問題,同時把網站托管在技術實力強、安全系數高、能主動幫客戶解決安全的服務商處,以確保網站安全運行環境的安全。
專家支招二:重視網站系統安全,布控第二把鎖
構建安全服務器的環境,只是從外圍進行阻擊“黑客”的攻擊,但更重要的還是要保障網站系統安全,防止黑客利用系統漏洞進行攻擊,從而威脅網站安全。
據動易公司網絡安全專家介紹:根據2007年 OWASP 組織發布的 Web 應用程序脆弱性10大排名的統計結果表明,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式,而其中尤以SQL注入攻擊和跨站腳本攻擊為重,所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷,導致入侵者可以通過插入并執行惡意SQL命令,獲得數據讀取和修改的權限;而跨站腳本攻擊則是通過在網頁中加入惡意代碼,當訪問者瀏覽網頁時,惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽,從而獲得管理員權限,控制整個網站。
那么,對這種黑客攻擊方式有沒有有效的安全手段進行阻擊呢?據悉,在SiteFactory? 內容管理系統開發中,針對各種攻擊方式都制定了相應完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制惡意用戶對網站進行的攻擊,提高網站的安全性,但就針對目前SQL注入攻擊和跨站腳本攻擊,其更加有效的阻擊手段是什么呢?為此,我們向動易網絡安全專家了解,他向我們介紹了一些安全手段:
(一)對于SQL注入攻擊:動易系統采用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題;URL參數類型、數量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題等,這些手段是控制SQL注入的,還包括其它的一些過濾處理,和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。
(二):對于跨站腳本攻擊:在對于不支持HTML的內容直接實行編碼處理的辦法,來從根本上解決跨站問題。而對于支持Html的內容,我們有專門的過濾函數,會對數據進行安全處理(依據XSS攻擊庫的攻擊實例),雖然這種方式目前是安全的,但不代表以后也一定是安全的,因為攻擊手段會不斷翻新,我們的過濾函數庫也會不斷更新。
另外對于外站訪問和直接訪問我們也做了判斷,從一定程度上也可以避免跨站攻擊。即使出現了了跨站攻擊,我們也會將攻擊的影響減到最小:一、對于后臺一些會顯示HTML內容的地方,通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗證票據都是加密過的;四、推薦使用更高版本的IE或者FF。
網友支招三:呼吁站長和政府關注網站安全,動員第三把鎖
2008年4月29日,國務院辦公廳發布了“國務院辦公廳關于施行《中華人民共和國政府信息公開條例》若干問題的意見”(國辦發(2008〕36號),),文中充分體現了政務公開的決心,而政務公開的組要信息渠道是傳統的紙媒和政府網站,但據CNCERT/CC監測到中國大陸被篡改網站總數累積達61228個,比去年增加了1.5倍。中國大陸政府網站被篡改數量達3407個。而2007年中國大陸政府網站被篡改各月累計達4234個。
一系列的數字和事實證明,我們在網站安全方面存在著重大的隱患,而其中網站站長和政府在安全方面扮演著重要的角色,一方面我們呼吁網站站長關注網站安全,構筑網站安全的基本防護能力,降低被“黑客”攻擊的風險,另一方面我們呼吁政府關注,積極打擊網絡黑客犯罪,加強互聯網犯罪立法,從制度上保障網站的安全。
- 上一篇: 網絡安全亟需解決的六大問題
- 下一篇: 網絡安全隱患何其多
第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
2023(第五屆)中國電子政務安全大會在京成功召開
中國信息協會首次職業技能等級認定考試在黑龍江省舉行
第十九屆海峽兩岸信息化論壇暨海峽兩岸數字經濟項目對接洽談會在廈門舉辦
- 協會要聞
- 通知公告
-
- • 關于舉辦網絡安全體系建設、安全能力評估與攻防實戰培訓的通知
- • 2023(第五屆)全國政務熱線發展論壇在武漢隆重召開
- • 首屆數字全民國防教育高峰論壇將于10月13日在京舉辦
- • 關于舉辦新一代信息技術在數字檔案館(室)建設中的應用暨檔案信息化管理高級培訓班的通知
- • 第四屆信息技術及應用創新人才發展交流大會暨中國信息協會第三屆信息技術服務業應用技能大賽頒獎典禮在京隆重召開
- • 2023(第五屆)中國電子政務安全大會在京成功召開
- • 2023(第五屆)全國政務熱線發展論壇將于9月20-21日在武漢舉辦
- • 關于舉辦2023信息技術應用創新博覽會的通知
- • 關于舉辦第十三屆能源企業信息化大會的通知
- • 中國信息協會首次職業技能等級認定考試在黑龍江省舉行