網(wǎng)站安全風(fēng)險(xiǎn)分析及對策
??????? 2.網(wǎng)站防御措施過于落后����,甚至沒有真正的防御
??????? 大多數(shù)防御傳統(tǒng)的基于特征識別的入侵防御技術(shù)或內(nèi)容過濾技術(shù),對保護(hù)網(wǎng)站抵御黑客攻擊的效果不佳����。比如對SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊���,基于特征匹配技術(shù)防御攻擊�,不能精確阻斷攻擊。因?yàn)楹诳蛡兛梢酝ㄟ^構(gòu)建任意表達(dá)式來繞過防御設(shè)備固化的特征庫�,比如:and1=1和and2=2是一類數(shù)據(jù)庫語句��,但可以人為任意構(gòu)造數(shù)字構(gòu)成同類語句的不同特征�。而and��、=等這些標(biāo)識在WEB提交數(shù)據(jù)庫應(yīng)用中又是普遍存在的表達(dá)符號�����,不能作為攻擊的唯一特征����。因此���,這就很難基于特征標(biāo)識來構(gòu)建一個(gè)精確阻斷SQL注入攻擊的防御系統(tǒng)。導(dǎo)致目前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一���?�;趹?yīng)用層構(gòu)建的攻擊����,防火墻更是束手無策。
??????? 網(wǎng)站防御不佳還有另一個(gè)原因�����,有很多網(wǎng)站管理員對網(wǎng)站的價(jià)值認(rèn)識僅僅是一臺服務(wù)器或者是網(wǎng)站的建設(shè)成本����,為了這個(gè)服務(wù)器而增加超出其成本的安全防護(hù)措施認(rèn)為得不償失���。而實(shí)際網(wǎng)站遭受攻擊之后����,帶來的間接損失往往不能用一個(gè)服務(wù)器或者是網(wǎng)站建設(shè)成本來衡量,很多信息資產(chǎn)在遭受攻擊之后造成無形價(jià)值的流失����。不幸的是�,很多網(wǎng)站負(fù)責(zé)的單位、人員���,只有在網(wǎng)站遭受攻擊后����,造成的損失遠(yuǎn)超過網(wǎng)站本身造價(jià)之后才意識就這一點(diǎn)。
??????? 網(wǎng)站安全問題及其危害
??????? 常見的Web攻擊分為兩類:
??????? 一、利用Web服務(wù)器的漏洞進(jìn)行攻擊�。如CGI緩沖區(qū)溢出,目錄遍歷漏洞利用等攻擊���;
??????? 二����、利用網(wǎng)頁自身的安全漏洞進(jìn)行攻擊��。如SQL注入���,跨站腳本攻擊等����。常見的針對Web應(yīng)用的攻擊有:
??????? 1�、緩沖區(qū)溢出--攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令
??????? 2���、Cookie假冒--精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒3、認(rèn)證逃避--攻擊者利用不安全的證書和身份管理
??????? 4�����、非法輸入--在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)�,獲取服務(wù)器敏感數(shù)據(jù)
??????? 5、強(qiáng)制訪問--訪問未授權(quán)的網(wǎng)頁
??????? 6����、隱藏變量篡改--對網(wǎng)頁中的隱藏變量進(jìn)行修改�,欺騙服務(wù)器程序
??????? 7�、拒絕服務(wù)攻擊--構(gòu)造大量的非法請求�,使Web服務(wù)器不能相應(yīng)正常用
??????? 戶的訪問
??????? 8、跨站腳本攻擊--提交非法腳本�����,其他用戶瀏覽時(shí)盜取用戶帳號等信息
??????? 9���、SQL注入--構(gòu)造SQL代碼讓服務(wù)器執(zhí)行,獲取敏感數(shù)據(jù)
??????? 網(wǎng)絡(luò)與信息的安全不僅關(guān)系到正常工作的開展,還將影響到國家的安全����、社會的穩(wěn)定。國安廣告將認(rèn)真開展網(wǎng)絡(luò)與信息安全工作����,通過檢查進(jìn)一步明確安全責(zé)任�����,建立健全的管理制度,落實(shí)技術(shù)防范措施����,保證必要的經(jīng)費(fèi)和條件,對有毒有害的信息進(jìn)行過濾����、對用戶信息進(jìn)行保密�����,確保網(wǎng)絡(luò)與信息安全����。
??????? 網(wǎng)站運(yùn)行安全保障措施
??????? 1��、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置防火墻�����,做好安全策略�����,拒絕外來的惡意程序攻擊,保障網(wǎng)站正常運(yùn)行�。
??????? 2、在網(wǎng)站的服務(wù)器及工作站上均安裝了相應(yīng)的防病毒軟件�����,對計(jì)算機(jī)病毒、有害電子郵件有整套的防范措施���,防止有害信息對網(wǎng)站系統(tǒng)的干擾和破壞。
??????? 3����、做好訪問日志的留存���。網(wǎng)站具有保存三個(gè)月以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能��,內(nèi)容包括IP地址及使用情況��,主頁維護(hù)者��、對應(yīng)的IP地址情況等。
??????? 4�����、交互式欄目具備有IP地址���、身份登記和識別確認(rèn)功能,對非法貼子或留言能做到及時(shí)刪除并進(jìn)行重要信息向相關(guān)部門匯報(bào)����。
??????? 5、網(wǎng)站信息服務(wù)系統(tǒng)建立多機(jī)備份機(jī)制��,一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行���,可以在最短的時(shí)間內(nèi)替換主系統(tǒng)提供服務(wù)。
??????? 6����、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能�,及相關(guān)端口��,并及時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏洞�,定期查殺病毒���。
??????? 7����、服務(wù)器平時(shí)處于鎖定狀態(tài)��,并保管好登錄密碼;后臺管理界面設(shè)置超級用戶名及密碼�����,并綁定IP,以防他人登入��。
??????? 8����、網(wǎng)站提供集中式權(quán)限管理��,針對不同的應(yīng)用系統(tǒng)�����、終端���、操作人員,由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限�����,并設(shè)置相應(yīng)的密碼及口令��。不同的操作人員設(shè)定不同的用戶名���,且定期更換����,嚴(yán)禁操作人員泄漏自己的口令���。對操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定�,并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。
??????? 9����、公司機(jī)房按照電信機(jī)房標(biāo)準(zhǔn)建設(shè)���,內(nèi)有必備的獨(dú)立UPS不間斷電源���,能定期進(jìn)行電力��、防火����、防潮����、防磁和防鼠檢查。
???????
