重視網(wǎng)站系統(tǒng)安全，嚴(yán)防第一道鎖

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　近日，國(guó)內(nèi)發(fā)生了多宗政府網(wǎng)站被黑事件。遼寧省食品安全網(wǎng)被黑，黑客留言提醒管理公司OA辦公軟件員修補(bǔ)服務(wù)器；安徽省淮北市烈山區(qū)政府網(wǎng)站被黑，公開信中發(fā)現(xiàn)了諸如減肥、除粉刺等小廣告鏈接。據(jù)了解，該政府網(wǎng)站遭遇“掛馬”并非個(gè)案，類似通過(guò)“黑”政府網(wǎng)站牟利的行為已構(gòu)成一個(gè)產(chǎn)業(yè)鏈，政府網(wǎng)站因其在搜索引擎中排名靠前、能給廣告所屬網(wǎng)站帶來(lái)更多流量而備受黑客青睞。來(lái)自工信部的統(tǒng)計(jì)信息顯示：去年1月4日至10日，一周內(nèi)境內(nèi)被篡改的政府網(wǎng)站數(shù)量為178個(gè)。

　　黑客永遠(yuǎn)是安全界的天敵，相反只有黑客技術(shù)才能推進(jìn)網(wǎng)絡(luò)安全的發(fā)展，兩者是相輔相成的。然而面對(duì)現(xiàn)在眾多的網(wǎng)絡(luò)黑客，政府網(wǎng)站到底該做哪些東西才能將安全進(jìn)行到底呢?這是很現(xiàn)實(shí)的問(wèn)題。我們?cè)谧l責(zé)黑客的同時(shí)，也在思考另一個(gè)問(wèn)題，怎么樣來(lái)保障我們的政府網(wǎng)站安全運(yùn)行？政府網(wǎng)站建設(shè)的時(shí)候又要注意什么？為此，記者走訪了網(wǎng)站安全防范專家。

　　專家支招一：重視網(wǎng)站系統(tǒng)安全，嚴(yán)防第一道鎖

　　構(gòu)建安全服務(wù)器的環(huán)境，只是從外圍進(jìn)行阻擊“黑客”的攻擊，但更重要的還是要保障網(wǎng)站系統(tǒng)安全，防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊，從而威脅網(wǎng)站安全。

　　據(jù)管理公司OA軟件網(wǎng)絡(luò)安全專家介紹：根據(jù)OWASP 組織發(fā)布的 Web 應(yīng)用程序脆弱性10大排名的統(tǒng)計(jì)結(jié)果表明，跨站腳本、注入漏洞、跨站請(qǐng)求偽造、信息泄露等方面的問(wèn)題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時(shí)沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，導(dǎo)致入侵者可以通過(guò)插入并執(zhí)行惡意SQL命令，獲得數(shù)據(jù)讀取和修改的權(quán)限；而跨站腳本攻擊則是通過(guò)在網(wǎng)頁(yè)中加入惡意代碼，當(dāng)訪問(wèn)者瀏覽網(wǎng)頁(yè)時(shí)，惡意代碼會(huì)被執(zhí)行或者通過(guò)給管理公司OA辦公軟件員發(fā)信息的方式誘使成都管理公司OA辦公軟件員瀏覽，從而獲得管理公司OA辦公軟件員權(quán)限，控制整個(gè)網(wǎng)站。

　　那么，對(duì)這種黑客攻擊方式有沒(méi)有有效的安全手段進(jìn)行阻擊呢?據(jù)悉，在SmartGov 政府網(wǎng)站管理公司OA辦公軟件系統(tǒng)開發(fā)中，針對(duì)各種攻擊方式都制定了相應(yīng)完整的防御方案，并且借助 ASP.NET 的特性和功能，可以有效的抵制惡意用戶對(duì)網(wǎng)站進(jìn)行的攻擊，提高網(wǎng)站的安全性，但就針對(duì)目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什么呢？動(dòng)易網(wǎng)絡(luò)安全專家向我們介紹了一些安全手段：

　　(一)對(duì)于SQL注入攻擊：動(dòng)易系統(tǒng)采用對(duì)SQL查詢語(yǔ)句中的查詢參數(shù)進(jìn)行過(guò)濾；使用類型安全的SQL參數(shù)化查詢方式，從根本上解決SQL注入的問(wèn)題;URL參數(shù)類型、數(shù)量、范圍限制功能，解決惡意用戶通過(guò)地址欄惡意攻擊的問(wèn)題等，這些手段是控制SQL注入的，還包括其它的一些過(guò)濾處理，和其它的對(duì)用戶輸入數(shù)據(jù)的驗(yàn)證來(lái)防止SQL注入攻擊。

　　(二)：對(duì)于跨站腳本攻擊：在對(duì)于不支持HTML的內(nèi)容直接實(shí)行編碼處理的辦法，來(lái)從根本上解決跨站問(wèn)題。而對(duì)于支持HTML的內(nèi)容，管理公司OA軟件有專門的過(guò)濾函數(shù)，會(huì)對(duì)數(shù)據(jù)進(jìn)行安全處理(依據(jù)XSS攻擊庫(kù)的攻擊實(shí)例)，雖然這種方式目前是安全的，但不代表以后也一定是安全的，因?yàn)楣羰侄螘?huì)不斷翻新，管理公司OA軟件的過(guò)濾函數(shù)庫(kù)也會(huì)不斷更新。

　　另外對(duì)于外站訪問(wèn)和直接訪問(wèn)我們也做了判斷，從一定程度上也可以避免跨站攻擊。即使出現(xiàn)了跨站攻擊，我們也會(huì)將攻擊的影響減到最?。阂?、對(duì)于后臺(tái)一些會(huì)顯示HTML內(nèi)容的地方，通過(guò)frame的安全屬性security="restricted"來(lái)阻止腳本的運(yùn)行(IE有效);二、使用Cookie的HttpOnly屬性來(lái)防止Cookie通過(guò)腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗(yàn)證票據(jù)都是加密過(guò)的;四、推薦使用更高版本的IE或者FF。