专家教你怎样搭建一个安全的服务器环境
来源:Asp之家 发布时间:2010-08-23 18:32:00
“网站黑客”、“奥运黑客”,似乎最近成为了互联网安全方面的一个热话题,从Google上搜索“奥运黑客”一词,竟达646,000多项,可见所受的关注度之高,而普通网站也在最近频频传出被黑客攻击的消息,据有关数据显示:今年1到5月,全国有3万多个网站遭到“黑客”入侵!由于缺乏专业的防护能力,中小型政府网站、企业网站已成为 “黑客”入侵的最大受害者。
中小型网站安全防范问题
专家支招一:构建安全服务器环境,严防第一道锁
据陕西地震局一位负责网站维护的技术人员告诉记者,陕西地震网遭受到了黑客攻击,首页显示的“网站出现重大安全漏洞”的信息属黑客发布的虚假信息,而目前网站运行安全,并未出现技术漏洞。我们在谴责“地震黑客”的同时,也在思考另一个问题,怎么样来保障我们的网站安全运行?对此问题,记者走访了国内中小型网站安全防范问题专家。
据介绍:构建安全服务器环境,构筑黑客攻击第一链条。但构建安全的服务器环境来抵御“黑客”攻击,其涉及面相当广,但就中小型网站而言,大致可从三个方面来进行:(一):技术层面:采用软硬件防火墙、杀毒软件、页面防篡改系统来建立一个结构上较完善的Web服务器环境;(二):服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性;(三):支持方面,要求服务商提供故障排除服务,以提高网络的可靠性。
但目前大多数中小型网站都是以虚拟主机的形式托管的,要提高网站安全性,降低黑客攻击风险,网站管理员就应及时给自己的网站程序打上最新的补丁,在开发的时候应加强安全意识,注意防止注入漏洞、上传漏洞等问题,同时把网站托管在技术实力强、安全系数高、能主动帮客户解决安全的服务商处,以确保网站安全运行环境的安全。
专家支招二:重视网站系统安全,布控第二把锁
构建安全服务器的环境,只是从外围进行阻击“黑客”的攻击,但更重要的还是要保障网站系统安全,防止黑客利用系统漏洞进行攻击,从而威胁网站安全。
据动易公司网络安全专家介绍:根据2007年 OWASP 组织发布的 Web 应用程序脆弱性10大排名的统计结果表明,跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式,而其中尤以SQL注入攻击和跨站脚本攻击为重,所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断,导致入侵者可以通过插入并执行恶意SQL命令,获得数据读取和修改的权限;而跨站脚本攻击则是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
那么,对这种黑客攻击方式有没有有效的安全手段进行阻击呢?据悉,在SiteFactory? 内容管理系统开发中,针对各种攻击方式都制定了相应完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制恶意用户对网站进行的攻击,提高网站的安全性,但就针对目前SQL注入攻击和跨站脚本攻击,其更加有效的阻击手段是什么呢?为此,我们向动易网络安全专家了解,他向我们介绍了一些安全手段:
(一)对于SQL注入攻击:动易系统采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题等,这些手段是控制SQL注入的,还包括其它的一些过滤处理,和其它的对用户输入数据的验证来防止SQL注入攻击。
(二):对于跨站脚本攻击:在对于不支持HTML的内容直接实行编码处理的办法,来从根本上解决跨站问题。而对于支持Html的内容,我们有专门的过滤函数,会对数据进行安全处理(依据XSS攻击库的攻击实例),虽然这种方式目前是安全的,但不代表以后也一定是安全的,因为攻击手段会不断翻新,我们的过滤函数库也会不断更新。
另外对于外站访问和直接访问我们也做了判断,从一定程度上也可以避免跨站攻击。即使出现了了跨站攻击,我们也会将攻击的影响减到最小:一、对于后台一些会显示HTML容的地方,通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效);二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6 SP1以上、Firefox 3);三、身份验证票据都是加密过的;四、推荐使用更高版本的IE或者FF。
网友支招三:呼吁站长和政府关注网站安全,动员第三把锁
2008年4月29日,国务院办公厅发布了“国务院办公厅关于施行《中华人民共和国政府信息公开条例》若干问题的意见”( * (2008〕36号),),文中充分体现了政务公开的决心,而政务公开的组要信息渠道是传统的纸媒和政府网站,但据CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个,比去年增加了1.5倍。中国大陆政府网站被篡改数量达3407个。而2007年中国大陆政府网站被篡改各月累计达4234个。
一系列的数字和事实证明,我们在网站安全方面存在着重大的隐患,而其中网站站长和政府在安全方面扮演着重要的角色,一方面我们呼吁网站站长关注网站安全,构筑网站安全的基本防护能力,降低被“黑客”攻击的风险,另一方面我们呼吁政府关注,积极打击网络黑客犯罪,加强互联网犯罪立法,从制度上保障网站的安全。
![](https://www.aspxhome.com/images/zang.png)
![](https://www.aspxhome.com/images/jiucuo.png)
猜你喜欢
- 北京时间3月3日消息 据国外媒体报道,雅虎CEO卡罗尔·巴茨周二在庆祝雅虎成立15周年时表示,公司要实现复兴需要多年时间。她希望投资者记住,
- 3月2日消息,网易昨日开始对网站部业务进行调整,除了原网易执行副总编方三文离职外,网易还调整了其他人事分工和新业务架构。根据内部人士透露,原
- 域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS
- 随着Office用户的不断增多,微软对下一代办公软件Office 2010进行了诸多创新,除了一些功能改进外,微软为消费者购买和在现有及新机
- 1月11日,由搜索引擎营销研究中心(RDC SEM)副主任樂思蜀(王志炜)牵头,举办了西安SEO从业者对西安业内状况与发展做了深入的交流聚会
- 4、TLS支持通过修改/usr/lib/ssl/misc/CA.pll脚本实现,以下修改后CA1.pl和未修改CA.pl之间的对
- 不少Web服务器都是架设在Windows 2003服务器系统环境中的,但是在默认状态下该服务器系统存在不少安全漏洞,许多黑客或者非法攻击者往
- 各位站长好,以前给百度客服打过N次电话,每每问及近期收录相关事谊都不给允回答。今天又打了一次。接电话的是个男的,听声音好像未成年...(日小
- 2008 年 8 月的最后一周,我们将暂停 AdSense 推介计划。这可能会给正在投放推介广告的发布商带来一些不便,我们在这里表示歉意。G
- 计算机已经真正成为我们的最新科技,几乎遍布我们日常生活的每一方面。所以,我们这个时代的某些最伟大的头脑开始思索起计算机和软件对于人类的重要性
- 无效HTML代码是什么?从字面意思来看,“无效”就是“没有效果”的意思,无效代码是由于标签元素书写错误、标签元素没有闭合等原因,造成页面无法
- 在威客这个平台上,出现最多的是设计(这里指图形图像类),出现最少的恐怕就是这个软件开发了。什么是软件?先要明白这个概念。软件(softwar
- 卸载首先,要确认下是否有安装过,或者是系统自带了httpd服务,通过以下命令:# rpm -qa | grep httpd或者:# yum
- 作为全球中文搜索引擎的老大,百度以其强大的中文数据库和超强的中文抓取技术著称。不过中文第一的位置并不是好做的,全球性搜索引擎老大GOOGLE
- 从以往记录来看,使用子域名与子目录的时间几乎是对等的。顺便提示一下,在一个象subdomain.example.com/subdirecto
- WordPress是一款成熟的开源CMS平台,新推出的2.9版本依然保持了以往良好的口碑。这篇文章从WordPress 2.9的codex文
- 10月16日消息,研究机构ComScore指出,Google与微软上个月美国网络搜索市占率连袂上升,只有雅虎不增反减。数据显示,Google
- 我们经常会碰到个人博客被黑客入侵并挂木马的事情,我以前曾经介绍过“服务器的安全配置技巧总结”,但是没有具体结合某个博客程序讲解,今天,我这里
- 以前我们学校的服务器经常中毒,而且基本上是一个网站中毒而牵连到其他的网站。这无非是服务器的权限配置没做好,让黑客们利用一个大权限用户把整台服
- 今日发布godaddy使用教程 系列日志第一篇:后台概览,其实我也是新手,只是希望和大家分享一下经验,让更多人了解一下国外比较优秀的idc后