注重政府网站安全 专家支招黑客防攻术
近日,国内发生了多宗政府网站被黑事件。辽宁省食品安全网被黑,黑客留言提醒管理员修补服务器;安徽省淮北市烈山区政府网站被黑,公开信中发现了诸如减肥、除粉刺等小广告链接。据了解,该政府网站遭遇“挂马”并非个案,类似通过“黑”政府网站牟利的行为已构成一个产业链,政府网站因其在搜索引擎中排名靠前、能给广告所属网站带来更多流量而备受黑客青睐。来自工信部的统计信息显示:去年1月4日至10日,一周内境内被篡改的政府网站数量为178个。
黑客永远是安全界的天敌,相反只有黑客技术才能推进网络安全的发展,两者是相辅相成的。然而面对现在众多的网络黑客,政府网站到底该做哪些东西才能将安全进行到底呢?这是很现实的问题。我们在谴责黑客的同时,也在思考另一个问题,怎么样来保障我们的政府网站安全运行?政府网站建设的时候又要注意什么?为此,记者走访了网站安全防范专家。
专家支招一:重视网站系统安全,严防第一道锁
构建安全服务器的环境,只是从外围进行阻击“黑客”的攻击,但更重要的还是要保障网站系统安全,防止黑客利用系统漏洞进行攻击,从而威胁网站安全。
据动易公司网络安全专家介绍:根据OWASP组织发布的Web应用程序脆弱性10大排名的统计结果表明,跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式,而其中尤以SQL注入攻击和跨站脚本攻击为重,所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断,导致入侵者可以通过插入并执行恶意SQL命令,获得数据读取和修改的权限;而跨站脚本攻击则是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
那么,对这种黑客攻击方式有没有有效的安全手段进行阻击呢?据悉,在SmartGov政府网站管理系统开发中,针对各种攻击方式都制定了相应完整的防御方案,并且借助ASP.NET的特性和功能,可以有效的抵制恶意用户对网站进行的攻击,提高网站的安全性,但就针对目前SQL注入攻击和跨站脚本攻击,其更加有效的阻击手段是什么呢?动易网络安全专家向我们介绍了一些安全手段:
(一)对于SQL注入攻击:动易系统采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题等,这些手段是控制SQL注入的,还包括其它的一些过滤处理,和其它的对用户输入数据的验证来防止SQL注入攻击。
(二):对于跨站脚本攻击:在对于不支持HTML的内容直接实行编码处理的办法,来从根本上解决跨站问题。而对于支持HTML的内容,动易公司有专门的过滤函数,会对数据进行安全处理(依据XSS攻击库的攻击实例),虽然这种方式目前是安全的,但不代表以后也一定是安全的,因为攻击手段会不断翻新,动易公司的过滤函数库也会不断更新。
另外对于外站访问和直接访问我们也做了判断,从一定程度上也可以避免跨站攻击。即使出现了跨站攻击,我们也会将攻击的影响减到最小:一、对于后台一些会显示HTML内容的地方,通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效);二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6SP1以上、Firefox3);三、身份验证票据都是加密过的;四、推荐使用更高版本的IE或者FF。
专家支招二:构建安全服务器环境,布控第二把锁
构建安全服务器环境,布控第二把锁。但构建安全的服务器环境来抵御“黑客”攻击,其涉及面相当广,但就政府网站而言,大致可从三个方面来进行:
(一):技术层面:采用软硬件防火墙、杀毒软件、页面防篡改系统来建立一个结构上较完善的Web服务器环境;
(二):服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性;
(三):支持方面,要求服务商提供故障排除服务,以提高网络的可靠性。
要提高网站安全性,降低黑客攻击风险,网站管理员就应及时给自己的网站程序打上最新的补丁,在开发的时候应加强安全意识,注意防止注入漏洞、上传漏洞等问题,同时把网站托管在技术实力强、安全系数高、能主动帮客户解决安全的服务商处,以确保网站安全运行环境的安全。
相关新闻
中国一周178个政府网站被攻击篡改
中国计算机学会理事吕京建认为,当前我国政府网站大多很脆弱,易受攻击。对于政府网站的攻击者,吕京建认为有几种可能性,一种是有组织的恐怖组织;一种是个别网络黑客得不到引导恶作剧;还有可能是民间的网络部队认为自己没得到重视,借以攻击政府网站希望被注意。
“政府网站,尤其是市县一级政府网络还非常脆弱,没有很强的网络维护队伍”,吕京建表示,今后这些问题还会越来越明显。应该尽快建立一个全民网络信息安全体系。