透過地震官網被黑 關注網站安全防範能力

仲介交易 SEO診斷淘寶客 站長團購 雲主機 技術大廳

「5.12」地震以來，在中國大地上發生了太多太多的事情。 一句「多難興邦」，讓我們看到了四川的希望，中國的希望。 可就在這舉國哀悼的時刻，卻發生了一些令人唾棄的事情。 讓我們來看看相關媒體報導：5月28日、29日晚間，陝西省地震資訊網接連遭到惡意攻擊，嫌疑人修改了相關資訊，並在網站主頁散佈「23時30分陝西各地會有強烈地震發生」等謠言，造成了部分群眾的心理恐慌;而在5月31日、6月1日 、2日期間，廣西地震局官方網站同樣連續遭到「駭客」攻擊。 駭客篡改網站資料資料，發佈近期將發生地震的虛假資訊等，這些地震資訊權威發佈網站遭到駭客攻擊，在社會上造成了極大的惡劣影響。

「網站駭客」、「奧運駭客」，似乎最近成為了互聯網安全方面的一個熱話題，從Google上搜索「奧運駭客」一詞，竟達646,000多項，可見所受的關注度之高，而普通網站也在最近頻頻傳出被駭客攻擊的消息， 據有關資料顯示：今年1到5月,全國有3萬多個網站遭到「駭客」入侵!由於缺乏專業的防護能力，中小型政府網站、企業網站已成為 「駭客」入侵的最大受害者。

中小型網站安全防範問題

專家支招一：構建安全伺服器環境，嚴防第一道鎖

據陝西地震局一位負責網站維護的技術人員告訴記者，陝西地震網遭受到了駭客攻擊，首頁顯示的「網站出現重大安全性漏洞」的資訊屬駭客發佈的虛假資訊，而目前網站運行安全，並未出現技術漏洞。 我們在譴責「地震駭客」的同時，也在思考另一個問題，怎麼樣來保障我們的網站安全運行?對此問題，記者走訪了國內中小型網站安全防範問題專家。

據介紹：構建安全伺服器環境，構築駭客攻擊第一鏈條。 但構建安全的伺服器環境來抵禦「駭客」攻擊，其涉及面相當廣，但就中小型網站而言，大致可從三個方面來進行：

(一)技術層面：採用軟硬體防火牆、殺毒軟體、頁面防篡改系統來建立一個結構上較完善的Web伺服器環境;

(二)服務方面：進行網路拓撲分析、建立中心機房管理制度、建立作業系統以及防毒軟體定期升級機制、對重要伺服器的訪問日誌進行備份，通過這些服務，增強網路的抗干擾性;

(三)支援方面：要求服務商提供故障排除服務，以提高網路的可靠性。

但目前大多數中小型網站都是以虛擬主機的形式託管的，要提高網站安全性，降低駭客攻擊風險，網站管理員就應及時給自己的網站程式打上最新的補丁，在開發的時候應加強安全意識，注意防止注入漏洞、上傳漏洞等問題， 同時把網站託管在技術實力強、安全係數高、能主動幫客戶解決安全的服務商處，以確保網站安全運行環境的安全。

專家支招二：重視網站系統安全，布控第二把鎖

構建安全伺服器的環境，只是從週邊進行阻擊「駭客」的攻擊，但更重要的還是要保障網站系統安全，防止駭客利用系統漏洞進行攻擊，從而威脅網站安全。

據動易公司網路安全專家介紹：根據2007年 OWASP 組織發佈的 Web 應用程式脆弱性10大排名的統計結果表明，跨站腳本、注入漏洞、跨站請求偽造、資訊洩露等方面的問題仍然是目前駭客流行的攻擊方式， 而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程式師在編寫代碼時沒有對使用者輸入資料的合法性進行判斷，導致入侵者可以通過插入並執行惡意SQL命令，獲得資料讀取和修改的許可權; 而跨站腳本攻擊則是通過在網頁中加入惡意程式碼，當訪問者流覽網頁時，惡意程式碼會被執行或者通過給管理員發信息的方式誘使管理員流覽，從而獲得管理員許可權，控制整個網站。

那麼，對這種駭客攻擊方式有沒有有效的安全手段進行阻擊呢?據悉，在SiteFactory™ 內容管理系統開發中，針對各種攻擊方式都制定了相應完整的防禦方案，並且借助 ASP.NET 的特性和功能， 可以有效的抵制惡意使用者對網站進行的攻擊，提高網站的安全性，但就針對目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什麼呢?為此，我們向動易網路安全專家瞭解，他向我們介紹了一些安全手段：

(一)對於SQL注入攻擊：動易系統採用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式，從根本上解決SQL注入的問題; URL參數類型、數量、範圍限制功能，解決惡意使用者通過網址列惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對使用者輸入資料的驗證來防止SQL注入攻擊。

(二)：對於跨站腳本攻擊：在對於不支援HTML的內容直接實行編碼處理的辦法，來從根本上解決跨站問題。 而對於支援Html的內容，我們有專門的過濾函數，會對資料進行安全處理(依據XSS攻擊庫的攻擊實例)，雖然這種方式目前是安全的，但不代表以後也一定是安全的，因為攻擊手段會不斷翻新，我們的過濾函式程式庫也會不斷更新。

另外對於外站訪問和直接存取我們也做了判斷，從一定程度上也可以避免跨站攻擊。 即使出現了了跨站攻擊，我們也會將攻擊的影響減到最小：一、對於後臺一些會顯示HTML內容的地方，通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);二、 使用Cookie的HttpOnly屬性來防止Cookie通過腳本洩密(IE6 SP1以上、Firefox 3);三、身份驗證票據都是加密過的;四、推薦使用更高版本的IE或者FF。

網友支招三：呼籲站長和政府關注網站安全，動員第三把鎖

2008年4月29日，國務院辦公廳發佈了「國務院辦公廳關於施行《中華人民共和國政府資訊公開條例》若干問題的意見」(國辦發(2008〕36號)，)，文中充分體現了政務公開的決心， 而政務公開的組要資訊管道是傳統的紙媒和政府網站，但據CNCERT/CC監測到中國大陸被篡改網站總數累積達61228個，比去年增加了1.5倍。 中國大陸政府網站被篡改數量達3407個。 而2007年中國大陸政府網站被篡改各月累計達4234個。

一系列的數位和事實證明，我們在網站安全方面存在著重大的隱患，而其中網站站長和政府在安全方面扮演著重要的角色，一方面我們呼籲網站站長關注網站安全，構築網站安全的基本防護能力，降低被「駭客」攻擊的風險， 另一方面我們呼籲政府關注，積極打擊網路駭客犯罪，加強互聯網犯罪立法，從制度上保障網站的安全