聯(lián)系請(qǐng)致電：15378720700 河南億恩科技有限公司，專(zhuān)注IDC服務(wù)13年，華中地區(qū)最大IDC服務(wù)商。
BGP新機(jī)房?jī)?yōu)惠活動(dòng)正在進(jìn)行中。。。期待您的加入。

黨政機(jī)關(guān)網(wǎng)站是政務(wù)公開(kāi)和服務(wù)型政府兩大主導(dǎo)思想在落實(shí)過(guò)程中所必須憑借的重要平臺(tái)，地位非常重要，但其總體安全狀況卻不容樂(lè)觀。據(jù)CNCERT/CC統(tǒng)計(jì)，黨政機(jī)關(guān)網(wǎng)站被篡改情況嚴(yán)重，2006年2271個(gè)，2007年3407個(gè)，2008年3800個(gè)，2009年2765個(gè)。2010年黨政機(jī)關(guān)網(wǎng)站頁(yè)面篡改進(jìn)入高發(fā)期，最多每周被篡改的黨政機(jī)關(guān)網(wǎng)站數(shù)量高達(dá)178個(gè)，黨政機(jī)關(guān)網(wǎng)站成為黑客攻擊的首選對(duì)象。隨著電子政務(wù)建設(shè)的逐步推進(jìn)，黨政機(jī)關(guān)網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加，網(wǎng)站被入侵或篡改所帶來(lái)的危害將不僅限于政府形象的損害，甚至?xí)�造成巨大的�?jīng)濟(jì)損失，或者嚴(yán)重的社會(huì)問(wèn)題。

 

目前，黨政機(jī)關(guān)網(wǎng)站最常見(jiàn)的安全問(wèn)題包括被搜索引擎定義為惡意網(wǎng)站、網(wǎng)站掛馬、SQL注入攻擊、跨站點(diǎn)腳本攻擊、登錄密碼破解、網(wǎng)站后臺(tái)管理頁(yè)面易猜測(cè)、目錄列舉、HTML 注釋中存在敏感信息泄露等。

 

 

搜索引擎是用戶(hù)廣泛使用的搜索工具，黨政機(jī)關(guān)網(wǎng)站一旦被搜索引擎定義為惡意網(wǎng)站，必然使網(wǎng)站的聲譽(yù)受到影響。主要表現(xiàn)在網(wǎng)站排名權(quán)重降低；點(diǎn)擊網(wǎng)站時(shí)被警告“訪問(wèn)該網(wǎng)站可能會(huì)損害您的計(jì)算機(jī)”；更有甚者，用戶(hù)打開(kāi)該網(wǎng)站時(shí)，會(huì)引起死機(jī)、信息被盜等風(fēng)險(xiǎn)。

 

解決惡意網(wǎng)站提示的第一步是清除網(wǎng)站病毒或木馬。清除完病毒后可以向搜索引擎提出申請(qǐng)。如果搜索引擎沒(méi)有再發(fā)現(xiàn)病毒或木馬的話，一般48小時(shí)內(nèi)就會(huì)去除警告標(biāo)志。

 

 

掛馬是指黑客入侵了一些網(wǎng)站后，將自己編寫(xiě)的網(wǎng)頁(yè)木馬嵌入被黑網(wǎng)站的主頁(yè)中，利用被黑網(wǎng)站的流量將自己的網(wǎng)頁(yè)木馬傳播開(kāi)去，以達(dá)到自己不可告人的目的。網(wǎng)頁(yè)被掛馬，在一定程度上可以說(shuō)是網(wǎng)頁(yè)被篡改，但是比較隱蔽。危害更大。

 

對(duì)服務(wù)器端來(lái)說(shuō)，一方面是侵占了系統(tǒng)資源，流量帶寬資源受到巨大損失，同時(shí)黨政機(jī)關(guān)網(wǎng)站服務(wù)器無(wú)形中成為了傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響到黨政機(jī)關(guān)網(wǎng)站的公眾信譽(yù)度。從而使廣大用戶(hù)對(duì)黨政機(jī)關(guān)網(wǎng)站的信心受挫。

 

服務(wù)器被掛馬，需要經(jīng)常性的檢查服務(wù)器日志，及時(shí)發(fā)現(xiàn)異常信息，同時(shí)在服務(wù)器上部署網(wǎng)頁(yè)防篡改系統(tǒng)用于監(jiān)控網(wǎng)頁(yè)運(yùn)行和被篡改情況的發(fā)生。確保發(fā)生黑客入侵事件時(shí)能及時(shí)告警，并有相應(yīng)的應(yīng)急恢復(fù)機(jī)制，形成立體安全防御體系，保障網(wǎng)站的安全運(yùn)行。

 

 

SQL 注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。由于從事黨政機(jī)關(guān)網(wǎng)站開(kāi)發(fā)的程序員水平和經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，僅僅關(guān)注功能的完成，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的有效性進(jìn)行校驗(yàn)。惡意攻擊者可以在網(wǎng)站上提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，獲得某些他想得知的數(shù)據(jù)，甚至整個(gè)數(shù)據(jù)庫(kù)表。SQL注入是從正常的WWW端口訪問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別，所以目前市面的防火墻很難對(duì)SQL 注入發(fā)出警報(bào)，如果管理員沒(méi)查看日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。如果被注入，會(huì)被竊取數(shù)據(jù)、修改數(shù)據(jù)，對(duì)于黨政機(jī)關(guān)網(wǎng)站來(lái)說(shuō)，會(huì)發(fā)生敏感信息泄露、正常的頁(yè)面被篡改等情況。

 

要有效防范SQL注入，需要從應(yīng)用程序的開(kāi)發(fā)階段入手，封裝客戶(hù)端提交的信息，讓外部訪問(wèn)者無(wú)法從用戶(hù)端看到或修改客戶(hù)端提交的信息；替換或刪除敏感字符/字符串；屏蔽服務(wù)器端的出錯(cuò)信息，防止用戶(hù)根據(jù)出錯(cuò)信息分析服務(wù)器端的配置；在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查，只允許有效的數(shù)據(jù)輸入。

 

 

跨站點(diǎn)腳本漏洞是指是惡意攻擊者往Web頁(yè)面里插入惡意腳本代碼，當(dāng)用戶(hù)瀏覽網(wǎng)頁(yè)時(shí)，嵌入頁(yè)面中的腳本代碼會(huì)被執(zhí)行，從而盜取用戶(hù)資料、利用用戶(hù)身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。對(duì)于存在跨站點(diǎn)腳本漏洞的機(jī)關(guān)網(wǎng)站，惡意攻擊者往往利用黨政機(jī)關(guān)網(wǎng)站的公信度，通過(guò)及時(shí)通訊工具、電子郵件發(fā)送通知等手段引導(dǎo)用戶(hù)訪問(wèn)鏈接，從而達(dá)到竊取用戶(hù)資料的目的。

 

要有效防范跨站點(diǎn)腳本，需要網(wǎng)站開(kāi)發(fā)人員可以向所有用戶(hù)的輸入信息進(jìn)行過(guò)濾，移除可能有害的代碼，同時(shí)對(duì)與腳本相關(guān)的字符%=<>’"();&等進(jìn)行轉(zhuǎn)義，防止腳本在客戶(hù)端自動(dòng)執(zhí)行。

 

 

黨政機(jī)關(guān)網(wǎng)站在用戶(hù)登錄密碼方面存在的安全問(wèn)題主要包括：登錄密碼沒(méi)有復(fù)雜度要求或者復(fù)雜度要求過(guò)低；用戶(hù)登錄時(shí)存在密碼自動(dòng)完成的漏洞；沒(méi)有使用驗(yàn)證碼；沒(méi)有失敗登錄次數(shù)限制。用戶(hù)登錄模塊是保證用戶(hù)個(gè)人身份信息和業(yè)務(wù)信息的窗口，密碼易破解的漏洞會(huì)引起個(gè)人信息的泄露，破壞黨政機(jī)關(guān)網(wǎng)站的便民服務(wù)形象。

 

要解決黨政機(jī)關(guān)網(wǎng)站在用戶(hù)登錄密碼方面存在的安全問(wèn)題，可以從這幾個(gè)方面考慮：設(shè)置登錄密碼的復(fù)雜度要求，最好用數(shù)字+字母+特殊符號(hào)的強(qiáng)密碼；設(shè)置密碼更改周期，從技術(shù)上規(guī)定定期必須更改密碼；關(guān)閉密碼框表單的AutoComplete屬性，這樣即使IE設(shè)置了自動(dòng)完成功能，用戶(hù)登錄時(shí)密碼也無(wú)法自動(dòng)完成；添加驗(yàn)證碼功能，驗(yàn)證碼的隨機(jī)變化可以防止暴力窮舉破解工具破解用戶(hù)名密碼；設(shè)置失敗登錄次數(shù)限制，防止暴力窮舉破解工具破解用戶(hù)名密碼。增強(qiáng)用戶(hù)登錄入口的安全性。

 

 

后臺(tái)管理頁(yè)面是管理網(wǎng)站的重要工具，頁(yè)面的地址不宜直接或間接的公開(kāi)。黨政機(jī)關(guān)網(wǎng)站中如果存在可以直接被訪問(wèn)的后臺(tái)管理頁(yè)面，或管理頁(yè)面為容易猜測(cè)到的后綴如login/admin/等，將大大降低后臺(tái)管理頁(yè)面的安全性，給惡意攻擊者可乘之機(jī)。

 

要加強(qiáng)后臺(tái)頁(yè)面的安全性，可以修改默認(rèn)目錄名為不易被猜測(cè)到的名字；限制訪問(wèn)者的IP地址，如只有內(nèi)網(wǎng)中的某些IP才有權(quán)限訪問(wèn)；配置較強(qiáng)的登錄口令，最好用數(shù)字+字母+特殊符號(hào)的強(qiáng)密碼且定期更改密碼；過(guò)濾登錄框輸入的內(nèi)容，防止通過(guò)構(gòu)造SQL語(yǔ)句而繞過(guò)登錄密碼的行為。

 

 

目錄列表漏洞是指Web服務(wù)器配置時(shí)啟動(dòng)了目錄瀏覽，可以查看和下載特定Web應(yīng)用程序虛擬目錄的內(nèi)容，其中可能包含受限文件。黨政機(jī)關(guān)網(wǎng)站的目錄、文件中可能涉及重要的國(guó)家政策或國(guó)家秘密，目錄列出或受限文件的下載可能會(huì)導(dǎo)致國(guó)家秘密的泄露。

 

針對(duì)WEB服務(wù)器的目錄列表漏洞，建議修改WEB服務(wù)器配置，設(shè)置禁止目錄列出以拒絕目錄列表，并安裝WEB服務(wù)器推出的最新安全補(bǔ)丁，防止舊版本帶來(lái)的已知漏洞。

 

 

黨政機(jī)關(guān)網(wǎng)站的注釋中會(huì)存在一些敏感信息，如與Web應(yīng)用程序相關(guān)的文件名、舊的鏈接或非供用戶(hù)瀏覽的鏈接、舊的代碼片段等。注釋中的這些信息片段一旦泄露，會(huì)給惡意攻擊者提供基礎(chǔ)判斷信息，使其攻擊行為獲得線索。

 

針對(duì)HTML注釋中含有敏感信息的漏洞，建議網(wǎng)站上線前進(jìn)行敏感信息檢查，刪除 HTML 注釋中的敏感信息。