激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        黨政機關(guān)網(wǎng)站面臨的主要安全問題

        發(fā)布時間:  2012/8/19 18:38:35
        黨政機關(guān)網(wǎng)站是政務(wù)公開和服務(wù)型政府兩大主導(dǎo)思想在落實過程中所必須憑借的重要平臺,地位非常重要,但其總體安全狀況卻不容樂觀。據(jù)CNCERT/CC統(tǒng)計,黨政機關(guān)網(wǎng)站被篡改情況嚴重,2006年2271個,2007年3407個,2008年3800個,2009年2765個。2010年黨政機關(guān)網(wǎng)站頁面篡改進入高發(fā)期,最多每周被篡改的黨政機關(guān)網(wǎng)站數(shù)量高達178個,黨政機關(guān)網(wǎng)站成為黑客攻擊的首選對象。隨著電子政務(wù)建設(shè)的逐步推進,黨政機關(guān)網(wǎng)站所承載業(yè)務(wù)的數(shù)量在逐步增加,網(wǎng)站被入侵或篡改所帶來的危害將不僅限于政府形象的損害,甚至?xí)斐删薮蟮慕?jīng)濟損失,或者嚴重的社會問題。
         
        目前,黨政機關(guān)網(wǎng)站最常見的安全問題包括被搜索引擎定義為惡意網(wǎng)站、網(wǎng)站掛馬、SQL注入攻擊、跨站點腳本攻擊、登錄密碼破解、網(wǎng)站后臺管理頁面易猜測、目錄列舉、HTML 注釋中存在敏感信息泄露等。
         
        一.被搜索引擎定義為惡意網(wǎng)站
         
        搜索引擎是用戶廣泛使用的搜索工具,黨政機關(guān)網(wǎng)站一旦被搜索引擎定義為惡意網(wǎng)站,必然使網(wǎng)站的聲譽受到影響。主要表現(xiàn)在網(wǎng)站排名權(quán)重降低;點擊網(wǎng)站時被警告“訪問該網(wǎng)站可能會損害您的計算機”;更有甚者,用戶打開該網(wǎng)站時,會引起死機、信息被盜等風(fēng)險。
         
        解決惡意網(wǎng)站提示的第一步是清除網(wǎng)站病毒或木馬。清除完病毒后可以向搜索引擎提出申請。如果搜索引擎沒有再發(fā)現(xiàn)病毒或木馬的話,一般48小時內(nèi)就會去除警告標志。
         
        二.網(wǎng)頁掛馬
         
        掛馬是指黑客入侵了一些網(wǎng)站后,將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中,利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去,以達到自己不可告人的目的。網(wǎng)頁被掛馬,在一定程度上可以說是網(wǎng)頁被篡改,但是比較隱蔽。危害更大。
         
        對服務(wù)器端來說,一方面是侵占了系統(tǒng)資源,流量帶寬資源受到巨大損失,同時黨政機關(guān)網(wǎng)站服務(wù)器無形中成為了傳播網(wǎng)頁木馬的“傀儡幫兇”,嚴重影響到黨政機關(guān)網(wǎng)站的公眾信譽度。從而使廣大用戶對黨政機關(guān)網(wǎng)站的信心受挫。
         
        服務(wù)器被掛馬,需要經(jīng)常性的檢查服務(wù)器日志,及時發(fā)現(xiàn)異常信息,同時在服務(wù)器上部署網(wǎng)頁防篡改系統(tǒng)用于監(jiān)控網(wǎng)頁運行和被篡改情況的發(fā)生。確保發(fā)生黑客入侵事件時能及時告警,并有相應(yīng)的應(yīng)急恢復(fù)機制,形成立體安全防御體系,保障網(wǎng)站的安全運行。
         
        三.SQL注入攻擊
         
        SQL 注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一。由于從事黨政機關(guān)網(wǎng)站開發(fā)的程序員水平和經(jīng)驗參差不齊,相當大一部分程序員在編寫代碼的時候,僅僅關(guān)注功能的完成,沒有對用戶輸入數(shù)據(jù)的有效性進行校驗。惡意攻擊者可以在網(wǎng)站上提交一段數(shù)據(jù)庫查詢代碼,獲得某些他想得知的數(shù)據(jù),甚至整個數(shù)據(jù)庫表。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻很難對SQL 注入發(fā)出警報,如果管理員沒查看日志的習(xí)慣,可能被入侵很長時間都不會發(fā)覺。如果被注入,會被竊取數(shù)據(jù)、修改數(shù)據(jù),對于黨政機關(guān)網(wǎng)站來說,會發(fā)生敏感信息泄露、正常的頁面被篡改等情況。
         
        要有效防范SQL注入,需要從應(yīng)用程序的開發(fā)階段入手,封裝客戶端提交的信息,讓外部訪問者無法從用戶端看到或修改客戶端提交的信息;替換或刪除敏感字符/字符串;屏蔽服務(wù)器端的出錯信息,防止用戶根據(jù)出錯信息分析服務(wù)器端的配置;在服務(wù)端正式處理之前對提交數(shù)據(jù)的合法性進行檢查,只允許有效的數(shù)據(jù)輸入。
         
        四.跨站點腳本攻擊
         
        跨站點腳本漏洞是指是惡意攻擊者往Web頁面里插入惡意腳本代碼,當用戶瀏覽網(wǎng)頁時,嵌入頁面中的腳本代碼會被執(zhí)行,從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。對于存在跨站點腳本漏洞的機關(guān)網(wǎng)站,惡意攻擊者往往利用黨政機關(guān)網(wǎng)站的公信度,通過及時通訊工具、電子郵件發(fā)送通知等手段引導(dǎo)用戶訪問鏈接,從而達到竊取用戶資料的目的。
         
        要有效防范跨站點腳本,需要網(wǎng)站開發(fā)人員可以向所有用戶的輸入信息進行過濾,移除可能有害的代碼,同時對與腳本相關(guān)的字符%=<>’"();&等進行轉(zhuǎn)義,防止腳本在客戶端自動執(zhí)行。
         
        五.用戶登錄密碼易破解
         
        黨政機關(guān)網(wǎng)站在用戶登錄密碼方面存在的安全問題主要包括:登錄密碼沒有復(fù)雜度要求或者復(fù)雜度要求過低;用戶登錄時存在密碼自動完成的漏洞;沒有使用驗證碼;沒有失敗登錄次數(shù)限制。用戶登錄模塊是保證用戶個人身份信息和業(yè)務(wù)信息的窗口,密碼易破解的漏洞會引起個人信息的泄露,破壞黨政機關(guān)網(wǎng)站的便民服務(wù)形象。
         
        要解決黨政機關(guān)網(wǎng)站在用戶登錄密碼方面存在的安全問題,可以從這幾個方面考慮:設(shè)置登錄密碼的復(fù)雜度要求,最好用數(shù)字+字母+特殊符號的強密碼;設(shè)置密碼更改周期,從技術(shù)上規(guī)定定期必須更改密碼;關(guān)閉密碼框表單的AutoComplete屬性,這樣即使IE設(shè)置了自動完成功能,用戶登錄時密碼也無法自動完成;添加驗證碼功能,驗證碼的隨機變化可以防止暴力窮舉破解工具破解用戶名密碼;設(shè)置失敗登錄次數(shù)限制,防止暴力窮舉破解工具破解用戶名密碼。增強用戶登錄入口的安全性。
         
        六.后臺管理頁面可直接訪問或易猜測
         
        后臺管理頁面是管理網(wǎng)站的重要工具,頁面的地址不宜直接或間接的公開。黨政機關(guān)網(wǎng)站中如果存在可以直接被訪問的后臺管理頁面,或管理頁面為容易猜測到的后綴如login/admin/等,將大大降低后臺管理頁面的安全性,給惡意攻擊者可乘之機。
         
        要加強后臺頁面的安全性,可以修改默認目錄名為不易被猜測到的名字;限制訪問者的IP地址,如只有內(nèi)網(wǎng)中的某些IP才有權(quán)限訪問;配置較強的登錄口令,最好用數(shù)字+字母+特殊符號的強密碼且定期更改密碼;過濾登錄框輸入的內(nèi)容,防止通過構(gòu)造SQL語句而繞過登錄密碼的行為。
         
        七.目錄列表
         
        目錄列表漏洞是指Web服務(wù)器配置時啟動了目錄瀏覽,可以查看和下載特定Web應(yīng)用程序虛擬目錄的內(nèi)容,其中可能包含受限文件。黨政機關(guān)網(wǎng)站的目錄、文件中可能涉及重要的國家政策或國家秘密,目錄列出或受限文件的下載可能會導(dǎo)致國家秘密的泄露。
         
        針對WEB服務(wù)器的目錄列表漏洞,建議修改WEB服務(wù)器配置,設(shè)置禁止目錄列出以拒絕目錄列表,并安裝WEB服務(wù)器推出的最新安全補丁,防止舊版本帶來的已知漏洞。
         
        八.HTML注釋中存在敏感信息泄露
         
        黨政機關(guān)網(wǎng)站的注釋中會存在一些敏感信息,如與Web應(yīng)用程序相關(guān)的文件名、舊的鏈接或非供用戶瀏覽的鏈接、舊的代碼片段等。注釋中的這些信息片段一旦泄露,會給惡意攻擊者提供基礎(chǔ)判斷信息,使其攻擊行為獲得線索。
         
        針對HTML注釋中含有敏感信息的漏洞,建議網(wǎng)站上線前進行敏感信息檢查,刪除 HTML 注釋中的敏感信息。
         
        小結(jié)
         
        針對黨政機關(guān)網(wǎng)站面臨的主要問題,建議從網(wǎng)站的開發(fā)、部署、運維等階段加強安全控制,保障黨政機關(guān)網(wǎng)站的安全性。避免網(wǎng)站入侵或篡改帶來的負面效應(yīng)。保持黨政機關(guān)網(wǎng)站的權(quán)威性和公信度。

        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
      10. 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務(wù)熱線