网络通信 频道

Web网站安全误解及防范指南

    【IT168 报道】黑客攻击是对网站安全的最大挑战。虽然网站服务器管理人员都采取了多种防范措施,使自己的网站更加安全,但是现在许多黑客依然可以突破安全防范措施,攻入Web网站的内部窃取信息。而造成这个结果的原因往往是因为管理人员没有正确认识各种安全防范措施的功能特点,对自己web网站的安全做出了错误的评估。正因为如此,要增强Web网站的安全性,首先就要澄清对各种安全防范措施的误解:

    对于网站传输过程中的保密,网站管理人员一般都采取SSL加密的方法。其实单靠SSL加密是无法保障网站的安全。SSL加密的功能是:当网站启用SSL加密后,该网站发送和接收的信息都经过加密处理,在信息的传送过程中为信息提供加密保护。但是SSL加密却无法保障web网站的安全,黑客还是可以通过SQL注入,跨站脚本攻击等手段对你的web网站进行攻击,造成了许多网站采用了128位SSL加密,但还是被黑客攻破,最终让黑客得到了网站访问者的隐私信息。

    在web网站服务器安装防火墙是保护自己的好办法,它能有效的防范多种攻击,对于网站安全来说是必须的。防火墙有访问过滤机制,通过设置防火墙的“访客名单”,可以记录善意的访问者,把恶意访问排除在外,只允许善意的访问者进来,但还是无法应对许多恶意行为。因为,一个伪装成善意访问者的黑客的访问一旦被允许,后续的安全问题就不是防火墙能应对了。那如何鉴别善意访问和恶意访问就成了一个问题。而且,用来架构服务器的操作系统、服务器软件都可能有现在还未发现的漏洞,对此,一般防火墙是没有办法的。

    网站也是使用程序员编写的各种软件构成的,客观的说,程序员编写的软件都是有可能有漏洞的,有些漏洞可能要经过许多年后才会被发现。你是不是觉得网站应用程序的安全问题都是程序员造成的?程序员确实对造网站应用程序的安全成了一些问题,但不是全部。毕竟也有许多网站应用程序被网站管理者认同,甚至是推崇。

    网络出现的初期,网络应用十分简单,如FTP,MAIL等很多都是简单的协议,而且是"一次性"交互,只是简单的传递信息。随着网络技术的普及和发展,网络上承载的应用越来越多,应用越来越复杂,针对应用层的攻击越来越多。对此,网站管理员应该重视起来。因为现在,几乎所有的企业防火墙都会打开Web端口,攻击者可以通过Web、Web邮件、聊天工具和P2P攻击企业网络。应用安全要得到应有的重视。

    现在,对Web网站进行安全评估非常必要,但评估的可靠性却有待提高。没有被发现的网站应用程序漏洞和系统漏洞,Web网站当时的情况可能与评估时情况有很大不同,都降低了评估的可靠性。一般用来架构web网站的UNIX系统,LINUX系统,WINDOWS系统,它们本身都还有黑客可以利用的漏洞,比如前不久被发现的LINUX系统内核漏洞,黑客可以利用它获得root用户权限。更不要说有的网站许久才进行一次评估,可在这段时间内网站为了吸引访问者往往会增加许多新功能,但是网站应用程序的改动,都会出现安全问题的隐患。这些都对安全评估的可靠性造成了影响。

    总的来说,为了更好保护web网站安全,需要认识各种安全措施的功能特点,然后把它们糅合成一个整体,形成立体、多重的防御体系。

0
相关文章