网站安.pptVIP

8.4 网站安全 网站越重要，安全问题所造成的危害就越大，现在，网络安全问题已成为网站管理上的焦点。网络安全问题层出不穷，可以说没有绝对安全的网络。网站安全一般可分为网站系统安全和数据安全两类。网站系统安全问题是指网站系统遭到未经授权的非法攻击或破坏；数据安全问题则指机要、敏感数据被窃取并非法复制、使用等。 8.4.1 常见的网站安全问题 要保护自己的网站首先要了解网站是怎样受到攻击的，然后才能拿出相应的对策，即所谓的知己知彼。常见黑客攻击手段众多，有一些利用系统众所周知的漏洞用公用的黑客软件进行攻击，但真正有威胁的则是那些具有创造性的、有针对性的攻击。他们以系统设计或是管理人员的疏漏为突破口，最终侵入系统内部。下面简单介绍可能采用的手段。 ⑴非法监听 通过搭线等手段偷听机密信息，如果为非加密的直接就可以为自己所用，如为加密信息通过破解获取与自己相关的情报，以便采取相应对策来破坏公司的行动，或者卖给竞争对手。 ⑵驱动攻击 当有些表面看来无害的数据被复制到互联网主机上并被执行时，可对系统发起攻击，这就是数据驱动攻击。这种数据可以到处传播，如邮件、聊天室、非法网页等等。例如，数据驱动的攻击可以造成一台主机修改与安全相关的文件，从而使入侵者下一次更容易入侵该系统。 ⑶系统漏洞攻击 再安全的系统也可能存在安全漏洞。UNIX系统是公认的最安全、最稳定的操作系统之一，不过它也像其它软件一样有漏洞，一样会受到攻击。UNIX操作系统可执行文件的目录，如/bin/who可被所有的用户访问，攻击者可以从可执行文件中得到其版本号，从而知道它会具有什么样的漏洞（可从一些专门搜集操作系统漏洞的网站上得到相关资料），然后针对这些漏洞发动攻击。 ⑷路由信息攻击法 攻击者通过发送伪造的路由信息，构造源主机和目标主机的虚假路径，从而使流向目标主机的数据包均经过攻击者的主机。这样就给攻击者提供了敏感的信息和有用的密码。 ⑸信息协议攻击法 IP源路径选项允许IP数据包自己选择一条通往目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接，他只需要在送出的请求报文中设置IP源路径选项，使报文有一个目的地址指向防火墙，而最终地址是主机A；报文到达防火墙被允许通过，因为它指向防火墙而不是主机A，防火墙的IP层处理该报文的源路径域，并发送到内部网上，报文就这样到达了不可到达的主机A。 ⑹系统管理员失误攻击法 人为的失误，如WWW服务器系统的配置差错，普通用户使用权限扩大等，给黑客造成了可乘之机，黑客常利用系统管理员的失误，使攻击得到成功。 ⑺重放数据法 收集特定的IP数据包，修改里面的数据，然后再重新发送，欺骗接收的主机，重放数据可能是过时的信息，也可能是修改过的信息。 ⑻拒绝服务攻击 例如通过软件，不断地对一服务器发出请求，大部分服务都是有最大连接限制的，这样就使其他用户不能接受网站的正常服务。 ⑼软件中预留后门 现在许多互联网上提供的软件本身就带有后门、木马程序，可能是编程者本身有某种目的，或者是常用软件被人修改过，在网上下载了这样的软件，必然会受到黑客控制，而用户则全然不觉。 8.4.2 安全问题的解决方法 网站安全问题可能是计算机中最易发生的问题，因为网站暴露在外部，供外界进行访问，网上有精通各种专业知识的人，有各种爱好的人，所以出现安全问题不可避免。最好的办法是提高自己的安全意识和抗攻击能力。下面是对实践中容易出现疏漏的地方所提出的建议，遵循这些规则会对提高网站安全水平有帮助。 ⑴用户密码复杂性检验 在用户注册时，要对密码的复杂性提出要求，并在注册成功前进行复杂性检验，不合要求的不能通过注册，保证最基本的认证安全。 ⑵根密码要经常更换 许多网站都有权限不等的管理员、版主等，他们分布在各地，难以管理，但却有着比一般用户多的权利，至少有更改主页、管理留言的职责，如果他们的密码泄露，也会影响网站安全，所以这些人员的密码应除了复杂性要求外，还要经常更换，以防密码泄露。 ⑶限制探测次数 用户有时可能会由于操作错误输错密码，当然可以重新输入，但要限定重输的次数，防止攻击者猜测口令。 ⑷限制口令的有效期 限制口令有效期，对于长期不用的口令要及时清除，尽可能的缩小被侵入的目标，同时也能够节省系统资源，促使用户养成良好的用网习惯。 ⑸提高网管人员安全意识 网管人员掌握许多保密信息，一旦出现问题后果不堪设想，对于重要的财务、安全数据要设置多重密码保护，即通过第一层验证后对机要信息还要通过更进一步的验证，或者是多个网管人员间密码有牵制作用，只有在多人同时在场时才能进入系统，进行更改。网管人员的疏漏往往是产生重大安全问题的主要原因，也是非法分子关注的核