網(wǎng)絡(luò)上沒有絕對的安全可言,跟著技術(shù)的發(fā)展,總會有更多的安全漏洞被發(fā)現(xiàn),因此網(wǎng)站的安全治理也是一項(xiàng)長期的工作。 “所幸的是,在中國,網(wǎng)絡(luò)還遠(yuǎn)沒有達(dá)到控制一切的地步,任何攻擊都有拯救的可能。 目前最輕易受到攻擊的網(wǎng)站設(shè)計(jì)就是形形色色的商務(wù)網(wǎng)站,因?yàn)閺闹饔^上對貿(mào)易秘要正視不夠,因此防范意識較差;從客觀上來講,我們的技術(shù)較落后,大多應(yīng)用軟件是從國外入口的,這就從一開始給網(wǎng)站安全蒙上了一層暗影。
電子商務(wù)網(wǎng)站制作的安全題目也越來越受大眾的關(guān)注,網(wǎng)站的安全題目是系統(tǒng)工程,需要綜合進(jìn)行分析,以制定完整安全策略。
2003年初爆發(fā)的SQL Slammer病毒的泛濫再次引起了人們對網(wǎng)站建設(shè)安全的正視,這個(gè)專門攻擊SQL Server數(shù)據(jù)庫漏洞的蠕蟲引發(fā)了一次全球范圍的網(wǎng)絡(luò)大塞車,全球數(shù)以千計(jì)的WEB服務(wù)器被攻擊,正常的訪問阻斷,給企業(yè)和用戶帶來巨大的損失。網(wǎng)絡(luò)安全是相對的,目前網(wǎng)絡(luò)上已經(jīng)沒有一塊凈土了。
下面從操作系統(tǒng)、WWW等方面談?wù)勲娮由虅?wù)網(wǎng)站建設(shè)的安全問題。
1、 WWW的安全性
www網(wǎng)站服務(wù)器的漏洞來自兩個(gè)方面:一個(gè)是WEB服務(wù)器本身,另一個(gè)是它所帶的其他服務(wù)程序(如FTP\TELNET等)。一般WEB服務(wù)器可提供如下三種類型的訪問限制方法:
(1) 通過IP地址,子網(wǎng)或域名來控制。
(2) 通過用戶名/口令限制。
(3) 用公用網(wǎng)站建設(shè)的密鑰加密方法。
2、 操作系統(tǒng)的安全
所有的操作系統(tǒng)都不是十全十美的,總存在很多的安全漏洞。比如在Windows NT中,安全賬戶管理(SAM)數(shù)據(jù)庫可以被以下用戶復(fù)制:Administrator賬戶,Administrator組的所有成員,備份操作員,服務(wù)器操作員,以及所有具有備份特權(quán)的人員。由于SAM數(shù)據(jù)庫的一個(gè)備份拷貝能夠被某些工具所利用來破解口令,NT在對用戶進(jìn)行身份驗(yàn)證時(shí),只能達(dá)到加密RSA的水平。在這種情況下,甚至沒有必須使用工具來猜測那些明文口令,網(wǎng)站設(shè)計(jì)中能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。實(shí)際上,另一個(gè)軟件包,PWAudit,它可以跟蹤由PWDump獲取到的任何東西的內(nèi)容。只有嚴(yán)格限制Administrator組和備份組賬戶的成員資格,加強(qiáng)對這些賬戶的跟蹤,尤其是Administrator賬戶的登錄(Logon)失敗和注銷(Logoll)失敗,對SAM進(jìn)行任何權(quán)限改變和對其本身的修改進(jìn)行審計(jì),并且設(shè)置發(fā)送一個(gè)警告給Administrator,告知有事件發(fā)生。要改變?nèi)笔?quán)限設(shè)置來預(yù)防這個(gè)漏洞。
【 微信掃一掃 】
